Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.5.2 : Identification de la base juridique du transfert de données personnelles entre juridictions

Le contrôle A.1.5.2 exige des organisations qu'elles identifient et documentent la base juridique pertinente pour les transferts de données personnelles entre juridictions. La bonne gestion des transferts internationaux est l'un des aspects les plus scrutés en matière de conformité à la réglementation sur la protection de la vie privée.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.5.2 ?

L'organisation doit identifier et documenter les bases pertinentes pour les transferts de données personnelles entre juridictions.

Cette commande se trouve à l'intérieur de Transfert de données personnelles L’objectif (A.1.5) vise à garantir que les organisations disposent de mécanismes robustes pour gérer les transferts transfrontaliers de données à caractère personnel. Il s’agit de l’un des derniers contrôles spécifiques au responsable du traitement. Annexe A et sous-tend tous les autres contrôles de transfert du groupe.

Nos guide sur les transferts transfrontaliers de données fournit des conseils de bout en bout sur la mise en œuvre des garanties de transfert selon la norme ISO 27701:2025.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.5.2) fournit les indications suivantes :

  • Identifier les mécanismes juridiques disponibles pour les transferts internationaux, tels que les décisions d'adéquation, les clauses contractuelles types, les règles d'entreprise contraignantes, le consentement explicite ou les dérogations légales.
  • Documentez la base spécifique utilisée pour chaque transfert de renseignements personnels entre juridictions.
  • Réexaminer les fondements documentaires à chaque modification du cadre juridique, par exemple lors de la révocation d'une décision d'adéquation ou de l'entrée en vigueur d'une nouvelle législation.
  • Lorsque plusieurs mécanismes sont disponibles, sélectionnez et justifiez le plus approprié en fonction de la nature, du volume et de la sensibilité des informations personnelles identifiables transférées.

Les lignes directrices indiquent clairement qu'un mécanisme unique et uniforme ne sera probablement pas suffisant. Chaque flux de transfert doit être évalué individuellement, et la méthode choisie doit être justifiable auprès des autorités de réglementation et des auditeurs.

Comment cela se traduit-il au regard du RGPD ?

Le contrôle A.1.5.2 correspond à un bloc important de Dispositions du RGPD:

  • Article 44 — Principe général applicable aux transferts internationaux (transferts uniquement assortis de garanties appropriées)
  • Article 45(1–9) — Transferts fondés sur une décision d'adéquation
  • Article 46(1–5) — Transferts soumis à des garanties appropriées (clauses contractuelles types, règles d’entreprise, codes de conduite)
  • Article 47(1–3) — Règles d'entreprise contraignantes
  • Article 48 — Transferts non autorisés par le droit de l'Union
  • Article 49(1–6) — Dérogations pour des situations particulières (consentement explicite, nécessité contractuelle, intérêt public)
  • Article 30, paragraphe 1, point e) — Les registres de traitement doivent inclure les transferts vers des pays tiers
  • Article 15 (2) — Le droit d’accès comprend des informations sur les transferts internationaux et les garanties.

L'étendue de cette cartographie reflète à quel point les mécanismes de transfert sont centraux pour GDPR Conformité. Les organisations opérant sous les deux cadres constateront que le respect de l'article A.1.5.2 contribue largement à la conformité au chapitre V du RGPD.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge deux ISO 29100 Principes de confidentialité :

  • Responsabilité — Documenter le fondement juridique de chaque transfert permet de démontrer la responsabilité en matière de flux de données transfrontaliers
  • Limitation de l'utilisation, de la conservation et de la divulgation — La documentation relative aux transferts garantit que les informations personnelles identifiables ne sont divulguées au-delà des frontières que lorsqu'il existe une raison justifiée et documentée de le faire.


Le puissant tableau de bord d'ISMS.online

Commencer votre essai gratuit

Envie d'explorer ?

Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.

Commencer


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.5.2, les auditeurs recherchent généralement :

  • registre du mécanisme de transfert — Une liste documentée de tous les transferts transfrontaliers de données personnelles identifiables, avec le mécanisme juridique identifié pour chacun d'eux.
  • registres de diligence raisonnable — Preuve que l’organisation a évalué l’adéquation de la protection dans la juridiction d’accueil
  • Accords de transfert exécutés — Copies des clauses contractuelles types, des BCR ou des instruments équivalents
  • Examiner les dossiers — Preuve de révisions périodiques, notamment suite à des modifications des cadres juridiques (par exemple, le retrait de décisions d’adéquation).
  • évaluations d'impact des transferts — Le cas échéant, des évaluations documentées des risques associés à des transferts spécifiques

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.5.3 Pays et organisations internationales pour le transfert de données personnelles identifiables Spécifie les destinations autorisées pour le transfert des données personnelles identifiables ; les critères définis au point A.1.5.2 déterminent les destinations permises.
A.1.5.4 Enregistrements de transfert de données personnelles Enregistre chaque transfert effectif, en s'appuyant sur les données documentées ici.
A.1.5.5 Enregistrements des divulgations de renseignements personnels à des tiers Des registres de divulgation plus complets incluant les transferts transfrontaliers
A.1.2.9 Registres de traitement des données personnelles Les données de transfert alimentent les registres globaux des activités de traitement.
A.1.3.3 Informations destinées aux personnes concernées par les données personnelles Détermination des informations relatives aux personnes physiques à risque Les personnes physiques à risque ont le droit de connaître les modalités de transfert et les garanties mises en place.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était traitée à la clause 7.5.1 (identification de la base du transfert des données personnelles entre juridictions). Le contrôle de 2025 est substantiellement identique, mais restructuré Annexe ALe format /B offre une séparation plus claire entre la déclaration de contrôle et les lignes directrices de mise en œuvre. Ces dernières insistent davantage sur la révision des mécanismes de transfert en cas d'évolution des cadres juridiques, reflétant les bouleversements qu'a connus le droit international des transferts depuis 2019. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des transferts internationaux de données personnelles ?

ISMS.en ligne fournit des outils pratiques pour documenter et gérer les mécanismes de transfert transfrontaliers :

  • registre du mécanisme de transfert — Cartographier chaque flux de données transfrontalier, en précisant sa base juridique, le pays destinataire et les garanties mises en place, dans un registre centralisé.
  • Rappels d'évaluation automatisés — Définissez les dates de révision des mécanismes de transfert et recevez des alertes en cas de modification du cadre juridique ou d'échéance de révision.
  • Workflow — Stocker les contrats de clauses contractuelles types (CCT), les contrats de base de référence (BCR) et les évaluations d'impact des transferts signés, ainsi que le registre de transfert correspondant.
  • Dossiers de preuves prêts pour l'audit — Documentation de transfert d'exportation avec historique complet des versions pour les audits de certification
  • Références croisées — Associer les enregistrements de transfert aux activités de traitement, aux analyses d'impact sur la vie privée et aux demandes relatives aux droits des personnes concernées
  • Cartographie réglementaire — Comparez vos contrôles de transfert au RGPD, à la norme ISO 27701 et à d'autres cadres réglementaires.

Questions fréquentes

Qu’est-ce qui est considéré comme un transfert entre juridictions ?

Tout déplacement ou divulgation de données personnelles d'une juridiction à une autre. Cela inclut l'envoi de données à un fournisseur de services cloud dont les serveurs sont situés dans un autre pays, le partage de données personnelles avec une société du groupe située dans une autre juridiction, ou l'autorisation d'un accès à distance depuis un autre pays. Même si les données ne sont pas déplacées physiquement, un accès à distance depuis une autre juridiction peut constituer un transfert au sens de certaines lois sur la protection de la vie privée.

À quelle fréquence les mécanismes de transfert doivent-ils être réexaminés ?

À intervalles réguliers (généralement annuels) et en cas de changement significatif du contexte juridique, notamment en cas de décision de justice invalidant un mécanisme de transfert, de nouvelle décision d'adéquation (publiée ou révoquée) ou de modification de la législation sur la protection des données dans le pays destinataire, l'organisation doit procéder à un examen. Elle doit également examiner les changements importants concernant la nature ou le volume des données personnelles transférées.

Le consentement peut-il constituer le seul fondement des transferts internationaux ?

Le consentement est l'un des mécanismes de transfert reconnus, mais en vertu du RGPD, il est considéré comme une dérogation applicable dans des situations spécifiques (article 49) et non comme un mécanisme principal. Il doit être explicite, éclairé et donné librement. Les autorités de contrôle attendent généralement des organisations qu'elles privilégient des mécanismes plus robustes, tels que les décisions d'adéquation ou les clauses contractuelles types, pour les transferts réguliers et systématiques, et réservent le consentement aux transferts occasionnels ou non répétitifs.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la documentation de transfert spécifique attendue par les auditeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.