Que vous apprend l'annexe D ?
L'annexe D est une annexe informative qui établit une correspondance entre les clauses et les contrôles de la norme ISO 27701:2025 et les articles 5 à 35 et 44 à 49 (à l'exclusion des articles 36 à 43) de cette norme. Règlement général de l'UE sur la protection des données (RPGD)Cela montre comment la conformité aux exigences et aux contrôles de la norme peut être pertinente pour satisfaire aux exigences. Obligations du RGPD.
Important: Ce schéma est purement indicatif. Il appartient à l'organisation d'évaluer ses propres obligations légales et de décider comment s'y conformer. La mise en œuvre des contrôles de la norme ISO 27701:2025 ne garantit pas automatiquement la conformité au RGPD, mais elle fournit un cadre structuré permettant de démontrer que les exigences essentielles ont été prises en compte.
Pour une vue d'ensemble des principaux changements, voir Quoi de neuf dans la norme ISO 27701:2025 ?Pour la correspondance avec d'autres frameworks, voir Annexe C (ISO 29100) et Annexe E (ISO 27018/29151)Pour les équivalences de 2019, voir le Tableau de correspondance de l'annexe F.
Comment les clauses relatives au système de management sont-elles mises en correspondance avec le RGPD ?
les exigences de la norme en matière de système de gestion (Articles 4 à 10) correspondent principalement aux articles du RGPD relatifs à la responsabilité en matière de protection des données, à la certification, aux analyses d'impact et à la consultation des autorités de contrôle.
| Article ISO 27701:2025 | Articles clés sur le RGPD | Sujet |
|---|---|---|
| 4.1 Comprendre l'organisation | Art.24, 25, 28, 32 | Responsabilité en matière de protection des données, codes de conduite, certification |
| 4.2 Besoins des parties intéressées | Art.31, 35 | Coopération avec l'autorité de surveillance, consultation sur l'analyse d'impact relative à la protection des données (AIPD) |
| 4.3-4.4 Portée et PIMS | Art 32 | Sécurité du traitement |
| 5.2 Politique de confidentialité | Art 24 | Responsabilité du responsable du traitement |
| 5.3 Rôles et responsabilités | Art. 27, 37-39 | Représentants d’organisations non membres de l’UE, désignation du DPO et tâches |
| 6.1.2-6.1.3 Évaluation et traitement des risques | Art.32, 35 | Sécurité du traitement, analyse d'impact relative à la protection des données |
Comment les contrôles du responsable du traitement des données personnelles (B.1) sont-ils mis en correspondance avec le RGPD ?
Le Contrôleur PII Les orientations de mise en œuvre figurant à l'annexe B correspondent largement aux principes fondamentaux du RGPD et aux droits des personnes concernées. Chaque contrôle B.1 fournit des orientations de mise en œuvre pour le contrôle correspondant. Annexe A contrôle avec la même numérotation (par exemple B.1.2.2 est le guide pour A.1.2.2).
| Annexe B - Orientations | Contrôle de l'annexe A | Articles clés sur le RGPD | Sujet |
|---|---|---|---|
| B.1.2.2 | A.1.2.2 Identifier et documenter l'objectif | Art. 5(1)(b), 32(4) | Limitation de la finalité |
| B.1.2.3 | A.1.2.3 Identifier le fondement juridique | Art. 5(1)(a), 6(1)-(4), 8, 9, 10, 17, 18, 22 | Licéité, catégories particulières, données pénales, consentement des enfants |
| B.1.2.4-5 | A.1.2.4 Déterminer le consentement, A.1.2.5 Obtenir et consigner le consentement | Art. 7, 8, 9(2)(a) | Conditions du consentement |
| B.1.2.6 | A.1.2.6 Évaluation de l'impact sur la vie privée | Art 35 | L'analyse d'impact relative à la protection des données et la consultation préalable |
| B.1.2.9 | A.1.2.9 Enregistrements de traitement | Art. 5(2), 24, 30 | Responsabilité, registres des activités de traitement |
| B.1.3.3-4 | A.1.3.3 Informations destinées aux personnes concernées par les données personnelles, A.1.3.4 Fournir des informations | Art. 11-15, 18, 21 | Transparence, information des personnes concernées |
| B.1.3.5 | A.1.3.5 Retirer son consentement | Art. 7(3), 13, 14, 18 | Droit de retirer son consentement, limitation du traitement |
| B.1.3.6 | A.1.3.6 S'opposer au traitement | Art. 13, 14, 21 | Droit d'opposition |
| B.1.3.7 | A.1.3.7 Accès, rectification ou effacement | Art. 5(1)(d), 13, 14, 16, 17 | Droit d'accès, de rectification, d'effacement |
| B.1.3.9 | A.1.3.9 Fourniture d'une copie des données personnelles | Art. 15(3-4), 20 | Droit à la portabilité des données |
| B.1.3.10 | A.1.3.10 Traitement des demandes | Art. 12(3-6), 15 | Procédures d'exercice des droits |
| B.1.3.11 | A.1.3.11 Prise de décision automatisée | Art. 13, 14, 22 | Prise de décision individuelle automatisée, profilage |
| B.1.4.2-3 | A.1.4.2 Limite de collecte, A.1.4.3 Limiter le traitement | Art. 5(1)(bc), 25(2) | Limitation des finalités, minimisation des données, protection des données dès la conception |
| B.1.4.6 | A.1.4.6 Dé-identification et suppression | Art. 5(1)(ce), 6(4)(e), 11, 32 | Minimisation des données, limitation du stockage, pseudonymisation |
| B.1.5.2 | A.1.5.2 Base du transfert international | Art. 15, 30, 44-49 | Transferts vers des pays tiers, adéquation, garanties, BCR, dérogations |
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Comment les contrôles des processeurs PII (B.2) s'alignent-ils sur le RGPD ?
Le processeur PII Les instructions de mise en œuvre suivent la même convention de numérotation. Chaque référence B.2 correspond à son contrôle A.2 correspondant.
| Annexe B - Orientations | Contrôle de l'annexe A | Articles clés sur le RGPD | Sujet |
|---|---|---|---|
| B.2.2.2 | A.2.2.2 Contrat client | Art.28, 35 | Obligations du responsable du traitement, soutien à l'analyse d'impact relative à la protection des données (AIPD) |
| B.2.2.3 | A.2.2.3 Objectifs de l'organisation | Art. 5(1)(ab), 28(3)(a), 29, 32 | Traitement sous l'autorité du responsable du traitement |
| B.2.2.4 | A.2.2.4 Marketing et publicité | Article 7(4) | Le consentement n'est pas conditionné par le service. |
| B.2.2.7 | A.2.2.7 Enregistrements de traitement | Art. 30(2-5) | Registres des activités de traitement (transformateur) |
| B.2.3.2 | A.2.3.2 Obligations envers les mandants PII | Art. 15(3), 17(2), 28(3)(e) | Assister le responsable du traitement des demandes des personnes concernées |
| B.2.4.3 | A.2.4.3 Restitution ou élimination des données personnelles | Art. 28(3)(g), 30(1)(f) | Suppression ou retour après la fin du service |
| B.2.5.2 | A.2.5.2 Transferts internationaux | Art.44, 46, 48, 49 | Transferts vers des pays tiers (sous-traitant) |
| B.2.5.7 | A.2.5.7 Divulgation des sous-traitants | Article 28(2) | Autorisation du sous-traitant |
| B.2.5.8 | A.2.5.8 Recours à un sous-traitant | Art. 28(2-4) | exigences contractuelles des sous-traitants |
| B.2.5.9 | A.2.5.9 Changement de sous-traitant | Article 28(2) | Notification de changement de sous-processeur |
Comment les contrôles de sécurité partagés (B.3) s'alignent-ils sur le RGPD ?
Le contrôles de sécurité partagés Elles correspondent principalement à l'article 5, paragraphe 1, point f) (intégrité et confidentialité) et à l'article 32 (sécurité du traitement) du RGPD. Chaque référence B.3 correspond à son contrôle A.3 correspondant.
| Annexe B - Orientations | Annexe A Contrôles | Articles clés sur le RGPD | Sujet |
|---|---|---|---|
| B.3.5-9 | A.3.5 Classification, A.3.6 Étiquetage, A.3.7 Transfer, A.3.8 Identité, A.3.9 Accès | Art. 5(1)(f) | Principe d'intégrité et de confidentialité |
| B.3.10, B.3.13 | A.3.10 Accords avec les fournisseurs, A.3.13 Exigences légales | Art.28, 32 | Obligations du sous-traitant, sécurité du traitement |
| B.3.11-12 | A.3.11 Gestion des incidents, A.3.12 Réponse aux incidents | De l'art. 33-34 | Notification de violation (à l'autorité de contrôle et aux personnes concernées) |
| B.3.14, B.3.16 | A.3.14 Protection des documents, A.3.16 Conformité | Art. 5(2), 24, 32 | Responsabilisation, vérification de la conformité |
| B.3.19-25 | A.3.19 Bureau dégagé, A.3.20 Supports de stockage, A.3.21 Élimination, A.3.22 Points d'extrémité, A.3.23 Authentification, A.3.24 Sauvegarde, A.3.25 Exploitation forestière | Art. 5(1)(f), 32(1)(a) | Intégrité, confidentialité, chiffrement et pseudonymisation |
| B.3.26 | A.3.26 Utilisation de la cryptographie | Art. 32(1)(a) | Cryptage et pseudonymisation |
| B.3.27-29 | A.3.27 Développement sécurisé, A.3.28 Sécurité des applications, A.3.29 Architecture du système | Article 25(1) | Protection des données dès la conception |
| B.3.31 | A.3.31 Informations sur le test | Art. 5(1)(f), 32 | Protection des informations personnelles identifiables dans les environnements de test |
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Comment utiliser cette cartographie en pratique ?
Le tableau de correspondance de l'annexe D est un point de départ, et non une liste de contrôle de conformité. Voici comment l'utiliser efficacement :
- Analyse des écarts: Si vous avez mis en œuvre les contrôles de la norme ISO 27701:2025, utilisez la correspondance pour identifier les articles du RGPD que vous avez déjà traités et les lacunes restantes.
- Preuves d’audit : Référencez le mappage lorsque vous démontrez aux autorités de contrôle ou aux auditeurs que votre système de gestion de l'information de fournisseur (PIMS) est conforme au RGPD.
- Rapports inter-cadres : Utilisez la cartographie pour produire des rapports de conformité unifiés qui montrent comment un ensemble de contrôles satisfait à de multiples exigences réglementaires.
- Assistance DPIA : La correspondance avec l'article 35 vous aide à relier vos analyses d'impact sur la vie privée (contrôle A.1.2.6) aux exigences de l'analyse d'impact relative à la protection des données (AIPD) du RGPD
- Planification des transitions : Si vous migrez depuis la norme ISO 27701:2019, utilisez le mappage en parallèle avec guide de transition vérifier la couverture du RGPD dans le cadre de la nouvelle structure de contrôle
N’oubliez pas que la conformité au RGPD implique des obligations qui vont au-delà de ce que couvre une seule norme (par exemple, la désignation d’une autorité de contrôle chef de file, la réponse aux mesures d’exécution). Le tableau de correspondance indique les domaines où la norme ISO 27701:2025 apporte un soutien structuré, mais ne garantit pas la conformité.
Pourquoi nous choisir ISMS.en ligne pour l'alignement sur le RGPD et la norme ISO 27701 ?
ISMS.en ligne vous permet de gérer les deux frameworks sur une seule plateforme :
- vues de conformité intégrées — Découvrez comment les contrôles ISO 27701:2025 correspondent aux obligations du RGPD sur un seul tableau de bord
- Bibliothèque de preuves — Joindre les mêmes éléments de preuve (politiques, analyses d'impact relatives à la protection des données, procédures en cas de violation) aux contrôles ISO 27701 et aux exigences du RGPD
- Suivi réglementaire — Restez informé des évolutions en matière de mise en œuvre du RGPD et mettez à jour votre système de gestion de l'information en conséquence.
- Cartographie des données — Consignez vos activités de traitement, les bases légales et les transferts internationaux dans un registre structuré
- Gestion des violations — Suivre les incidents depuis leur détection jusqu'à leur notification, conformément aux articles 33 et 34 et aux contrôles. A.3.11/A.3.12
Questions fréquentes
La mise en œuvre de la norme ISO 27701:2025 signifie-t-elle que je suis conforme au RGPD ?
Pas automatiquement. La norme ISO 27701:2025 fournit un cadre de système de management qui prend en charge de nombreuses exigences du RGPD, mais la conformité au RGPD dépend de vos activités de traitement spécifiques, des bases légales utilisées et de la manière dont vous mettez en œuvre et exploitez vos contrôles. Le mappage de l'annexe D est indicatif et ne constitue pas un certificat de conformité. Pour une analyse détaillée de la manière dont la norme prend en charge le RGPD, consultez le document suivant : guide de conformité au RGPD.
Quels articles du RGPD sont couverts de la manière la plus exhaustive par la norme ISO 27701:2025 ?
Les articles 5 (principes), 6 (base légale), 12 à 22 (droits des personnes concernées), 25 (protection des données dès la conception), 28 (obligations du sous-traitant), 30 (registres des traitements), 32 (sécurité), 33 et 34 (notification des violations) et 44 à 49 (transferts internationaux) présentent tous des correspondances étendues avec les contrôles de la norme ISO 27701:2025. commandes de la manette offrir la couverture la plus large, en abordant les droits des personnes concernées, la limitation des finalités et les exigences relatives au fondement juridique.
La cartographie du RGPD a-t-elle changé depuis l'édition 2019 ?
La cartographie a été mise à jour pour refléter la nouvelle numérotation des contrôles (Annexe ALa structure B remplace les clauses 6 à 8, mais les articles du RGPD sous-jacents restent globalement similaires. La cartographie de 2025 est plus détaillée dans certains domaines en raison de la restructuration des contrôles. Voir la comparaison complète des changements pour en savoir plus.
Quel est le lien entre l'annexe A et l'annexe B ?
L’annexe A définit les contrôles de confidentialité (ce que vous devez faire) et l’annexe B fournit les instructions de mise en œuvre correspondantes (comment procéder). Elles portent la même numérotation : A.1.2.2 Le contrôle B.1.2.2 constitue le guide d'application. Ces deux annexes sont normatives dans l'édition 2025. La correspondance de l'annexe D fait référence à la numérotation B car elle établit un lien entre les lignes directrices de mise en œuvre et les articles du RGPD ; toutefois, chaque contrôle B possède un équivalent direct dans l'annexe A.
Pour des conseils pratiques sur la mise en œuvre des contrôles des transferts transfrontaliers, consultez notre guide sur les transferts transfrontaliers de données.
Comprenez la situation financière dans son ensemble grâce à notre analyse de Coût de la non-conformité par rapport à la certification.
Les DPO peuvent trouver une analyse approfondie de ces obligations dans notre guide pour les DPO.
