Passer au contenu
ISMS.en ligne

ISO 27701:2025 Article 4 : Contexte de l'organisation

L’article 4 constitue le point de départ de votre système de gestion des informations relatives à la protection des données personnelles. Il vous oblige à comprendre le contexte de votre organisation, à identifier les parties intéressées, à définir le périmètre de votre système et à déterminer si vous agissez en tant que responsable du traitement, sous-traitant ou les deux.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que prévoit l'article 4 ?

L’article 4 établit les fondements de votre système de gestion des informations relatives à la protection de la vie privée (SGIP) en vous demandant de comprendre le contexte dans lequel votre organisation opère, qui sont vos parties prenantes et quel est le périmètre couvert par votre SGIP. Il se compose de quatre sous-articles qui s’articulent les uns contre les autres pour dresser un tableau complet de votre environnement en matière de protection de la vie privée.

4.1 Comprendre l'organisation et son contexte

L’organisation doit identifier les enjeux externes et internes pertinents à sa mission et susceptibles d’affecter sa capacité à atteindre les résultats escomptés du PIMS. Cela comprend :

  • Problèmes externes — Législation et réglementation en matière de protection de la vie privée (telles que GDPR), les exigences de l'industrie, les obligations contractuelles, les développements technologiques et l'environnement concurrentiel
  • Problèmes internes — Culture organisationnelle, structure de gouvernance, politiques existantes, disponibilité des ressources et compétences du personnel
  • Changement climatique (articles 4.1 et 4.2) — Une nouveauté de l'édition 2025 : les organisations doivent déterminer si le changement climatique est un enjeu pertinent susceptible d'affecter le PIMS.
  • Rôle de contrôleur ou de processeur — L’organisation doit déterminer si elle agit en tant que responsable du traitement des données personnelles, sous-traitant de données personnelles ou les deux, car cela détermine lequel Contrôles de l'Annexe A vous inscrire

4.2 Comprendre les besoins et les attentes des parties intéressées

L’organisation doit identifier les parties prenantes concernées par son système de gestion de l’information et comprendre leurs besoins. Les principales parties prenantes sont généralement :

  • Principes de PII — Les personnes dont les données personnelles sont traitées
  • Clients — Que ce soit en tant que responsables du traitement des données personnelles impliquant votre organisation en tant que sous-traitant, ou en tant que clients sous-traitants fournissant des données
  • Organismes de réglementation et autorités de surveillance — Autorités de protection des données chargées de responsabilités de surveillance
  • Employés et sous-traitants — Personnel impliqué dans les activités de traitement des renseignements personnels
  • Tiers et sous-traitants — Entités de la chaîne d'approvisionnement susceptibles de traiter des données personnelles

Pour chaque partie intéressée, vous devez déterminer quelles exigences sont pertinentes pour le PIMS et lesquelles seront prises en compte par le système de gestion.

4.3 Détermination du périmètre du PIMS

L’organisation doit définir les limites et le champ d’application du PIMS afin d’en établir la portée. Pour ce faire, elle doit prendre en compte les éléments suivants :

  • Les problèmes externes et internes identifiés au point 4.1
  • Les exigences des parties intéressées identifiées au point 4.2
  • Les interfaces et les dépendances entre les activités réalisées par l'organisation et celles réalisées par d'autres organisations
  • Les activités de traitement des données personnelles concernées, y compris les types de données personnelles, les catégories de personnes concernées et les finalités du traitement

Le périmètre doit être documenté et mis à disposition sous forme d'information documentée.



Le puissant tableau de bord d'ISMS.online

Commencer votre essai gratuit

Envie d'explorer ?

Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.

Commencer


4.4 Système de gestion des informations relatives à la protection de la vie privée

L’organisation doit établir, mettre en œuvre, maintenir et améliorer en permanence un système de gestion de l’information et de la performance (SGIP), y compris les processus nécessaires et leurs interactions, conformément aux exigences de la norme. Il s’agit de l’exigence fondamentale qui sous-tend toutes les clauses suivantes.

Quel est le lien avec le RGPD ?

L'article 4 soutient plusieurs GDPR exigences:

  • Article 24 — Responsabilité du responsable du traitement, qui exige des organisations qu’elles mettent en œuvre des mesures appropriées compte tenu de la nature, de la portée, du contexte et des finalités du traitement
  • Article 25 — Protection des données dès la conception et par défaut, assurée par une compréhension préalable du contexte et de la portée
  • Article 26 — Responsables conjoints du traitement, à prendre en compte pour déterminer votre rôle de responsable du traitement ou de sous-traitant
  • Article 28 — Exigences relatives au sous-traitant, qui dépendent de l'identification correcte de votre rôle en vertu de la clause 4.1
  • Article 30 — Les registres des activités de traitement, ce qui nécessite de comprendre la portée du traitement des données personnelles.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Principaux changements apportés à l'article 4 par rapport à l'édition de 2019 :

  • exigences autonomes — En 2019, l'article 5.2 a complété l'article 4 de la norme ISO 27001. Les exigences sont désormais autonomes et complètes.
  • considérations relatives au changement climatique — Nouvelle exigence aux articles 4.1 et 4.2 : évaluer si le changement climatique constitue une question pertinente
  • Détermination explicite du rôle — L'exigence de déterminer le statut du contrôleur ou du processeur est désormais clairement intégrée à l'analyse contextuelle.
  • étendue du traitement des PII — Accentuer davantage la documentation des types et des catégories de renseignements personnels dans le champ d'application

Pour une correspondance complète entre les clauses de 2019 et 2025, voir le Tableau de correspondance de l'annexe F.

Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la clause 4, les auditeurs recherchent généralement :

  • Document d'analyse contextuelle — Une évaluation formelle des enjeux internes et externes pertinents pour le PIMS
  • Inscription des parties intéressées — Une liste documentée des parties intéressées concernées, de leurs exigences et de la manière dont celles-ci sont prises en compte.
  • Déclaration de portée du PIMS — Un périmètre clair et documenté définissant les limites et l'applicabilité du PIMS
  • Détermination du rôle — Preuves documentées de la manière dont vous avez déterminé si vous agissez en tant que responsable du traitement, sous-traitant ou les deux
  • Inventaire des informations personnelles identifiables — Un registre des types de données personnelles, des catégories de personnes concernées et des finalités du traitement dans le champ d'application


ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Demander demo


clauses connexes

Clause Lien familial
Article 5 : Leadership L'engagement de la direction et la politique de confidentialité sont éclairés par l'analyse du contexte.
Article 6 : Planification L'évaluation des risques et les objectifs sont basés sur le périmètre et le contexte établis ici.
Article 8 : Fonctionnement Les processus opérationnels doivent s'exécuter dans le cadre défini.

Pourquoi nous choisir ISMS.en ligne pour la conformité à la clause 4 ?

ISMS.en ligne fournit des outils structurés pour établir le contexte de votre PIMS :

  • Modèles d'analyse contextuelle — Cadres préétablis pour identifier et documenter les problèmes internes et externes liés à la protection de la vie privée
  • Inscription des parties intéressées — Tenez à jour un registre dynamique des parties prenantes, de leurs exigences et de la manière dont vous y répondez.
  • Gestion du périmètre — Définissez et documentez le périmètre de votre système de gestion des informations personnelles (PIMS) avec des limites claires, y compris les activités de traitement des informations personnelles.
  • Cartographie des rôles — Documentez vos rôles de contrôleur et de sous-traitant dans les différentes activités de traitement
  • Analyse des écarts — Identifiez les points de conformité de vos pratiques actuelles aux exigences de l'article 4 et les points à améliorer.

Questions fréquentes

Le périmètre du PIMS peut-il être plus restreint que celui de l'ensemble de l'organisation ?

Oui. Le périmètre peut couvrir des unités opérationnelles, des sites, des activités de traitement ou des gammes de produits spécifiques. Toutefois, ce périmètre doit être justifié et documenté, et il convient d'expliquer comment sont gérées les interfaces avec les domaines hors périmètre. Les auditeurs vérifieront que le périmètre est approprié et non artificiellement restreint afin d'éviter d'aborder les principaux risques liés à la protection de la vie privée.

Comment l'exigence relative au changement climatique fonctionne-t-elle concrètement ?

Il s'agit de déterminer si le changement climatique est un enjeu pertinent, et non de réaliser une évaluation environnementale complète. Pour la plupart des organisations, cela signifie examiner brièvement si des événements liés au climat (tels que des phénomènes météorologiques extrêmes, des changements réglementaires ou des perturbations de la chaîne d'approvisionnement) pourraient affecter le système de gestion intégrée des données (SGID). Consignez votre réflexion et vos conclusions dans le cadre de votre analyse contextuelle.

Que se passe-t-il si notre organisation agit à la fois en tant que responsable du traitement et sous-traitant ?

De nombreuses organisations cumulent les deux rôles selon l'activité de traitement. Vous devez identifier le rôle correspondant à chaque activité et le documenter clairement. Les deux ensembles de Contrôles de l'Annexe A (Tableau A.1 pour les contrôleurs et Tableau A.2 (pour les sous-traitants) s'appliqueront alors aux activités concernées, ainsi qu'aux contrôles partagés dans Tableau A.3.

Une enquête approfondie analyse des écarts vous aide à définir votre périmètre en identifiant en quoi votre système PIMS actuel répond à ces exigences, ou n'y répond pas.

Les entreprises SaaS sont souvent confrontées à des défis uniques pour déterminer leur rôle de traitement — consultez notre guide pour les plateformes SaaS.

Vous vous demandez si une certification est nécessaire ? Notre guide vous renseigne. que vous ayez besoin de la certification ISO 27701:2025.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.