Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.3.3 : Détermination des informations relatives aux personnes physiques à risque

Le contrôle A.1.3.3 exige des organismes qu'ils déterminent et documentent les informations à fournir aux personnes concernées par le traitement de leurs données personnelles, ainsi que le calendrier de cette communication. Le respect de cette obligation est essentiel à la transparence.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.3.3 ?

L’organisation doit déterminer et documenter les informations à fournir aux personnes concernées par le traitement de leurs données personnelles et le calendrier de cette fourniture.

Cette commande se trouve à l'intérieur de Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle objectif (A.1.3). Tandis que A.1.3.2 Obligations envers les mandants PII identifie les obligations que vous avez, A.1.3.3 détaille le contenu spécifique des informations qui doivent être communiquées et établit les règles de calendrier pour la fourniture de ces informations.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.3.3) fournit des indications détaillées sur le contenu et le calendrier de la fourniture d’informations :

Informations à fournir

  • Identité du contrôleur — Le nom et les coordonnées de l'organisation responsable du traitement
  • Finalités du traitement — Une explication claire des raisons pour lesquelles les données personnelles sont traitées, en accord avec A.1.2.2 Identifier et documenter l'objectif
  • Catégories de renseignements personnels — Quels types de données personnelles sont collectées et traitées
  • Destinataires — Tout tiers ou catégorie de tiers qui recevra les renseignements personnels
  • Périodes de rétention — La durée de conservation des données personnelles ou les critères utilisés pour déterminer cette durée.
  • Droits disponibles — Les droits spécifiques que les personnes concernées par les données personnelles peuvent exercer (accès, rectification, effacement, limitation du traitement, portabilité, opposition)
  • Prise de décision automatisée — Si un profilage ou une prise de décision automatisée est effectué(e), et la logique sous-jacente
  • Transferts internationaux — Détails de tout transfert vers d'autres juridictions, y compris les garanties mises en place
  • Voir aussi A.1.3.6 : Opposition au traitement des données personnelles pour les exigences connexes
  • Voir aussi A.1.3.8 : Obligations d'informer les tiers pour les exigences connexes

Calendrier de la fourniture

  • Collecte directe — Les informations doivent être fournies au moment du prélèvement
  • Collecte indirecte — Les informations doivent être fournies dans un délai raisonnable après l’obtention des renseignements personnels, et au plus tard lors de la première communication avec la personne concernée ou de la première divulgation à un tiers.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.3.3 correspond largement à GDPR dispositions relatives à la transparence :

  • Article 13(1-4) — Informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée
  • Article 14(1-5) — Informations à fournir lorsque les données personnelles n'ont pas été obtenues auprès de la personne concernée
  • Article 11 (2) — Dispositions applicables lorsque le responsable du traitement ne peut pas identifier la personne concernée
  • Article 15(1-2) — Exigences relatives au droit d’accès (informer les personnes concernées sur les informations auxquelles elles peuvent accéder)
  • Article 18 (3) — Informer les personnes concernées avant la levée d'une restriction de traitement
  • Article 21 (4) — Informer les personnes concernées de leur droit d'opposition

Le GDPR La distinction entre les articles 13 et 14 (collecte directe vs indirecte) correspond directement aux indications de calendrier figurant dans B.1.3.3.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le Ouverture, transparence et notification Ce principe, issu de la norme ISO 29100, exige que les personnes concernées par le traitement des données personnelles soient informées de manière claire, accessible et opportune de la façon dont leurs données sont traitées. Le point A.1.3.3 concrétise ce principe en imposant aux organismes de documenter précisément les informations nécessaires et les délais de communication.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.3.3, les auditeurs recherchent généralement :

  • matrice de contenu de la notice de confidentialité — Une analyse documentée des informations à fournir pour chaque activité de traitement, mise en correspondance avec les exigences légales
  • Documentation relative au calendrier — Des règles claires encadrant la communication d'informations, faisant la distinction entre les scénarios de collecte directe et indirecte
  • Avis de confidentialité — Documents d'information proprement dits (politiques de confidentialité des sites Web, avis de collecte de données, avis de confidentialité destinés aux employés) contenant les éléments d'information requis
  • Examen d'exhaustivité — Preuve que les avis ont été vérifiés au regard des exigences documentées afin de s'assurer qu'il ne manque rien.
  • Couverture multicanaux — Avis de confidentialité adaptés à chaque canal de collecte (formulaires Web, téléphone, en personne, sources tierces)

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.3.2 Obligations envers les mandants PII Identifie l'ensemble des obligations ; A.1.3.3 détermine le contenu informationnel spécifique
A.1.3.4 Fournir des informations aux personnes concernées par les données personnelles Explique comment transmettre les informations déterminées au titre de la section A.1.3.3
A.1.2.2 Identifier et documenter l'objectif La documentation relative à l'objet alimente les informations fournies aux personnes concernées par le traitement des données personnelles.
A.1.2.9 Enregistrements relatifs au traitement des données personnelles Les dossiers de traitement constituent une source essentielle pour les informations à communiquer.
A.1.3.5 Modifier ou retirer son consentement Les mécanismes de retrait du consentement doivent être communiqués dans le cadre du dossier d'information.
A.1.3.7 Accès, rectification ou effacement Les informations relatives aux droits font partie des éléments qui doivent être communiqués aux personnes concernées par les données personnelles.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était traitée à la clause 7.3.2 (Détermination des informations pour les personnes concernées par les données personnelles). L'édition 2025 lui attribue son propre numéro de contrôle (A.1.3.3) et établit une distinction plus nette entre la détermination du contenu informationnel et l'acte de le fournir. A.1.3.4 Fournir des informationsLe contenu des recommandations est sensiblement similaire, mais bénéficie d'une présentation plus structurée. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des exigences en matière d'information sur la protection de la vie privée ?

ISMS.en ligne vous aide à déterminer, documenter et tenir à jour de manière systématique les informations que vous devez aux personnes concernées par les renseignements personnels sur leur identité de genre :

  • Créateur de notice de confidentialité — Créer et tenir à jour des avis de confidentialité comportant des invites pour chaque élément d'information requis, réduisant ainsi le risque d'omissions.
  • Cartographie des canaux de collecte — Documentez les informations recueillies à chaque point de collecte de données, en veillant à une couverture cohérente sur tous les canaux.
  • Moteur de règles de synchronisation — Définir et suivre les délais de communication des informations, qu'elles soient collectées directement ou indirectement, avec des alertes à l'approche des échéances.
  • Documents à version contrôlée — Conservez un historique complet des modifications apportées à la politique de confidentialité, avec les flux d'approbation, afin de pouvoir démontrer quelles informations ont été fournies et à quel moment.
  • Détection des écarts de conformité — Comparez vos avis actuels aux exigences documentées afin d'identifier les informations manquantes avant qu'un auditeur ne le fasse.

Questions fréquentes

Quelle est la différence entre A.1.3.3 et A.1.3.4 Fournir des informations ?

A.1.3.3 concerne le choix des informations à inclure et du moment où les fournir. A.1.3.4 Fournir des informations Il s'agit de la manière dont vous transmettez concrètement ces informations aux personnes concernées par les données personnelles, notamment en ce qui concerne le format, la clarté, l'accessibilité et la présentation. Considérez l'étape A.1.3.3 comme l'étape de planification du contenu. A.1.3.4 Fournir des informations comme étape de livraison.

En quoi le calendrier doit-il différer pour le recouvrement direct et indirect ?

En cas de collecte directe (lorsque les données personnelles sont obtenues auprès de la personne concernée), les informations doivent être fournies au moment de la collecte, avant ou pendant l'interaction. En cas de collecte indirecte (lorsque les données personnelles sont obtenues auprès d'un tiers ou d'une source publique), les informations doivent être fournies dans un délai raisonnable et au plus tard lors de la première communication avec la personne concernée ou de la première divulgation à un tiers. Conformément au RGPD, le délai maximal pour la collecte indirecte est d'un mois.

Avez-vous besoin d'avis distincts pour différentes activités de traitement ?

Pas nécessairement. Une seule notice d'information complète sur la protection des données peut couvrir plusieurs activités de traitement, à condition qu'il soit clair à quelle activité se rapporte chaque information. Cependant, lorsque les contextes de traitement sont très différents (par exemple, données clients et données employés), des notices distinctes offrent souvent une meilleure clarté. L'essentiel est que toutes les informations requises soient incluses pour chaque activité de traitement, quel que soit le nombre de documents utilisés.

Nos guide des exigences en matière de preuves d'audit détaille la documentation attendue par les auditeurs en matière de contrôle des droits des personnes concernées.

Les DPO chargés de ces obligations devraient consulter notre guide pour les DPO pour un aperçu complet.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.