Tester les contrôles ISO 27701 de protection des données pour le GDPR

L’audit de protection des données du vendredi qui a révélé le vrai problème
Il est 15 h 40 un vendredi lorsque Maria, RSSI d’une entreprise SaaS en forte croissance, rejoint une visioconférence avec le responsable achats senior d’un prospect grand compte.
Son équipe travaille depuis des mois sur son système de management des informations relatives à la vie privée. Les politiques sont approuvées. Le registre des activités de traitement existe. L’entreprise dispose d’un plan de préparation ISO 27701. Le DPO a défini des workflows de demandes d’exercice des droits des personnes concernées. Le service juridique a mis à jour les accords de traitement des données. L’ingénierie indique que l’accès à l’environnement de production est restreint.
Le responsable achats commence poliment, mais sans détour.
« Merci pour la documentation, Maria. Le certificat et le dossier de politiques constituent un bon point de départ. Notre équipe de due diligence sera sur site le mois prochain. Elle voudra observer votre processus de traitement des demandes d’exercice des droits en fonctionnement, vérifier les contrôles de minimisation des données sur nos comptes de test, revoir les journaux d’accès à l’environnement de production et examiner les éléments probants montrant que les contrôles de protection des données sont testés, et pas seulement documentés. »
En quelques minutes, Maria reçoit deux autres messages.
Le DPO demande si la nouvelle fonctionnalité d’analytique est couverte par le registre des activités de traitement, l’évaluation de la base légale, le calendrier de conservation et les obligations répercutées aux sous-traitants.
Le Responsable conformité demande si la revue de préparation ISO 27701:2025 peut démontrer que les contrôles PIMS sont efficaces en fonctionnement.
C’est à ce moment que de nombreux programmes de protection des données vacillent. L’organisation possède des documents de protection des données, mais pas d’éléments probants. Elle dispose de workflows, mais pas d’éléments fondés sur des échantillons. Elle a des contrats, mais des enregistrements de surveillance faibles. Elle a confiance en interne, mais aucune piste d’audit défendable.
Cet écart sépare la conformité documentaire de l’accountability démontrable.
Le GDPR rend le problème explicite. Le responsable du traitement est responsable du respect des principes de protection des données et doit être en mesure de le démontrer. Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente, pour des finalités déterminées, limitées à ce qui est nécessaire, exactes, conservées uniquement pendant la durée nécessaire et sécurisées par des mesures techniques et organisationnelles appropriées.
ISO 27701:2025 fournit aux organisations la structure de management de la protection des données. ISO/IEC 27001:2022 fournit l’ossature du SMSI pour le domaine d’application, le traitement des risques, la maîtrise opérationnelle, l’audit interne, la revue de direction et l’amélioration continue. Le GDPR impose l’obligation juridique d’accountability. NIS2, DORA, NIST CSF 2.0, l’assurance de type COBIT 2019 et les revues de sécurité demandées par les clients renforcent l’exigence de démontrer que les contrôles fonctionnent.
La position de Clarysec est simple : le test des contrôles de protection des données ne doit pas se transformer en collecte annuelle improvisée de captures d’écran. Il doit constituer un système d’éléments probants PIMS reliant les activités de traitement, les contrôles applicables, les risques, les échantillons, les vérifications techniques, les constats, les CAPA et la revue de direction dans un modèle traçable.
C’est là que l’ensemble de politiques PIMS de Clarysec, Zenith Blueprint : feuille de route en 30 étapes pour l’auditeur et Zenith Controls : guide de correspondance de conformité deviennent des outils opérationnels, et non de simples documents de bibliothèque.
Le test des contrôles de protection des données fait le lien entre politique et accountability
Un test de contrôle de protection des données répond à trois questions pratiques :
- Le contrôle est-il conçu pour satisfaire l’obligation de protection des données ou réduire le risque relatif à la vie privée ?
- Le contrôle est-il mis en œuvre dans le processus, le système, l’équipe, le fournisseur ou le workflow produit concerné ?
- Le contrôle est-il efficace en fonctionnement dans la durée, avec des éléments probants susceptibles de satisfaire un auditeur, un client, une autorité de contrôle ou un comité des risques du conseil d’administration ?
Une entreprise SaaS peut déclarer qu’elle prend en charge les demandes de suppression. Un test de conception vérifie si la politique de suppression, le processus de vérification de l’identité, le modèle de responsabilité, la coordination avec les sous-traitants, les exceptions de conservation et la gestion des sauvegardes sont définis. Un test d’efficacité de fonctionnement échantillonne les demandes de suppression finalisées, compare les horodatages, vérifie les approbations, revoit les journaux système, vérifie les notifications aux sous-traitants en aval et confirme les éléments probants de clôture.
La Politique de surveillance, d’audit et d’amélioration du PIMS en fait une exigence auditable :
[Les deux] Le responsable de l’audit interne/conformité DOIT tester le statut de mise en œuvre des contrôles PIMS applicables par rapport à REG03 lors de chaque audit PIMS.
Extrait de la section « Programme d’audit interne du PIMS », clause de politique 4.2.5.
L’expression « par rapport à REG03 » est centrale. Le test n’est pas un entretien libre. REG03 sert de référence d’applicabilité et de mise en œuvre pour les contrôles PIMS. Il indique ce qui s’applique, pourquoi cela s’applique et ce qui doit être étayé par des éléments probants.
La même politique ajoute :
[Les deux] Le responsable de l’audit interne/conformité DOIT enregistrer dans REG12 l’échantillon sélectionné d’éléments probants relatifs au traitement de données à caractère personnel lors de chaque audit PIMS.
Extrait de la section « Programme d’audit interne du PIMS », clause de politique 4.2.6.
C’est le cœur du test des contrôles ISO 27701:2025 de protection des données. Un audit PIMS sans échantillon est une conversation. Un audit PIMS avec éléments probants sélectionnés, cartographie des contrôles, exceptions, actions correctives et traçabilité de la revue de direction constitue une accountability démontrable.
Commencer par le domaine d’application, le rôle et la réalité des traitements
La plupart des audits de protection des données faibles échouent avant même le début des tests. Ils sélectionnent des contrôles génériques sans confirmer quelles données à caractère personnel sont traitées, où elles résident, quels systèmes et fournisseurs les manipulent, et si l’organisation agit comme responsable du traitement, sous-traitant, responsable conjoint du traitement ou sous-traitant ultérieur.
Les obligations au sens du GDPR dépendent fortement du rôle. Un responsable du traitement qui décide pourquoi et comment des données à caractère personnel sont traitées a des obligations différentes de celles d’un sous-traitant agissant sur instructions documentées du client. La sensibilité des données compte également. Les données des employés, les données de compte client, la télémétrie, les données financières, la vérification biométrique, les données relatives à la santé, le contrôle de sanctions et les données relatives aux infractions pénales ne présentent pas le même risque.
Un programme robuste de tests ISO 27701:2025 commence par une définition rigoureuse du périmètre.
| Question de périmètre | Éléments probants à examiner | Pourquoi c’est important |
|---|---|---|
| Quelles activités de traitement de données à caractère personnel relèvent du périmètre ? | Registre des activités de traitement, cartographie des flux de données, inventaire des systèmes, registre des fournisseurs | Les tests doivent échantillonner des traitements réels, et non des énoncés de politique abstraits |
| Quel rôle PIMS s’applique ? | Cartographie responsable du traitement, sous-traitant, responsable conjoint du traitement, sous-traitant ultérieur | Les obligations GDPR et les contrôles PIMS varient selon le rôle |
| Quelles obligations légales, contractuelles et réglementaires s’appliquent ? | Évaluation GDPR, accords de traitement des données clients, règles sectorielles, analyses de transferts | La conception des contrôles doit refléter les obligations réelles |
| Quels systèmes et fournisseurs traitent des données à caractère personnel ? | Inventaire des actifs, inventaire cloud, liste des sous-traitants, matrice d’accès | Les tests de fonctionnement nécessitent des éléments probants techniques et provenant de tiers |
| Quels changements affectent le traitement des données à caractère personnel ? | Enregistrements de changements produit, déclencheurs DPIA, notes de version, revues d’architecture | La protection de la vie privée dès la conception doit être testée avant le lancement, et non après les réclamations |
ISO/IEC 27001:2022 soutient cette approche intégrée au travers de ses exigences relatives au contexte de l’organisation, aux exigences des parties intéressées, aux obligations légales et contractuelles, au domaine d’application du système de management, à la planification opérationnelle et au traitement des risques. Pour la protection des données, cela signifie que le traitement de données à caractère personnel ne peut pas rester dans une feuille de calcul isolée. Il doit faire partie du modèle opérationnel du SMSI et du PIMS.
La Politique du système de management des informations relatives à la vie privée relie directement les tests de protection des données à la gouvernance :
[Tous] La Direction DOIT revoir chaque année dans REG12 la performance du PIMS, les objectifs relatifs à la vie privée, les risques ouverts, les non-conformités, les actions correctives et les décisions d’amélioration.
Extrait de la section « Gouvernance du PIMS », clause de politique 6.1.1.
Si les tests identifient un écart relatif à la vie privée, il ne s’agit pas simplement d’une note d’audit. C’est une donnée d’entrée du système de management qui doit influer sur le traitement des risques, les priorités, les ressources et les décisions de direction.
Efficacité de conception et efficacité de fonctionnement
Lorsqu’un client demande si les contrôles de protection des données sont testés, il vise généralement l’efficacité de fonctionnement. Les auditeurs examineront toutefois aussi l’efficacité de conception.
Un contrôle efficace par conception est apte à satisfaire l’exigence s’il est exécuté comme prévu. Un contrôle efficace en fonctionnement est effectivement exécuté de manière constante et soutenu par des éléments probants.
| Domaine de contrôle | Test d’efficacité de conception | Test d’efficacité de fonctionnement |
|---|---|---|
| Recueil du consentement | Vérifier la politique, le texte de consentement, les règles de base légale, les exigences d’interface utilisateur, le workflow de retrait | Échantillonner les enregistrements de consentement et les retraits, comparer les horodatages, vérifier la suppression après retrait |
| Limitation des finalités | Revoir le registre des activités de traitement, la mention d’information, les exigences produit, la séparation du consentement, les règles d’utilisation des données | Échantillonner les enregistrements utilisateurs, journaux, exports et flux analytiques afin de confirmer que les données à caractère personnel ne sont pas réutilisées à des fins non autorisées |
| Accès aux données à caractère personnel | Revoir la politique d’accès, le modèle de rôles, la procédure arrivées-mobilités-départs, le workflow d’approbation | Échantillonner les utilisateurs ayant accès aux données à caractère personnel, vérifier l’approbation, le besoin métier, la MFA et la revue d’accès récente |
| Intégration des sous-traitants | Revoir les critères de due diligence, les clauses de l’accord de traitement des données, les règles relatives aux sous-traitants ultérieurs, les garanties applicables au transfert | Échantillonner un sous-traitant, examiner l’évaluation, le contrat, la revue de sécurité et les éléments probants de surveillance des sous-traitants ultérieurs |
| Conservation et suppression | Revoir le calendrier de conservation, les règles d’exception, la procédure de suppression et la capacité du système | Échantillonner les enregistrements supprimés ou les demandes de suppression, examiner les journaux, tickets et confirmations des sous-traitants |
| Gestion des violations | Revoir la classification des incidents, l’escalade relative à la vie privée, les critères de notification aux autorités | Échantillonner les enregistrements d’incidents, vérifier le triage, la justification des décisions, les notifications et les enseignements tirés |
La Politique d’audit et de surveillance de la conformité énonce directement l’objectif :
Valider l’efficacité des contrôles de sécurité et de protection des données
Extrait de la section « Objet », clause de politique 1.1.1.
La version PME conserve le même principe d’assurance dans un langage opérationnel. La Politique d’audit et de surveillance de la conformité - PME indique :
Cette politique établit l’approche de l’organisation pour la conduite des audits internes, des revues des contrôles de sécurité et de la surveillance de la conformité. Elle garantit que tous les contrôles, politiques, systèmes et prestataires de services font l’objet d’une revue régulière et structurée.
Extrait de la section « Objet », clause de politique 1.1.
La préparation ISO 27701 ne dépend pas de la taille de l’entreprise. Un sous-traitant SaaS de 30 personnes n’a pas nécessairement besoin des mêmes outils d’audit qu’une banque mondiale, mais il doit tout de même démontrer que l’accès, la suppression, l’escalade des incidents, la gouvernance des sous-traitants ultérieurs et la conservation des éléments probants sont maîtrisés.
La chaîne d’éléments probants Clarysec : REG03, REG12, CAPA et revue
Clarysec structure le test des contrôles de protection des données autour d’une chaîne d’éléments probants simple.
REG03 définit les contrôles PIMS applicables et leur statut de mise en œuvre. REG12 enregistre les échantillons, les éléments probants, les constats, les lacunes de traçabilité, la vérification des actions correctives et les données d’entrée de la revue de direction. Les enregistrements CAPA transforment les constats en améliorations fondées sur l’analyse de la cause racine. La Direction revoit la performance du PIMS, les risques, les non-conformités, les actions correctives et les décisions d’amélioration.
La Politique de gestion des informations documentées et des éléments probants du PIMS exige que les problèmes de qualité des éléments probants soient consignés :
[Tous] Le responsable de l’audit interne/conformité DOIT enregistrer dans REG12 les lacunes d’exhaustivité, d’exactitude ou de traçabilité des éléments probants lors de chaque audit planifié ou revue de conformité.
Extrait de la section « Création, nommage et qualité des éléments probants », clause de politique 4.3.4.
C’est important, car tout constat n’est pas une défaillance totale de contrôle. Parfois, le contrôle a fonctionné, mais les éléments probants sont incomplets. Parfois, un ticket de suppression est clôturé, mais aucun journal système ne prouve la suppression. Parfois, le registre des activités de traitement mentionne le CRM, mais omet l’export vers l’entrepôt de données. Parfois, un contrat fournisseur existe, mais la surveillance continue est absente.
La Politique d’audit et de surveillance de la conformité exige également des audits internes structurés :
Les audits internes doivent suivre une procédure documentée comprenant :
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.1.1.
Et lorsque des constats surviennent :
Tous les constats doivent donner lieu à une CAPA documentée comprenant :
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.2.1.
La Politique de gestion des risques - PME renforce la discipline de clôture :
L’achèvement et l’efficacité des actions de traitement doivent être vérifiés.
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.3.2.
La Politique de surveillance, d’audit et d’amélioration du PIMS ferme la boucle :
[Tous] Le responsable de l’audit interne/conformité DOIT vérifier dans REG12 l’efficacité des actions correctives dans les 30 jours suivant la clôture déclarée de l’action corrective.
Extrait de la section « Non-conformité et action corrective », clause de politique 4.4.7.
C’est la différence entre corriger un ticket et améliorer un système de management.
Test pratique 1 : demandes de suppression et accountability au sens du GDPR
Les demandes de suppression sont l’un des moyens les plus clairs de tester si l’accountability en matière de protection des données fonctionne en pratique.
Supposons qu’une entreprise SaaS de taille intermédiaire agisse à la fois comme responsable du traitement et comme sous-traitant. Elle maîtrise les données des employés, du marketing et de facturation. Elle traite les données des utilisateurs finaux des clients pour le compte de clients entreprise. L’organisation souhaite tester si les contrôles de suppression sont prêts pour un audit ISO 27701:2025 et pour l’assurance demandée par les clients au sens du GDPR.
Étape 1 : sélectionner l’activité de traitement depuis REG03
Choisissez une activité de traitement présentant un risque réel relatif à la vie privée, par exemple « données de profil des utilisateurs finaux des clients traitées dans la plateforme SaaS ». Confirmez si l’organisation agit comme responsable du traitement, sous-traitant ou les deux. Identifiez les contrôles associés à la gestion des droits, à la validation des instructions du sous-traitant, à la conservation, à la suppression, au contrôle d’accès, à la journalisation, à la gestion des sauvegardes et à la coordination fournisseurs.
Étape 2 : définir un objectif de test précis
Un objectif de test utile est spécifique et fondé sur les éléments probants :
« Vérifier que les demandes de suppression relatives aux données de profil des utilisateurs finaux des clients sont reçues, authentifiées ou validées au regard des instructions, traitées dans le workflow défini, journalisées, techniquement exécutées dans les systèmes de production, répercutées aux sous-traitants ultérieurs concernés lorsque requis, et clôturées avec des éléments probants. »
Étape 3 : extraire un échantillon représentatif
Sélectionnez cinq demandes de suppression du dernier trimestre. Incluez une demande courante, une demande impliquant un administrateur client, une demande fondée sur une instruction de sous-traitance, une demande comportant une exception de conservation et une demande touchant à la gestion des sauvegardes.
Le Zenith Blueprint, dans la phase Audit, revue et amélioration, étape 26 : exécution de l’audit, met l’accent sur l’échantillonnage et la collecte des éléments probants :
✓ Interroger le personnel concerné : demander aux personnes responsables des processus d’expliquer comment elles satisfont aux exigences. Par exemple, demander au propriétaire du risque de présenter la dernière appréciation des risques, ou demander aux RH comment les nouveaux arrivants sont formés à la sécurité (afin de couvrir la mesure 6.3 relative à la sensibilisation).
✓ Revoir la documentation : vérifier que les documents et enregistrements existent et sont à jour.
✓ Observer les pratiques : si possible, procéder à une observation directe.
✓ Échantillonner et effectuer des contrôles ponctuels : il est impossible de tout vérifier, l’échantillonnage doit donc être utilisé.
Extrait de la phase Audit, revue et amélioration, étape 26 : exécution de l’audit (conduire un audit interne).
Étape 4 : examiner les éléments probants pour chaque échantillon
Pour chaque demande échantillonnée, collectez le ticket de réception, la classification des rôles, la vérification de l’identité ou l’autorisation du client, le journal de suppression système, la décision d’exception de conservation, l’explication relative à la gestion des sauvegardes, la notification au sous-traitant ultérieur, la communication de clôture, les horodatages et la validation par le responsable de la revue.
Étape 5 : enregistrer les résultats dans REG12
Enregistrez dans REG12 l’échantillon, la source des éléments probants, le résultat du contrôle, l’exception et la lacune de traçabilité. Si la suppression a eu lieu mais qu’aucun journal de production n’existe, le contrôle peut avoir fonctionné, mais les éléments probants sont faibles. Si la demande a été retardée parce que la responsabilité du fournisseur était ambiguë, le constat peut relever de la gouvernance des tiers et des obligations contractuelles répercutées.
Étape 6 : créer une CAPA et vérifier l’efficacité
Si la cause racine est une responsabilité mal définie entre le support, le juridique et l’ingénierie, la CAPA peut inclure un workflow révisé, une matrice RACI mise à jour, des champs d’éléments probants obligatoires et des contrôles mensuels par échantillonnage des suppressions.
Le Zenith Blueprint, dans la phase Audit, revue et amélioration, étape 29, explique l’exigence de clôture :
Planifier la manière dont vous allez vérifier l’efficacité de chaque action corrective. Cela peut impliquer de planifier un audit ou un contrôle de suivi. Par exemple, si votre action corrective consistait à former le personnel informatique au contrôle d’accès, vous pouvez prévoir de revoir les nouveaux comptes dans un mois afin de vérifier que tous disposent des approbations appropriées (vérification).
Extrait de la phase Audit, revue et amélioration, étape 29 : amélioration continue (actions correctives et enseignements tirés).
Pour la suppression, la vérification pourrait consister à échantillonner les cinq demandes de suppression suivantes après la mise en production du workflow révisé. Ce n’est qu’à ce moment que la CAPA devrait être clôturée.
Test pratique 2 : limitation des finalités et minimisation des données
Un deuxième test à forte valeur porte sur la limitation des finalités. Il est particulièrement utile avant une due diligence client, le lancement d’analytique, un enrichissement par IA, l’extension d’un entrepôt de données ou des changements d’automatisation marketing.
La plateforme SaaS de Maria collecte les données des utilisateurs clients pour la fourniture du service. L’objectif de contrôle consiste à s’assurer que les données à caractère personnel sont utilisées uniquement pour des finalités déterminées et légitimes, et ne sont pas réutilisées pour l’analytique marketing, sauf lorsque l’utilisateur a donné un consentement explicite et distinct, lorsque cela est requis.
| Type d’éléments probants | Livrables justificatifs spécifiques |
|---|---|
| Documentation | Politique de protection des données et de la vie privée, registre des activités de traitement, accord de traitement des données client, mentions d’information, enregistrements de gestion du consentement |
| Configuration technique | Règles de traitement des données applicatives, schémas de bases de données, configurations d’API, paramètres des jobs ETL |
| Journaux et enregistrements | Journaux d’accès applicatifs, journaux de requêtes de bases de données, historique des changements de consentement, enregistrements d’exports de campagnes |
| Éléments probants relatifs au personnel | Entretiens avec le propriétaire de produit, le développeur principal, l’administrateur de bases de données et le responsable de la protection des données |
Un test robuste de fonctionnement ne s’arrête pas à la politique. Il échantillonne les utilisateurs qui ont consenti au marketing et ceux qui n’y ont pas consenti. Il vérifie si le statut du consentement est correctement répercuté dans les bases de données applicatives principales, les tables de l’entrepôt de données, les outils de campagne, les tableaux de bord et les exports. Si des utilisateurs non consentants apparaissent dans une audience marketing, l’organisation présente une non-conformité concrète.
La version PME de la Politique d’audit et de surveillance de la conformité donne le bon cadre d’analyse au travers d’un exemple de test technique :
Vérification des contrôles techniques (par exemple, statut des sauvegardes, configuration du contrôle d’accès, enregistrements de correctifs)
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.1.1.2.
Pour la protection des données, la vérification des contrôles techniques inclut les contrôles de synchronisation du consentement, les exports de contrôle d’accès, les journaux de suppression, les paramètres de chiffrement, les tests de masquage des données, les alertes DLP, les contraintes de sauvegarde, les événements de surveillance et les éléments probants fournisseurs.
Cartographier les tests de protection des données avec ISO/IEC 27001:2022 et la cartographie Clarysec
Les contrôles de protection des données ne fonctionnent pas isolément. La protection des données à caractère personnel dépend de l’inventaire des actifs, de la classification, du contrôle d’accès, de la gouvernance cloud, du masquage des données, du transfert d’informations, de la journalisation, de la surveillance, de la suppression, de la protection des enregistrements, de la supervision des fournisseurs et de la revue indépendante.
Dans Zenith Controls : guide de correspondance de conformité, la mesure ISO/IEC 27001:2022 Annexe A 5.34, Protection de la vie privée et des données à caractère personnel, est cartographiée comme un contrôle préventif aligné sur la confidentialité, l’intégrité et la disponibilité, avec les concepts cybersécurité Identifier et Protéger, et des capacités opérationnelles en protection de l’information ainsi qu’en juridique et conformité.
Sa relation avec l’inventaire est directe :
Un inventaire des actifs informationnels (5.9) devrait inclure les ensembles de données à caractère personnel détenus (bases de données clients, dossiers RH). Cela soutient 5.34 en garantissant que l’organisation sait quelles données à caractère personnel elle détient et où elles se trouvent, ce qui constitue la première étape pour les protéger.
Extrait de Zenith Controls, Protection de la vie privée et des données à caractère personnel, mesure 5.34.
Pour les tests d’audit, cela signifie que l’auditeur protection des données ne doit pas commencer uniquement par la mention d’information. Il doit commencer par l’inventaire des données à caractère personnel, le registre des activités de traitement, les flux de données, l’inventaire des actifs et l’inventaire des fournisseurs. Si l’inventaire est incomplet, les contrôles de protection des données en aval ne peuvent pas être pleinement fiables.
Le guide cartographie également la mesure ISO/IEC 27001:2022 Annexe A 5.34 avec des contrôles associés tels que 5.9 Inventaire des informations et autres actifs associés, 5.12 Classification de l’information, 5.14 Transfert d’informations, 5.15 Contrôle d’accès, 5.16 Gestion des identités, 5.23 Sécurité de l’information dans l’utilisation des services cloud, 5.33 Protection des enregistrements, 8.11 Masquage des données, 8.12 Prévention des fuites de données et 8.10 Suppression des informations.
Deux autres mesures ISO/IEC 27001:2022 Annexe A sont particulièrement pertinentes :
| Mesure ISO/IEC 27001:2022 | Pertinence pour les tests de protection des données | Exemple d’éléments probants |
|---|---|---|
| 5.34 Protection de la vie privée et des données à caractère personnel | Confirme que les exigences de protection de la vie privée et des données à caractère personnel sont mises en œuvre sur la base des lois, réglementations et contrats | Registre des activités de traitement, DPIA, enregistrements des bases légales, éléments probants DSR, journaux de conservation |
| 5.35 Revue indépendante de la sécurité de l’information | Fournit une validation objective indiquant que les dispositifs de sécurité, y compris les contrôles pertinents pour la protection des données, sont revus indépendamment | Rapports d’audit interne, résultats de revue externe, échantillons REG12, enregistrements CAPA |
| 5.36 Conformité aux politiques, règles et normes de sécurité de l’information | Confirme la conformité continue aux règles et normes internes | Revues de conformité aux politiques, vérifications des accès, résultats de surveillance, registres des dérogations |
La Politique de protection des données et de la vie privée exige :
Un audit interne de conformité relatif à la protection des données doit être réalisé annuellement ou lors de changements organisationnels ou réglementaires majeurs. Le périmètre d’audit doit inclure :
Extrait de la section « Exigences de gouvernance », clause de politique 5.4.
Elle inclut en outre :
L’efficacité des mesures techniques et organisationnelles
Extrait de la section « Exigences de gouvernance », clause de politique 5.4.1.
La Politique de protection des données et de la vie privée - PME conserve la même attente de manière pratique :
Des audits réguliers relatifs à la protection des données ou des vérifications de contrôles doivent être réalisés et journalisés
Extrait de la section « Exigences de gouvernance », clause de politique 5.3.3.
Pourquoi l’accountability au sens du GDPR est désormais un enjeu de cybergouvernance
Les éléments probants relatifs à la protection des données ne sont plus demandés uniquement par les auditeurs spécialisés. Les mêmes preuves peuvent être demandées par un auditeur ISO 27701:2025, un auditeur ISO/IEC 27001:2022, un réviseur GDPR, une autorité compétente NIS2, un client soumis à DORA, un évaluateur NIST CSF ou un comité des risques du conseil d’administration.
NIS2 Article 21 impose aux entités essentielles et importantes de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour la gestion des risques de cybersécurité. Article 21(2)(f) inclut explicitement les politiques et procédures destinées à évaluer l’efficacité des mesures de gestion des risques de cybersécurité. NIS2 rend également les organes de direction responsables de l’approbation et de la supervision des mesures de gestion des risques de cybersécurité.
DORA s’applique à compter du 17 janvier 2025 aux entités financières et établit un corpus détaillé de règles de résilience opérationnelle numérique. Il exige la gestion des risques liés aux TIC, la supervision par l’organe de direction, l’audit interne, la remédiation des constats critiques, la classification et la notification des incidents, les tests de résilience, la gestion des risques liés aux prestataires tiers de services TIC, les contrôles contractuels, les registres des dispositifs de services TIC et les stratégies de sortie. Les prestataires de services TIC qui servent des entités financières doivent anticiper des demandes d’éléments probants motivées par DORA dans le cadre de l’assurance demandée par les clients.
NIST CSF 2.0 fournit une couche de traduction utile. Sa fonction GOVERN attend des organisations qu’elles comprennent les attentes des parties prenantes, les dépendances et les obligations légales, réglementaires, contractuelles, relatives à la vie privée et aux libertés civiles. Son approche par Profils aide à comparer les résultats actuels aux résultats cibles, à identifier les écarts et à prioriser les plans d’action.
| Pression liée aux exigences | Ce que le test des contrôles de protection des données doit produire | Ancrage Clarysec |
|---|---|---|
| Accountability au sens du GDPR | Éléments probants démontrant que les principes, la base légale, les droits, la sécurité, la conservation et les obligations des sous-traitants sont effectivement respectés | Politiques PIMS, REG03, REG12, CAPA |
| Préparation ISO 27701:2025 | Contrôles PIMS testés, applicabilité fondée sur les rôles, qualité des éléments probants, audit interne, revue de direction | Politique de surveillance, d’audit et d’amélioration du PIMS |
| Assurance ISO/IEC 27001:2022 | Traçabilité du traitement des risques, justification de la SoA, maîtrise opérationnelle, audit, revue, amélioration | Zenith Blueprint, guide de correspondance de conformité Zenith Controls |
| Gouvernance NIS2 | Évaluation de l’efficacité, préparation aux incidents, contrôles fournisseurs, supervision par la direction | Cartographie des mesures ISO/IEC 27001:2022 Annexe A 5.35 et 5.36 |
| Assurance DORA | Tests des contrôles TIC, tests de résilience, éléments probants tiers, enregistrements du cycle de vie des incidents | Modèle d’éléments probants d’audit avec correspondance entre référentiels |
| NIST CSF 2.0 | Profil actuel, profil cible, analyse des écarts, amélioration priorisée | Zenith Blueprint étapes 24, 26, 29 |
Le Zenith Blueprint renforce la traçabilité à l’étape 24 :
Votre SoA doit être cohérente avec votre registre des risques et votre plan de traitement des risques. Vérifiez de nouveau que chaque contrôle que vous avez choisi comme traitement du risque est marqué « Applicable » dans la SoA. À l’inverse, si un contrôle est marqué « Applicable » dans la SoA, vous devez disposer d’une justification, généralement un risque cartographié, une exigence légale ou réglementaire, ou un besoin métier.
Extrait de la phase Audit, revue et amélioration, étape 24 : audit, revue et amélioration.
Pour le test des contrôles de protection des données, le même principe s’applique à l’applicabilité PIMS. Chaque contrôle de protection des données applicable doit être rattaché à un risque de traitement, une obligation légale, une exigence client ou un besoin métier. Chaque test doit se rattacher à ce contrôle.
Comment différents auditeurs apprécieront le même contrôle
Un programme robuste de tests de protection des données anticipe l’angle d’analyse de l’auditeur. Le même contrôle de suppression, contrôle d’accès ou contrôle d’intégration des sous-traitants sera interprété différemment selon le contexte de revue.
| Angle de l’auditeur | Question d’audit probable | Éléments probants attendus |
|---|---|---|
| Auditeur ISO 27701:2025 | Les contrôles PIMS fondés sur les rôles sont-ils mis en œuvre, évalués et améliorés ? | Applicabilité REG03, échantillons REG12, registre des activités de traitement, cartographie des politiques, résultats d’audit |
| Auditeur ISO/IEC 27001:2022 | Le contrôle lié à la protection des données est-il intégré au traitement des risques, à la SoA, à la maîtrise opérationnelle, à l’audit interne et à la revue de direction ? | Registre des risques, justification de la SoA, plan de traitement, éléments probants de contrôle, comptes rendus de revue de direction |
| Réviseur GDPR | Le responsable du traitement peut-il démontrer la conformité aux principes et obligations du GDPR ? | Base légale, mentions d’information, journaux DSR, DPIA, contrats, registres des violations, éléments probants de conservation |
| Évaluateur NIST CSF | L’organisation connaît-elle ses obligations, définit-elle des résultats cibles, mesure-t-elle les écarts et s’améliore-t-elle ? | Profil actuel et profil cible, plan de traitement des écarts, priorisation des risques, enregistrements de gouvernance |
| Client ou régulateur orienté DORA | Les contrôles TIC sont-ils testés, les incidents classifiés, les fournisseurs surveillés et les services critiques résilients ? | Programme de tests, enregistrements d’incidents, registre des fournisseurs, contrats, plans de sortie |
| Auditeur de type ISACA ou COBIT 2019 | Les objectifs, la responsabilité, les indicateurs, la clôture des problèmes et la supervision de la gouvernance sont-ils efficaces ? | RACI, KPI, journaux des problèmes, vérification CAPA, rapports à la direction |
C’est pourquoi REG12 est si précieux. Il transforme la conformité en matière de protection des données en éléments probants de gouvernance auditables.
Constats fréquents dans les tests des contrôles PIMS
Clarysec observe régulièrement les mêmes constats d’audit relatifs à la protection des données dans les organisations qui se préparent à la certification ISO 27701:2025, à l’assurance client GDPR ou à la due diligence d’entreprise.
Le registre des activités de traitement ne correspond pas à la réalité des systèmes
Le registre des activités de traitement liste le CRM et les plateformes de support, mais les ingénieurs ont ajouté des exports analytiques, des journaux d’observabilité, des outils d’IA et des tables d’entrepôt de données.
Réponse de test : échantillonner les systèmes depuis l’inventaire des actifs et l’inventaire cloud, puis les rapprocher du registre des activités de traitement. Utiliser la relation entre les mesures ISO/IEC 27001:2022 Annexe A 5.9 et 5.34 comme justification d’audit.
L’accès aux données à caractère personnel est approuvé, mais pas revu périodiquement
Les approbations initiales existent, mais les revues des accès à privilèges n’incluent pas les outils d’usurpation pour le support, les bases de données de production, les tableaux de bord BI ou les comptes d’urgence.
Réponse de test : échantillonner les utilisateurs actifs ayant accès aux données à caractère personnel et comparer le rôle, le besoin métier, l’approbation, le statut MFA, la dernière connexion et les éléments probants de revue.
Les contrats de sous-traitance existent, mais la surveillance est faible
L’accord de traitement des données est signé, mais le questionnaire fournisseur est ancien. Personne n’a revu les changements de sous-traitants ultérieurs, les localisations de données, le niveau de sécurité ou les obligations de notification d’incident.
Réponse de test : échantillonner les sous-traitants critiques et examiner la due diligence, les clauses contractuelles, les changements de sous-traitants ultérieurs, les garanties applicables au transfert et les enregistrements de surveillance. Cela soutient le GDPR, les attentes NIS2 en matière de chaîne d’approvisionnement et les attentes DORA en matière de risques liés aux tiers.
La réponse aux incidents existe, mais la classification relative à la vie privée est incohérente
Les incidents de sécurité sont journalisés, mais l’impact relatif à la vie privée n’est pas toujours évalué. Les critères de violation de données au sens du GDPR ne sont pas documentés de manière cohérente. Les obligations de notification client sont gérées de façon informelle.
Réponse de test : échantillonner les incidents impliquant une exposition de données et examiner la classification, l’escalade relative à la vie privée, la revue juridique, les décisions de notification, la préservation des éléments probants, la cause racine et les enseignements tirés.
La CAPA est clôturée sans vérification de l’efficacité
Une procédure est mise à jour et le constat est clôturé. Personne ne teste si l’échantillon suivant s’est amélioré.
Réponse de test : vérifier l’efficacité des actions correctives dans REG12 dans les 30 jours suivant la clôture déclarée, comme l’exige la Politique de surveillance, d’audit et d’amélioration du PIMS.
Un sprint de 90 jours pour tester les contrôles de protection des données
Pour les organisations qui progressent vers la préparation ISO 27701:2025, la due diligence client ou une revue d’accountability au sens du GDPR, Clarysec recommande un sprint ciblé de 90 jours.
| Calendrier | Axe de travail | Livrables |
|---|---|---|
| Jours 1 à 15 | Domaine d’application et modèle d’éléments probants | Rôles PIMS, registre des activités de traitement, applicabilité REG03, risques prioritaires, obligations légales, dépendances fournisseurs, règles de nommage des éléments probants |
| Jours 16 à 35 | Tests de conception | Revue de politique, RACI, mentions d’information, base légale, déclencheurs DPIA, workflows DSR, classification des incidents, calendriers de conservation, contrôles fournisseurs |
| Jours 36 à 65 | Tests de fonctionnement | Échantillons pour les accès, suppressions, incidents, sous-traitants, transferts, conservation, formation, surveillance technique, éléments probants REG12 |
| Jours 66 à 80 | CAPA et traitement des risques | Cause racine, action corrective, propriétaire, date d’échéance, risque résiduel, méthode de vérification |
| Jours 81 à 90 | Préparation de la revue de direction | Dossier de performance du PIMS, objectifs, risques ouverts, non-conformités, actions correctives, problèmes fournisseurs, décisions d’amélioration |
À la fin du sprint, l’organisation doit être en mesure de répondre aux questions réellement posées par les auditeurs :
- Quelles données à caractère personnel traitez-vous ?
- Dans quel rôle ?
- Quels contrôles s’appliquent ?
- Pourquoi sont-ils applicables ?
- Quels éléments probants démontrent qu’ils sont mis en œuvre ?
- Quel échantillon démontre qu’ils fonctionnent ?
- Quels écarts ont été constatés ?
- Quelles actions correctives ont été engagées ?
- Qui a vérifié l’efficacité ?
- Qu’est-ce que la Direction a revu et décidé ?
De la protection des données documentaire à l’accountability démontrable
Un certificat ISO 27701 a de la valeur, mais il n’est pas l’objectif final. Les clients, les autorités de contrôle, les conseils d’administration et les auditeurs attendent de plus en plus la preuve que les contrôles de protection des données sont conçus, mis en œuvre, surveillés, corrigés et gouvernés.
La conformité en matière de protection des données échoue lorsqu’elle est traitée comme un projet documentaire. Elle résiste à l’examen lorsqu’elle devient un système d’éléments probants testés.
Clarysec aide les organisations à passer d’une conformité déclarée à une accountability démontrable en reliant les politiques PIMS, l’applicabilité REG03, les échantillons d’éléments probants REG12, la vérification CAPA, la revue de direction et la cartographie entre référentiels au moyen de Zenith Blueprint : feuille de route en 30 étapes pour l’auditeur et de Zenith Controls : guide de correspondance de conformité.
Si votre organisation se prépare à une certification ISO 27701:2025, une revue d’accountability au sens du GDPR, une assurance client en matière de protection des données, des éléments probants de gouvernance NIS2 ou une due diligence fournisseur motivée par DORA, commencez par un atelier ciblé de tests des contrôles de protection des données.
Clarysec peut vous aider à cartographier l’applicabilité REG03, à construire des échantillons d’audit REG12, à tester les contrôles PIMS prioritaires, à aligner les constats sur les CAPA et à préparer des éléments de sortie de revue de direction capables de résister à l’examen.
Votre prochain audit de protection des données ne doit pas être une collecte improvisée de captures d’écran. Il doit démontrer avec assurance que la protection des données fonctionne, qu’elle est étayée par des éléments probants, revue et améliorée en continu.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council