Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.3.2 : Obligations envers les responsables du traitement des données personnelles

Le contrôle A.1.3.2 exige des organisations qu'elles déterminent et documentent leurs obligations légales, réglementaires et commerciales envers les personnes concernées par les données personnelles et qu'elles mettent en place les moyens de les respecter. Ce contrôle constitue le point d'entrée de l'objectif global relatif aux obligations énoncé au point A.1.3.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.3.2 ?

L’organisation doit déterminer et documenter ses obligations légales, réglementaires et commerciales envers les personnes concernées par le traitement de leurs données personnelles et fournir les moyens de respecter ces obligations.

Cette commande se trouve à l'intérieur de Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle L’objectif (A.1.3) vise à garantir que les organisations respectent leurs obligations envers les personnes dont elles traitent les données. Le point A.1.3.2 constitue le contrôle fondamental de ce groupe : il est indispensable de comprendre les droits et obligations applicables avant de mettre en œuvre les mécanismes permettant de les respecter.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.3.2) fournit des indications sur les types d’obligations que les organisations doivent identifier et documenter. Celles-ci varient selon les juridictions, mais comprennent généralement :

  • Droit d'être informé — Fournir aux personnes concernées des informations claires sur la manière dont leurs données sont traitées (voir A.1.3.3 et A.1.3.4)
  • Droit d'accès — Permettre aux individus d'obtenir une copie de leurs renseignements personnels (voir A.1.3.7 et A.1.3.9)
  • Droit à la rectification — Correction des renseignements personnels inexacts ou incomplets (voir A.1.3.7)
  • Droit d'effacement — Suppression des données personnelles lorsqu'elles ne sont plus nécessaires ou que le consentement est retiré (voir A.1.3.7)
  • Droit de restreindre le traitement — Limitation du traitement dans certaines circonstances
  • Droit à la portabilité des données — Fournir les informations personnelles identifiables dans un format structuré et lisible par machine (voir A.1.3.9)
  • Droit d'opposition — Permettre aux individus de s'opposer au traitement (voir A.1.3.6)

Ce guide souligne que les obligations varient selon les juridictions. Les organisations présentes sur plusieurs territoires doivent recenser les droits spécifiques applicables dans chacun d'eux et s'assurer de disposer des mécanismes appropriés.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.3.2 correspond à GDPR L’article 12, paragraphe 2, impose aux responsables du traitement de faciliter l’exercice des droits des personnes concernées. Si le point A.1.3.2 vise à déterminer et à documenter l’ensemble des obligations, l’article 12, paragraphe 2, exige spécifiquement que les moyens mis à la disposition des personnes concernées par les données à caractère personnel soient pratiques et accessibles. GDPR, les droits énumérés ci-dessus sont codifiés dans les articles 15 à 22.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le participation et accès individuels Ce principe, issu de la norme ISO 29100, exige que les personnes concernées par le traitement des données personnelles puissent accéder à leurs données, en contester l'exactitude et les faire modifier ou supprimer le cas échéant. La section A.1.3.2 constitue la couche de planification qui garantit la connaissance des droits de participation applicables avant la mise en œuvre des mécanismes.



Le puissant tableau de bord d'ISMS.online

Commencer votre essai gratuit

Envie d'explorer ?

Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.

Commencer


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.3.2, les auditeurs recherchent généralement :

  • Registre des obligations — Un registre documenté de toutes les obligations légales, réglementaires et commerciales envers les personnes physiques à risque, répertoriées dans les juridictions applicables.
  • Analyse juridictionnelle — Preuve que l'organisation a déterminé les lois sur la protection de la vie privée applicables en fonction du lieu où se trouvent les personnes concernées par les données personnelles ou du lieu de traitement.
  • Mécanismes en place — Procédures, formulaires ou systèmes documentés permettant aux personnes concernées par les renseignements personnels sur leur identité de genre d'exercer chaque droit applicable
  • Documents de politique — Une politique relative aux droits des personnes concernées ou un document équivalent décrivant comment chaque obligation est remplie
  • Dossiers de formation du personnel — Preuve que le personnel chargé du traitement des demandes comprend les obligations et les procédures
  • Revues régulières — Preuve que les obligations sont réévaluées lorsque la législation change ou que l'organisation pénètre de nouveaux marchés

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.3.3 Détermination des informations relatives aux personnes physiques à risque Une fois les obligations identifiées, déterminez les informations à fournir.
A.1.3.4 Fournir des informations aux personnes concernées par les données personnelles Fournir les informations requises de manière claire et accessible
A.1.3.5 Modifier ou retirer son consentement Le retrait du consentement est l'une des obligations à identifier et à remplir.
A.1.3.7 Accès, rectification ou effacement Met en œuvre les obligations d'accès, de rectification et d'effacement identifiées ici.
A.1.3.10 Traitement des demandes Procédures opérationnelles pour répondre aux demandes découlant de ces obligations
A.1.2.9 Enregistrements relatifs au traitement des données personnelles Les registres de traitement doivent refléter les obligations identifiées pour chaque activité.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Dans l'édition 2019, cette exigence figurait à la clause 7.3.1 (Détermination et respect des obligations envers les personnes physiques concernées). L'édition 2025 la restructure en un contrôle distinct (A.1.3.2) qui vise spécifiquement à déterminer et à documenter l'ensemble des obligations, indépendamment des contrôles relatifs à la fourniture d'informations qui suivent. L'étape de planification et d'analyse dispose ainsi de son propre point de contrôle d'audit. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Demander demo


Pourquoi nous choisir ISMS.en ligne pour la gestion des obligations principales en matière d'assurance responsabilité civile professionnelle ?

ISMS.en ligne fournit la structure et les outils dont vous avez besoin pour identifier, documenter et remplir vos obligations envers les personnes concernées par les renseignements personnels sur la personne :

  • Cartographie des obligations — Cartographiez les principaux droits relatifs aux informations personnelles identifiables (IPI) dans plusieurs juridictions au sein d'un registre unique, afin de visualiser en un coup d'œil les droits applicables et leur localisation.
  • Portail de demande d'accès aux données — Offrir aux personnes concernées un mécanisme clair pour exercer leurs droits, avec un acheminement automatisé vers l'équipe appropriée.
  • Automatisation du workflow — Suivez chaque demande de sa réception à sa résolution grâce à des délais intégrés et des procédures d'escalade.
  • Suivi des changements réglementaires — Restez informé(e) des changements législatifs qui affectent vos obligations, grâce à des notifications automatiques lors de la mise à jour des lois.
  • Liaison de contrôle croisé — Relier les obligations aux contrôles, politiques et procédures spécifiques qui les mettent en œuvre, afin de dresser un tableau complet de la conformité.

Questions fréquentes

Comment déterminer quelles obligations s'appliquent à votre organisation ?

Commencez par identifier le lieu où se trouvent vos principaux responsables du traitement des données personnelles, les zones d'activité de votre organisation et les lois sur la protection des données ayant une portée extraterritoriale. Pour chaque juridiction applicable, recensez les droits spécifiques des personnes concernées que la loi leur confère. Parmi les cadres réglementaires courants figurent le RGPD (UE/EEE), le RGPD britannique, le CCPA/CPRA (Californie), la LGPD (Brésil) et la POPIA (Afrique du Sud). Chacun de ces cadres impose des obligations légèrement différentes ; une analyse juridictionnelle est donc essentielle.

Quelles sont les obligations commerciales par rapport aux obligations légales ?

Les obligations commerciales sont des engagements pris volontairement par votre organisation, tels que les promesses figurant dans votre politique de confidentialité, les clauses contractuelles avec vos clients ou les codes de conduite de votre secteur d'activité auxquels vous avez adhéré. Ces obligations peuvent aller au-delà des exigences légales strictes. Par exemple, vous pourriez vous engager à répondre aux demandes d'accès dans un délai de 14 jours, même si la loi prévoit 30 jours. Ces obligations que vous vous imposez doivent être documentées et respectées.

Ce contrôle s'applique-t-il aux processeurs de données personnelles identifiables (PII) ?

A.1.3.2 est un contrôle du responsable du traitement des données personnelles. Les sous-traitants de données personnelles ont des obligations connexes en vertu de A.2.3 (Obligations des sous-traitants envers les personnes concernées par les données personnelles), qui les obligent à aider le responsable du traitement à remplir ces obligations. Cependant, les sous-traitants doivent néanmoins bien comprendre les obligations du responsable du traitement afin de pouvoir lui apporter un soutien efficace en cas de besoin.

Nos guide des exigences en matière de preuves d'audit détaille la documentation attendue par les auditeurs en matière de contrôle des droits des personnes concernées.

Les DPO chargés de ces obligations devraient consulter notre guide pour les DPO pour un aperçu complet.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.