Que requiert le contrôle A.3.13 ?
Les exigences légales, réglementaires et contractuelles relatives à la sécurité de l'information concernant le traitement des données personnelles et l'approche de l'organisation pour satisfaire à ces exigences doivent être documentées et cette documentation tenue à jour.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) établit une obligation fondamentale : il est impossible de se conformer aux exigences légales sans les avoir identifiées. Ce contrôle garantit que les organisations tiennent à jour un registre complet des obligations applicables et une démarche documentée pour y répondre.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.13) fournit les indications suivantes :
- Identifier les sanctions potentielles — Les organisations doivent identifier les sanctions juridiques potentielles en cas de non-respect de leurs obligations, notamment les amendes substantielles que les autorités de surveillance peuvent imposer en cas de non-conformité.
- Les normes internationales comme base contractuelle — Dans certaines juridictions, des normes internationales comme l'ISO 27701 peuvent servir de base à des accords contractuels entre les parties, fournissant un cadre reconnu pour les obligations en matière de protection de la vie privée
- Voir aussi A.3.3 : Politiques de sécurité de l'information pour les exigences connexes
- Voir aussi A.3.4 : Rôles et responsabilités en matière de sécurité de l'information pour les exigences connexes
Ces lignes directrices sont volontairement générales car les exigences légales spécifiques varient considérablement selon la juridiction, le secteur d'activité et le type de données personnelles traitées. Le principe reste le même partout : connaître ses obligations et documenter la manière dont on les respecte.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.13 correspond à plusieurs GDPR des articles:
- Article 5(1)(f) — Le principe d'intégrité et de confidentialité, qui sous-tend les exigences de sécurité
- Article 32, paragraphe 1, point d) — Un processus permettant de tester, d'évaluer et de mesurer régulièrement l'efficacité des mesures
- Article 32 (2) — Évaluation du niveau de sécurité approprié, en tenant compte des risques liés au traitement
- Article 5 (2) — Le principe de responsabilité, qui exige que le contrôleur soit responsable de la conformité et la démontre
- Article 32 (1) (b) — Garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues
Sous GDPRLes amendes potentielles en cas de non-conformité peuvent atteindre jusqu'à 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros, selon le montant le plus élevé, ce qui fait de l'identification des exigences légales une activité essentielle pour l'entreprise.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée par les clauses 6.15.1.1 (identification de la législation applicable et des exigences contractuelles) et 6.15.1.5 (réglementation des contrôles cryptographiques). L'édition 2025 les regroupe en un seul contrôle (A.3.13), élargissant ainsi le champ d'application à l'ensemble des exigences légales, réglementaires et contractuelles. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.13, les auditeurs recherchent généralement :
- registre légal et réglementaire — Un registre documenté recensant toutes les lois, réglementations et obligations contractuelles applicables au traitement des données personnelles, y compris la juridiction compétente et les dates d'entrée en vigueur
- Cartographie de la conformité — Preuves démontrant comment chaque exigence légale est prise en compte par les politiques, les procédures ou les contrôles de l'organisation
- Calendrier de révision — Une procédure définie pour la révision et la mise à jour du registre en cas de changement de législation, d'entrée en vigueur de nouvelles juridictions ou de signature de nouveaux contrats
- Sensibilisation aux sanctions — Documentation attestant que l'organisation comprend les conséquences potentielles du non-respect des règles, notamment les sanctions financières.
- Historique de la version — Preuve que la documentation a été activement mise à jour, et non pas simplement créée une fois pour toutes puis oubliée.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.10 Accords avec les fournisseurs | Les exigences contractuelles envers les fournisseurs doivent être identifiées et documentées. |
| A.3.11 Planification de la gestion des incidents | Les procédures de notification des violations doivent tenir compte des délais légaux applicables. |
| A.3.16 Conformité aux politiques | Des examens réguliers vérifient que les exigences légales sont respectées dans la pratique. |
| A.3.14 Protection des documents | Les documents juridiques et de conformité doivent être protégés et conservés de manière appropriée. |
| A.3.15 Examen indépendant | Des audits indépendants peuvent vérifier l'exactitude de la cartographie de la conformité légale. |
À qui s'applique ce contrôle ?
A.3.13 est un contrôle partagé Cela concerne aussi bien les responsables du traitement que les sous-traitants de données personnelles. Les responsables du traitement sont généralement soumis à un éventail plus large d'obligations légales (lois sur la protection des données, réglementations sectorielles, engagements contractuels envers les personnes concernées), tandis que les sous-traitants doivent également identifier leurs propres obligations en vertu des accords de traitement et de la législation applicable. La tenue d'un registre de conformité est indispensable pour les deux acteurs.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour le suivi des exigences légales et réglementaires ?
ISMS.en ligne fournit des outils pratiques pour tenir à jour votre registre de conformité et démontrer une vigilance constante :
- registre réglementaire — Tenir un registre structuré de toutes les lois, réglementations et exigences contractuelles applicables, avec indication de la juridiction et des dates d'entrée en vigueur.
- Cartographie de la conformité — Associez chaque exigence légale aux politiques, contrôles et preuves spécifiques qui démontrent la conformité.
- Rappels d'évaluation automatisés — Définissez des cycles de révision afin que votre registre soit contrôlé à intervalles réguliers, avec des tâches d'attribution des mises à jour.
- Gestion du changement — Suivez les modifications législatives et les nouvelles obligations contractuelles grâce à l'historique des versions et à la piste d'audit.
- Alignement multi-cadres — Cartographier les exigences légales de la norme ISO 27701, ISO 27001, le RGPD et d'autres cadres réglementaires dans une vue unique
Questions fréquentes
À quelle fréquence le registre des obligations légales doit-il être révisé ?
La norme exige que la documentation soit tenue à jour. Les organisations doivent au minimum réviser le registre annuellement et à chaque changement important, comme l'entrée sur un nouveau territoire, le lancement d'un nouveau produit traitant des données personnelles ou la modification de la législation applicable. Lier ces révisions aux cycles de revue de direction permet d'en garantir la régularité.
La certification ISO 27701 peut-elle satisfaire aux obligations de conformité contractuelle ?
Le guide de mise en œuvre précise que, dans certaines juridictions, des normes internationales telles que l'ISO 27701 peuvent servir de base à des accords contractuels. Si la certification atteste d'un système de gestion de la protection des données robuste, certains contrats peuvent imposer des exigences supplémentaires. Chaque obligation contractuelle doit être évaluée individuellement et consignée dans le registre de conformité.
Quelles sont les conséquences d'un défaut d'identification des exigences légales applicables ?
Le défaut d'identification des obligations légales applicables peut entraîner des amendes importantes de la part des autorités de contrôle, des réclamations pour rupture de contrat de la part des clients et partenaires, des pertes commerciales et une atteinte à la réputation. En vertu du RGPD, les amendes peuvent atteindre 4 % du chiffre d'affaires annuel mondial. Outre les sanctions financières, l'ignorance d'une obligation légale ne constitue pas un moyen de défense lors des procédures d'application.
Consultez notre analyse de Coût de la non-conformité par rapport à la certification pour l'impact financier du non-respect de la réglementation.
Les organisations qui doivent gérer plusieurs cadres de référence devraient lire ceci : ISO 27701:2025 vs SOC 2 : lequel vous faut-il ?.
