Que prévoit l'article 8 ?
L'article 8 correspond à la phase « Faire » du cycle PDCA. Article 6 La clause 8 définit la planification de vos activités de gestion des risques et exige leur mise en œuvre concrète au quotidien. Cette clause, volontairement concise, se compose de trois sous-clauses axées sur la mise en application des plans.
8.1 Planification et contrôle opérationnels
L'organisation doit planifier, mettre en œuvre et contrôler les processus nécessaires pour satisfaire aux exigences du PIMS et pour mettre en œuvre les actions déterminées dans Article 6, par:
- Établir des critères pour les processus — Définir ce que signifie « bien » pour chaque processus opérationnel
- Mise en œuvre du contrôle des processus — Mise en pratique des critères par le biais de procédures, d'instructions de travail et de contrôles
- Conserver les informations documentées — Conserver les preuves que les processus ont été menés comme prévu
L’organisation doit également contrôler les changements planifiés et examiner les conséquences des changements imprévus, en prenant les mesures nécessaires pour atténuer tout effet néfaste.
Lorsque des processus sont externalisés, l'organisation doit s'assurer de leur contrôle. Cela est particulièrement important pour le traitement des données personnelles, car les activités externalisées peuvent impliquer des sous-traitants qui traitent des données personnelles pour votre compte.
8.2 Évaluation des risques liés à la protection de la vie privée
L'organisation doit procéder à des évaluations des risques liés à la protection de la vie privée à intervalles réguliers ou lorsque des changements importants sont proposés ou surviennent, en tenant compte des critères établis dans Article 6.1.2.
Cela signifie que l'évaluation des risques n'est pas une activité ponctuelle. Elle doit être répétée :
- À intervalles réguliers — La plupart des organisations établissent un cycle annuel, bien que les environnements à risque plus élevé puissent nécessiter une évaluation plus fréquente.
- Lorsque des changements surviennent — Toute nouvelle activité de traitement, modification du système, mise à jour réglementaire, restructuration organisationnelle ou incident de sécurité doit entraîner une réévaluation.
- Lorsque des changements sont proposés — Une évaluation proactive avant la mise en œuvre des changements, et non une simple évaluation réactive après coup.
Les résultats des évaluations des risques liés à la protection de la vie privée doivent être conservés sous forme de documents.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
8.3 Traitement des risques liés à la protection de la vie privée
L’organisation doit mettre en œuvre le plan de traitement des risques liés à la protection des données. Les résultats de ce traitement doivent être conservés sous forme de documentation.
Bien que cette sous-clause soit brève, ses implications sont importantes. Elle vous oblige à :
- Mettez en œuvre toutes les actions de traitement définies dans votre plan de traitement des risques. Article 6.1.3
- Mettez en œuvre les contrôles identifiés dans votre déclaration d'applicabilité.
- Surveiller l'état de mise en œuvre des mesures de traitement
- Documentez les résultats, y compris les risques résiduels pouvant subsister après le traitement.
Les auditeurs compareront votre plan de traitement des risques (à partir de Article 6) avec les preuves de mise en œuvre réelle (de la clause 8) pour vérifier que les plans ont été respectés.
Quel est le lien avec le RGPD ?
- Article 32 — Sécurité du traitement, nécessitant la mise en œuvre de mesures techniques et organisationnelles appropriées. L’article 8.3 décrit la mise en pratique de ces mesures.
- Article 35 — Les analyses d’impact relatives à la protection des données (AIPD) sont conformes à l’exigence d’évaluation continue des risques décrite au point 8.2.
- Article 28 (1) — Exigences du processeur en matière de garanties suffisantes, appuyées par les contrôles de processus externes décrits au point 8.1.
- Article 24 — Le contrôleur est responsable de la mise en œuvre des mesures appropriées et de leur révision/mise à jour le cas échéant.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
- exigences opérationnelles autonomes — En 2019, l'article 5.6 a complété l'article 8 de la norme ISO 27001. Les exigences opérationnelles sont désormais autonomes.
- terminologie relative aux risques liés à la protection de la vie privée — L’édition 2025 utilise explicitement les termes « évaluation des risques liés à la protection de la vie privée » et « traitement des risques liés à la protection de la vie privée », ce qui met clairement en évidence l’importance accordée à la protection de la vie privée.
- Processus fournis par des externes — Un accent accru sur le contrôle des processus externalisés, reflétant le fait que de nombreuses organisations dépendent de tiers pour le traitement des données personnelles.
- Le contrôle des changements — Exigences explicites pour contrôler les changements planifiés et examiner les changements non intentionnels
Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Quelles preuves les auditeurs attendent-ils ?
- Procédures opérationnelles — Procédures documentées pour les activités de traitement des renseignements personnels, avec des critères et des contrôles définis.
- Enregistrements de suivi des processus — Preuve que les processus opérationnels sont surveillés et contrôlés selon des critères définis
- dossiers d'évaluation des risques — Réalisation d'évaluations des risques aux intervalles prévus et déclenchées par des changements
- mise en œuvre du traitement des risques — Preuves que les mesures de traitement ont été mises en œuvre comme prévu, avec un suivi de leur état d'avancement
- Modifier les enregistrements — Documentation des changements prévus et imprévus, y compris l'évaluation des impacts et les mesures d'atténuation
- Contrôles des fournisseurs/de l'externalisation — Preuve que les processus externes sont identifiés et contrôlés
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
clauses connexes
| Clause | Lien familial |
|---|---|
| Article 6 : Planification | L'article 8 met en œuvre la méthodologie d'évaluation des risques (6.1.2) et le plan de traitement des risques (6.1.3) définis à l'article 6. |
| Article 7 : Prise en charge | Les processus opérationnels dépendent des ressources, des compétences et de la documentation définies dans Article 7 |
| Article 9 : Évaluation des performances | Le suivi et l'audit interne permettent d'évaluer si les opérations sont menées comme prévu. |
| Article 10 : Amélioration | Les non-conformités opérationnelles identifiées dans la clause 8 alimentent le processus d'actions correctives. |
| Annexe A Contrôles | Les contrôles de votre SoA sont mis en œuvre par le biais des processus opérationnels de la clause 8 |
Pourquoi nous choisir ISMS.en ligne pour la conformité à la clause 8 ?
ISMS.en ligne fournit des outils opérationnels pour la gestion quotidienne de votre PIMS :
- planification de l'évaluation des risques — Définir des intervalles planifiés pour les évaluations des risques avec des rappels automatisés et des flux de travail de réévaluation déclenchés par les changements
- Suivi du plan de traitement — Suivre l’état d’avancement de chaque mesure de traitement des risques, en précisant les responsables et les échéances.
- Contrôle de processus — Documenter et gérer les procédures opérationnelles en respectant les critères, les instructions de travail et la collecte de preuves
- Gestion des fournisseurs — Assurer le suivi des processus externalisés grâce à des documents de diligence raisonnable et une surveillance continue.
- Gestion du changement — Consigner les changements prévus et imprévus, en incluant l'évaluation des impacts et le suivi des mesures d'atténuation.
Questions fréquentes
À quelle fréquence faut-il réaliser des évaluations des risques liés à la protection de la vie privée ?
La norme exige des évaluations à « intervalles planifiés » sans préciser de fréquence. La plupart des organisations effectuent un examen complet chaque année, des évaluations supplémentaires étant déclenchées par des changements importants. L'intervalle planifié doit être documenté dans le cadre de votre méthodologie d'évaluation des risques. Article 6.1.2 et doit être proportionnelle au volume et à la sensibilité des données personnelles que vous traitez.
Qu’est-ce qui constitue un « changement significatif » justifiant une réévaluation ?
Parmi les exemples, citons l'introduction de nouvelles activités ou de nouveaux systèmes de traitement, le changement de sous-traitants ou de fournisseurs de services cloud, l'entrée sur de nouveaux marchés ou dans de nouvelles juridictions, les changements réglementaires (tels que les nouvelles lois sur la protection des données), la restructuration organisationnelle et les incidents de sécurité ou les violations de données. Votre méthodologie d'évaluation des risques doit définir des critères permettant de déterminer ce qui constitue un changement significatif dans votre contexte.
Comment contrôler les processus fournis par des tiers ?
Grâce à une combinaison de contrôles contractuels (accords de traitement des données), d'évaluations préalables, d'un suivi continu et de droits d'audit, vous devez tenir un registre des processus externalisés, évaluer les mesures de protection des données de chaque prestataire, inclure des clauses contractuelles appropriées et examiner périodiquement leurs performances. Voir la A.3 Commandes partagées pour des exigences spécifiques en matière de gestion des fournisseurs.
Les plateformes SaaS présentent des considérations opérationnelles spécifiques — consultez notre guide pour les plateformes SaaS.
