Que prévoit l'article 6 ?
L'article 6 est l'article de planification central de votre système de gestion des informations relatives à la protection de la vie privée (PIMS). Il définit comment identifier les risques et les opportunités, évaluer et traiter les risques liés à la protection de la vie privée, fixer des objectifs mesurables et gérer les changements. Cet article relie la compréhension contextuelle issue de Article 4 aux activités opérationnelles dans Article 8.
6.1 Mesures à prendre pour gérer les risques et les opportunités
Général 6.1.1
Lors de la planification du PIMS, l'organisation doit prendre en compte les problèmes suivants : Article 4.1 et les exigences de la clause 4.2, et déterminer les risques et les opportunités à prendre en compte :
- S'assurer que le PIMS puisse atteindre les résultats escomptés
- Prévenir ou réduire les effets indésirables
- Parvenir à une amélioration continue
L’organisation doit planifier les actions à entreprendre pour faire face à ces risques et opportunités, définir comment intégrer et mettre en œuvre ces actions dans les processus PIMS, et évaluer leur efficacité.
6.1.2 Évaluation des risques liés à la protection de la vie privée
L’organisation doit définir et appliquer un processus d’évaluation des risques liés à la protection de la vie privée qui :
- Établit des critères de risque — Y compris les critères d’acceptation des risques et les critères de réalisation des évaluations des risques liés à la protection de la vie privée
- Assure la cohérence — Des évaluations répétées produisent des résultats cohérents, valides et comparables
- Identifie les risques — Appliquer le processus pour identifier les risques associés à la protection de la vie privée et à la sécurité de l'information dans le cadre du système de gestion de la protection de la vie privée (SGPP), et identifier les responsables de ces risques.
- Analyse des risques — Évaluer les conséquences potentielles et la probabilité réaliste des risques identifiés, et déterminer les niveaux de risque
- Évalue les risques — Comparer les résultats aux critères établis et hiérarchiser les risques nécessitant un traitement
Le processus d'évaluation des risques doit être documenté et ses résultats conservés sous forme d'informations documentées.
6.1.3 Traitement des risques liés à la protection de la vie privée
L'organisation doit définir et appliquer un processus de traitement des risques liés à la protection de la vie privée :
- Sélectionnez les options de traitement des risques appropriées, en tenant compte des résultats de l'évaluation des risques.
- Déterminer tous les contrôles nécessaires à la mise en œuvre des options de traitement des risques choisies
- Identifier et documenter le programme de sécurité de l'information mis en œuvre par l'organisation, y compris les contrôles de sécurité appropriés portant au minimum sur : la gestion des risques liés à la sécurité de l'information, les politiques, l'organisation de la sécurité de l'information, la sécurité des ressources humaines, la gestion des actifs, le contrôle d'accès, la sécurité des opérations, la gestion de la sécurité du réseau, la sécurité du développement, la gestion des fournisseurs, la gestion des incidents, la continuité des activités, les audits de sécurité de l'information, la cryptographie et la sécurité physique et environnementale.
- Comparez les contrôles déterminés dans le cadre du programme de traitement des risques et de sécurité de l'information avec ceux du Annexe A vérifier qu'aucun contrôle nécessaire n'a été omis
- Produire un Déclaration d'applicabilité (SoA) qui contient les contrôles nécessaires, la justification de leur inclusion, leur mise en œuvre et la justification de leur exclusion. Annexe A contrôles
- Élaborer un plan de traitement des risques liés à la protection de la vie privée
- Obtenir l'approbation des propriétaires des risques concernant le plan de traitement des risques et leur acceptation des risques résiduels liés à la protection de la vie privée.
- Tenez compte des orientations figurant à l’annexe B pour la mise en œuvre des contrôles déterminés lors du traitement des risques et dans le programme de sécurité de l’information.
Cette sous-clause établit le lien entre les exigences du système de management et les contrôles de l'Annexe A. Votre déclaration d'action devient le document central reliant les résultats de l'évaluation des risques aux contrôles spécifiques que vous mettez en œuvre.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
6.2 Objectifs de protection de la vie privée et planification pour les atteindre
L'organisation doit définir des objectifs de protection de la vie privée pour les fonctions et niveaux concernés. Ces objectifs doivent :
- Respectez la politique de confidentialité
- Soyez mesurable (si possible).
- Tenir compte des exigences applicables
- Être surveillé
- Communiquer
- Tenir à jour le cas échéant
- Être disponible sous forme d'informations documentées
Lorsqu'elle planifie la réalisation de ses objectifs, l'organisation doit déterminer ce qui sera fait, les ressources nécessaires, les responsables, le délai d'achèvement et la manière dont les résultats seront évalués.
6.3 Planification des changements
Lorsque l'organisme détermine la nécessité de modifier son système de management de la performance (SMP), ces modifications doivent être mises en œuvre de manière planifiée. Il s'agit d'une nouvelle exigence explicite de l'édition 2025, qui souligne la nécessité d'éviter les modifications ponctuelles du système de management. Les modifications doivent faire l'objet d'une évaluation de leur impact sur l'efficacité du SMP et être gérées selon un processus structuré.
Quel est le lien avec le RGPD ?
L'article 6 soutient plusieurs GDPR exigences:
- Article 35 — Les analyses d’impact relatives à la protection des données (AIPD) s’alignent sur le processus d’évaluation des risques liés à la protection de la vie privée décrit au point 6.1.2.
- Article 32 — Sécurité du traitement, nécessitant des mesures techniques et organisationnelles appropriées fondées sur une évaluation des risques
- Article 24 — Il incombe au responsable du contrôle de mettre en œuvre les mesures appropriées en tenant compte des risques de probabilité et de gravité variables.
- Article 25 — Protection des données dès la conception et par défaut, appuyée par une planification des risques en amont
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
- terminologie relative aux risques liés à la protection de la vie privée — L’édition 2025 utilise explicitement les termes « évaluation des risques liés à la protection de la vie privée » et « traitement des risques liés à la protection de la vie privée » plutôt que de s’appuyer sur les processus de gestion des risques liés à la sécurité de l’information de la norme ISO 27001.
- SoA autonome — La déclaration d'applicabilité fait désormais directement référence aux contrôles de l'annexe A de la norme ISO 27701, au lieu de compléter une déclaration d'applicabilité ISO 27001.
- Article 6.3 ajouté — La planification des changements est une nouvelle exigence explicite qui ne figure pas dans l'édition de 2019.
- Comparaison des témoins de l'annexe A — Le processus de traitement des risques exige désormais explicitement une comparaison des contrôles déterminés avec l'annexe A afin de vérifier qu'aucun contrôle nécessaire n'a été omis.
Voir le Tableau de correspondance de l'annexe F pour la cartographie complète et notre guide des nouveautés pour un aperçu plus large des changements.
Quelles preuves les auditeurs attendent-ils ?
- Méthodologie d'évaluation des risques — Un processus documenté pour identifier, analyser et évaluer les risques liés à la protection de la vie privée
- Résultats de l'évaluation des risques — Dossiers des évaluations complètes comportant les risques identifiés, leur probabilité, leur impact et leurs niveaux de risque
- Plan de traitement des risques — Un plan détaillant la manière dont chaque risque inacceptable sera traité, avec les responsables désignés et les échéanciers.
- Déclaration d'applicabilité — Un état des lieux complet couvrant tous les contrôles de l'annexe A avec les justifications d'inclusion/d'exclusion
- Objectifs de confidentialité — Des objectifs documentés et mesurables, assortis de plans pour les atteindre
- Approbations des responsables des risques — Preuve que les détenteurs de risques ont approuvé le plan de traitement et accepté les risques résiduels
- Modifier les enregistrements — Preuve que les modifications apportées au PIMS sont planifiées et gérées de manière systématique
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
clauses connexes
| Clause | Lien familial |
|---|---|
| Article 4 : Contexte | L'analyse du contexte et les exigences des parties intéressées alimentent l'identification des risques |
| Article 5 : Leadership | La politique de confidentialité fournit le cadre pour la définition des objectifs (6.2) |
| Article 8 : Fonctionnement | L’évaluation (8.2) et le traitement (8.3) des risques opérationnels mettent en œuvre les plans définis ici. |
| Article 9 : Évaluation des performances | Les activités de suivi et d'évaluation permettent d'évaluer l'efficacité du traitement des risques |
| Annexe A Contrôles | L'état des affaires (SoA) mentionné au point 6.1.3 détermine les contrôles de l'annexe A applicables. |
Pourquoi nous choisir ISMS.en ligne pour la conformité à la clause 6 ?
ISMS.en ligne fournit des outils intégrés pour la planification des risques liés à la protection de la vie privée :
- registre des risques liés à la protection de la vie privée — Identifier, évaluer et hiérarchiser les risques liés à la protection de la vie privée à l'aide de critères configurables, d'échelles de probabilité et d'impact.
- Flux de travail de traitement des risques — Attribuer des actions de traitement aux propriétaires avec des échéances, suivre les progrès et consigner les approbations.
- Générateur de déclaration d'applicabilité — Générez et tenez à jour votre déclaration d'architecture (SoA) avec tous les contrôles de l'annexe A, les justifications d'inclusion/d'exclusion et l'état de mise en œuvre.
- Suivi des objectifs — Définir, suivre et rendre compte des objectifs de confidentialité grâce à des tableaux de bord de suivi.
- Gestion du changement — Planifier et suivre les modifications apportées au PIMS à l'aide d'évaluations d'impact et de processus d'approbation.
Questions fréquentes
Quelle est la différence entre une analyse d'impact relative à la protection des données (AIPD) et l'évaluation des risques prévue par la clause 6 ?
Une analyse d'impact relative à la protection des données (AIPD) au titre de l'article 35 du RGPD est déclenchée par certaines activités de traitement à haut risque et se concentre sur leur impact sur les personnes physiques. L'évaluation des risques liés à la protection des données (article 6.1.2) est un processus plus large et systématique qui couvre tous les risques liés à la protection des données dans le cadre du système de gestion de l'information sur la protection des données (SGIP). Les AIPD peuvent alimenter votre évaluation des risques au titre de l'article 6, et de nombreuses organisations intègrent les deux processus. Cependant, l'évaluation au titre de l'article 6 est obligatoire pour toutes les activités de traitement, et pas seulement celles à haut risque.
Les contrôles prévus à l’annexe A peuvent-ils être exclus de la déclaration d’applicabilité ?
Oui. La déclaration d'activité doit couvrir tous les contrôles de l'annexe A, mais vous pouvez exclure ceux qui ne s'appliquent pas à votre organisation. Chaque exclusion doit être justifiée. Par exemple, si vous agissez uniquement en tant que responsable du traitement des données personnelles, vous pouvez exclure les contrôles de l'annexe A. Tableau A.2 Les contrôles du processeur sont justifiés par cette disposition. Toutefois, on ne peut exclure un contrôle simplement parce qu'il est difficile ou coûteux à mettre en œuvre.
À quelle fréquence l'évaluation des risques liés à la protection de la vie privée doit-elle être révisée ?
L'article 6 exige que le processus d'évaluation des risques soit défini, tandis que Article 8.2 Elle doit être réalisée à intervalles planifiés ou en cas de changements importants. La plupart des organisations effectuent un examen complet chaque année, des évaluations supplémentaires étant déclenchées par des changements tels que de nouvelles activités de traitement, des mises à jour réglementaires, des incidents de sécurité ou une restructuration organisationnelle.
Commencez votre planification par un analyse structurée des écarts identifier les domaines prioritaires de votre plan de traitement des risques.
Documentez vos décisions de contrôle dans un Déclaration d'applicabilité — un résultat clé du processus de planification.
Besoin de justifier l'investissement ? Notre cadre d'analyse de rentabilité permet de quantifier les avantages.
