ISO/IEC 27701:2019

NORME ISO/IEC
INTERNATIONALE 27701
Première édition
2019-08
Techniques de sécurité — Extension
d'ISO/IEC 27001 et ISO/IEC 27002
au management de la protection de
la vie privée — Exigences et lignes
directrices
Security techniques — Extension to ISO/IEC 27001 and ISO/IEC
27002 for privacy information management — Requirements and
guidelines
Numéro de référence
©
ISO/IEC 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés

Sommaire Page
Avant-propos .vii
Introduction .viii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
4 Généralités . 2
4.1 Structure du présent document . 2
4.2 Application des exigences de l'ISO/IEC 27001:2013 . 3
4.3 Application des lignes directrices de l'ISO/IEC 27002:2013 . 3
4.4 Client . 4
5 Exigences spécifiques au PIMS liées à l'ISO/IEC 27001 . 4
5.1 Généralités . 4
5.2 Contexte de l'organisation . 4
5.2.1 Compréhension de l'organisation et de son contexte . 4
5.2.2 Compréhension des besoins et des attentes des parties intéressées . 5
5.2.3 Détermination du domaine d'application du système de management de
la sécurité de l'information . 5
5.2.4 Système de management de la sécurité de l'information . 5
5.3 Leadership . 6
5.3.1 Leadership et engagement . 6
5.3.2 Politique . 6
5.3.3 Rôles, responsabilités et autorités au sein de l'organisation . 6
5.4 Planification . 6
5.4.1 Actions face aux risques et opportunités . 6
5.4.2 Objectifs de sécurité de l'information et plans pour les atteindre . . 7
5.5 Support . 7
5.5.1 Ressources . 7
5.5.2 Compétence . 7
5.5.3 Sensibilisation . 7
5.5.4 Communication . 7
5.5.5 Informations documentées . 8
5.6 Fonctionnement . 8
5.6.1 Planification et contrôle opérationnels . 8
5.6.2 Appréciation des risques de sécurité de l'information . 8
5.6.3 Traitement des risques de sécurité de l'information . 8
5.7 Évaluation des performances . 8
5.7.1 Surveillance, mesures, analyse et évaluation . 8
5.7.2 Audit interne . 8
5.7.3 Revue de direction . 8
5.8 Amélioration . 9
5.8.1 Non-conformité et actions correctives. 9
5.8.2 Amélioration continue . 9
6 Recommandations spécifiques au PIMS liées à l'ISO/IEC 27002 . 9
6.1 Généralités . 9
6.2 Politiques de sécurité de l'information . 9
6.2.1 Orientations de la direction en matière de sécurité de l'information. 9
6.3 Organisation de la sécurité de l'information .10
6.3.1 Organisation interne . .10
6.3.2 Appareils mobiles et télétravail .11
6.4 La sécurité des ressources humaines .11
6.4.1 Avant l'embauche .11
6.4.2 Pendant la durée du contrat.11
© ISO/IEC 2019 – Tous droits réservés iii

6.4.3 Rupture, terme ou modification du contrat de travail .12
6.5 Gestion des actifs .12
6.5.1 Responsabilités relatives aux actifs .12
6.5.2 Classification de l'information .12
6.5.3 Manipulation des supports .13
6.6 Contrôle d'accès .14
6.6.1 Exigences métier en matière de contrôle d'accès .14
6.6.2 Gestion de l'accès utilisateur .14
6.6.3 Responsabilités des utilisateurs .16
6.6.4 Contrôle de l'accès au système et aux applications .16
6.7 Cryptographie .16
6.7.1 Mesures cryptographiques .16
6.8 Sécurité physique et environnementale .17
6.8.1 Zones sécurisées .17
6.8.2 Matériel .17
6.9 Sécurité liée à l'exploitation .19
6.9.1 Procédures et responsabilités liées à l'exploitation .19
6.9.2 Protection contre les logiciels malveillants .19
6.9.3 Sauvegarde .19
6.9.4 Journalisation et surveillance .20
6.9.5 Maîtrise des logiciels en exploitation .21
6.9.6 Gestion des vulnérabilités techniques .21
6.9.7 Considérations sur l'audit du système d'information .21
6.10 Sécurité des communications .22
6.10.1 Management de la sécurité des réseaux .22
6.10.2 Transfert de l'information .22
6.11 Acquisition, développement et maintenance des systèmes d'information .23
6.11.1 Exigences de sécurité applicables aux systèmes d'information .23
6.11.2 Sécurité des processus de développement et d'assistance technique.23
6.11.3 Données de test .25
6.12 Relations avec les fournisseurs .25
6.12.1 Sécurité de l'information dans les relations avec les fournisseurs .25
6.12.2 Gestion de la prestation du service .26
6.13 Gestion des incidents liés à la sécurité de l'information .26
6.13.1 Gestion des incidents liés à la sécurité de l'information et améliorations .26
6.14 Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité .29
6.14.1 Continuité de la sécurité de l'information .29
6.14.2 Redondances .29
6.15 Conformité .29
6.15.1 Conformité aux obligations légales et réglementaires .29
6.15.2 Revue de la sécurité de l'information .30
7 Recommandations supplémentaires de l'ISO/IEC 27002 pour les responsables
de traitement de DCP .31
7.1 Généralités .31
7.2 Conditions de collecte et de traitement .31
7.2.1 Identifier et documenter la finalité .31
7.2.2 Identifier le fondement juridique .32
7.2.3 Déterminer quand et comment le consentement doit être obtenu .32
7.2.4 Obtenir et enregistrer le consentement .33
7.2.5 Étude de l'impact sur la vie privée .33
7.2.6 Contrats conclus avec les sous-traitants de DCP .34
7.2.7 Responsable conjoint de traitement .34
7.2.8 Enregistrements liés au traitement des DCP .35
7.3 Obligations vis-à-vis des personnes concernées .35
7.3.1 Identifier les obligations vis-à-vis des personnes concernées et y satisfaire .35
7.3.2 Déterminer les informations destinées aux personnes concernées .36
7.3.3 Fournir des informations aux personnes concernées .37
7.3.4 Fournir un mécanisme permettant de modifier ou de retirer le consentement .37
iv © ISO/IEC 2019 – Tous droits réservés

7.3.5 Fournir un mécanisme permettant de s'opposer au traitement des DCP .38
7.3.6 Accès, rectification et/ou suppression . .38
7.3.7 Obligation d'information des tiers des responsables de traitement de DCP .39
7.3.8 Fourniture de copies des DCP traitées .39
7.3.9 Gestion des demandes .40
7.3.10 Prise de décision automatisée .40
7.4 Protection de la vie privée dès la conception et protection de la vie privée par défaut .40
7.4.1 Limiter la collecte .40
7.4.2 Limiter le traitement .41
7.4.3 Exactitude et qualité .41
7.4.4 Objectifs de minimisation des DCP .41
7.4.5 Dé-identification et suppression des DCP à la fin du traitement .42
7.4.6 Fichiers temporaires .42
7.4.7 Conservation .43
7.4.8 Mise au rebut.43
7.4.9 Mesures de transmission des DCP .43
7.5 Partage, transfert et divulgation des DCP .43
7.5.1 Identifier la base du transfert de DCP entre juridictions .44
7.5.2 Pays et organisations internationales auxquels les DCP peuvent être
transférées . .44
7.5.3 Enregistrements des transferts de DCP .44
7.5.4 Enregistrements de la divulgation de DCP à des tiers .45
8 Recommandations supplémentaires de l'ISO/IEC 27002 pour les sous-traitants de DCP .45
8.1 Généralités .45
8.2 Conditions de collecte et de traitement .45
8.2.1 Contrat client . .45
8.2.2 Finalités de l'organisation.46
8.2.3 Utilisation à des fins de prospection et de publicité .46
8.2.4 Instruction en infraction .46
8.2.5 Obligations du client .47
8.2.6 Enregistrements liés au traitement des DCP .47
8.3 Obligations vis-à-vis des personnes concernées .47
8.3.1 Obligations vis-à-vis des personnes concernées . .47
8.4 Protection de la vie privée dès la conception et protection de la vie privée par défaut .47
8.4.1 Fichiers temporaires .48
8.4.2 Restitution, transfert ou mise au rebut des DCP .48
8.4.3 Mesures de transmission des DCP .48
8.5 Partage, transfert et divulgation des DCP .49
8.5.1 Base du transfert de DCP entre juridictions .49
8.5.2 Pays et organisations internationales auxquels les DCP peuvent être
transférées . .49
8.5.3 Enregistrements de la divulgation de DCP à des tiers .50
8.5.4 Notification des demandes de divulgation de DCP .50
8.5.5 Divulgations de DCP juridiquement contraignantes.50
8.5.6 Divulgation des sous-traitants utilisés pour traiter des DCP .51
8.5.7 Recrutement d'un sous-traitant pour le traitement de DCP .51
8.5.8 Changement de sous-traitant pour le traitement de DCP .52
Annexe A (normative) Objectifs et mesures de référence spécifiques au PIMS (responsables
de traitement de DCP) .53
Annexe B (normative) Objectifs et mesures de référence spécifiques au PIMS (sous-
traitants de DCP) .57
Annexe C (informative) Correspondance avec l'ISO/IEC 29100 .60
Annexe D (informative) Correspondance avec le Règlement général sur la protection
des données .63
Annexe E (informative) Correspondance avec l'ISO/IEC 27018 et l'ISO/IEC 29151 .66
© ISO/IEC 2019 – Tous droits réservés v

Annexe F (informative) Comment appliquer l'ISO/IEC 27701 à l'ISO/IEC 27001 et
l'ISO/IEC 27002 .69
Bibliographie .71
vi © ISO/IEC 2019 – Tous droits réservés

Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l'IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l'IEC participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de document. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www .iso
.org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l'IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www .iso .org/ brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir https:// patents .iec .c).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Techniques de sécurité.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/ fr/ members .html.
© ISO/IEC 2019 – Tous droits réservés vii

Introduction
0.1  Généralités
Toutes les organisations ou presque traitent des données à caractère personnel (DCP). En outre, la
quantité et les types de DCP traitées sont en augmentation, de même que le nombre de situations où
une organisation a besoin de collaborer avec d'autres organisations en ce qui concerne le traitement des
DCP. La protection de la vie privée dans le contexte du traitement des DCP est une nécessité sociétale,
ainsi que l'objet de législations et/ou de règlementations dédiées dans le monde entier.
Le système de management de la sécurité de l'information (SMSI) défini dans l'ISO/IEC 27001 est conçu
pour permettre l'ajout d'exigences spécifiques à des secteurs, sans qu'il soit nécessaire de concevoir
un nouveau système de management. Les normes de l'ISO relatives aux systèmes de management, y
compris celles qui sont spécifiques à des secteurs, sont conçues pour pouvoir être mises en œuvre
séparément ou sous la forme d'un système de management combiné.
Les exigences et les recommandations relatives à la protection des DCP varient selon le contexte de
l'organisation, particulièrement lorsqu'une législation et/ou des règlementations nationales existent.
La norme ISO/IEC 27001 exige la compréhension et la prise en compte de ce contexte. Le présent
document inclut une mise en correspondance avec:
— les principes et le cadre de la protection de la vie privée définis dans l'ISO/IEC 29100;
— l'ISO/IEC 27018;
— l'ISO/IEC 29151; et
— le Règlement général sur la protection des données.
Toutefois, il peut être nécessaire d'interpréter ces derniers afin de tenir compte de la législation et/ou
de la règlementation locale.
Le présent document peut être utilisé par les responsables de traitement de DCP (y compris ceux qui
sont des responsables conjoints de traitement) et les sous-traitants de DCP (y compris ceux qui utilisent
des sous-traitants de DCP sous-traitants et ceux qui traitent des DCP en tant que sous-traitants à des
sous-traitants de DCP).
Une organisation se conformant aux exigences du présent document produira des preuves documentaires
de la façon dont elle gère le traitement des DCP. Ces preuves peuvent être utilisées pour faciliter les
accords avec les partenaires d'affaires là où les deux parties sont concernées par le traitement des
DCP. Cela peut également faciliter les relations avec d'autres parties prenantes. L'utilisation du présent
document conjointement avec l'ISO/IEC 27001 peut, si cela est souhaité, permettre une vérification
indépendante de ces preuves.
Le présent document a initialement été élaboré en tant que norme ISO/IEC 27552.
0.2 Compatibilité avec les autres normes de systèmes de management
Le présent document applique le cadre élaboré par l'ISO afin d'améliorer l'harmonisation entre ses
normes de systèmes de management.
Le présent document permet à une organisation d'aligner ou d'intégrer son PIMS aux exigences d'autres
normes de systèmes de management.
viii © ISO/IEC 2019 – Tous droits réservés

NORME INTERNATIONALE ISO/IEC 27701:2019(F)
Techniques de sécurité — Extension d'ISO/IEC 27001 et
ISO/IEC 27002 au management de la protection de la vie
privée — Exigences et lignes directrices
1 Domaine d'application
Le présent document spécifie les exigences et fournit des recommandations pour la création, la mise
en œuvre, le maintien et l'amélioration continue d'un système de management de la protection de la vie
privée (PIMS) sous la forme d'une extension de l'ISO/IEC 27001 et l'ISO/IEC 27002 pour le management
de la protection de la vie privée dans le contexte de l'organisation.
Le présent document spécifie les exigences liées au PIMS et fournit des recommandations destinées
aux responsables de traitement de DCP et aux sous-traitants de DCP chargés de et responsables du
traitement des DCP.
Le présent document s'applique aux organisations de tous types et de toutes tailles, y compris les
entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif,
qui sont des responsables de traitement de DCP et/ou des sous-traitants de DCP qui traitent les DCP à
l'aide d'un SMSI.
2 Références normatives
Les documents suivants cités dans le texte constituent, pour tout ou partie de leur contenu, des
exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la
sécurité de l'information — Vue d'ensemble et vocabulaire
ISO/IEC 27001:2013, Technologies de l’information — Techniques de sécurité — Systèmes de management
de la sécurité de l’information — Exigences
ISO/IEC 27002:2013, Technologies de l’information — Techniques de sécurité — Code de bonne pratique
pour le management de la sécurité de l’information
ISO/IEC 29100, Technologies de l'information — Techniques de sécurité — Cadre privé
3 Termes, définitions et abréviations
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/IEC 27000 et
l'ISO/IEC 29100 ainsi que les suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse http:// www .electropedia .org/
3.1
responsable conjoint de traitement
responsable de traitement de DCP qui détermine les finalités et les moyens du traitement des DCP
conjointement avec un ou plusieurs autres responsables de traitement de DCP
© ISO/IEC 2019 – Tous droits réservés 1

3.2
système de management de la protection de la vie privée
PIMS
système de management de la sécurité de l'information qui gère la protection de la vie privée telle que
potentiellement affectée par le traitement des DCP
4 Généralités
4.1 Structure du présent document
Il s'agit d'un document spécifique à un secteur lié à l'ISO/IEC 27001:2013 et à l'ISO/IEC 27002:2013.
Le présent document se focalise sur les exigences spécifiques au PIMS. La conformité au présent
document se fonde sur l'adhésion à ces exigences et aux exigences de l'ISO/IEC 27001:2013. Le présent
document étend les exigences de l'ISO/IEC 27001:2013 afin de prendre en compte la protection de la vie
privée des personnes concernées telle que potentiellement affectée par le traitement des DCP, en plus
de la sécurité de l'information. Pour une meilleure compréhension, des recommandations de mise en
œuvre et des informations supplémentaires relatives aux exigences sont incluses.
L'Article 5 fournit des exigences spécifiques au PIMS et des informations supplémentaires relatives aux
exigences en matière de sécurité de l'information contenues dans l'ISO/IEC 27001 appropriées pour une
organisation agissant comme responsable de traitement de DCP ou comme sous-traitant de DCP.
NOTE 1 Dans un souci d'exhaustivité, l'Article 5 contient un paragraphe pour chacun des paragraphes de
l'ISO/IEC 27001:2013 contenant des exigences, même dans les cas où il n'existe pas d'exigences spécifiques
au PIMS ou d'informations supplémentaires.
L'Article 6 fournit des recommandations spécifiques au PIMS et des informations supplémentaires
relatives aux mesures de sécurité de l'information contenues dans l'ISO/IEC 27002 et des
recommandations spécifiques au PIMS pour une organisation agissant comme responsable de
traitement de DCP ou comme sous-traitant de DCP.
NOTE 2 Dans un souci d'exhaustivité, l'Article 6 contient un paragraphe pour chacun des paragraphes
de l'ISO/IEC 27002:2013 contenant des objectifs ou des mesures, même dans les cas où il n'existe pas de
recommandations spécifiques au PIMS ou d'informations supplémentaires.
L'Article 7 fournit des recommandations supplémentaires de l'ISO/IEC 27002 pour les responsables de
traitement de DCP, et l'Article 8 fournit des recommandations supplémentaires de l'ISO/IEC 27002 pour
les sous-traitants de DCP.
L'Annexe A énumère les objectifs et mesures spécifiques au PIMS pour une organisation agissant comme
responsable de traitement de DCP (qu'elle fasse appel à un sous-traitant de DCP ou non, et qu'elle agisse
conjointement avec un autre responsable de traitement de DCP ou non).
L'Annexe B énumère les objectifs et mesures spécifiques au PIMS pour une organisation agissant comme
sous-traitant de DCP (qu'elle sous-traite le traitement des DCP à un sous-traitant de DCP distinct ou
non, et y compris ceux qui traitent les DCP comme sous-traitants de sous-traitants de DCP).
L'Annexe C contient un tableau de correspondance avec l'ISO/IEC 29100.
L'Annexe D contient un tableau de correspondance des mesures du présent document avec le Règlement
général sur la protection des données.
L'Annexe E contient un tableau de correspondance avec l'ISO/IEC 27018 et l'ISO/IEC 29151.
L'Annexe F explique comment l'ISO/IEC 27001 et l'ISO/IEC 27002 sont étendues à la protection de la vie
privée lors du traitement de DCP.
2 © ISO/IEC 2019 – Tous droits réservés

4.2 Application des exigences de l'ISO/IEC 27001:2013
Le Tableau 1 indique l'emplacement des exigences spécifiques au PIMS contenues dans le présent
document par rapport à l'ISO/IEC 27001.
Tableau 1 — Emplacement des exigences spécifiques au PIMS et des informations
supplémentaires pour la mise en œuvre des mesures de l'ISO/IEC 27001:2013
Article de Titre Paragraphe Remarques
l'ISO/IEC 27001:2013 du présent
document
4 Contexte de l'organisation 5.2 Exigences supplémentaires
5 Leadership 5.3 Aucune exigence spécifique au PIMS
6 Planification 5.4 Exigences supplémentaires
7 Support 5.5 Aucune exigence spécifique au PIMS
8 Fonctionnement 5.6 Aucune exigence spécifique au PIMS
9 Évaluation des performances 5.7 Aucune exigence spécifique au PIMS
10 Amélioration 5.8 Aucune exigence spécifique au PIMS
NOTE L'interprétation étendue de «sécurité de l'information» conformément au paragraphe 5.1 s'applique
toujours, même en l'absence d'exigences spécifiques au PIMS.
4.3 Application des lignes directrices de l'ISO/IEC 27002:2013
Le Tableau 2 indique l'emplacement des recommandations spécifiques au PIMS contenues dans le
présent document par rapport à l'ISO/IEC 27002.
Tableau 2 — Emplacement des recommandations spécifiques au PIMS et des informations
supplémentaires pour la mise en œuvre des mesures de l'ISO/IEC 27002:2013
Article de Titre Paragraphe Remarques
l'ISO/IEC 27002:2013 du présent
document
5 Politiques de sécurité de 6.2 Recommandations supplémentaires
l'information
6 Organisation de la sécurité 6.3 Recommandations supplémentaires
de l'information
7 La sécurité des ressources 6.4 Recommandations supplémentaires
humaines
8 Gestion des actifs 6.5 Recommandations supplémentaires
9 Contrôle d'accès 6.6 Recommandations supplémentaires
10 Cryptographie 6.7 Recommandations supplémentaires
11 Sécurité physique et envi- 6.8 Recommandations supplémentaires
ronnementale
12 Sécurité liée à l'exploitation 6.9 Recommandations supplémentaires
13 Sécurité des communications 6.10 Recommandations supplémentaires
14 Acquisition, développement 6.11 Recommandations supplémentaires
et maintenance des systèmes
d'information
15 Relations avec les 6.12 Recommandations supplémentaires
fournisseurs
16 Gestion des incidents liés à 6.13 Recommandations supplémentaires
la sécurité de l'information
© ISO/IEC 2019 – Tous droits réservés 3

Tableau 2 (suite)
Article de Titre Paragraphe Remarques
l'ISO/IEC 27002:2013 du présent
document
17 Aspects de la sécurité de 6.14 Aucune recommandation spécifique
l'information dans la gestion au PIMS
de la continuité de l'activité
18 Conformité 6.15 Recommandations supplémentaires
NOTE L'interprétation étendue de «sécurité de l'information» conformément au paragraphe 6.1 s'applique
toujours, même en l'absence de recommandations spécifiques au PIMS.
4.4 Client
Selon le rôle de l'organisation (voir 5.2.1), le terme «client» peut être compris comme signifiant:
a) une organisation qui a conclu un contrat avec un responsable de traitement de DCP (par exemple: le
client du responsable de traitement de DCP);
NOTE 1 Cela peut être le cas d'une organisation qui est un responsable conjoint de traitement.
NOTE 2 Une personne physique ayant, avec une organisation, une relation de consommateur à entreprise
est qualifiée de «personne concernée» dans le présent document.
b) un responsable de traitement de DCP qui a conclu un contrat avec un sous-traitant de DCP (par
exemple: le client du sous-traitant de DCP); ou
c) un sous-traitant de DCP qui a conclu un contrat avec un sous-traitant pour le traitement de DCP
(par exemple: le client du sous-traitant du sous-traitant).
NOTE 3 Lorsque le terme «client» est mentionné dans l'Article 6, les dispositions afférentes peuvent être
applicables dans les contextes a), b) ou c).
NOTE 4 Lorsque le terme «client» est mentionné dans l'Article 7 et l'Annexe A, les dispositions afférentes sont
applicables dans le contexte a).
NOTE 5 Lorsque le terme «client» est mentionné dans l'Article 8 et l'Annexe B, les dispositions afférentes
peuvent être applicables dans les contextes b) et/ou c).
5 Exigences spécifiques au PIMS liées à l'ISO/IEC 27001
5.1 Généralités
Les exigences de l'ISO/IEC 27001:2013 mentionnant la «sécurité de l'information» doivent être étendues
à la protection de la vie privée telle que potentiellement affectée par le traitement des DCP.
NOTE Dans la prat
...