Passer au contenu
Travaillez plus intelligemment grâce à notre nouvelle navigation améliorée !
Découvrez comment IO simplifie la conformité. Lire le blog
ISMS.en ligne

ISO 27701 – Article 7.2 – Conditions de collecte et de traitement

La clause 27701 de la norme ISO 7.2 décrit les exigences relatives au traitement légal et transparent des informations personnelles identifiables, notamment l'identification des finalités, l'établissement d'une base juridique, l'obtention et l'enregistrement du consentement et la réalisation d'évaluations de l'impact sur la vie privée.

Auteur
Toby Canne
Mise à jour en septembre 19, 2025
4 / 5 Etoiles

Comprendre la clause 27701 de la norme ISO 7.2 : conditions du traitement licite des données personnelles

La clause 27701 de la norme ISO 7.2 (Conditions de collecte et de traitement) contient des conseils sur la façon de prouver et de documenter que les activités de traitement des informations personnelles de l'organisation sont licites et fonctionnent dans les limites juridiques pertinentes.

Voici un aperçu des directives spécifiques aux clauses de l'ISO, ainsi que celles du Royaume-Uni correspondantes. GDPR citations (tableau des citations liées en bas de page).

Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.

ISO 27701 Clause 7.2.1 – Identifier et documenter l'objectif

Objet de la clause 7.2.1

Les organisations doivent d’abord identifier puis enregistrer les raisons spécifiques du traitement des informations personnelles qu’elles utilisent.

Orientations sur la clause 7.2.1

Les responsables des PII doivent être parfaitement au courant de toutes les différentes raisons pour lesquelles leurs PII sont traitées.

Il est de la responsabilité de l'organisation de transmettre ces raisons aux responsables des PII, ainsi qu'une « déclaration claire » expliquant pourquoi ils doivent traiter leurs informations.

Toute la documentation doit être claire, complète et facilement comprise par tout responsable des PII qui la lit – y compris tout ce qui concerne le consentement, ainsi que des copies des procédures internes (voir ISO 27701, clauses 7.2.3, 7.3.2 et 7.2.8).

Clauses ISO 27701 pertinentes

  • ISO 27701 7.2.3
  • ISO 27701 7.3.2
  • ISO 27701 7.2.8


ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


ISO 27701 Clause 7.2.2 – Identifier la base légale

Objet de la clause 7.2.2

Selon la juridiction, les organisations peuvent devoir prouver que leurs activités de traitement des informations personnelles sont licites avant qu'ils ne commencent.

Orientations sur la clause 7.2.2

Pour constituer une base juridique pour le traitement des informations personnelles, les organisations doivent :

  • Demandez le consentement des responsables des informations personnelles.
  • Rédigez un contrat.
  • Respecter diverses autres obligations légales.
  • Protéger les « intérêts vitaux » des différents responsables des informations personnelles.
  • Veiller à ce que les tâches exécutées soient dans l’intérêt public.
  • Confirmez que le traitement des informations personnelles constitue un intérêt légitime.

Pour chaque point mentionné ci-dessus, les organisations doivent être en mesure de proposer une confirmation documentée.

Les organisations doivent également prendre en compte toutes les « catégories spéciales » de données personnelles liées à leur organisation dans leur système de classification des données (voir ISO 27701, clause 7.2.8) (les classifications peuvent varier d'une région à l'autre).

Si les organisations constatent des changements dans les raisons sous-jacentes du traitement des informations personnelles, cela doit être immédiatement reflété dans leur base juridique documentée.

Clauses ISO 27701 pertinentes

  • ISO 27701 7.2.8

ISO 27701 Clause 7.2.3 – Déterminer quand et comment le consentement doit être obtenu

Objet de la clause 7.2.3

Les organisations doivent être en mesure de démontrer que le consentement au traitement a été obtenu légalement des responsables des PII.

Orientations sur la clause 7.2.3

Les organisations devraient être en mesure de documenter les raisons pour lesquelles elles demandent le consentement et la manière dont il doit être obtenu.

Les stipulations des informations personnelles varient d'une région à l'autre, les organisations doivent donc être continuellement attentives aux lois et réglementations locales et/ou nationales qui peuvent régir la manière dont elles obtiennent le consentement, ainsi qu'aux conditions particulières attachées à certains types de données (par exemple, les enfants).

ISO 27701 Clause 7.2.4 – Obtenir et enregistrer le consentement

Objet de la clause 7.2.4

Une fois qu’elles ont établi que le consentement est requis, les organisations doivent l’obtenir conformément à leur ensemble unique d’exigences.

Orientations sur la clause 7.2.4

Les organisations doivent recueillir le consentement de manière à permettre aux sujets PII de demander facilement des informations sur la manière dont elles ont été obtenues (horodatage, qui l'a demandé, etc.) (voir ISO 27701, clause 7.3.3).

Le consentement repose sur trois stipulations juridiques sous-jacentes : il doit être fourni gratuitement, relatif à la raison du traitement et clair dans son intention.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


ISO 27701 Clause 7.2.5 – Évaluation des facteurs relatifs à la vie privée

Objet de la clause 7.2.5

Les évaluations d'impact sur la confidentialité permettent aux organisations d'évaluer les implications en matière de sécurité des informations lors du traitement d'un nouvel ensemble de données personnelles ou de la modification de la manière dont les données existantes sont traitées.

Orientations sur la clause 7.2.5

Le traitement des informations personnelles est une fonction commerciale à haut risque qui doit être soigneusement évaluée pour garantir l'intégrité, l'authenticité et la légalité des données traitées.

Selon la juridiction, certaines organisations devront se conformer à une liste catégorique de scénarios dans lesquels une évaluation des facteurs relatifs à la vie privée est requise, tels que :

  • Prise de décision automatisée.
  • Traitement au niveau de l'entreprise des catégories PII spéciales.
  • Surveillance de grands espaces publics.

Les organisations doivent établir ce qui constitue une évaluation d’impact adéquate, comprenant (mais sans s’y limiter) :

  1. Quel type de données personnelles est stocké.
  2. Où il est stocké.
  3. Où il peut être déplacé.

ISO 27701 Clause 7.2.6 – Contrats avec les processeurs PII

Objet de la clause 7.2.6

Les organisations doivent conclure des contrats écrits et contraignants avec tout processeur externe d’informations personnelles qu’elles utilisent.

Orientations sur la clause 7.2.6

Tout contrat doit garantir que le sous-traitant des informations personnelles met en œuvre toutes les informations requises contenues dans l'annexe B de la norme ISO 27701, avec une attention particulière aux contrôles d'évaluation des risques (clause 27701 de la norme ISO 5.4.1.2) et à la portée globale des activités de traitement (voir la clause 27701 de la norme ISO 6.12). )

Les organisations doivent être en mesure de justifier l'omission de tout contrôle contenu dans l'Annexe B, dans leur relation avec le processeur de PII (voir ISO 27701 Clause 5.4.1.3).

ISO 27701 Clause 7.2.7 – Contrôleur conjoint des informations personnelles

Objet de la clause 7.2.7

Les organisations doivent décrire les détails de tout accord commun de traitement des informations personnelles, accompagné d’un contrôleur des informations personnelles – cela inclut les mesures de protection générales et toutes les exigences de sécurité associées.

Orientations sur la clause 7.2.7

Les rôles et responsabilités doivent être clairs et sans ambiguïté, et décrits dans un document juridiquement contraignant (parfois appelé « accord de partage de données »).

Les accords peuvent inclure (entre autres mesures) :

  • Pourquoi les informations personnelles sont partagées.
  • Catégories de données.
  • Un aperçu général de l’opération de traitement des informations personnelles.
  • Tous les rôles et responsabilités pertinents.
  • Comment la sécurité des informations confidentielles doit être régie.
  • Quelles mesures doivent être prises en cas de violation de données.
  • Comment les informations personnelles doivent être conservées et détruites lorsqu'elles ne sont plus nécessaires.
  • Que se passe-t-il lorsque l’une ou l’autre des parties ne respecte pas l’accord ?
  • Quelles sont les obligations de chaque partie envers les responsables des PII.
  • Quels mécanismes sont en place pour fournir aux responsables des PII les détails applicables de l'accord conjoint.
  • Comment les responsables des PII peuvent formuler des demandes officielles et comment formuler et fournir une réponse.
  • Points de contact – à la fois en interne et pour les responsables des PII.


ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


ISO 27701 Clause 7.2.8 – Enregistrements liés au traitement des informations personnelles

Objet de la clause 7.2.8

Les organisations doivent conserver un ensemble complet d’enregistrements qui soutiennent leurs actions et obligations en tant que processeur de PII.

Orientations sur la clause 7.2.8

Les enregistrements (également appelés « listes d'inventaire ») doivent avoir un propriétaire délégué et peuvent inclure :

  1. Opérationnel – le type spécifique de traitement des informations personnelles en cours.
  2. Justifications – pourquoi les informations personnelles sont traitées.
  3. Catégorique – listes de destinataires de PII, y compris les organisations internationales.
  4. Sécurité – un aperçu de la manière dont les informations personnelles sont protégées.
  5. Confidentialité – c'est-à-dire un rapport d'évaluation des facteurs relatifs à la vie privée.

Articles de support du RGPD

Divers éléments de la clause 27701 de la norme ISO 7.2 sont applicables dans le cadre de la législation britannique GDPR. Jetez un œil au tableau ci-dessous pour les références correspondantes.

Identificateur de clause ISO 27701 Nom de la clause ISO 27701 Articles associés au RGPD
7.2.1 Identifier et documenter le but Articles ,
7.2.2 Identifier la base légale Articles , , , (9), (10), , ,
7.2.3 Déterminer quand et comment obtenir le consentement Article
7.2.4 Obtenir et enregistrer le consentement Articles (9)
7.2.5 Évaluation de l'impact sur la vie privée Articles ,
7.2.6 Contrats avec les processeurs PII Articles ,
7.2.7 Contrôleur conjoint des informations personnelles Article
7.2.8 Enregistrements liés au traitement des informations personnelles Articles , ,

Comment ISMS.online vous aide

Le processus de mise en œuvre de la norme ISO 27701 peut être difficile, surtout si vous n'avez jamais entrepris un projet comme celui-ci auparavant. ISMS.online peut vous aider !

Nos cadres ISO 27701 permettent à votre entreprise de démontrer sa conformité à la norme ISO 27701.

Nos spécialistes en sécurité de l’information peuvent vous aider à créer une procédure de mise en œuvre logique qui respecte le cadre.

En savoir plus par réserver une démo.

Toby Canne

Responsable de la réussite client partenaire

Toby Cane est Senior Partner Success Manager chez ISMS.online. Il travaille pour l'entreprise depuis près de 4 ans et a occupé divers postes, notamment celui d'animateur de webinaires. Avant de travailler dans le SaaS, Toby était professeur de lycée.

LinkedIn

Clauses ISO 27701

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Prêt à commencer?

Demander demo