Passer au contenu
ISMS.en ligne

ISO 27701:2025, article 9 : Évaluation des performances

L’article 9 porte sur la phase de « vérification » du cycle PDCA. Il vous impose de surveiller et de mesurer les performances de votre système de gestion de la protection des données, de réaliser des audits internes et des revues de direction afin de garantir son efficacité.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que prévoit l'article 9 ?

L’article 9 correspond à la phase de « vérification » du cycle PDCA (Planifier-Déployer-Contrôler-Améliorer). Il définit comment votre organisation évalue la performance et l’efficacité du système de gestion des informations sur la protection des données (SGID) au moyen de trois mécanismes : le suivi et la mesure, l’audit interne et la revue de direction.

Les audits internes évaluent la conformité aux normes Contrôles de l'Annexe A et les exigences relatives au système de gestion.

9.1 Suivi, mesure, analyse et évaluation

L'organisation doit déterminer :

  • Que faut-il surveiller et mesurer ? — Y compris les processus, les contrôles et les objectifs en matière de protection de la vie privée
  • Les méthodes — Pour le suivi, la mesure, l'analyse et l'évaluation afin de garantir des résultats valides
  • Lorsque vous — La surveillance et la mesure doivent être effectuées
  • Lorsque vous — Les résultats seront analysés et évalués

L'organisation doit conserver les informations documentées comme preuve des résultats obtenus. Un suivi efficace va au-delà du simple contrôle de conformité. Il doit évaluer si les mesures de protection de la vie privée atteignent les objectifs visés et si le système de gestion de la protection de la vie privée (SGPP) dans son ensemble offre les performances souhaitées en matière de protection de la vie privée.

Les mesures courantes incluent :

  • délais de réponse et taux de traitement des demandes des personnes concernées
  • Nombre d'incidents liés à la protection de la vie privée, niveaux de gravité et délais de résolution
  • taux d'achèvement de la formation et scores d'évaluation de la sensibilisation
  • progrès de la mise en œuvre du plan de traitement des risques
  • Résultats de l'évaluation de la conformité des fournisseurs
  • Taux d'achèvement des analyses d'impact sur la vie privée pour les nouvelles activités de traitement

9.2 Audit interne

Général 9.2.1

L’organisation doit réaliser des audits internes à intervalles planifiés afin de fournir des informations sur le fonctionnement du PIMS :

  • Conforme aux exigences de l'organisation en matière de PIMS
  • Conforme aux exigences de la norme ISO 27701:2025
  • Est effectivement mis en œuvre et maintenu

9.2.2 Programme d'audit interne

L’organisation doit planifier, établir, mettre en œuvre et maintenir un programme d’audit, comprenant :

  • Fréquence — Intervalles d'audit (généralement annuels pour un cycle complet, avec des audits ciblés plus fréquents)
  • Méthodologie — Modalités de déroulement des audits (examen documentaire, entretiens, observation, tests)
  • Responsabilités — Qui réalisera les audits (il doit être objectif et impartial)
  • Exigences de planification — Prise en compte de l’importance des processus concernés et des résultats des audits précédents
  • Critères et étendue — Qu’est-ce qui est audité et par rapport à quelles exigences ?
  • Reporting — Les résultats doivent être communiqués à la direction concernée.

Le programme d'audit et ses résultats doivent être conservés sous forme de documents.



Le puissant tableau de bord d'ISMS.online

Commencer votre essai gratuit

Envie d'explorer ?

Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.

Commencer


9.3 Revue de direction

Général 9.3.1

La haute direction examinera le PIMS à intervalles réguliers afin de garantir sa pertinence, son adéquation et son efficacité continues.

9.3.2 Éléments d'apport de la revue de direction

L'examen de la direction devra prendre en compte les éléments suivants :

  • L’état des actions issues des précédentes revues de direction
  • Évolution des facteurs externes et internes pertinents pour le PIMS
  • Évolution des besoins et des attentes des parties intéressées qui sont pertinentes pour le PIMS
  • Informations sur la performance du PIMS, y compris les tendances en matière de non-conformités et d'actions correctives, les résultats de la surveillance et des mesures, et les résultats d'audit
  • Possibilités d'amélioration continue

9.3.3 Résultats de l'examen de la direction

Les résultats de la revue de direction comprendront les décisions et actions relatives à :

  • Opportunités d'amélioration continue
  • Des modifications du PIMS sont-elles nécessaires ?

Les informations documentées doivent être conservées comme preuve des résultats de la revue de direction. Ces documents démontrent que la haute direction participe activement à la supervision du système de gestion de l'information et de la performance (SGIP), une exigence essentielle que les auditeurs examineront attentivement.

Quel est le lien avec le RGPD ?

  • Article 5 (2) — Le principe de responsabilité exige de démontrer la conformité, ce que le suivi et l'audit soutiennent directement.
  • Article 39 (1) (b) — Le suivi de la conformité par le DPO est aligné sur les exigences du programme d'audit interne
  • Article 32, paragraphe 1, point d) — Un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures, directement soutenu par l'article 9
  • Article 24 — Le contrôleur est responsable de la révision et de la mise à jour des indicateurs, le cas échéant, avec l'appui de la direction.

Pour la cartographie complète, voir le guide de conformité au RGPD.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

  • exigences autonomes En 2019, l'article 5.7 a complété l'article 9 de la norme ISO 27001. Les exigences relatives à l'évaluation des performances sont désormais complètes et autonomes.
  • entrées spécifiques à la confidentialité — Les éléments d’entrée des revues de direction incluent désormais explicitement les informations sur la performance du PIMS et les tendances en matière de non-conformités, les résultats du suivi et les résultats d’audit.
  • périmètre d'audit plus clair — Les audits internes sont explicitement axés sur la conformité et l'efficacité du PIMS plutôt que sur l'extension d'un programme d'audit ISMS
  • Éléments d'évaluation structurés — Les éléments d'entrée de la revue de direction sont plus détaillés, avec des points spécifiques plutôt que des références générales aux éléments d'entrée de la norme ISO 27001.

Pour un aperçu plus complet, voir Quoi de neuf dans la norme ISO 27701:2025 ?.

Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.

Quelles preuves les auditeurs attendent-ils ?

  • Enregistrements de surveillance — Tableaux de bord, rapports ou journaux affichant les éléments surveillés et leurs résultats au fil du temps
  • Programme de vérification — Un calendrier prévisionnel d'audits internes couvrant toutes les exigences du PIMS au cours du cycle d'audit
  • Rapports d'audit — Rapports d'audit finalisés comportant les constatations, les non-conformités et les observations
  • Indépendance du commissaire aux comptes — Preuve que les auditeurs n'ont pas audité leurs propres travaux
  • Procès-verbal de revue de direction — Des documents attestant que toutes les données requises ont été prises en compte et que des décisions ont été prises ont été établis.
  • Suivi des actions — Preuve que les actions découlant des revues de direction et des audits sont suivies jusqu'à leur terme
  • Analyse de tendance — Preuve que les données de surveillance sont analysées pour dégager des tendances, et non pas simplement examinées comme des points de données isolés.


escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


clauses connexes

Clause Lien familial
Article 5 : Leadership La revue de direction est l'occasion pour la haute direction de mettre en pratique son engagement en matière de leadership.
Article 6 : Planification Les objectifs de protection de la vie privée (6.2) font l'objet d'un suivi ; les résultats de l'évaluation des risques sont intégrés à la revue de direction.
Article 8 : Fonctionnement Les processus opérationnels font l'objet d'un suivi et d'un audit interne.
Article 10 : Amélioration Les conclusions d'audit et les résultats d'examen alimentent directement le processus d'actions correctives et d'amélioration.

Voir aussi Article 4 (Contexte) pour le contexte et Article 7 (Support) pour les ressources de soutien.

Pourquoi nous choisir ISMS.en ligne pour la conformité à la clause 9 ?

ISMS.en ligne fournit des outils intégrés pour évaluer les performances du PIMS :

Pour la planification de la certification, consultez le guide de certification autonome.

  • Tableaux de bord de performance — Surveillance en temps réel des indicateurs clés de confidentialité avec analyse des tendances et alertes
  • Gestion de l'audit interne — Planifier, programmer et exécuter des audits à l'aide de modèles, en assurant le suivi des constats et la collecte des preuves.
  • Modèles d'évaluation de la direction — Des ordres du jour structurés couvrant toutes les contributions requises, avec suivi des actions et rédaction de comptes rendus.
  • Suivi des mesures correctives — Lier les conclusions d'audit et les actions correctives aux flux de travail d'actions correctives, avec attribution des responsables et échéances.
  • Reporting — Générer des rapports de performance destinés à l'analyse de la direction et aux audits de certification

Questions fréquentes

À quelle fréquence les revues de direction doivent-elles être effectuées ?

La norme exige des revues à « intervalles planifiés », sans toutefois préciser de fréquence. La plupart des organisations effectuent des revues de gestion au moins une fois par an, et beaucoup optent pour des revues trimestrielles, notamment durant la première année de mise en œuvre. La fréquence doit être adaptée à la maturité de votre système de gestion de la protection des données et à l'évolution de votre environnement en matière de protection des données. Quel que soit l'intervalle choisi, il doit être documenté et respecté de manière constante.

Les audits internes peuvent-ils être réalisés par le personnel interne ?

Oui, à condition qu'ils soient objectifs et impartiaux. L'exigence fondamentale est que les auditeurs ne contrôlent pas leur propre travail. Concrètement, cela signifie que la personne responsable de la mise en œuvre d'un contrôle ou d'un processus particulier ne doit pas être celle qui l'audite. Les petites organisations peuvent avoir besoin de faire appel à des auditeurs externes pour certains domaines afin de préserver leur indépendance. Les auditeurs doivent également posséder les compétences appropriées en matière de gestion de la protection des données et de techniques d'audit.

Quels indicateurs de confidentialité faut-il surveiller ?

Commencez par des indicateurs pertinents pour votre organisation et faciles à collecter. Parmi les exemples courants, citons le volume des demandes d'accès aux données et les délais de réponse, le taux d'incidents liés à la protection des données et les délais de résolution, les taux de participation aux formations, l'avancement du plan de gestion des risques, les taux de réalisation des évaluations des fournisseurs et les taux de clôture des constats d'audit. Ces indicateurs doivent évoluer au fur et à mesure que votre système de gestion de l'information sur la protection des données (PIMS) se développe, passant d'indicateurs de conformité de base à des mesures axées sur l'efficacité et les résultats.

Découvrez l'intégralité du processus d'audit de certification dans notre guide : Que se passe-t-il lors de votre audit ISO 27701:2025 ?.

Nos guide des exigences en matière de preuves d'audit détaille précisément la documentation attendue par les auditeurs pour chaque clause.

Choisir le bon auditeur est important — voir comment choisir un organisme de certification.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.