Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.3.5 : Modifier ou retirer son consentement

Le contrôle A.1.3.5 exige des organisations qu'elles mettent en place un mécanisme permettant aux personnes concernées par le traitement de leurs données personnelles de modifier ou de retirer leur consentement. Le retrait du consentement doit être aussi simple que son obtention initiale.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.3.5 ?

L’organisation doit mettre en place un mécanisme permettant aux personnes concernées par les informations personnelles identifiables de modifier ou de retirer leur consentement.

Cette commande se trouve à l'intérieur de Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle L’objectif (A.1.3) complète les contrôles de collecte du consentement décrits en A.1.2 en garantissant que le consentement n’est pas à sens unique. Si votre organisation s’appuie sur le consentement comme base légale pour le traitement des données (voir A.1.2.4 Déterminer le consentement et A.1.2.5 Obtenir et consigner le consentement), vous devez également faciliter le changement d'avis des individus.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.3.5) fournit des indications sur ce à quoi devrait ressembler un mécanisme efficace de retrait du consentement :

  • Égalité de facilité — Retirer son consentement devrait être aussi simple que de le donner. Si le consentement a été donné en un seul clic, le retirer ne devrait pas nécessiter d'appel téléphonique ni de lettre.
  • Une communication claire — Le mécanisme de retrait doit être clairement communiqué aux personnes concernées par les données personnelles au moment de l’obtention du consentement et à tout moment par la suite.
  • Aucun effet rétrospectif — Le retrait du consentement n’affecte pas la licéité du traitement effectué avant ce retrait. Cette information doit être communiquée aux personnes concernées.
  • Conséquences — Avant tout retrait de données personnelles, les personnes concernées doivent être informées des conséquences possibles (par exemple, la perte d’accès à un service). Ces conséquences ne doivent pas être punitives.
  • Modification — Outre le retrait complet, envisagez de permettre aux personnes concernées par les données personnelles de modifier la portée de leur consentement (par exemple, en se désinscrivant du marketing tout en conservant leur consentement pour la prestation de services).
  • Voir aussi A.1.2.2 : Identifier et documenter l’objectif pour les exigences connexes

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.3.5 correspond à plusieurs GDPR dispositions :

  • Article 7 (3) La personne concernée a le droit de retirer son consentement à tout moment. Ce retrait est aussi simple que l'obtention du consentement. Elle en est informée avant de donner son consentement.
  • Article 13 (2) (c) — Le droit de retirer son consentement doit figurer dans les informations fournies lors de la collecte.
  • Article 14, paragraphe 2, point d) — Le droit de retirer son consentement doit figurer dans les informations fournies pour la collecte indirecte.
  • Article 18(1)(ad) — Droit à la limitation du traitement, qui peut s'appliquer en cas de retrait du consentement, mais d'autres motifs peuvent exister.

Le GDPRLe principe selon lequel il est « aussi facile de retirer son consentement que de le donner » a été interprété de manière stricte par les autorités de surveillance. Les organisations utilisant des mécanismes de consentement en ligne doivent proposer des options de retrait en ligne tout aussi simples.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le Consentement et choix Le principe du consentement éclairé, issu de la norme ISO 29100, exige que les individus conservent la maîtrise de leurs choix après la décision initiale. La possibilité de modifier ou de retirer son consentement à tout moment est fondamentale pour ce principe, garantissant ainsi que le consentement demeure une expression authentique des souhaits de la personne.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.3.5, les auditeurs recherchent généralement :

  • Mécanismes de retrait — Mécanismes documentés et accessibles (centres de préférences en ligne, liens de désabonnement, formulaires) que les personnes concernées par le traitement des données personnelles peuvent utiliser pour retirer leur consentement
  • Évaluation de l'égalité — Preuve que le processus de retrait exige un effort comparable à celui du processus de consentement
  • Enregistrements de communication — Preuve que les personnes concernées par le traitement des renseignements personnels sont informées du mécanisme de retrait au moment du consentement et dans le cadre de communications ultérieures.
  • Documentation des conséquences — Une documentation claire des procédures à suivre en cas de retrait du consentement, et la preuve que cette information est communiquée aux personnes concernées par le traitement des données personnelles.
  • Arrêt du traitement — Preuve que le traitement cesse effectivement (ou est modifié) lorsque le consentement est retiré, dans les délais documentés.
  • Dossiers de consentement — Mise à jour des enregistrements indiquant le retrait, liés à l'enregistrement de consentement initial (voir A.1.2.5 Obtenir et consigner le consentement)

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.2.4 Déterminer le consentement Définit la manière dont le consentement est obtenu ; A.1.3.5 garantit qu’il peut être révoqué.
A.1.2.5 Obtenir et consigner le consentement Les registres de consentement doivent être mis à jour pour refléter les retraits.
A.1.3.3 Détermination des informations relatives aux personnes physiques à risque Le droit de retirer son consentement doit figurer dans les informations fournies.
A.1.3.4 Fournir des informations aux personnes concernées par les données personnelles Les modalités de retrait doivent être communiquées clairement.
A.1.3.6 S'opposer au traitement des données personnelles Liées mais distinctes : l’objection s’applique quel que soit le fondement juridique, le retrait ne s’applique qu’au consentement
A.1.4.6 Dé-identification et suppression des données personnelles Le retrait du consentement peut entraîner des obligations de suppression

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l’édition 2019, cette exigence figurait à la clause 7.3.4 (Mécanisme de modification ou de retrait du consentement). L’édition 2025 conserve cette même exigence fondamentale (A.1.3.5), complétée par les indications de la clause B.1.3.5. L’accent mis sur l’« égalité de traitement » et l’obligation de communiquer les conséquences avant tout retrait demeurent les principes clés. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion du retrait du consentement ?

ISMS.en ligne fournit l'infrastructure nécessaire à la gestion de l'intégralité du cycle de vie du consentement, y compris sa modification et son retrait :

  • Centre de préférences de consentement — Offrir aux personnes concernées par le traitement des renseignements personnels un portail en libre-service leur permettant de consulter, de modifier ou de retirer leur consentement à tout moment, conformément à l’exigence d’« égalité d’accès ».
  • Mises à jour du traitement automatisé — En cas de retrait du consentement, déclencher des flux de travail pour interrompre le traitement concerné et notifier les équipes concernées.
  • Enregistrements de consentement liés — Les demandes de retrait sont automatiquement liées à l'enregistrement de consentement initial, créant ainsi une piste d'audit complète, de la collecte au retrait.
  • Modèles de communication des conséquences — Modèles prédéfinis pour informer les personnes concernées des conséquences du retrait de leurs données personnelles, garantissant ainsi une communication cohérente
  • Tableau de bord de conformité — Surveillez la qualité du consentement au sein de votre organisation, grâce à une visibilité sur les taux de retrait, les délais de traitement des cessations et les actions en cours.

Questions fréquentes

Que signifie concrètement l’expression « aussi facile à retirer qu’à donner » ?

Si le consentement a été recueilli via une case à cocher sur un formulaire web, le retrait du consentement doit être possible par un mécanisme en ligne tout aussi simple, tel qu'un centre de préférences ou un lien de désabonnement. Exiger un appel téléphonique, un courrier ou une visite physique lorsque le consentement a été donné en ligne ne serait pas conforme aux normes. La procédure de retrait du consentement doit comporter autant d'étapes, voire moins, que la procédure de consentement initiale.

Le retrait du consentement implique-t-il la suppression de toutes les informations personnelles identifiables ?

Pas nécessairement. Le retrait du consentement signifie que vous devez interrompre le traitement fondé sur ce consentement. Toutefois, vous pouvez avoir d'autres fondements juridiques pour conserver les données (tels que des obligations légales ou des intérêts légitimes à d'autres fins). Vous devez évaluer si un autre fondement juridique s'applique avant de supprimer les données. En l'absence d'autre fondement, la suppression ou l'anonymisation doit être effectuée conformément à vos politiques de conservation des données.

Dans quel délai le traitement doit-il cesser après le retrait du consentement ?

La norme ne précise pas de délai exact, mais le traitement doit cesser sans délai excessif. En pratique, les organisations doivent documenter leur délai de réponse cible et s'assurer qu'il est raisonnable. Pour les traitements automatisés (comme les courriels marketing), l'arrêt doit être quasi immédiat. Pour les traitements plus complexes impliquant plusieurs systèmes, un délai court et documenté (par exemple, 48 heures) est généralement acceptable, à condition que ce délai soit justifié.

Nos guide des exigences en matière de preuves d'audit détaille la documentation attendue par les auditeurs en matière de contrôle des droits des personnes concernées.

Les DPO chargés de ces obligations devraient consulter notre guide pour les DPO pour un aperçu complet.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.