Passer au contenu
ISMS.en ligne

ISO 27701:2025, article 5 : Leadership

L’article 5 exige que la haute direction fasse preuve de leadership et d’engagement envers le PIMS, établisse une politique de confidentialité et attribue des rôles, des responsabilités et des pouvoirs en matière de gestion de la confidentialité dans toute l’organisation.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que prévoit l'article 5 ?

L’article 5 établit les fondements de leadership et de gouvernance de votre système de gestion des informations relatives à la protection de la vie privée (PIMS). Il garantit que la protection de la vie privée est une priorité pour la direction, avec une responsabilisation claire, une politique définie et des responsabilités attribuées. Cet article comporte trois sous-articles portant sur l’engagement, la politique et les rôles.

5.1 Leadership et engagement

La haute direction doit faire preuve de leadership et d'engagement à l'égard du PIMS en :

  • S'assurer que la politique de confidentialité et les objectifs en matière de confidentialité sont établis et compatibles avec l'orientation stratégique de l'organisation
  • Garantir l'intégration des exigences du PIMS dans les processus métier de l'organisation
  • S'assurer que les ressources nécessaires au PIMS sont disponibles
  • Communiquer l'importance d'une gestion efficace de la confidentialité et du respect des exigences du PIMS
  • S'assurer que le PIMS atteigne les résultats escomptés
  • Diriger et soutenir les personnes afin qu'elles contribuent à l'efficacité du PIMS
  • Promouvoir l'amélioration continue
  • Apporter un soutien aux autres rôles de gestion pertinents afin qu'ils puissent démontrer leur leadership dans leurs domaines de responsabilité.

Ces huit responsabilités démontrent clairement que la protection de la vie privée n'est pas une fonction déléguée au service informatique. La direction générale doit s'impliquer activement et être tenue responsable.

5.2 Politique de confidentialité

La direction générale doit établir une politique de confidentialité qui :

  • Est approprié à l'objectif de l'organisation
  • Fournit un cadre pour la définition d'objectifs de confidentialité
  • Comprend un engagement à satisfaire aux exigences applicables
  • Comprend un engagement en faveur de l'amélioration continue du PIMS

La politique de confidentialité doit également satisfaire à trois exigences de disponibilité :

  • Être disponible sous forme d'informations documentées
  • Être communiqué au sein de l'organisation
  • Se tenir à la disposition des parties intéressées, le cas échéant.

Veuillez noter que la politique de confidentialité mentionnée ici est le document de politique du système de gestion, et non la notice d'information externe relative à la protection des données. Les deux sont nécessaires, mais elles ont des objectifs différents.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


5.3 Rôles, responsabilités et pouvoirs

La direction générale doit veiller à ce que les responsabilités et les pouvoirs liés aux rôles relevant du PIMS soient attribués et communiqués au sein de l'organisation. Plus précisément, la direction générale doit attribuer les responsabilités et les pouvoirs suivants :

  • Garantir la conformité — Que le PIMS est conforme aux exigences de la norme ISO 27701:2025
  • Rapport sur les performances — Les performances du PIMS sont communiquées à la haute direction.

Cela ne signifie pas qu'une seule personne doive tout faire. Les responsabilités peuvent être réparties entre différents rôles, tels que délégué à la protection des données (DPO), responsable de la protection de la vie privée, responsable du système de gestion de l'information et de la conformité (PIMS) ou membre de l'équipe de conformité. L'essentiel est que les responsabilités soient clairement définies, documentées et communiquées.

Quel est le lien avec le RGPD ?

L'article 5 soutient plusieurs GDPR exigences:

  • Article 24 — Il incombe au contrôleur de mettre en œuvre les mesures appropriées et de pouvoir démontrer sa conformité.
  • Articles 37 à 39 (dispositions connexes, non répertoriées formellement à l'annexe D) (dispositions connexes, non répertoriées formellement à l'annexe D) — Désignation, poste et tâches du délégué à la protection des données, conformément aux exigences d'attribution des rôles énoncées au point 5.3.
  • Considérant 39 — Principe de transparence, soutenu par une politique de confidentialité claire

Les organisations soumises au RGPD doivent s’assurer que leur rôle de DPO (lorsqu’il est désigné) est reflété dans les attributions de rôles du PIMS en vertu de la clause 5.3.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Principaux changements apportés à l'article 5 par rapport à l'édition de 2019 :

Pour un aperçu plus complet des changements, voir Quoi de neuf dans la norme ISO 27701:2025 ?.

  • exigences autonomes En 2019, la clause 5.3 a complété la clause 5 de la norme ISO 27001. Les exigences relatives au leadership sont désormais complètes et autonomes.
  • Politique de confidentialité spécifique — Les exigences de la politique font désormais explicitement référence à la protection de la vie privée au lieu de s'appuyer sur une politique de sécurité de l'information modifiée.
  • Huit domaines d'engagement — Les exigences en matière d'engagement de la direction sont désormais clairement énoncées, ce qui facilite l'évaluation par les auditeurs.
  • exigences simplifiées en matière de rôle — L’édition 2025 met l’accent sur l’assurance de la conformité et le reporting des performances, plutôt que sur la liste des rôles spécifiques en matière de protection de la vie privée.

Pour la cartographie complète, voir le Tableau de correspondance de l'annexe F.

Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la clause 5, les auditeurs recherchent généralement :

L'exigence en matière de politique de confidentialité est directement liée à A.3.3 Politiques de sécurité des informations dans l'ensemble de contrôle de l'annexe A.

Les RSSI qui intègrent la protection de la vie privée à leur programme de sécurité devraient lire notre article. Guide du RSSI relatif à la norme ISO 27701:2025.

  • Procès-verbal de revue de direction — Preuves de l'implication de la haute direction dans la performance et les décisions du PIMS
  • document de politique de confidentialité — Une politique approuvée et en vigueur qui satisfait aux quatre exigences de contenu et aux trois exigences de disponibilité
  • Allocation de ressources — Des justificatifs budgétaires et de personnel démontrant l'adéquation des ressources sont fournis pour le PIMS.
  • Descriptions de rôle — Attribution documentée des responsabilités PIMS, y compris les personnes qui relèvent de la haute direction
  • Enregistrements de communication — Preuve que la politique et son importance ont été communiquées au personnel
  • Organigramme — Indiquer la place des rôles liés à la protection de la vie privée au sein de la structure de l'organisation


escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


clauses connexes

Clause Lien familial
Article 4 : Contexte La politique de confidentialité et l'orientation de la direction doivent être compatibles avec l'analyse contextuelle.
Article 6 : Planification La politique fournit le cadre pour la définition des objectifs de confidentialité (6.2)
Article 7 : Prise en charge Les besoins en ressources, en compétences et en sensibilisation dépendent d'un leadership qui apporte un soutien adéquat.
Article 9 : Évaluation des performances La revue de direction (9.3) est le moment où la haute direction exerce son rôle de leadership en pratique.

Voir aussi Article 8 (Fonctionnement) pour la mise en œuvre des directives de la direction.

Pourquoi nous choisir ISMS.en ligne pour la conformité à la clause 5 ?

ISMS.en ligne fournit les outils nécessaires pour démontrer son leadership et sa gouvernance :

Pour la planification de la certification, consultez le guide de certification autonome.

  • Gestion de politique — Créez, approuvez et gérez les versions de votre politique de confidentialité avec un historique complet des modifications et un suivi de la distribution.
  • Attribution de rôle — Définir et documenter les rôles PIMS, leurs responsabilités, leurs pouvoirs et leurs lignes hiérarchiques.
  • Examen de la gestion — Modèles structurés pour les réunions d'examen de la direction, comprenant l'ordre du jour, les contributions et le suivi des actions.
  • Suivi des communications — Consigner et documenter la manière dont les politiques et les attentes en matière de confidentialité sont communiquées au personnel
  • Rapports de tableau de bord — Fournir à la direction générale des données de performance PIMS synthétiques et concises pour une prise de décision éclairée.

Questions fréquentes

Qui est considéré comme « haute direction » au sens de la clause 5 ?

La haute direction désigne la ou les personnes qui dirigent et contrôlent l'organisation au plus haut niveau. En pratique, il s'agit généralement du PDG, du conseil d'administration, de l'équipe de direction ou d'un équivalent. Le critère essentiel est de savoir si cette ou ces personnes ont l'autorité nécessaire pour allouer les ressources, définir les orientations stratégiques et prendre des décisions concernant le système de gestion de l'information et de la performance (SGIP).

La politique de confidentialité est-elle la même chose qu'une notice de confidentialité ?

Non. La politique de confidentialité exigée par l'article 5.2 est un document de système de gestion interne qui définit les orientations et les principes généraux de la gestion de la confidentialité. Une notice d'information (ou déclaration de confidentialité) est un document externe remis aux personnes concernées, expliquant comment leurs données personnelles sont traitées. Les deux sont nécessaires, mais elles s'adressent à des publics et poursuivent des objectifs différents.

L'organisation a-t-elle besoin d'un délégué à la protection des données désigné ?

La norme ISO 27701:2025 n'impose pas la désignation d'un DPO. Elle exige que les responsabilités et les pouvoirs soient attribués et communiqués. Cependant, si la législation applicable (par exemple, les articles 37 à 39 du RGPD) exige la désignation d'un DPO, ce rôle doit être reflété dans la définition des rôles prévue à la clause 5.3. Même en l'absence d'obligation légale, la désignation d'un responsable de la protection des données ou d'une personne équivalente constitue une bonne pratique.

Obtenir l'adhésion de la direction est souvent le premier obstacle — notre guide sur obtenir l'adhésion de la direction propose des stratégies pratiques.

Partagez notre Résumé à l'intention des membres du conseil d'administration donner aux cadres supérieurs un aperçu concis de la norme.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.