Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.3.6 : Opposition au traitement des données personnelles

Le contrôle A.1.3.6 exige des organisations qu'elles mettent en place un mécanisme permettant aux personnes concernées de s'opposer au traitement de leurs données personnelles. Contrairement au retrait du consentement, le droit d'opposition s'applique à plusieurs fondements juridiques.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.3.6 ?

L’organisation doit mettre en place un mécanisme permettant aux personnes concernées par le traitement de leurs données personnelles de s’opposer à ce traitement.

Cette commande se trouve à l'intérieur de Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle objectif (A.1.3). Le droit d’opposition est distinct du retrait du consentement (traité dans A.1.3.5 Modifier ou retirer son consentementLe retrait du consentement ne s'applique que lorsque le consentement constitue la base légale du traitement. Le droit d'opposition s'applique plus largement, notamment lorsque le traitement est fondé sur des intérêts légitimes ou sur l'exécution d'une mission d'intérêt public.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.3.6) fournit des orientations sur la mise en œuvre d’un mécanisme d’objection efficace :

  • Notification proactive — Le droit d’opposition doit être porté à l’attention du responsable du traitement des données personnelles dès la première communication, et non pas dissimulé dans des informations générales sur la protection de la vie privée.
  • Présentation claire — Ce droit doit être présenté clairement et séparément des autres informations, afin qu'il ne soit pas négligé.
  • Marketing direct — Lorsqu'une objection concerne le démarchage direct, elle doit toujours être acceptée sans exception. Il n'existe pas de critère d'équilibre pour les objections relatives au démarchage direct.
  • Autre traitement — En cas d’objection au traitement fondé sur des intérêts légitimes ou l’intérêt public, l’organisation ne peut poursuivre le traitement que si elle démontre l’existence de motifs légitimes et impérieux qui prévalent sur les intérêts de la personne concernée.
  • Processus d'évaluation — Les organisations devraient disposer d'une procédure documentée pour évaluer les objections, précisant notamment qui prend la décision et quels facteurs sont pris en compte.
  • Voir aussi A.1.3.3 : Détermination des informations relatives aux personnes physiques à risque pour les exigences connexes
  • Voir aussi A.1.3.7 : Accès, rectification ou effacement pour les exigences connexes

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.3.6 correspond largement à GDPR Article 21:

  • Article 21 (1) — Droit de s’opposer au traitement fondé sur l’intérêt public ou les intérêts légitimes, y compris le profilage fondé sur ces motifs
  • Article 21 (2) — Droit d'opposition au traitement à des fins de prospection directe
  • Article 21 (3) — Obligation de cesser le traitement en cas d'objection au marketing direct
  • Article 21 (4) — Le droit d’opposition doit être explicitement porté à l’attention du public et présenté clairement et séparément.
  • Article 21 (5) — Dans le contexte des services de la société de l'information, l'opposition peut être exercée par des moyens automatisés.
  • Article 21 (6) — Droit de s'opposer au traitement à des fins de recherche scientifique, historique ou statistique
  • Article 13(2)(b) et 14(2)(c) — Le droit d’opposition doit être communiqué dans le cadre des informations relatives à la transparence.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le Consentement et choix Principe issu de la norme ISO 29100. Bien que le droit d'opposition aille au-delà du consentement au sens juridique strict, il vise fondamentalement à garantir aux personnes concernées un choix effectif quant à l'utilisation de leurs données. Ce principe reconnaît que les individus doivent conserver leur capacité d'agir de manière continue, et non seulement au moment de la collecte initiale.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Demander demo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.3.6, les auditeurs recherchent généralement :

  • Mécanisme d'objection — Un mécanisme documenté et accessible permettant aux personnes concernées par le traitement des données personnelles de formuler des objections (formulaire en ligne, adresse électronique ou option intégrée à l'application).
  • Communication proactive — Preuve que le droit d'opposition est communiqué dès la première communication, présenté clairement et séparément
  • procédures de marketing direct — Procédures spécifiques de traitement des objections en marketing direct, avec preuve de conformité immédiate
  • Cadre d'évaluation — Une procédure documentée d'évaluation des objections au traitement fondées sur des intérêts légitimes, incluant les critères du test d'équilibre.
  • Archives de décision — Comptes rendus des décisions relatives aux objections, y compris les motifs lorsqu'une objection n'a pas été retenue.
  • La formation du personnel — Preuve que le personnel chargé du traitement des objections comprend les différentes règles applicables au marketing direct par rapport aux autres traitements

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.3.5 Modifier ou retirer son consentement Liées mais distinctes : le retrait du consentement s’applique au traitement fondé sur le consentement ; l’opposition s’applique aux intérêts légitimes et à l’intérêt public.
A.1.3.4 Fournir des informations aux personnes concernées par les données personnelles Le droit d'opposition doit être clairement communiqué dans le cadre des informations fournies.
A.1.3.10 Traitement des demandes Les objections constituent une catégorie de demandes d'accès aux données personnelles qui doivent être traitées conformément aux procédures documentées.
A.1.2.3 Identifier le fondement juridique Le fondement juridique détermine si l'objection déclenche un droit absolu (marketing direct) ou un test de proportionnalité.
A.1.3.8 Obligations d'informer les tiers Si une objection est retenue, les tiers ayant reçu les données personnelles doivent en être informés.
A.1.3.2 Obligations envers les mandants PII Le droit d'opposition est une obligation qui doit être identifiée et documentée.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence figurait à la clause 7.3.5 (Mécanisme d'opposition au traitement des données personnelles). L'édition 2025 conserve l'exigence fondamentale (A.1.3.6) et fournit des indications (B.1.3.6). L'accent mis sur la présentation claire et distincte du droit par rapport aux autres informations, ainsi que le caractère absolu des objections au marketing direct, demeurent les caractéristiques essentielles de ce contrôle. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des objections liées au traitement ?

ISMS.en ligne vous fournit les outils nécessaires pour traiter les objections de manière systématique et conforme :

  • Portail de réception des objections — Fournir aux responsables des assurances responsabilité civile professionnelle un mécanisme dédié et facile à trouver pour déposer des objections, distinct des demandes de renseignements générales.
  • Routage automatisé Les objections relatives au marketing direct sont signalées pour une action immédiate, tandis que les objections fondées sur l'intérêt légitime sont transmises au décideur compétent.
  • Cadre de test d'équilibrage — Modèles structurés pour mener et documenter le test d'équilibre des intérêts légitimes lors de l'évaluation des objections non liées au marketing
  • Journal d'audit des décisions — Consignez chaque objection, le processus d'évaluation et le résultat, en indiquant la date et l'heure ainsi que les personnes responsables, pour une transparence totale.
  • Déclencheurs de notifications tierces — Lorsqu'une objection est retenue, signalez automatiquement la nécessité d'informer les tiers ayant reçu les données personnelles, en les reliant à votre A.1.3.8 Informer les tiers procédures

Questions fréquentes

Quelle est la différence entre s'opposer et retirer son consentement ?

Retrait du consentement (A.1.3.5 Modifier ou retirer son consentementLe droit de retrait du consentement s'applique uniquement lorsque le consentement constitue la base légale du traitement. Le droit d'opposition (A.1.3.6) s'applique lorsque le traitement est fondé sur des intérêts légitimes ou l'intérêt public. En matière de prospection directe, le droit d'opposition est absolu, quelle que soit la base légale. En pratique, les organisations ont besoin des deux mécanismes : une procédure de retrait du consentement pour les traitements fondés sur le consentement et une procédure d'opposition pour les autres bases légales.

Peut-on jamais refuser une objection ?

En matière de prospection directe, la réponse est non. Toute objection au traitement des données à des fins de prospection directe doit être respectée sans exception. Pour les traitements fondés sur l'intérêt légitime ou l'intérêt public, vous pouvez poursuivre le traitement si vous démontrez l'existence de motifs légitimes et impérieux qui prévalent sur les intérêts, droits et libertés de la personne concernée, ou si le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice. La charge de la preuve incombe à l'organisation, et la décision doit être documentée.

Comment le droit d’opposition devrait-il être communiqué « séparément » ?

Les conseils et GDPR L’article 21(4) exige que le droit d’opposition soit explicitement porté à l’attention de la personne concernée et présenté clairement et séparément de toute autre information. Concrètement, cela signifie qu’il ne doit pas être noyé au cœur d’une longue notice d’information sur la protection des données. Il doit faire l’objet d’un titre, d’une section ou d’une communication distincts. Dès le premier contact, il doit être énoncé directement, sans être renvoyé par un lien vers des conditions générales.

Nos guide des exigences en matière de preuves d'audit détaille la documentation attendue par les auditeurs en matière de contrôle des droits des personnes concernées.

Les DPO chargés de ces obligations devraient consulter notre guide pour les DPO pour un aperçu complet.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.