Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.2.5.6 : Divulgation juridiquement contraignante des informations personnelles identifiables

Le contrôle A.2.5.6 exige des organisations qu'elles rejettent les demandes de divulgation non contraignantes juridiquement, qu'elles consultent le client avant de divulguer des données personnelles et qu'elles acceptent les demandes contractuellement acceptées et autorisées par le client. Ceci garantit que les données personnelles ne sont divulguées que lorsqu'il existe une base légale ou contractuelle appropriée.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.2.5.6 ?

L’organisation rejettera toute demande de divulgation de renseignements personnels qui n’est pas juridiquement contraignante, consultera le client concerné avant de procéder à toute divulgation de renseignements personnels et acceptera toute demande de divulgation de renseignements personnels contractuellement convenue et autorisée par le client concerné.

Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) établit un cadre décisionnel clair pour le traitement des demandes de communication de données personnelles. Elle instaure une hiérarchie : rejeter les demandes dépourvues de fondement juridique, consulter le responsable du traitement avant toute communication et respecter les communications contractuellement convenues et autorisées par le client. Ceci empêche les sous-traitants de divulguer des données personnelles sans autorisation.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.2.5.6) fournit les indications suivantes :

Les lignes directrices sont volontairement concises car le contrôle lui-même est très contraignant. L'obligation en trois volets est claire : rejeter les demandes non contraignantes, consulter le client pour les demandes contraignantes et accepter les demandes autorisées par le client. Le contrat doit définir les procédures pour chaque cas de figure, notamment comment le sous-traitant détermine le caractère juridiquement contraignant d'une demande, comment se déroule la consultation du client et quelles divulgations préalablement autorisées ce dernier a acceptées.

Comment cela se traduit-il au regard du RGPD ?

La commande A.2.5.6 correspond à ce qui suit GDPR article:

  • Article 48 — Tout jugement d’une juridiction ou toute décision d’une autorité administrative d’un pays tiers enjoignant à un responsable du traitement ou à un sous-traitant de transférer ou de divulguer des données à caractère personnel ne peut être reconnu ou exécuté que s’il est fondé sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers requérant et l’Union ou un État membre.

GDPR L’article 48 est particulièrement pertinent pour les sous-traitants opérant à l’international. Il stipule que les décisions judiciaires et administratives étrangères ne peuvent, à elles seules, contraindre à la communication de données à caractère personnel, sauf en présence d’un accord international. Ceci renforce l’obligation du sous-traitant de rejeter les demandes non contraignantes et de vérifier la base juridique avant toute communication.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.5.6 comme contrôle indépendant, accompagnée de recommandations d'application dans la clause B.2.5.6 qui précisent les sources des demandes de communication de documents (tribunaux, autorités administratives) et le rôle du contrat client. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.2.5.6, les auditeurs recherchent généralement :

  • procédure de décision en matière de divulgation — Une procédure documentée d'évaluation des demandes de communication de documents, précisant notamment comment l'organisation détermine si une demande est juridiquement contraignante.
  • Enregistrements de rejet — Dossiers des demandes de communication de documents non contraignantes qui ont été rejetées, y compris les motifs du rejet et toute correspondance avec la partie requérante
  • Dossiers de consultation client — Preuve de la consultation du client avant la divulgation des informations, y compris la communication, la réponse du client et la décision prise.
  • divulgations préautorisées — Des clauses contractuelles définissant les informations que le client a préalablement autorisées, éliminant ainsi la nécessité d'une consultation au cas par cas.
  • capacité d'évaluation juridique — Preuve que l’organisation a accès à des conseils juridiques pour évaluer si les demandes sont juridiquement contraignantes, notamment celles émanant de juridictions étrangères.

Quelles sont les commandes associées ?

Contrôle Lien familial
A.2.5.5 Notification des demandes de divulgation La notification est la première étape ; ce contrôle régit la décision de divulguer ou de rejeter.
A.2.5.4 Enregistrements des divulgations de renseignements personnels Toutes les déclarations (et les rejets) doivent être consignés.
A.2.2.2 Contrat client Le contrat définit la procédure de décision relative à la divulgation et les divulgations préautorisées.
A.2.5.2 Base du transfert des données personnelles identifiables Les divulgations légalement obligatoires aux autorités étrangères doivent reposer sur une base de transfert valable.
A.2.2.4 Utilisation à des fins de marketing et de publicité La divulgation d'informations à des fins de marketing nécessite une autorisation spécifique du client.

À qui s'applique ce contrôle ?

Le point A.2.5.6 s'applique exclusivement à processeurs de données personnellesLes sous-traitants agissent pour le compte des responsables du traitement et ne doivent pas décider de leur propre initiative de divulguer des données personnelles à des tiers. Ce contrôle garantit que les sous-traitants ne divulguent des données personnelles que lorsqu'ils y sont légalement tenus ou lorsqu'ils disposent d'une autorisation explicite du client. Les divulgations volontaires sans consentement du client ni obligation légale sont interdites.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des décisions de divulgation ?

ISMS.en ligne fournit des outils pratiques pour la gestion des décisions de divulgation des renseignements personnels sur la personne :

  • Flux de décision — Flux de travail structurés pour l'évaluation des demandes de divulgation, avec une logique de branchement pour les demandes juridiquement contraignantes, non contraignantes et autorisées par le client
  • Suivi de l'évaluation juridique — Consigner les analyses juridiques relatives au caractère contraignant des demandes, notamment la juridiction compétente, la disposition légale invoquée et les conseils juridiques obtenus.
  • Consultation client — Gérer les consultations clients au sein de la plateforme, en assurant le suivi de la demande, des communications, des réponses et de la décision finale
  • Gestion des rejets — Documenter les demandes rejetées en indiquant les motifs de rejet, afin de constituer un dossier recevable en vue d'un examen réglementaire ou juridique.
  • Intégration contractuelle — Lier les procédures de divulgation aux dispositions contractuelles des clients, en veillant à ce que les divulgations préautorisées soient identifiées et traitées de manière cohérente.

Questions fréquentes

Comment le processeur détermine-t-il si une requête est juridiquement contraignante ?

Le responsable du traitement doit évaluer si l'autorité requérante est habilitée à contraindre à la communication d'informations et si la demande a été régulièrement formulée au regard du droit applicable. Cette évaluation requiert généralement un avis juridique, notamment pour les demandes émanant de juridictions étrangères. Les principaux critères sont les suivants : la présence d'une disposition légale spécifique dans la demande ; son origine (juridiction, tribunal ou autorité administrative compétente) ; et sa conformité aux exigences formelles du droit applicable. Les demandes informelles, les demandes de coopération volontaire et les demandes dépourvues de fondement juridique doivent être rejetées.

Le responsable du traitement peut-il divulguer des informations personnelles identifiables sans consulter le client ?

Uniquement dans des circonstances limitées. Si le contrat client prévoit des divulgations préautorisées (par exemple, l'autorisation de divulgation en réponse à des ordonnances judiciaires valides dans une juridiction spécifique), le sous-traitant peut procéder sans consultation au cas par cas. De plus, si la notification est légalement interdite (comme indiqué dans A.2.5.5 Demandes de divulgation de renseignements personnelsLe sous-traitant peut être amené à divulguer des informations avant de pouvoir en informer le client. Dans tous les autres cas, la consultation du client avant toute divulgation est obligatoire en vertu de ce contrôle.

Qu’en est-il des demandes émanant de tribunaux ou d’autorités étrangères ?

L’article 48 du RGPD stipule que les décisions de justice et les décisions administratives étrangères ne sont exécutoires que si elles reposent sur un accord international, tel qu’un traité d’entraide judiciaire. Autrement dit, une décision de justice étrangère ne constitue pas nécessairement une demande « juridiquement contraignante » au sens du droit de l’UE. Le responsable du traitement doit obtenir un avis juridique avant de divulguer des données personnelles en réponse à des demandes d’autorités étrangères et consulter le client. En l’absence d’accord international, la demande doit généralement être rejetée, sauf si d’autres mécanismes de transfert prévus par le RGPD s’appliquent.

Nos guide des exigences en matière de preuves d'audit couvre la documentation de divulgation exigée par les auditeurs.

Découvrez nos offres de guide d'évaluation des fournisseurs pour savoir comment les clients évaluent les pratiques de divulgation des processeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.