Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.2.2.5 : Instruction contrefaisante

Le contrôle A.2.2.5 exige que les responsables du traitement des données personnelles informent le client lorsqu'une instruction de traitement enfreint les exigences légales applicables. Ce contrôle vise à empêcher que les responsables du traitement n'exécutent aveuglément des instructions susceptibles d'entraîner des violations de la loi.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.2.2.5 ?

L’organisme informera le client si, à son avis, une instruction de traitement enfreint les exigences légales applicables.

Cette commande se trouve à l'intérieur de Contrôles du processeur PII annexe (A.2) et crée un filet de sécurité essentiel. Alors que les processeurs agissent généralement selon les instructions du client (A.2.2.3 Objectifs de l'organisationCe contrôle reconnaît que le respect aveugle de chaque instruction peut entraîner des infractions légales. Si un processeur constate qu'une instruction enfreint la loi applicable, il a l'obligation d'en informer le client plutôt que de simplement s'y conformer.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.2.2.5) fournit les indications suivantes :

Ces lignes directrices tiennent compte d'une réalité pratique : les sous-traitants ne sont pas des conseillers juridiques et leur capacité à identifier les instructions illicites varie. Un sous-traitant possédant une expertise pointue dans le domaine des données de santé sera sans doute bien placé pour identifier les instructions qui enfreignent la réglementation en la matière, contrairement à un fournisseur de services cloud généraliste. La mention « selon son avis » souligne cette limite : l'obligation consiste à signaler les problèmes, et non à fournir une analyse juridique définitive.

Comment cela se traduit-il au regard du RGPD ?

La commande A.2.2.5 correspond à ce qui suit GDPR article:

  • Article 28(3)(h) — Le processeur doit informer immédiatement le contrôleur si, à son avis, une instruction enfreint les règles de la loi. GDPR ou d'autres dispositions de l'Union ou des États membres en matière de protection des données

L’article 28, paragraphe 3, point h), du RGPD impose explicitement cette obligation légale aux sous-traitants agissant en vertu du droit de l’UE. Le RGPD ajoute le terme « immédiatement », soulignant ainsi l’urgence de cette obligation de notification.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.2.5 comme contrôle indépendant, accompagnée de directives de mise en œuvre concises mais claires dans la clause B.2.2.5. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.2.2.5, les auditeurs recherchent généralement :

  • Procédure d'escalade — Une procédure documentée permettant au personnel de signaler ses préoccupations lorsqu'il estime qu'une instruction du client pourrait enfreindre les exigences légales applicables
  • Enregistrements de notification — Enregistrement de toutes les occasions où le prestataire a informé un client qu'une instruction pouvait enfreindre la loi, y compris l'instruction en question, le problème soulevé, la réponse du client et la décision prise.
  • Sensibilisation juridique — Preuve que le personnel clé possède une connaissance suffisante du droit applicable en matière de protection des données pour identifier les instructions potentiellement contrefaisantes
  • Termes de contrat — Les clauses contractuelles qui établissent le droit et l'obligation du sous-traitant de signaler les instructions illicites, et qui le protègent de toute responsabilité en cas de refus de se conformer à des instructions illégales.
  • Dossiers de formation — Formation portant sur la sensibilisation du personnel à l'obligation de signaler les instructions potentiellement illégales

Quelles sont les commandes associées ?

Contrôle Lien familial
A.2.2.3 Objectifs de l'organisation Les instructions qui étendent les objectifs au-delà de ce qui est légal doivent être signalées.
A.2.2.2 Contrat client Le contrat devrait aborder l'obligation du sous-traitant de signaler les instructions contrefaisantes.
A.3.13 Exigences légales et réglementaires La compréhension des exigences légales applicables est une condition préalable à l'identification des infractions.
A.2.2.6 Obligations du client Le signalement des instructions contrefaisantes aide le client à respecter ses propres obligations de conformité.
A.3.17 Sensibilisation et formation Le personnel a besoin d'une formation pour reconnaître les instructions potentiellement illicites.

À qui s'applique ce contrôle ?

Le point A.2.2.5 s'applique exclusivement à processeurs de données personnellesCela impose au sous-traitant l'obligation de signaler proactivement tout problème relatif à la légalité des instructions du client. Le sous-traitant n'est pas pour autant un conseiller juridique, mais il doit faire preuve de discernement en fonction de ses connaissances et de son expertise. Ce contrôle s'applique à toutes les instructions du client, qu'elles soient données lors de la conclusion du contrat, pendant la mission ou sous forme de demandes ponctuelles.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des obligations de conformité ?

ISMS.en ligne fournit des outils pratiques pour gérer votre obligation de signaler les instructions contrefaisantes :

  • Flux de travail d'escalade — Créer des procédures d'escalade documentées permettant au personnel de signaler les problèmes liés aux instructions des clients, avec un historique des modifications et un suivi de la résolution.
  • Registre de notification — Tenir un registre de toutes les notifications envoyées aux clients concernant des instructions potentiellement contrefaisantes, incluant l'instruction, le problème soulevé, la réponse et le résultat.
  • Suivi des exigences légales — Suivez les exigences légales applicables dans les différentes juridictions afin que votre équipe sache quelles règles prendre en compte lors de l'évaluation des instructions des clients.
  • Gestion des formations — Dispenser et suivre une formation sur la reconnaissance des instructions contrefaisantes, avec évaluation des compétences
  • Gestion des contrats — Assurez-vous que vos modèles de contrats incluent des clauses traitant du droit et de l'obligation de signaler les instructions contrefaisantes

Questions fréquentes

Que doit faire le processeur si le client insiste sur cette instruction ?

Si le client insiste sur une instruction que le sous-traitant estime contraire à la loi applicable, ce dernier a rempli son obligation en informant le client. Le sous-traitant doit documenter cette notification et la réponse du client. Cependant, il ne doit pas se conformer aveuglément à cette instruction : participer sciemment à un traitement illicite pourrait engager sa responsabilité juridique. Dans les cas les plus graves, le sous-traitant pourrait avoir besoin de consulter un avocat et, en dernier recours, de refuser l’instruction ou de résilier le contrat, selon la gravité de l’infraction potentielle.

Le processeur doit-il surveiller de manière proactive les infractions ?

Ce contrôle exige du sous-traitant qu'il informe le client lorsqu'il estime qu'une instruction enfreint la loi. Cela implique une vigilance raisonnable plutôt qu'une surveillance juridique exhaustive. Les lignes directrices reconnaissent que la capacité du sous-traitant à vérifier les infractions dépend du contexte, de l'instruction et du contrat. Les sous-traitants ne sont pas tenus de réaliser des audits juridiques de chaque instruction, mais doivent signaler les problèmes qui émergent dans le cadre de leurs activités courantes et de leur jugement professionnel.

Dans quel délai le processeur doit-il informer le client ?

La norme ISO 27701:2025 ne précise pas de délai, mais l'article 28, paragraphe 3, point h), du RGPD exige une notification immédiate. Il est recommandé d'informer le client dès que le problème est identifié, avant toute exécution de la commande. Cela lui permet de reconsidérer sa commande, de consulter un avocat ou de demander des précisions avant tout traitement potentiellement non conforme.

Les entreprises SaaS sont confrontées à des défis uniques en matière de traitement des données — consultez notre guide pour les plateformes SaaS.

Nos guide des exigences en matière de preuves d'audit couvre les éléments de preuve que les auditeurs attendent en matière de contrôles des processeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.