Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.3.6 : Étiquetage des informations

Le contrôle A.3.6 exige des organismes qu’ils élaborent et mettent en œuvre des procédures d’étiquetage des informations tenant compte des données personnelles, conformément à leur système de classification. Un étiquetage efficace rend la classification visible et exploitable.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.3.6 ?

Un ensemble approprié de procédures d'étiquetage de l'information prenant en compte les données personnelles identifiables doit être élaboré et mis en œuvre conformément au système de classification de l'information adopté par l'organisation.

Cette commande se trouve à l'intérieur de contrôles de sécurité partagés (Tableau A.3) et travaille directement avec A.3.5 (Classification)La classification attribue un niveau de sensibilité ; l’étiquetage rend ce niveau visible à toute personne manipulant l’information.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.3.6) fournit des orientations ciblées :

  • S'assurer que les personnes sous le contrôle de l'organisation sont connaissant la définition des informations personnelles identifiables (IPI) et comment reconnaître les informations qui sont des données personnelles identifiables (DPI)
  • Les procédures d'étiquetage doivent couvrir tous les formats : fichiers numériques, documents physiques, courriels, bases de données, supports de stockage et interfaces système.
  • Les étiquettes doivent être claires, cohérentes et conformes au système de classification défini dans le cadre de la réglementation. A.3.5 Classification des informations
  • Lorsque des outils d'étiquetage automatisés sont utilisés, ils doivent être configurés pour identifier et étiqueter correctement les informations personnelles identifiables (IPI).
  • Voir aussi A.3.20 : Supports de stockage pour les exigences connexes
  • Voir aussi A.3.21 : Élimination ou réutilisation sécurisée des équipements pour les exigences connexes

Ces recommandations sont volontairement concises car le principal défi n'est pas technique, mais comportemental : il est essentiel que les utilisateurs sachent identifier les données personnelles et les étiqueter correctement. Sans cette sensibilisation, même le meilleur système de classification ne sera pas appliqué de manière cohérente.

Comment cela se traduit-il au regard du RGPD ?

La commande A.3.6 correspond à GDPR Article 5(1)(f) (intégrité et confidentialité). GDPR Elle ne prescrit pas d'exigences d'étiquetage spécifiques, mais le principe des mesures techniques et organisationnelles appropriées implique de rendre visible la sensibilité des informations afin qu'elles puissent être traitées correctement. L'étiquetage facilite la mise en œuvre concrète de la protection des données dès la conception et par défaut (article 25).

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

En tant que contrôle de sécurité partagé, A.3.6 soutient le cadre plus large ISO 29100 Un étiquetage cohérent des actifs contenant des données personnelles est une mise en œuvre pratique du principe de sécurité de l'information, garantissant que toute personne manipulant des informations puisse identifier leur sensibilité en un coup d'œil et appliquer les procédures de traitement appropriées.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Demander demo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.3.6, les auditeurs recherchent généralement :

  • procédures d'étiquetage — Procédures documentées décrivant comment les informations (y compris les données personnelles) doivent être étiquetées dans tous les formats
  • Cohérence avec la classification — Preuve que l'étiquetage est conforme au schéma de classification défini sous A.3.5 Classification des informations
  • Formation et sensibilisation — Preuve que le personnel sait ce que sont les renseignements personnels identifiables (RPI), comment les reconnaître et comment les étiqueter correctement.
  • Lieux de contrôle — Exemples concrets d'étiquetage : documents correctement classés, bases de données avec indicateurs de confidentialité, courriels avec mentions de sensibilité
  • Étiquetage automatisé — Lorsque des outils sont utilisés, il convient de fournir des preuves de configuration et une validation périodique de l'exactitude des étiquettes automatisées.

Quelles sont les commandes associées ?

Contrôle Lien familial
A.3.5 Classification de l'information L'étiquetage met en œuvre le schéma de classification en rendant visibles les niveaux de sensibilité.
A.3.7 Transfert d'informations Les étiquettes permettent de faire respecter les règles de transfert en indiquant clairement quelles informations nécessitent des mesures de protection supplémentaires lors du transfert.
A.3.3 Politiques de sécurité des informations Les procédures d'étiquetage doivent être référencées dans la politique de sécurité de l'information ou en découler.
A.3.8 Gestion des identités Les informations étiquetées peuvent être utilisées pour appliquer des restrictions d'accès via des systèmes de gestion des identités.
A.3.4 Rôles et responsabilités Les propriétaires de l'information sont responsables de s'assurer que leurs actifs sont correctement étiquetés.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était traitée à la clause 6.5.2.2. Le fond reste inchangé. La restructuration de 2025 place l'étiquetage au même titre que la classification dans les contrôles de sécurité partagés, soulignant ainsi leur complémentarité. Les instructions de mise en œuvre (B.3.6) conservent le message principal : s'assurer que les personnes peuvent identifier les données personnelles et savoir comment les étiqueter. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour l'étiquetage des informations ?

ISMS.en ligne vous aide à mettre en œuvre et à maintenir un étiquetage cohérent au sein de votre organisation :

  • Étiquetage des actifs — Attribuer à chaque élément d'information du registre son niveau de classification et son statut de donnée personnelle, afin de créer une source unique de vérité.
  • Modèles de procédures d'étiquetage Utilisez des modèles de procédures prédéfinis couvrant l'étiquetage numérique, physique et électronique, puis personnalisez-les en fonction de votre environnement.
  • Campagnes de formation et de sensibilisation — Diffuser les consignes d'étiquetage à tout le personnel et assurer le suivi des personnes ayant suivi la formation.
  • Contrôles de conformité — Consigner les résultats des contrôles et des examens ponctuels d'étiquetage, en reliant les constats aux mesures correctives nécessaires.
  • Intégration avec la classification — Les niveaux de classification et les étiquettes sont gérés conjointement, garantissant ainsi la cohérence entre les dispositions du référentiel et les étiquettes effectivement appliquées.

Questions fréquentes

Quelles méthodes d'étiquetage sont acceptables ?

Toute méthode permettant de rendre le niveau de classification visible et exploitable. Pour les documents numériques, il peut s'agir d'en-têtes et de pieds de page, de métadonnées ou d'étiquettes de confidentialité dans les outils de messagerie et de collaboration (par exemple, Microsoft Purview Information Protection). Pour les documents physiques, les marquages ​​de classification imprimés ou les dossiers à code couleur sont efficaces. Pour les bases de données et les systèmes, les étiquettes peuvent être appliquées via des champs de métadonnées ou des balises de contrôle d'accès.

Comment s'assurer que les gens reconnaissent les informations personnelles identifiables (IPI) ?

Fournissez des définitions claires et des exemples dans vos supports de formation. Les données personnelles comprennent des identifiants évidents comme les noms, adresses électroniques et numéros d'identification nationaux, mais aussi des données moins évidentes qui, combinées, permettent d'identifier une personne, telles que son poste, son service et son lieu de travail. Utilisez des exemples concrets tirés de vos propres systèmes (anonymisés) pour aider les utilisateurs à reconnaître les données personnelles dans leur contexte. Des formations de rappel régulières permettent de maintenir les connaissances à jour.

L'étiquetage automatisé devrait-il remplacer l'étiquetage manuel ?

Les outils d'étiquetage automatisé peuvent améliorer considérablement la cohérence et alléger la charge de travail des utilisateurs, notamment pour l'étiquetage des courriels et des documents. Cependant, ils doivent compléter, et non remplacer, le jugement humain. Les outils automatisés peuvent ne pas identifier correctement toutes les données personnelles, en particulier dans les contenus non structurés. Une combinaison d'étiquetage automatisé par défaut, de possibilité de modification manuelle et de validation périodique constitue l'approche la plus pratique.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.