Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.3.11 : Prise de décision automatisée

Le contrôle A.1.3.11 exige des organismes qu’ils identifient et traitent les obligations découlant de décisions fondées exclusivement sur le traitement automatisé de données personnelles. Il s’agit de l’un des contrôles les plus scrutés de la norme ISO 27701:2025, témoignant de l’attention croissante portée par les autorités réglementaires à la responsabilité algorithmique.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.3.11 ?

L’organisation doit identifier les obligations, y compris les obligations légales, envers les personnes concernées par les données personnelles résultant des décisions prises par l’organisation et liées à ces personnes sur la base d’un traitement automatisé de leurs données personnelles, et être en mesure de démontrer comment elle remplit ces obligations.

Ce contrôle relève de la Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle L’objectif (A.1.3) vise à garantir que les organisations assurent la transparence et le respect des droits des personnes dont elles traitent les données. La prise de décision automatisée suscite une inquiétude croissante de la part des autorités de réglementation et du public ; ce contrôle exige donc des organisations qu’elles identifient proactivement les situations où de telles décisions sont prises et mettent en œuvre des garanties efficaces.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.3.11) fournit les indications suivantes :

  • Identifier les décisions automatisées — Déterminer les cas où des décisions sont prises sur la base d'un traitement automatisé produisant des effets juridiques ou des effets tout aussi importants sur les données personnelles des personnes concernées (par exemple, la notation de crédit, la sélection automatisée lors du recrutement, la tarification des assurances).
  • Fournir des informations pertinentes — Fournir aux personnes concernées des informations pertinentes sur la logique sous-jacente à la décision automatisée, l'importance du traitement et les conséquences envisagées pour elles.
  • Mettre en œuvre des mesures de protection — Mettre en place des mesures incluant le droit d'obtenir l'intervention d'une personne qualifiée, la possibilité pour la personne concernée d'exprimer son point de vue et la possibilité pour elle de contester la décision
  • L'organisation doit documenter les activités de traitement qui impliquent exclusivement une prise de décision automatisée et les garanties mises en place pour chacune d'elles.
  • Voir aussi A.1.3.2 : Obligations envers les mandants PII pour les exigences connexes
  • Voir aussi A.1.3.6 : Opposition au traitement des données personnelles pour les exigences connexes

L'accent est mis sur la garantie que les individus ne soient pas soumis à des décisions importantes prises entièrement par des machines, sans possibilité de recours. Cela correspond étroitement aux obligations de transparence dans A.1.3.3 et A.1.3.4.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.3.11 correspond à plusieurs GDPR dispositions :

  • Article 13(2)(f) et 14(2)(g) — Exiger des organisations qu’elles informent les personnes concernées de l’existence d’une prise de décision automatisée, y compris le profilage, et qu’elles fournissent des informations pertinentes sur la logique sous-jacente, l’importance et les conséquences envisagées.
  • Article 22 (1) — Donne aux personnes concernées le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou les affectant de manière significative.
  • Article 22 (3) — Exige du responsable du traitement des données qu'il mette en œuvre des mesures appropriées pour garantir les droits de la personne concernée, notamment le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision

Pour la correspondance complète entre le RGPD et la norme ISO 27701, voir Guide de conformité au RGPD.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le ISO 29100 principe de Légitimité et spécifications de l'objectifLes décisions automatisées doivent être prises dans le cadre des finalités légitimes et initialement spécifiées. Lorsqu'un traitement automatisé est utilisé pour prendre des décisions importantes, l'organisation doit démontrer que cette utilisation est conforme aux finalités communiquées aux personnes concernées et que des garanties appropriées sont en place.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.3.11, les auditeurs recherchent généralement :

  • Inventaire de décision automatisé — Un registre de toutes les activités de traitement impliquant exclusivement une prise de décision automatisée, y compris les types de décisions prises et leurs effets sur les personnes concernées par les données personnelles identifiables.
  • Documentation logique — Des descriptions claires des algorithmes, modèles ou règles utilisés pour prendre des décisions, rédigées dans un langage compréhensible par un non-spécialiste.
  • procédures de sauvegarde — Procédures documentées d'intervention humaine, notamment les personnes autorisées à examiner les décisions automatisées, la manière dont les personnes concernées par les données personnelles peuvent demander un réexamen et les délais de réponse.
  • Avis de confidentialité — Preuves que les personnes concernées par les données personnelles sont informées de la prise de décision automatisée avant qu'elle n'ait lieu, notamment par le biais d'avis de confidentialité ou de notifications spécifiques.
  • Records de défis — Registres de toutes les demandes d'examen humain, des résultats obtenus et de la manière dont l'organisation a réagi
  • Évaluations d'impact — Analyses d'impact relatives à la protection de la vie privée ou aux données portant sur les systèmes de décision automatisés

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.3.3 Détermination des informations relatives aux personnes physiques à risque Exigences de transparence, notamment l'information des individus sur la prise de décision automatisée
A.1.3.4 Fournir des informations aux personnes concernées par les données personnelles Le mécanisme de communication des informations relatives à la prise de décision automatisée
A.1.2.2 Identifier et documenter l'objectif La prise de décision automatisée doit s'inscrire dans des finalités documentées.
A.1.2.3 Identifier le fondement juridique Un fondement juridique valable est requis pour le traitement automatisé
A.1.4.3 Limiter le traitement Le traitement automatisé doit rester proportionné à la finalité identifiée.
A.1.4.4 Exactitude et qualité L'exactitude des données saisies est essentielle pour des décisions automatisées équitables.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était traitée à la clause 7.3.10 (prise de décision automatisée). L'édition 2025 a intégré la prise de décision automatisée dans un contrôle dédié (A.1.3.11), reflétant l'importance croissante accordée par la réglementation à la transparence et à la responsabilité des algorithmes. Le fond de l'exigence reste similaire, mais la mention explicite des droits d'intervention humaine, de la possibilité d'exprimer son point de vue et de contester les décisions est plus visible. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion de la conformité en matière de prise de décision automatisée ?

ISMS.en ligne fournit les outils dont vous avez besoin pour gérer la prise de décision automatisée au sein de votre système de gestion de la confidentialité :

  • Registre de décision automatisé — Recenser chaque processus de décision automatisé, les données qu'il utilise, les décisions qu'il produit et les mesures de protection mises en place.
  • flux de travail d'évaluation d'impact — Réalisez des analyses d'impact sur la vie privée pour les systèmes de prise de décision automatisés grâce à des modèles intégrés et des flux d'approbation.
  • Suivi des révisions humaines — Enregistrer et suivre les demandes d'intervention humaine, en veillant à ce que les réponses soient rapides et documentées.
  • Gestion de politique — Maintenez des politiques de contrôle de version sur la responsabilité algorithmique, liées à vos enregistrements de traitement.
  • Cartographie des commandes croisées — Découvrez comment les exigences en matière de prise de décision automatisée sont liées à la transparence, au fondement juridique et aux contrôles de qualité des données dans une vue unique
  • Dossiers de preuves prêts pour l'audit — Exportez la documentation complète de votre gouvernance de prise de décision automatisée pour les audits de certification

Questions fréquentes

Ce contrôle s'applique-t-il à tous les traitements automatisés ?

Le point A.1.3.11 vise spécifiquement les décisions fondées sur uniquement Le traitement automatisé qui produit des effets juridiques ou des effets significatifs similaires sur les données personnelles des personnes concernées est concerné. Le traitement automatisé qui appuie une décision sans la déterminer exclusivement (par exemple, un système qui signale les demandes nécessitant un examen humain) est moins susceptible d'être concerné, même si les obligations de transparence restent applicables.

Qu’est-ce qui est considéré comme un « effet d’importance similaire » ?

Au-delà des conséquences juridiques (comme le refus d'une demande de crédit), les décisions qui affectent sensiblement la situation, le comportement ou les choix d'une personne ont également des conséquences importantes. On peut citer, par exemple, le rejet automatique d'une candidature à un emploi, le calcul des primes d'assurance ou le refus d'accès à des services. Le critère déterminant est l'impact significatif de la décision sur la vie de l'individu.

Comment les organisations doivent-elles expliquer la logique algorithmique aux individus ?

La norme exige des « informations pertinentes sur la logique sous-jacente » plutôt qu'une description technique complète de l'algorithme. Concrètement, cela signifie expliquer quelles données sont utilisées, les facteurs généraux pris en compte, leur influence sur le résultat et les conséquences possibles. L'explication doit être rédigée dans un langage clair et compréhensible par la personne concernée.

Nos guide des exigences en matière de preuves d'audit couvre la documentation attendue par les auditeurs en matière de contrôles automatisés de prise de décision.

Pour les organisations déployant des systèmes d'IA, consultez notre guide complet. Gouvernance de la confidentialité de l'IA guide couvrant l'intersection de la norme ISO 27701:2025 et des risques liés à l'IA.

Les DPO supervisant le traitement automatisé devraient lire notre guide pour les DPO.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.