Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.2.2.2 : Contrat client

Le contrôle A.2.2.2 exige des sous-traitants de données personnelles qu'ils s'assurent que les contrats précisent leur rôle dans l'assistance apportée au client concernant ses obligations en matière de données personnelles. Ce contrôle établit le cadre contractuel de toutes les activités des sous-traitants conformément à la norme ISO 27701:2025.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.2.2.2 ?

L’organisation doit veiller, le cas échéant, à ce que le contrat de traitement des données personnelles aborde le rôle de l’organisation dans l’assistance apportée au client concernant ses obligations (en tenant compte de la nature du traitement et des informations dont dispose l’organisation).

Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) établit le cadre contractuel de la relation entre sous-traitant et responsable du traitement. Elle impose aux sous-traitants d’aller au-delà du simple traitement des données et d’assister activement les responsables du traitement dans leurs obligations, telles que la notification des violations de données, le respect des droits des personnes concernées, les analyses d’impact relatives à la protection des données (AIPD) et les mesures de sécurité. Le contrat doit définir clairement ces obligations d’assistance.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.2.2.2) fournit les indications suivantes sur ce que le contrat doit inclure :

  • Protection de la vie privée dès la conception et protection de la vie privée par défaut — Le contrat devrait aborder le rôle du sous-traitant dans le respect des principes de protection des données dès la conception et par défaut
  • Sécurité du traitement — Le contrat devrait préciser comment le sous-traitant contribuera à la mise en œuvre de mesures de sécurité appropriées.
  • Notification de violation aux autorités de surveillance — Le contrat devrait définir les obligations du sous-traitant en matière de notification au responsable du traitement des violations impliquant des données personnelles, permettant ainsi à ce dernier de remplir ses obligations de notification.
  • Notification de violation de données aux clients et aux personnes concernées par les informations personnelles — Le contrat devrait préciser comment le sous-traitant aidera le responsable du traitement à informer les personnes concernées
  • Évaluations de l'impact sur la vie privée — Le contrat devrait inclure le rôle du sous-traitant dans la réalisation ou la contribution aux analyses d'impact relatives à la protection des données (AIPD).
  • Consultation préalable — Le contrat devrait prévoir une assistance si le responsable du traitement a besoin de consulter les autorités de protection des données personnelles.
  • Voir aussi A.2.2.4 : Utilisation à des fins de marketing et de publicité pour les exigences connexes
  • Voir aussi A.2.2.5 : Instruction contrefaisante pour les exigences connexes

Certaines juridictions exigent que le contrat comprenne également l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées.

Comment cela se traduit-il au regard du RGPD ?

La commande A.2.2.2 correspond à ce qui suit GDPR des articles:

  • Article 28, paragraphe 3, point e) Le sous-traitant aide le responsable du traitement à garantir le respect des obligations relatives à la sécurité, à la notification des violations de données, aux analyses d'impact relatives à la protection des données et à la consultation préalable.
  • Article 28(3)(f) — Le sous-traitant aide le responsable du traitement à garantir le respect des obligations en matière de sécurité, de notification des violations de données, d'analyses d'impact relatives à la protection des données et de consultation préalable, en tenant compte de la nature du traitement et des informations disponibles.
  • Article 28 (9) — Le contrat doit être établi par écrit, y compris sous forme électronique.
  • Article 35 (1) — Lorsqu'un traitement est susceptible d'engendrer un risque élevé, une analyse d'impact relative à la protection des données (AIPD) est requise, et le sous-traitant doit apporter son concours.

GDPR L’article 28 constitue la base juridique principale des contrats de sous-traitance, et A.2.2.2 fournit une méthode structurée pour garantir que les contrats répondent à ces exigences.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.2.2 comme contrôle indépendant, accompagnée de directives de mise en œuvre plus claires dans la clause B.2.2.2, qui énumère explicitement les six domaines que le contrat doit couvrir. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.2.2.2, les auditeurs recherchent généralement :

  • accords de traitement des données — Contrats signés avec des clients qui couvrent les six domaines spécifiés dans le guide de mise en œuvre
  • Modèles de contrat — Modèles ou clauses contractuelles standard que l'organisation utilise pour garantir la cohérence des accords clients
  • capacité d'assistance — Preuve que l’organisation dispose des capacités opérationnelles nécessaires pour fournir l’assistance décrite dans le contrat (par exemple, les procédures de notification des violations, les processus de soutien à l’analyse d’impact relative à la protection des données).
  • processus d'examen des contrats — Un processus documenté d'examen des contrats visant à garantir que les obligations de protection des renseignements personnels sont adéquatement prises en compte
  • Conformité juridictionnelle — Preuve que les contrats incluent les exigences spécifiques à la juridiction, le cas échéant (par exemple, l’objet, la durée, les types de renseignements personnels).

Quelles sont les commandes associées ?

Contrôle Lien familial
A.2.2.3 Objectifs de l'organisation Le contrat définit les finalités pour lesquelles les données personnelles peuvent être traitées.
A.2.2.6 Obligations du client Le sous-traitant doit fournir des informations permettant au client de démontrer sa conformité.
A.1.2.7 Contrats avec les sous-traitants de données personnelles L'équivalent côté contrôleur des exigences contractuelles du processeur
A.3.11 Planification de la gestion des incidents Les obligations d'assistance en matière de notification des violations dépendent des capacités de gestion des incidents.
A.2.5.8 Recours à un sous-traitant Les accords de sous-traitance doivent être conformes aux termes du contrat client.

À qui s'applique ce contrôle ?

Le point A.2.2.2 s'applique exclusivement à processeurs de données personnellesCela impose au sous-traitant l'obligation de s'assurer que le contrat couvre adéquatement son rôle d'assistance. Bien que le responsable du traitement rédige généralement l'accord de traitement des données, le sous-traitant a l'obligation indépendante de vérifier que le contrat couvre les domaines requis et de signaler toute lacune.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des contrats de traitement ?

ISMS.en ligne fournit des outils pratiques pour la gestion des contrats clients en tant que sous-traitant de données personnelles :

  • registre des contrats — Tenir un registre central de tous les accords de traitement des données, indiquant les dates de révision, l'état de conformité et les obligations qui en découlent.
  • Modèles de contrat — Utilisez des modèles DPA prédéfinis qui incluent les six domaines spécifiés dans la section B.2.2.2 et qui sont personnalisables en fonction des services de votre organisation.
  • Suivi des obligations — Suivre les obligations d'assistance spécifiques prévues dans chaque contrat client grâce à l'attribution des tâches et au suivi de leur statut.
  • Réviser la planification — Planifiez des révisions périodiques des contrats avec des rappels automatisés pour garantir leur mise à jour.
  • Preuve de conformité — Stocker les accords signés, les dossiers d'examen et les preuves de capacité dans un format structuré et prêt pour l'audit.

Questions fréquentes

Que se passe-t-il si le contrat du client ne couvre pas toutes les zones requises ?

Le prestataire a l'obligation de s'assurer que le contrat couvre son rôle d'assistance. Si le client fournit un contrat incomplet, le prestataire doit signaler les lacunes et demander des modifications. La simple signature d'un contrat incomplet est insuffisante : le point A.2.2.2 lui impose de vérifier la couverture. Si le client refuse de modifier le contrat, le prestataire doit documenter les lacunes et les risques, et évaluer l'opportunité de conclure l'accord.

Un accord de protection des données (DPA) distinct est-il nécessaire, ou les clauses peuvent-elles être incluses dans le contrat de service principal ?

Les deux approches sont acceptables. L'essentiel est que les modalités de traitement des données personnelles soient documentées par écrit (y compris sous forme électronique) et clairement identifiables. De nombreuses organisations utilisent un accord de protection des données (APD) distinct, annexé au contrat de service principal, ce qui facilite la révision et la mise à jour des modalités spécifiques aux données personnelles sans avoir à renégocier l'intégralité du contrat. Le format importe moins que l'exhaustivité et la clarté des obligations.

Comment le processeur doit-il définir l'étendue de ses obligations d'assistance ?

Le contrôle précise que l'assistance doit tenir compte de « la nature du traitement et des informations dont dispose l'organisme ». Autrement dit, les obligations d'assistance du sous-traitant doivent être proportionnées à son rôle. Un sous-traitant qui ne stocke que des données chiffrées peut, par exemple, avoir une capacité limitée à répondre aux demandes d'accès aux données. Le contrat doit définir clairement l'étendue et les limites de l'assistance, en évitant les engagements trop vagues que le sous-traitant ne peut pas concrètement tenir.

Les équipes d'approvisionnement exigent de plus en plus la certification ISO 27701 — consultez notre guide des exigences d'approvisionnement et guide d'évaluation des fournisseurs.

Les plateformes SaaS peuvent trouver des conseils contractuels adaptés à leurs besoins dans notre guide pour les plateformes SaaS.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.