Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.3.7 : Accès, correction ou effacement

Le contrôle A.1.3.7 exige des organisations qu'elles mettent en œuvre des politiques, des procédures ou des mécanismes pour respecter leurs obligations envers les personnes concernées en matière d'accès, de rectification ou d'effacement de leurs données personnelles. Ces trois droits constituent le cœur opérationnel du traitement des demandes des personnes concernées.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.3.7 ?

L’organisation doit mettre en œuvre des politiques, des procédures ou des mécanismes pour respecter ses obligations envers les personnes concernées en matière d’accès, de correction ou d’effacement de leurs données personnelles.

Cette commande se trouve à l'intérieur de Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle objectif (A.1.3). Tandis que A.1.3.2 identifie les obligations existantes, A.1.3.7 exige que vous construisiez les mécanismes opérationnels réels qui remplissent trois des droits des personnes concernées les plus fréquemment exercés : l'accès, la rectification et l'effacement.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.3.7) fournit des orientations sur la mise en œuvre de chacun des trois droits :

Droit d'accès

  • Offrir aux personnes concernées la possibilité d'accéder aux informations personnelles les concernant détenues.
  • Inclure des informations complémentaires telles que les finalités du traitement, les catégories de données, les destinataires, les durées de conservation et la source des données.
  • Vérifiez l'identité du demandeur avant de divulguer toute information personnelle.

Droit de rectification

  • Permettre aux personnes concernées de faire corriger leurs informations personnelles inexactes sans délai indu
  • Mettre en place un mécanisme permettant de compléter les données personnelles incomplètes, en tenant compte des finalités du traitement.
  • Lorsque la correction concerne des données partagées avec des tiers, informez ces derniers (voir A.1.3.8)

Droit d'effacement

  • Effacer les données personnelles identifiables lorsqu'elles ne sont plus nécessaires à la finalité déclarée
  • Effacer les données personnelles identifiables lorsque le consentement a été retiré et qu'aucune autre base légale ne s'applique (voir A.1.3.5)
  • Effacer les données personnelles identifiables (DPI) lorsque la personne concernée s'y oppose et qu'il n'existe aucun motif légitime impérieux (voir A.1.3.6)
  • Effacer les données personnelles qui ont été traitées illégalement
  • Documenter les délais de réponse pour chaque type de demande

Ces lignes directrices soulignent également l'importance de la vérification d'identité avant de donner suite à toute demande, afin d'empêcher tout accès non autorisé ou toute manipulation des informations personnelles identifiables.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.3.7 correspond à plusieurs touches GDPR dispositions :

  • Article 5, paragraphe 1, point d) — Principe d’exactitude : les données personnelles doivent être exactes et tenues à jour.
  • Article 16 — Droit à la rectification
  • Article 17(1)(af) — Droit à l’effacement (droit à l’oubli), y compris les six motifs pour lesquels l’effacement doit être effectué
  • Article 17 (2) — Obligation d’informer les autres responsables du traitement des demandes d’effacement lorsque des données ont été rendues publiques
  • Article 13(2)(b) et 14(2)(c) — Obligation d’informer les personnes concernées de leurs droits d’accès, de rectification et d’effacement

Les demandes d'accès aux données (demandes d'accès aux données ou DAD) constituent systématiquement le type de demande le plus fréquent émanant des personnes concernées, et ce, dans toutes les juridictions. Les organisations doivent s'attendre à les traiter régulièrement et mettre en place des procédures efficaces.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le participation et accès individuels Ce principe, issu de la norme ISO 29100, exige que les personnes concernées par les données personnelles puissent accéder à leurs données, en contester l'exactitude et les faire modifier ou supprimer le cas échéant. Le point A.1.3.7 constitue le principal mécanisme de mise en œuvre de ce principe.



Le puissant tableau de bord d'ISMS.online

Commencer votre essai gratuit

Envie d'explorer ?

Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.

Commencer


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.3.7, les auditeurs recherchent généralement :

  • politique de demande d'accès aux données — Une politique exhaustive couvrant les procédures d'accès, de rectification et d'effacement, y compris les rôles, les responsabilités et les délais
  • mécanisme de réception des demandes — Un processus documenté et accessible pour la réception des demandes (formulaire en ligne, courriel, en personne)
  • procédures de vérification d'identité — Procédure documentée de vérification de l'identité des demandeurs avant toute action, proportionnée à la sensibilité des données
  • Modèles de réponse — Modèles standardisés pour accuser réception, satisfaire et refuser les demandes, rédigés dans un langage juridiquement irréprochable.
  • Journal des requêtes — Un registre de toutes les demandes reçues, avec les dates, les types, les décisions et les dates d'achèvement démontrant le respect des délais.
  • Documents d'exemption — En cas de refus (total ou partiel) d'une demande, une justification documentée citant l'exemption applicable est requise.
  • Capacités du système — Preuves que les systèmes peuvent localiser, extraire, corriger et supprimer les données personnelles identifiables dans tous les magasins de données pertinents

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.3.9 Fourniture d'une copie des données personnelles traitées Étend le droit d'accès avec des exigences spécifiques en matière de format et de portabilité
A.1.3.10 Traitement des demandes Fournit le cadre opérationnel pour la gestion de toutes les demandes d'informations personnelles identifiables (IPI) des principaux responsables
A.1.3.8 Obligations d'informer les tiers Lorsqu'une correction ou une suppression est effectuée, les tiers doivent en être informés.
A.1.3.5 Modifier ou retirer son consentement Le retrait du consentement peut entraîner des obligations d'effacement en vertu de l'article A.1.3.7
A.1.3.6 S'opposer au traitement des données personnelles Les objections retenues peuvent entraîner des obligations d'effacement en vertu de l'article A.1.3.7
A.1.2.9 Enregistrements relatifs au traitement des données personnelles Les enregistrements de traitement permettent de localiser toutes les informations personnelles pertinentes lors du traitement des demandes d'accès ou d'effacement.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Dans l'édition 2019, ces droits étaient traités dans les clauses 7.3.6 (Accès, rectification et/ou effacement). L'édition 2025 les regroupe sous la clause A.1.3.7, avec des précisions supplémentaires dans la clause B.1.3.7. Les exigences fondamentales restent sensiblement les mêmes, mais le format 2025 offre une structure plus claire pour l'audit. L'ajout de A.1.3.9 (Fournir une copie) en tant que contrôle distinct accentue également la distinction entre accès et portabilité. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des accès, des corrections et des effacements ?

ISMS.en ligne offre une prise en charge complète des droits des personnes concernées les plus exigeants sur le plan opérationnel :

  • Portail de demande d'accès aux données — Un formulaire de demande personnalisé qui enregistre le type de demande, vérifie l'identité et consigne automatiquement la demande avec un suivi des délais.
  • Moteur de workflow — Orientez les demandes vers les équipes appropriées grâce à l'attribution automatisée des tâches, aux escalades et aux rappels d'échéance afin qu'aucune information ne soit oubliée.
  • Intégration du mappage des données — Connectez-vous à votre inventaire de données pour identifier rapidement tous les systèmes contenant les informations personnelles du demandeur, réduisant ainsi le temps de recherche pour les demandes d'accès et d'effacement.
  • Gestion des exemptions — Des modèles structurés pour documenter et justifier toute exemption appliquée, créant ainsi un dossier solide à destination des organismes de réglementation.
  • Rapport de performance — Tableau de bord affichant les volumes de requêtes, les temps de réponse, les taux de résolution et les tendances, vous aidant à identifier les goulots d'étranglement avant qu'ils ne deviennent des problèmes de conformité.
  • Notification tierce — Lorsque des corrections ou des suppressions sont effectuées, déclencher des notifications aux tiers conformément aux directives. A.1.3.8

Questions fréquentes

Comment vérifier l'identité avant de répondre à une demande ?

La vérification doit être proportionnée à la sensibilité des données et au risque de divulgation à une personne non autorisée. Pour les clients existants, vous pouvez vérifier leur identité à l'aide de leurs identifiants de compte. Pour les autres, vous pouvez demander une copie d'une pièce d'identité avec photo ou leur demander de confirmer des informations qu'eux seuls connaissent. L'essentiel est d'être certain de l'identité du demandeur sans imposer une contrainte excessive qui dissuaderait les personnes d'exercer leurs droits.

Existe-t-il des motifs pour refuser une demande d'effacement ?

Oui. Le droit à l’effacement n’est pas absolu. Les exceptions courantes comprennent le traitement nécessaire au respect d’une obligation légale, à l’exercice de l’autorité publique, aux raisons de santé publique, à l’archivage dans l’intérêt public et à la constatation, à l’exercice ou à la défense d’un droit en justice. Chaque refus doit être motivé par l’exception invoquée, et la personne concernée doit en être informée ainsi que de son droit d’introduire une réclamation auprès d’une autorité de contrôle.

Quel est le délai de réponse aux demandes ?

Sous GDPRLe délai est d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes ou nombreuses, à condition que la personne concernée par les données personnelles soit informée dans le premier mois. D'autres juridictions peuvent prévoir des délais différents. Indépendamment du délai légal minimum, les organisations doivent documenter leurs délais de réponse cibles et suivre leurs performances par rapport à ces délais. Le respect constant d'objectifs internes plus courts témoigne d'une solide capacité opérationnelle auprès des auditeurs.

Nos guide des exigences en matière de preuves d'audit détaille la documentation attendue par les auditeurs en matière de contrôle des droits des personnes concernées.

Les DPO chargés de ces obligations devraient consulter notre guide pour les DPO pour un aperçu complet.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.