Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.2.5.5 : Notification des demandes de divulgation de données personnelles

Le contrôle A.2.5.5 exige des organisations qu'elles informent le client de toute demande juridiquement contraignante de communication de données personnelles. Cela permet aux responsables du traitement d'être informés lorsque leurs données sont demandées par des autorités externes et de prendre les mesures appropriées.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.2.5.5 ?

L’organisation informera le client de toute demande juridiquement contraignante de divulgation de renseignements personnels.

Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) traite d’une importante obligation de transparence. Lorsqu’un sous-traitant reçoit une demande juridiquement contraignante de communication de données personnelles (par exemple, émanant d’un organisme d’application de la loi, d’un tribunal ou d’une autorité de réglementation), le responsable du traitement doit en être informé. Cela lui permet d’appréhender l’impact sur ses données, de solliciter un avis juridique si nécessaire et de respecter ses propres obligations envers les personnes concernées.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.2.5.5) fournit les indications suivantes :

Ces lignes directrices reconnaissent la tension entre l'obligation du sous-traitant d'informer le client et les situations où cette notification est légalement interdite. Lorsqu'une décision de justice ou une demande des forces de l'ordre comporte une clause de non-divulgation (parfois appelée ordonnance de confidentialité), le sous-traitant peut se trouver dans l'impossibilité d'informer le client sans enfreindre la loi. Dans ce cas, le sous-traitant doit se conformer à l'interdiction légale et informer le client dès que celle-ci est levée.

Comment cela se traduit-il au regard du RGPD ?

La commande A.2.5.5 correspond à ce qui suit GDPR article:

  • Article 28 (3) a) Le sous-traitant ne traite les données à caractère personnel que sur instructions écrites du responsable du traitement, à moins que le traitement ne soit requis par le droit de l'Union ou le droit d'un État membre auquel il est soumis ; dans ce cas, il en informe le responsable du traitement avant tout traitement, à moins que ce droit n'interdise cette information pour des motifs importants d'intérêt public.

GDPR L’article 28, paragraphe 3, point a), impose aux sous-traitants d’informer les responsables du traitement lorsqu’ils sont légalement tenus de traiter (y compris de divulguer) des données à caractère personnel. L’exception concerne les cas où la loi elle-même interdit cette notification pour des raisons d’intérêt public. Cette disposition est conforme aux orientations de l’annexe B relatives aux interdictions de notification en matière pénale.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.5.5 comme contrôle indépendant, accompagnée de recommandations d'application dans la clause B.2.5.5 qui traite explicitement des délais de notification, des procédures contractuelles et des difficultés liées aux interdictions de notification en droit pénal. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.2.5.5, les auditeurs recherchent généralement :

  • procédure de notification — Une procédure documentée pour informer les clients de la réception de demandes de divulgation juridiquement contraignantes, précisant le délai de notification et le canal de communication.
  • Demande d'inscription — Un registre des demandes de communication de documents juridiquement contraignantes reçues, faisant état de l’autorité requérante, de la date de réception, de l’objet de la demande, de la date de notification et de toute interdiction de notification.
  • Notifications clients — Enregistrements des notifications envoyées aux clients, y compris la date d'envoi et les informations fournies
  • Dispositions contractuelles — Clauses contractuelles précisant la procédure de notification, les délais et le canal de communication privilégié du client pour les notifications de divulgation
  • Gestion des interdictions — Procédures documentées pour la gestion des situations où la notification est légalement interdite, y compris la manière dont l'interdiction est suivie et dont le client est informé une fois l'interdiction levée.

Quelles sont les commandes associées ?

Contrôle Lien familial
A.2.5.6 Divulgations juridiquement contraignantes des renseignements personnels Réglemente la manière dont le responsable du traitement gère la divulgation elle-même après notification.
A.2.5.4 Enregistrements des divulgations de renseignements personnels Toutes les divulgations résultant de demandes juridiquement contraignantes doivent être enregistrées.
A.2.2.2 Contrat client Le contrat doit définir la procédure de notification et les délais.
A.2.2.6 Obligations du client La notification des demandes de divulgation aide les clients à démontrer leur conformité.
A.2.5.2 Base du transfert des données personnelles identifiables Les divulgations exigées par la loi peuvent impliquer des transferts transfrontaliers

À qui s'applique ce contrôle ?

Le point A.2.5.5 s'applique exclusivement à processeurs de données personnellesLorsqu'un sous-traitant reçoit une demande de communication de données juridiquement contraignante, le responsable du traitement a un intérêt direct à en être informé. Ce dernier peut avoir besoin d'informer les personnes concernées, de solliciter un avis juridique, de contester la demande ou de mettre à jour ses propres données. Sans notification du sous-traitant, le responsable du traitement ignore que ses données ont été demandées et ne peut prendre les mesures appropriées.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des demandes de divulgation ?

ISMS.en ligne fournit des outils pratiques pour gérer les demandes de divulgation juridiquement contraignantes :

  • Suivi des demandes — Enregistrer et suivre les demandes de communication de documents juridiquement contraignantes grâce à des champs structurés indiquant l'autorité requérante, la portée, la date de réception et l'état de la notification.
  • Flux de notification — Déclencher des flux de travail automatisés de notification client lors de la réception d'une demande de divulgation, avec des délais et des canaux de communication configurables.
  • Gestion des interdictions — Signaler les demandes assorties d'interdictions de notification, définir des dates de révision pour l'expiration de l'interdiction et déclencher automatiquement les notifications différées.
  • La piste de vérification — Conserver une trace complète de chaque demande de divulgation, notification et réponse, en vue d'un examen par les autorités réglementaires ou les clients.
  • Lien contractuel — Lier les procédures de notification des divulgations aux dispositions pertinentes du contrat client, en assurant une conformité cohérente

Questions fréquentes

Qu’est-ce qui constitue une demande de divulgation juridiquement contraignante ?

Une demande de communication de données juridiquement contraignante est une demande à laquelle le responsable du traitement est légalement tenu de se conformer. Cela inclut les ordonnances judiciaires, les assignations à comparaître, les mandats, les demandes d'enquêtes réglementaires et les obligations légales de communication de données. Les demandes informelles émanant des autorités (pour lesquelles la conformité est volontaire) sont traitées séparément. A.2.5.6 Divulgations juridiquement contraignantesLa distinction essentielle réside dans l'obligation légale du responsable du traitement de divulguer l'information, et non dans le fait que la demande provienne d'un organisme gouvernemental.

Que se passe-t-il si le processeur n'est pas autorisé à en informer le client ?

Certaines demandes juridiquement contraignantes incluent une clause de confidentialité interdisant au sous-traitant d'informer quiconque de la demande. Cette pratique est courante dans les enquêtes criminelles, où la divulgation d'informations pourrait compromettre l'enquête. Dans de tels cas, le sous-traitant est tenu de respecter l'interdiction. Toutefois, il doit en assurer le suivi, vérifier si elle a été levée ou a expiré et en informer le client dès que la loi le permet. Les procédures du sous-traitant doivent documenter la gestion de ces situations.

Dans quel délai les clients doivent-ils être informés ?

La norme ne précise pas de délai de notification, indiquant que les clients doivent être informés dans les délais convenus contractuellement. En pratique, la notification doit être suffisamment rapide pour permettre au client d'agir avant la divulgation, si possible. De nombreux contrats exigent une notification dans les 24 à 72 heures suivant la réception de la demande. Le délai précis doit tenir compte de l'urgence de la demande, de la nécessité pour le client de répondre et des éventuelles obligations légales.

Nos guide des exigences en matière de preuves d'audit couvre la documentation de divulgation exigée par les auditeurs.

Découvrez nos offres de guide d'évaluation des fournisseurs pour savoir comment les clients évaluent les pratiques de divulgation des processeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.