Passer au contenu
ISMS.en ligne

ISO 27701 – Clause 8.5 – Partage, transfert et divulgation des informations personnelles

La clause 27701 de la norme ISO/IEC 8.5 décrit les exigences applicables aux organisations en matière de partage, de transfert et de divulgation d'informations personnelles identifiables (PII), garantissant ainsi le respect des obligations légales, réglementaires et contractuelles tout en préservant la transparence et la confidentialité.

Auteur
Mike Jennings
Mise à jour en septembre 19, 2025
4 / 5 Etoiles

Comprendre la clause 27701 de la norme ISO 8.5 : Partage, transfert et divulgation des informations personnelles identifiables

La clause 27701 de la norme ISO 8.5 décrit les objectifs d'une organisation chaque fois que des informations personnelles doivent être transférées ou divulguées à d'autres pays, organisations et sous-traitants.

ISO 27701 Clause 8.5.1 – Partage, transfert et divulgation des informations personnelles

Objet de la clause 8.5.1

Chaque fois que des informations personnelles doivent être transférées entre juridictions, les organisations doivent informer le client de la nécessité sous-jacente de le faire, en temps opportun.

Orientations sur la clause 8.5.1

Les réglementations en matière de transfert de données personnelles peuvent varier d'une région à l'autre, en fonction de l'endroit où les données sont transférées vers et depuis.

Les destinations de transfert peuvent inclure :

  • Fournisseurs.
  • Tiers.
  • Différents pays.
  • Organisations internationales.

Les organisations doivent informer le client suffisamment à l'avance de tout transfert, afin que des objections puissent être soulevées et, dans certaines circonstances, des demandes de résiliation puissent être faites.

Les organisations n'ont pas toujours besoin d'informer leurs clients des modifications apportées à leurs modalités de transfert de données, mais les contrats doivent clairement indiquer les circonstances dans lesquelles elles doivent offrir un avertissement préalable.

Lors du transfert d’informations personnelles vers un autre pays, les organisations doivent envisager des mécanismes officiels, tels que :

  1. Clauses contractuelles types.
  2. Règles d'entreprise contraignantes.
  3. Règles de confidentialité transfrontalières.


ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


ISO 27701 Clause 8.5.2 – Pays et organisations internationales vers lesquels les informations personnelles peuvent être transférées

Objet de la clause 8.5.2

Les organisations doivent conserver une liste précise et à jour de tous les pays ou organisations vers lesquels les informations personnelles peuvent potentiellement être transférées.

Orientations sur la clause 8.5.2

Les clients doivent pouvoir consulter à tout moment une liste des pays et organisations destinataires potentiels, y compris un journal de tous les pays impliqués dans la sous-traitance des informations personnelles (voir la clause 27701 de la norme ISO 8.5.1).

Dans certaines circonstances, les organisations ne seront pas toujours en mesure de divulguer à l’avance l’origine des demandes de transfert – notamment en cas de procédure pénale. Ceci est inévitable et la priorité de l'organisation devrait être de maintenir l'intégrité d'une opération d'application de la loi (voir les clauses 27701, 7.5.1 et 8.5.4 de la norme ISO 8.5.5).

Clauses ISO 27701 pertinentes

  • ISO 27701 7.5.1
  • ISO 27701 8.5.1
  • ISO 27701 8.5.4
  • ISO 27701 8.5.5

ISO 27701 Clause 8.5.3 – Enregistrements de divulgation d'informations personnelles à des tiers

Objet de la clause 8.5.3

Les organisations doivent enregistrer méticuleusement tous les cas où elles doivent divulguer des informations personnelles à un tiers.

Orientations sur la clause 8.5.3

Chaque fois que des informations personnelles sont divulguées – que ce soit dans le cadre de routines commerciales standard ou dans des circonstances particulières, telles qu'un processus juridique ou réglementaire en cours – les organisations doivent enregistrer ce qui a été divulgué, le destinataire et la raison sous-jacente de cette divulgation.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


ISO 27701 Clause 8.5.4 – Notification des demandes de divulgation d’informations personnelles

Objet de la clause 8.5.4

Chaque fois qu'une demande juridiquement contraignante est faite pour que l'organisation divulgue des informations personnelles, lorsque cela est autorisé, l'organisation doit en informer le responsable des informations personnelles.

Orientations sur la clause 8.5.4

Les organisations doivent rédiger une procédure qui régit la manière dont les responsables des informations personnelles sont informés des demandes juridiquement contraignantes de tiers concernant leurs informations, y compris un délai raisonnable et une stipulation contractuelle décrivant l'ensemble du processus.

Avant tout, les organisations doivent se conformer aux demandes des forces de l'ordre, qui ont le droit d'exiger que le client ne soit informé d'aucune demande et de garantir qu'ils n'enfreignent aucune loi en informant accidentellement ou volontairement le client de la situation.

ISO 27701 Clause 8.5.5 – Divulgations d’informations personnelles juridiquement contraignantes

Objet de la clause 8.5.5

Les organisations doivent immédiatement s'opposer à toute demande de divulgation d'informations personnelles qui enfreint les lois en vigueur sur la sécurité des données ou qui, d'une manière ou d'une autre, ne sont pas juridiquement contraignantes.

Les responsables des PII doivent être consultés avant que l'organisation ne divulgue des informations liées aux PII, et les organisations doivent adhérer aux conditions contractuelles qui décrivent les divulgations autorisées, du point de vue du client.

Orientations sur la clause 8.5.5

Les contrats doivent être spécifiques dans ce qu'ils considèrent comme une demande légale, en plus de celles autorisées par le client, y compris celles qui proviennent de :

  • Tribunaux.
  • Tribunaux du travail.
  • Conflits du travail.
  • Autorités réglementaires/administratives.

ISO 27701 Clause 8.5.6 – Divulgations d’informations personnelles juridiquement contraignantes

Objet de la clause 8.5.6

Avant de s'engager avec des sous-traitants tenus de traiter des informations personnelles, l'organisation doit d'abord divulguer les détails de la relation, avant de permettre au sous-traitant d'exercer ses fonctions.

Orientations sur la clause 8.5.6

Toutes les dispositions relatives au recours à des sous-traitants doivent être répertoriées comme telles dans le contrat SLA/client.

Les informations sur les sous-traitants doivent inclure :

  1. Le nom des sous-traitants.
  2. Tous les pays vers lesquels le sous-traitant est en mesure de transférer des données (voir ISO 27701 clause 8.5.2), afin que le client puisse informer tous les donneurs d'ordre PII.
  3. Comment le sous-traitant est censé répondre aux besoins de l'organisation (voir la clause 27701 de la norme ISO 8.5.7).

Les NDA doivent être rédigées pour divulguer toute information qui représenterait un risque de sécurité accru si elle était exposée publiquement.

Clauses ISO 27701 pertinentes

  • ISO 27701 8.5.2
  • ISO 27701 8.5.7


ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


ISO 27701 Clause 8.5.7 – Engagement d'un sous-traitant pour traiter les informations personnelles

Objet de la clause 8.5.7

Le seul cas dans lequel il est acceptable de sous-traiter les activités de traitement des informations personnelles est celui des stipulations contenues dans un accord contractuel.

Orientations sur la clause 8.5.7

Les organisations doivent obtenir l’approbation écrite de leurs clients avant que des informations personnelles ne soient traitées par une organisation tierce.

Les sous-traitants doivent être soumis à un accord contraignant (généralement sous la forme d'un contrat écrit), qui garantit qu'ils comprennent leurs obligations en matière de mise en œuvre des contrôles répertoriés dans l'Annexe B de la norme ISO 27701.

Les contrats doivent prendre en compte divers processus d'évaluation des risques (voir la clause 27701 de la norme ISO 5.4.1.2) et l'ensemble de la portée des opérations de traitement des informations personnelles de l'organisation (voir la clause 27701 de la norme ISO 6.12). Comme ci-dessus, tous les contrôles énumérés à l’Annexe B doivent être respectés, avec toutes les omissions répertoriées, ainsi que les justifications de ce fait.

Clauses ISO 27701 pertinentes

  • ISO 27701 5.4.1.2
  • ISO 27701 6.12

ISO 27701 Clause 8.5.8 – Changement de sous-traitant pour traiter les informations personnelles

Objet de la clause 8.5.8

Chaque fois qu'il est nécessaire de modifier la manière dont l'organisation externalise un élément de son opération de traitement des informations personnelles, les clients doivent être informés des changements suffisamment à l'avance afin de leur donner le temps de remettre en question ou de s'opposer à ces changements.

Orientations sur la clause 8.5.8

Les contrats doivent inclure des clauses prévoyant l'autorisation écrite du client pour procéder au changement, avant que les informations personnelles ne soient traitées.

Les organisations peuvent également demander l’approbation de modifications dans le cadre d’accords écrits ad hoc, en dehors de toute clause contractuelle.

Articles de support du RGPD

Divers éléments de la norme ISO 27701, clause 8.5, sont applicables au Royaume-Uni. GDPR législation. Jetez un œil au tableau ci-dessous pour les références correspondantes.

Identificateur de clause ISO 27701 Nom de la clause ISO 27701 Articles associés au RGPD
8.5.1 Base du transfert de données personnelles entre juridictions Les articles , , (48),
8.5.2 Pays et organisations internationales vers lesquels les informations personnelles peuvent être transférées Article
8.5.3 Enregistrements de divulgation de renseignements personnels à des tiers Article
8.5.4 Notification des demandes de divulgation de renseignements personnels Article
8.5.5 Divulgations d’informations personnelles juridiquement contraignantes Article (48)
8.5.6 Divulgation des sous-traitants utilisés pour traiter les informations personnelles Article
8.5.7 Engagement d'un sous-traitant pour traiter les informations personnelles Article
8.5.8 Changement de sous-traitant pour traiter les informations personnelles Article

Comment ISMS.online vous aide

Chez ISMS.online, nous facilitons la documentation de votre système de gestion des informations confidentielles pour votre organisation. Nous vous fournissons une interface de gestion des informations logique et utilisable, basée sur le cloud, qui aidera votre organisation à vérifier ses processus de confidentialité et à progresser par rapport à la norme ISO 27701/PIMS.

Notre plateforme basée sur le cloud vous permet d'accéder à toutes vos ressources PIMS en un seul endroit.

Vous pouvez utiliser notre plateforme facile à utiliser pour documenter tout ce dont vous avez besoin pour démontrer que vous répondez aux exigences de la norme ISO 27701. Notre méthode des résultats assurés (ARM) démystifie les exigences de la norme ISO 27701 et vous donne confiance à mesure que vous progressez vers l'atteinte des certification.

Nous disposons d'une équipe interne d'experts en sécurité de l'information qui peuvent vous fournir des conseils et répondre à vos questions pour vous aider sur la voie de la certification ISO 27701.

En savoir plus par réserver une démo.

Mike Jennings

Mike est le responsable du système de gestion intégré (IMS) ici sur ISMS.online. En plus de ses responsabilités quotidiennes consistant à garantir que la gestion des incidents de sécurité du SGI, les renseignements sur les menaces, les actions correctives, les évaluations des risques et les audits sont gérés efficacement et tenus à jour, Mike est un auditeur principal certifié ISO 27001 et continue de améliorer ses autres compétences dans les normes et cadres de sécurité de l'information et de gestion de la confidentialité, notamment Cyber ​​Essentials, ISO 27001 et bien d'autres.

Clauses ISO 27701

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Prêt à commencer?

Demander demo