Qu’est-ce que la déclaration d’applicabilité et pourquoi est-elle importante ?
La déclaration d'applicabilité (SoA) est un document qui répertorie tous les contrôles. Annexe A de la norme ISO 27701:2025 et indiquez si chaque contrôle est applicable à votre organisation. Pour chaque contrôle applicable, vous consignez son état de mise en œuvre. Pour chaque contrôle exclu, vous fournissez une justification.
C'est important pour trois raisons :
- Il définit le périmètre de votre PIMS — La SoA vous informe organisme de certification Il s'agit de préciser exactement quels contrôles vous avez mis en place et pourquoi certains sont exclus. Cela constitue le fondement de votre audit de certification.
- C'est une exigence obligatoire — La clause 6.1.3 e) de l’ISO 27701:2025 exige explicitement une déclaration d’applicabilité qui comprend les contrôles nécessaires, la justification de leur inclusion, s’ils sont mis en œuvre et la justification de l’exclusion de tout contrôle de l’annexe A.
- Il s'agit de votre feuille de route d'audit. — L’auditeur utilise votre déclaration d’audit comme référence principale lors de l’audit de phase 2. Chaque contrôle jugé applicable sera évalué afin de vérifier sa mise en œuvre.
Que doit contenir le SoA ?
Conformément à la norme ISO 27701:2025, votre déclaration d'analyse (SoA) doit inclure les éléments suivants pour chaque contrôle de l'annexe A :
| Élément obligatoire | Description | Exemple |
|---|---|---|
| Référence de contrôle | Numéro de contrôle et titre de l'annexe A | A.1.2 — Avis de confidentialité |
| État d'applicabilité | Si ce contrôle est applicable à votre organisation | Applicable / Non applicable |
| État de mise en œuvre | Pour les contrôles applicables : que le contrôle soit entièrement mis en œuvre, partiellement mis en œuvre ou planifié | Mis en œuvre |
| Justification de l'inclusion | Pourquoi ce contrôle est nécessaire pour votre PIMS (généralement lié à votre évaluation des risques) | Nécessaire pour remédier au risque R-014 (transparence insuffisante envers les personnes concernées) |
| Justification de l'exclusion | Pour les contrôles exclus : pourquoi le contrôle n’est pas applicable à vos activités de traitement des données | Sans objet — l’organisation n’agit pas en tant que responsable du traitement des données personnelles. |
En quoi la structure de l'État d'action de 2025 diffère-t-elle de celle de 2019 ?
Si vous connaissez l'édition 2019, la structure de la SoA a considérablement changé :
| Aspect | Edition 2019 | Edition 2025 |
|---|---|---|
| Source de contrôle | Articles 6, 7 et 8 (extensions de la norme ISO 27002) | Annexe A (78 contrôles indépendants répartis sur 3 tables) |
| Structure | La norme SoA couvrait à la fois l'annexe A de la norme ISO 27001 et les ajouts de clauses à la norme ISO 27701. | La norme ISO 27701:2025 possède sa propre section d'analyse (SoA) dédiée, couvrant uniquement l'annexe A. |
| Tables de contrôle | Organisé selon la structure des clauses de la norme ISO 27002 | Trois tables : A.1 (contrôleur, 31 commandes), A.2 (processeur, 18 commandes), A.3 (partagé, 29 commandes) |
| Lien avec la norme ISO 27001 SoA | Combiné ou référencé | Document séparé. Si vous détenez les deux certifications, vous devez conserver deux déclarations d'activité (SoA). |
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Comment aborder la construction de l'architecture SoA ?
Étape 1 : Déterminez votre ou vos rôles
La norme ISO 27701:2025 établit une distinction entre les responsables du traitement des données personnelles et les sous-traitants. Votre rôle détermine les tableaux de l'annexe A qui s'appliquent :
- Contrôleur PII uniquement — Tableau A.1 (31 témoins) + Tableau A.3 (29 témoins) = 60 témoins
- Processeur PII uniquement — Tableau A.2 (18 témoins) + Tableau A.3 (29 témoins) = 47 témoins
- Le contrôleur et le processeur — Les trois tables = 78 contrôles
De nombreuses organisations agissent à la fois en tant que responsable du traitement (pour les données des employés) et sous-traitant (pour les données des clients). Si cela vous concerne, les 78 contrôles sont concernés.
Étape 2 : Lier les mesures de contrôle à votre évaluation des risques
Chaque mesure de contrôle applicable doit être liée à un risque identifié dans votre évaluation des risques liés à la protection de la vie privée. Ce lien est ce que… auditou pour vérifier que votre choix de contrôle est fondé sur les risques et non arbitraire. Si un contrôle permet de cibler un risque que vous avez identifié, il doit être applicable. Si aucun risque ne justifie le contrôle et que votre traitement de données ne l'exige pas, vous pouvez l'exclure en fournissant une justification documentée.
Étape 3 : Documenter honnêtement l'état de la mise en œuvre
Pour chaque contrôle applicable, consignez son état actuel :
- Mis en œuvre — Le contrôle est pleinement opérationnel et des preuves le confirment.
- Partiellement mis en œuvre — Certains éléments sont en place ; il reste du travail à accomplir.
- Planifié — La commande est prévue dans votre plan de mise en œuvre, mais n'est pas encore opérationnelle.
Soyez honnête quant à la mise en œuvre partielle. Les auditeurs apprécient la transparence et collaboreront avec vous pour établir un calendrier de mesures correctives. Ne prétendez pas à une mise en œuvre complète alors que… preuve La minceur est un chemin rapide vers une non-conformité majeure.
Étape 4 : Rédiger des justifications d’exclusion défendables
Pour chaque contrôle exclu, votre justification doit expliquer pourquoi il n'est pas applicable à votre contexte spécifique de traitement des données. Les justifications génériques telles que « non pertinent » sont insuffisantes. Exemples d'exclusions justifiées :
- « La règle A.2.x n’est pas applicable car l’organisation n’agit pas en tant que sous-traitant de données personnelles pour le compte d’un tiers. »
- « Le contrôle A.1.x (marketing direct) n’est pas applicable car l’organisation ne traite pas de données personnelles à des fins de marketing direct. »
- « Le contrôle A.3.x (supports physiques) n’est pas applicable car l’organisation traite les données personnelles exclusivement sous forme numérique, sans aucun enregistrement physique. »
Quelles erreurs entraînent des constatations d'audit sur la déclaration d'audit ?
- Absence de justifications pour les exclusions — Le constat le plus fréquent. Chaque contrôle exclu doit être justifié par une raison précise et documentée. La mention « sans objet » ne suffit pas.
- Des contrôles déclarés mis en œuvre sans preuve — Si vous indiquez qu'un contrôle est mis en œuvre, l'auditeur demandera des justificatifs. Assurez-vous que ces justificatifs existent et sont liés avant votre audit.
- L'état des affaires ne correspond pas à l'évaluation des risques — Si votre évaluation des risques identifie un risque pour la protection de la vie privée, mais que le contrôle correspondant est exclu de la déclaration d'audit, l'auditeur le signalera comme une non-conformité.
- En utilisant la structure de 2019 — Si votre déclaration d'accord fait référence aux ajouts relatifs aux contrôleurs/processeurs des clauses 7 et 8 plutôt qu'aux tableaux de l'annexe A, elle ne satisfait pas aux exigences. 2025 exigences.
- Pas de contrôle de version — La déclaration d'activité est un document évolutif. Si elle ne comporte pas d'historique des versions indiquant la date de sa dernière révision et mise à jour, l'auditeur pourrait se demander si elle reflète bien votre situation actuelle.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Comment maintenir le SoA à jour ?
Votre déclaration d'activité n'est pas un document ponctuel. Elle doit être révisée et mise à jour :
- Suite aux modifications de l'évaluation des risques — De nouveaux risques peuvent nécessiter des contrôles supplémentaires ; les risques abandonnés peuvent permettre des exclusions.
- Lorsque les activités de traitement des données changent — De nouveaux services, de nouveaux types de données ou de nouvelles relations de traitement peuvent avoir une incidence sur les contrôles applicables.
- Avant chaque audit — Assurez-vous que l'état d'avancement reflète fidèlement votre état de mise en œuvre actuel
- Dans le cadre de la revue de direction — Inscrire la monnaie de l'État d'Amérique comme point permanent à l'ordre du jour.
A plateforme de conformité Le système qui génère l'état des risques (SoA) à partir de vos données de contrôle en temps réel automatise ce processus. Lorsque vous modifiez l'état d'un contrôle ou ajoutez un nouveau risque, le SoA reflète immédiatement la modification.
Pourquoi nous choisir ISMS.en ligne pour la norme ISO 27701:2025 ?
- Génération automatisée de SoA — Élaborez votre déclaration d'applicabilité à partir de vos sélections de contrôles ; les justifications et les liens vers les preuves seront automatiquement renseignés.
- Les 78 commandes de l'annexe A sont préchargées. — Le contrôleur, le processeur et les contrôles partagés sont prêts à être évalués, avec des notes d'orientation pour chacun.
- Traçabilité des risques aux contrôles — Associer chaque contrôle aux risques qu'il permet de gérer, afin de fournir aux auditeurs la chaîne de preuves attendue.
- Document en direct — Votre SoA se met à jour automatiquement lorsque vous modifiez les statuts de contrôle, ajoutez des risques ou modifiez les justifications d'exclusion.
- Historique de la version — Historique complet des modifications apportées à l'architecture SoA, répondant aux exigences de contrôle de version sans suivi manuel
- Prêt pour l'exportation — Exportez votre déclaration d'architecture (SoA) dans un format professionnel pour votre organisme de certification, vos clients ou votre direction.
- Multi-cadre — Si vous gérez à la fois les normes ISO 27001 et ISO 27701, la plateforme gère les deux référentiels d'architecture avec des contrôles partagés et mappés entre les différents référentiels.
Prêt à rédiger votre déclaration d'applicabilité ? Demander demo et de voir comment ISMS.en ligne fait votre ISO 27701: certification de 2025 Prêt pour un audit SoA dès le premier jour.
Questions fréquemment posées
Combien de contrôles dois-je inclure dans mon SoA ?
Votre déclaration d'activité (SoA) doit recenser l'ensemble des 78 contrôles de l'annexe A (ou le sous-ensemble pertinent à votre rôle de responsable du traitement, de sous-traitant ou les deux). Chaque contrôle est soit applicable, soit exclu, avec justification. Le nombre de contrôles applicables varie selon l'organisation, mais la plupart des organisations agissant à la fois en tant que responsable du traitement et sous-traitant en auront entre 50 et 70.
Ai-je besoin d'une déclaration d'application distincte pour les normes ISO 27701 et ISO 27001 ?
Oui. Dans l'édition 2025, la norme ISO 27701 possède sa propre annexe A, distincte de l'annexe A de la norme ISO 27001, qui contient des contrôles spécifiques à la protection de la vie privée. Si vous détenez les deux certifications, vous devez gérer deux états d'activité (SoA). Une plateforme de conformité comme ISMS.en ligne Il gère les deux et cartographie les commandes partagées afin d'éviter les efforts inutiles.
Puis-je exclure un tableau entier de l'annexe A ?
Oui, si votre rôle le justifie. Par exemple, si vous êtes exclusivement un sous-traitant de données personnelles et n'agissez jamais en tant que responsable du traitement, vous pouvez exclure tous les contrôles du tableau A.1 (responsable du traitement) en justifiant que vous ne déterminez ni les finalités ni les moyens du traitement des données personnelles. Le tableau A.3 (contrôles partagés) s'applique à toutes les organisations, quel que soit leur rôle.
Quelles preuves devraient être associées à chaque témoin ?
Les preuves varient selon le type de contrôle, mais comprennent généralement : les politiques (approuvées et validées), les procédures (documentées et appliquées), les enregistrements (journaux, registres, comptes rendus de réunion) et les preuves techniques (configurations système, contrôles d’accès). L’essentiel est de démontrer que le contrôle n’est pas seulement documenté, mais qu’il est pleinement opérationnel.
À quelle fréquence le SoA doit-il être révisé ?
Il est recommandé de revoir votre déclaration d'action (SoA) au moins une fois par an dans le cadre de votre cycle de revue de direction et avant chaque certification ou audit de surveillance. Vous devez également la mettre à jour en cas de modification importante de vos activités de traitement des données, de votre profil de risque ou de votre structure organisationnelle. Une SoA générée en temps réel par la plateforme est automatiquement mise à jour lors de la modification de vos contrôles.
