Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.3.12 : Réponse aux incidents de sécurité de l’information

Le contrôle A.3.12 exige des organisations qu'elles réagissent aux incidents de sécurité de l'information impliquant des données personnelles conformément aux procédures documentées. Ce contrôle garantit qu'en cas de violation, la réponse est structurée, rapide et conforme à la norme ISO 27701:2025.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.3.12 ?

Les réponses aux incidents de sécurité de l'information liés au traitement des données personnelles doivent être conformes aux procédures documentées.

Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés annexe (A.3) et travaille main dans la main avec A.3.11 Gestion des incidents, qui couvre la planification et la préparation. Où A.3.11 Gestion des incidents L'A.3.12 vous assure d'avoir un plan, tandis que l'A.3.12 vous assure de le suivre lorsqu'un incident réel se produit.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.3.12) fournit des orientations distinctes pour les responsables du traitement et les sous-traitants :

Pour les contrôleurs PII

  • Évaluation des violations — Un incident relatif aux données personnelles devrait déclencher un examen afin de déterminer si une violation nécessitant une réponse formelle s'est produite.
  • Effacer les notifications — Les notifications aux autorités de surveillance et aux personnes concernées doivent être claires, indiquer un point de contact pour obtenir des informations complémentaires, décrire la nature et les conséquences de la violation et exposer les mesures prises ou envisagées.
  • Historique complet des infractions — Conserver un registre contenant : la description de la violation, la période concernée, les conséquences, la personne qui l’a signalée, les mesures prises pour y remédier et les données personnelles compromises.

Pour les processeurs de données personnelles

  • Notification contractuelle — Respectez les dispositions relatives à la notification convenues dans le contrat du client (responsable du traitement).
  • Limites de la portée — L’obligation de notification ne s’étend pas aux infractions causées par le client (responsable du traitement) lui-même.
  • Temps de réponse définis — Convenir et documenter les délais de réponse pour la notification des violations de données au responsable du traitement

Comment cela se traduit-il au regard du RGPD ?

La commande A.3.12 correspond à GDPR Les articles 33(1-5) concernent la notification des violations de données à caractère personnel aux autorités de contrôle, et les articles 34(1-2) concernent la communication des violations aux personnes concernées. GDPR exige que les notifications de violation comprennent la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises pour remédier à la violation.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était traitée par la clause 6.13.1.5, qui portait sur la réponse aux incidents de sécurité de l'information. L'édition 2025 conserve les exigences fondamentales (A.3.12) tout en clarifiant la distinction entre les responsabilités du responsable du traitement et du sous-traitant (B.3.12). Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.3.12, les auditeurs recherchent généralement :

  • registre des infractions — Un registre tenu à jour de tous les incidents relatifs aux renseignements personnels, y compris ceux qui ont été évalués et jugés ne pas constituer une violation devant être signalée
  • Enregistrements de notification — Copies des notifications envoyées aux autorités de surveillance et aux personnes concernées, avec horodatage attestant du respect des délais requis
  • Documentation d'évaluation — Les dossiers indiquant comment chaque incident a été évalué en termes de gravité et s'il atteignait le seuil de notification.
  • Les leçons apprises — Preuves que les incidents sont analysés après leur résolution et que les améliorations sont intégrées au processus de gestion des incidents
  • Notifications du processeur — Le cas échéant, les enregistrements des notifications de violation reçues des sous-traitants ou envoyées à ces derniers, accompagnés de la preuve que les délais contractuels ont été respectés.

Quelles sont les commandes associées ?

Contrôle Lien familial
A.3.11 Planification des incidents Établit les procédures documentées que vous devez suivre conformément à la section A.3.12.
A.3.14 Protection des documents Les enregistrements des violations de données doivent être protégés contre la perte, la destruction ou l'accès non autorisé.
A.3.13 Exigences légales et contractuelles Les obligations de notification sont régies par les exigences légales applicables.
A.3.10 Accords avec les fournisseurs Les délais de notification des violations de données par les sous-traitants doivent être définis dans les contrats fournisseurs.
A.3.15 Examen indépendant Les évaluations devraient déterminer si les procédures de réponse aux incidents sont efficaces.

À qui s'applique ce contrôle ?

A.3.12 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants du traitement des données personnelles, bien que leurs responsabilités diffèrent. Les responsables du traitement sont chargés d'évaluer la gravité de la violation, d'en informer les autorités de contrôle et de communiquer avec les personnes concernées. Les sous-traitants doivent informer leurs responsables du traitement sans délai et dans les délais convenus, mais ne sont généralement pas tenus d'informer directement les autorités de contrôle ou les personnes concernées, même si certaines juridictions peuvent exiger des sous-traitants qu'ils notifient les violations de données personnelles aux autorités réglementaires.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la réponse aux incidents liés aux informations personnelles ?

ISMS.en ligne fournit des outils pratiques pour gérer les violations de données personnelles, de la détection à la résolution :

  • Flux de travail guidés en cas d'incident — Des procédures de réponse étape par étape qui garantissent qu'aucun élément n'est négligé, du triage initial à la clôture, en passant par l'évaluation, la notification et la notification.
  • registre des infractions — Un registre complet conforme aux exigences de la norme en matière de tenue de registres, comprenant la description de l'incident, la chronologie, les conséquences, les données personnelles affectées et les mesures correctives.
  • Suivi des délais de notification — Comptes à rebours automatisés pour les délais réglementaires tels que le délai de 72 heures du RGPD, avec alertes d'escalade
  • Collecte de preuves — Joignez les documents justificatifs, les captures d'écran et les communications à chaque rapport d'incident pour une traçabilité complète.
  • Examen post-incident — Tirez les leçons apprises et intégrez les mesures correctives à votre registre des risques et à votre plan d'amélioration.
  • Coordination contrôleur-processeur — Flux de travail de notification structurés entre les contrôleurs et les processeurs avec suivi de l'horodatage

Questions fréquentes

Quelle est la différence entre un incident relatif aux informations personnelles identifiables (IPI) et une violation de données personnelles identifiables (IPI) ?

Un incident relatif aux données personnelles (IDP) désigne tout événement susceptible d'affecter la sécurité des données personnelles. Une violation de données personnelles est un incident avéré où des IDP ont été compromises par un accès non autorisé, une divulgation, une altération, une perte ou une destruction. Tous les incidents ne constituent pas une violation. L'étape d'évaluation décrite au point A.3.12 vise précisément à déterminer si un incident constitue une violation devant être signalée.

Que doit contenir une notification de violation de données ?

Conformément aux lignes directrices de mise en œuvre et à l'article 33, paragraphe 3, du RGPD, une notification de violation de données doit comprendre : une description de la nature de la violation, un point de contact désigné pour obtenir des informations complémentaires, une description des conséquences probables et une description des mesures prises ou envisagées pour remédier à la violation. Les informations peuvent être fournies progressivement si elles ne sont pas toutes disponibles au moment de la notification initiale.

Un responsable du traitement doit-il notifier directement les personnes concernées ?

Non. Le sous-traitant a l'obligation d'informer le responsable du traitement sans délai indu. Ce dernier évalue alors la violation et détermine s'il convient d'en informer les autorités de contrôle et les personnes concernées. Le sous-traitant doit toutefois documenter la violation et la notification adressée au responsable du traitement, et des délais de réponse doivent avoir été convenus dans le contrat de traitement.

Comprendre l'ensemble des implications financières des incidents de confidentialité dans notre Coût de la non-conformité par rapport à la certification analyse.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la documentation relative aux incidents attendue par les auditeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.