Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.3.11 : Planification et préparation de la gestion des incidents de sécurité de l’information

Le contrôle A.3.11 exige des organismes qu’ils planifient et se préparent à la gestion des incidents de sécurité de l’information liés au traitement des données personnelles. Une planification efficace des incidents est essentielle pour respecter les délais de notification des violations de données prévus par la norme ISO 27701:2025.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.3.11 ?

L’organisation doit planifier et se préparer à la gestion des incidents de sécurité de l’information liés au traitement des données personnelles identifiables en définissant, établissant et communiquant les processus, les rôles et les responsabilités en matière de gestion des incidents.

Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe A.3, qui détaille les obligations des responsables du traitement et des sous-traitants de données personnelles, porte spécifiquement sur la phase de planification et de préparation. Elle vise à garantir que votre organisation soit prête à réagir avant qu’un incident ne survienne, plutôt que de devoir improviser après une violation de données.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.3.11) fournit les indications suivantes :

  • Établir des procédures d'identification et d'enregistrement — Définir clairement les responsabilités et les procédures d'identification et d'enregistrement des violations de données personnelles, y compris la manière de classer la gravité d'un incident.
  • Établir des procédures de notification — Élaborer des procédures documentées pour la notification des violations de données personnelles aux parties concernées, y compris les délais de notification.
  • Tenir compte des exigences légales — Tenez compte des exigences légales et réglementaires applicables en matière de notification des violations, qui varient selon la juridiction.
  • Connaissance de la juridiction — Certaines juridictions imposent des réglementations spécifiques en matière de réponse aux violations de données, avec des délais et des exigences de contenu définis pour les notifications.

Les recommandations soulignent que la planification des incidents ne peut être générique. Les procédures doivent tenir compte des types spécifiques de données personnelles traitées par votre organisation, des juridictions dans lesquelles vous exercez vos activités et des obligations de notification applicables à votre situation.

Comment cela se traduit-il au regard du RGPD ?

La commande A.3.11 correspond à plusieurs GDPR des articles:

  • Article 5(1)(f) — Intégrité et confidentialité, y compris la capacité de réagir aux violations
  • Article 33 (1) — Les responsables du traitement doivent notifier l'autorité de surveillance dans les 72 heures suivant la prise de connaissance d'une violation.
  • Article 33(3)(ad) — Les notifications doivent préciser la nature de la violation, le point de contact, les conséquences probables et les mesures prises.
  • Article 33(4-5) — Les informations peuvent être fournies par étapes ; le responsable du traitement doit documenter toutes les violations.
  • Article 34(1-4) — Communication des violations aux personnes concernées lorsqu'il existe un risque élevé pour leurs droits et libertés

L'heure 72 GDPR Le délai de notification rend la planification anticipée essentielle. Sans processus préétablis, le respect de cette échéance est extrêmement difficile.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était traitée par la clause 6.13.1.4, qui abordait les responsabilités et les procédures de gestion des incidents. L'édition 2025 conserve les exigences fondamentales (A.3.11) mais établit une distinction plus claire entre l'énoncé de contrôle et les directives de mise en œuvre (B.3.11). Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.3.11, les auditeurs recherchent généralement :

  • Politique et procédures de gestion des incidents — Un plan documenté couvrant l'identification, la classification, l'escalade et la notification des violations de données personnelles
  • Rôles et responsabilités définis — Attribution claire des rôles et responsabilités lors d'un incident, avec la désignation d'un responsable de la gestion des incidents et d'un coordinateur des notifications.
  • Modèles de notification — Modèles préétablis pour la notification des autorités de surveillance, des personnes concernées et des partenaires commerciaux, conformes aux exigences légales
  • registre des obligations légales — Une liste documentée des obligations de notification des violations de données par juridiction, incluant les délais et les exigences relatives au contenu
  • Dossiers d'entraînement et d'exercice — Preuve que les équipes d’intervention en cas d’incident ont été formées et que le plan a été testé au moyen d’exercices sur table ou de simulations.

Quelles sont les commandes associées ?

Contrôle Lien familial
A.3.12 Réponse aux incidents A.3.11 couvre la planification ; A.3.12 Réponse aux incidents de sécurité couvre la réponse concrète lorsqu'un incident survient
A.3.13 Exigences légales et contractuelles Les délais et les obligations de notification des violations dépendent des exigences légales applicables.
A.3.17 Sensibilisation et formation Le personnel doit savoir reconnaître et signaler les incidents potentiels impliquant des informations personnelles.
A.3.14 Protection des documents Les rapports d'incidents doivent être protégés contre la perte, la destruction ou l'accès non autorisé.
A.3.10 Accords avec les fournisseurs Les contrats fournisseurs doivent inclure des obligations de notification des violations et des délais de réponse.

À qui s'applique ce contrôle ?

A.3.11 est un contrôle partagé Cela concerne aussi bien les responsables du traitement que les sous-traitants de données personnelles. Les responsables du traitement ont l'obligation principale d'informer les autorités de contrôle et les personnes concernées, tandis que les sous-traitants doivent mettre en place des procédures permettant de détecter et de signaler sans délai les violations de données à leurs responsables du traitement. Les deux acteurs doivent disposer de plans de gestion des incidents documentés et testés.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la planification de la gestion des incidents ?

ISMS.en ligne fournit des outils pratiques pour construire et maintenir votre capacité de réponse aux incidents liés aux informations personnelles identifiables :

  • Flux de travail de gestion des incidents — Des flux de travail préconfigurés et personnalisables qui guident votre équipe à travers les étapes d'identification, de classification, d'escalade et de notification.
  • Attribution de rôle — Définir clairement les rôles et les responsabilités en cas d'incident, ainsi que les procédures d'escalade, afin que chacun connaisse son rôle avant qu'un incident ne survienne.
  • Suivi des notifications — Suivez les notifications des autorités de surveillance et des personnes concernées par rapport aux échéances réglementaires, grâce à des alertes automatisées à l'approche de ces délais.
  • registre des infractions — Tenir un registre complet de tous les incidents concernant des données personnelles, avec leur niveau de gravité, les mesures prises et leurs résultats, conformément aux exigences de documentation de l'article 33(5) du RGPD.
  • Gestion de l'exercice — Planifier et consigner les exercices de simulation sur table et les bilans de planification afin de démontrer un niveau de préparation constant.

Questions fréquentes

À quel point les procédures de réponse aux incidents doivent-elles être spécifiques ?

Les procédures doivent être suffisamment précises pour qu'un membre de l'équipe puisse les suivre sans ambiguïté, même sous pression. Cela implique des rôles clairement définis (et non de simples intitulés de poste), des coordonnées précises, des procédures d'escalade détaillées et des modèles de notification préétablis. Les procédures génériques qui ne tiennent pas compte des exigences spécifiques relatives aux données personnelles et des délais de notification en vigueur dans chaque juridiction ne satisferont pas les auditeurs.

Quels sont les facteurs juridictionnels qui influent sur la planification de la notification des violations de données ?

Les obligations de notification varient considérablement selon les juridictions. Le RGPD impose un délai de 72 heures pour informer les autorités de contrôle. D'autres juridictions peuvent avoir des délais, des seuils de notification et des exigences quant au contenu des notifications différents. Votre plan de gestion des incidents doit prendre en compte chaque juridiction dans laquelle vous traitez des données personnelles.

À quelle fréquence les plans de réponse aux incidents doivent-ils être testés ?

Il est recommandé de réaliser au moins un exercice de simulation par an, et des révisions supplémentaires en cas de changement significatif de vos activités de traitement, de votre infrastructure informatique ou de votre structure organisationnelle. La norme exige que les plans soient revus à intervalles réguliers ou lors de changements importants. La documentation des résultats de chaque exercice et des améliorations apportées est essentielle à des fins d'audit.

Comprendre l'ensemble des implications financières des incidents de confidentialité dans notre Coût de la non-conformité par rapport à la certification analyse.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la documentation relative aux incidents attendue par les auditeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.