⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Tester les contrôles ISO 27701 de protection des données pour le GDPR

Igor Petreski

L’audit de protection des données du vendredi qui a révélé le vrai problème

Il est 15 h 40 un vendredi lorsque Maria, RSSI d’une entreprise SaaS en forte croissance, rejoint une visioconférence avec le responsable achats senior d’un prospect grand compte.

Son équipe travaille depuis des mois sur son système de management des informations relatives à la vie privée. Les politiques sont approuvées. Le registre des activités de traitement existe. L’entreprise dispose d’un plan de préparation ISO 27701. Le DPO a défini des workflows de demandes d’exercice des droits des personnes concernées. Le service juridique a mis à jour les accords de traitement des données. L’ingénierie indique que l’accès à l’environnement de production est restreint.

Le responsable achats commence poliment, mais sans détour.

« Merci pour la documentation, Maria. Le certificat et le dossier de politiques constituent un bon point de départ. Notre équipe de due diligence sera sur site le mois prochain. Elle voudra observer votre processus de traitement des demandes d’exercice des droits en fonctionnement, vérifier les contrôles de minimisation des données sur nos comptes de test, revoir les journaux d’accès à l’environnement de production et examiner les éléments probants montrant que les contrôles de protection des données sont testés, et pas seulement documentés. »

En quelques minutes, Maria reçoit deux autres messages.

Le DPO demande si la nouvelle fonctionnalité d’analytique est couverte par le registre des activités de traitement, l’évaluation de la base légale, le calendrier de conservation et les obligations répercutées aux sous-traitants.

Le Responsable conformité demande si la revue de préparation ISO 27701:2025 peut démontrer que les contrôles PIMS sont efficaces en fonctionnement.

C’est à ce moment que de nombreux programmes de protection des données vacillent. L’organisation possède des documents de protection des données, mais pas d’éléments probants. Elle dispose de workflows, mais pas d’éléments fondés sur des échantillons. Elle a des contrats, mais des enregistrements de surveillance faibles. Elle a confiance en interne, mais aucune piste d’audit défendable.

Cet écart sépare la conformité documentaire de l’accountability démontrable.

Le GDPR rend le problème explicite. Le responsable du traitement est responsable du respect des principes de protection des données et doit être en mesure de le démontrer. Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente, pour des finalités déterminées, limitées à ce qui est nécessaire, exactes, conservées uniquement pendant la durée nécessaire et sécurisées par des mesures techniques et organisationnelles appropriées.

ISO 27701:2025 fournit aux organisations la structure de management de la protection des données. ISO/IEC 27001:2022 fournit l’ossature du SMSI pour le domaine d’application, le traitement des risques, la maîtrise opérationnelle, l’audit interne, la revue de direction et l’amélioration continue. Le GDPR impose l’obligation juridique d’accountability. NIS2, DORA, NIST CSF 2.0, l’assurance de type COBIT 2019 et les revues de sécurité demandées par les clients renforcent l’exigence de démontrer que les contrôles fonctionnent.

La position de Clarysec est simple : le test des contrôles de protection des données ne doit pas se transformer en collecte annuelle improvisée de captures d’écran. Il doit constituer un système d’éléments probants PIMS reliant les activités de traitement, les contrôles applicables, les risques, les échantillons, les vérifications techniques, les constats, les CAPA et la revue de direction dans un modèle traçable.

C’est là que l’ensemble de politiques PIMS de Clarysec, Zenith Blueprint : feuille de route en 30 étapes pour l’auditeur et Zenith Controls : guide de correspondance de conformité deviennent des outils opérationnels, et non de simples documents de bibliothèque.

Le test des contrôles de protection des données fait le lien entre politique et accountability

Un test de contrôle de protection des données répond à trois questions pratiques :

  1. Le contrôle est-il conçu pour satisfaire l’obligation de protection des données ou réduire le risque relatif à la vie privée ?
  2. Le contrôle est-il mis en œuvre dans le processus, le système, l’équipe, le fournisseur ou le workflow produit concerné ?
  3. Le contrôle est-il efficace en fonctionnement dans la durée, avec des éléments probants susceptibles de satisfaire un auditeur, un client, une autorité de contrôle ou un comité des risques du conseil d’administration ?

Une entreprise SaaS peut déclarer qu’elle prend en charge les demandes de suppression. Un test de conception vérifie si la politique de suppression, le processus de vérification de l’identité, le modèle de responsabilité, la coordination avec les sous-traitants, les exceptions de conservation et la gestion des sauvegardes sont définis. Un test d’efficacité de fonctionnement échantillonne les demandes de suppression finalisées, compare les horodatages, vérifie les approbations, revoit les journaux système, vérifie les notifications aux sous-traitants en aval et confirme les éléments probants de clôture.

La Politique de surveillance, d’audit et d’amélioration du PIMS en fait une exigence auditable :

[Les deux] Le responsable de l’audit interne/conformité DOIT tester le statut de mise en œuvre des contrôles PIMS applicables par rapport à REG03 lors de chaque audit PIMS.

Extrait de la section « Programme d’audit interne du PIMS », clause de politique 4.2.5.

L’expression « par rapport à REG03 » est centrale. Le test n’est pas un entretien libre. REG03 sert de référence d’applicabilité et de mise en œuvre pour les contrôles PIMS. Il indique ce qui s’applique, pourquoi cela s’applique et ce qui doit être étayé par des éléments probants.

La même politique ajoute :

[Les deux] Le responsable de l’audit interne/conformité DOIT enregistrer dans REG12 l’échantillon sélectionné d’éléments probants relatifs au traitement de données à caractère personnel lors de chaque audit PIMS.

Extrait de la section « Programme d’audit interne du PIMS », clause de politique 4.2.6.

C’est le cœur du test des contrôles ISO 27701:2025 de protection des données. Un audit PIMS sans échantillon est une conversation. Un audit PIMS avec éléments probants sélectionnés, cartographie des contrôles, exceptions, actions correctives et traçabilité de la revue de direction constitue une accountability démontrable.

Commencer par le domaine d’application, le rôle et la réalité des traitements

La plupart des audits de protection des données faibles échouent avant même le début des tests. Ils sélectionnent des contrôles génériques sans confirmer quelles données à caractère personnel sont traitées, où elles résident, quels systèmes et fournisseurs les manipulent, et si l’organisation agit comme responsable du traitement, sous-traitant, responsable conjoint du traitement ou sous-traitant ultérieur.

Les obligations au sens du GDPR dépendent fortement du rôle. Un responsable du traitement qui décide pourquoi et comment des données à caractère personnel sont traitées a des obligations différentes de celles d’un sous-traitant agissant sur instructions documentées du client. La sensibilité des données compte également. Les données des employés, les données de compte client, la télémétrie, les données financières, la vérification biométrique, les données relatives à la santé, le contrôle de sanctions et les données relatives aux infractions pénales ne présentent pas le même risque.

Un programme robuste de tests ISO 27701:2025 commence par une définition rigoureuse du périmètre.

Question de périmètreÉléments probants à examinerPourquoi c’est important
Quelles activités de traitement de données à caractère personnel relèvent du périmètre ?Registre des activités de traitement, cartographie des flux de données, inventaire des systèmes, registre des fournisseursLes tests doivent échantillonner des traitements réels, et non des énoncés de politique abstraits
Quel rôle PIMS s’applique ?Cartographie responsable du traitement, sous-traitant, responsable conjoint du traitement, sous-traitant ultérieurLes obligations GDPR et les contrôles PIMS varient selon le rôle
Quelles obligations légales, contractuelles et réglementaires s’appliquent ?Évaluation GDPR, accords de traitement des données clients, règles sectorielles, analyses de transfertsLa conception des contrôles doit refléter les obligations réelles
Quels systèmes et fournisseurs traitent des données à caractère personnel ?Inventaire des actifs, inventaire cloud, liste des sous-traitants, matrice d’accèsLes tests de fonctionnement nécessitent des éléments probants techniques et provenant de tiers
Quels changements affectent le traitement des données à caractère personnel ?Enregistrements de changements produit, déclencheurs DPIA, notes de version, revues d’architectureLa protection de la vie privée dès la conception doit être testée avant le lancement, et non après les réclamations

ISO/IEC 27001:2022 soutient cette approche intégrée au travers de ses exigences relatives au contexte de l’organisation, aux exigences des parties intéressées, aux obligations légales et contractuelles, au domaine d’application du système de management, à la planification opérationnelle et au traitement des risques. Pour la protection des données, cela signifie que le traitement de données à caractère personnel ne peut pas rester dans une feuille de calcul isolée. Il doit faire partie du modèle opérationnel du SMSI et du PIMS.

La Politique du système de management des informations relatives à la vie privée relie directement les tests de protection des données à la gouvernance :

[Tous] La Direction DOIT revoir chaque année dans REG12 la performance du PIMS, les objectifs relatifs à la vie privée, les risques ouverts, les non-conformités, les actions correctives et les décisions d’amélioration.

Extrait de la section « Gouvernance du PIMS », clause de politique 6.1.1.

Si les tests identifient un écart relatif à la vie privée, il ne s’agit pas simplement d’une note d’audit. C’est une donnée d’entrée du système de management qui doit influer sur le traitement des risques, les priorités, les ressources et les décisions de direction.

Efficacité de conception et efficacité de fonctionnement

Lorsqu’un client demande si les contrôles de protection des données sont testés, il vise généralement l’efficacité de fonctionnement. Les auditeurs examineront toutefois aussi l’efficacité de conception.

Un contrôle efficace par conception est apte à satisfaire l’exigence s’il est exécuté comme prévu. Un contrôle efficace en fonctionnement est effectivement exécuté de manière constante et soutenu par des éléments probants.

Domaine de contrôleTest d’efficacité de conceptionTest d’efficacité de fonctionnement
Recueil du consentementVérifier la politique, le texte de consentement, les règles de base légale, les exigences d’interface utilisateur, le workflow de retraitÉchantillonner les enregistrements de consentement et les retraits, comparer les horodatages, vérifier la suppression après retrait
Limitation des finalitésRevoir le registre des activités de traitement, la mention d’information, les exigences produit, la séparation du consentement, les règles d’utilisation des donnéesÉchantillonner les enregistrements utilisateurs, journaux, exports et flux analytiques afin de confirmer que les données à caractère personnel ne sont pas réutilisées à des fins non autorisées
Accès aux données à caractère personnelRevoir la politique d’accès, le modèle de rôles, la procédure arrivées-mobilités-départs, le workflow d’approbationÉchantillonner les utilisateurs ayant accès aux données à caractère personnel, vérifier l’approbation, le besoin métier, la MFA et la revue d’accès récente
Intégration des sous-traitantsRevoir les critères de due diligence, les clauses de l’accord de traitement des données, les règles relatives aux sous-traitants ultérieurs, les garanties applicables au transfertÉchantillonner un sous-traitant, examiner l’évaluation, le contrat, la revue de sécurité et les éléments probants de surveillance des sous-traitants ultérieurs
Conservation et suppressionRevoir le calendrier de conservation, les règles d’exception, la procédure de suppression et la capacité du systèmeÉchantillonner les enregistrements supprimés ou les demandes de suppression, examiner les journaux, tickets et confirmations des sous-traitants
Gestion des violationsRevoir la classification des incidents, l’escalade relative à la vie privée, les critères de notification aux autoritésÉchantillonner les enregistrements d’incidents, vérifier le triage, la justification des décisions, les notifications et les enseignements tirés

La Politique d’audit et de surveillance de la conformité énonce directement l’objectif :

Valider l’efficacité des contrôles de sécurité et de protection des données

Extrait de la section « Objet », clause de politique 1.1.1.

La version PME conserve le même principe d’assurance dans un langage opérationnel. La Politique d’audit et de surveillance de la conformité - PME indique :

Cette politique établit l’approche de l’organisation pour la conduite des audits internes, des revues des contrôles de sécurité et de la surveillance de la conformité. Elle garantit que tous les contrôles, politiques, systèmes et prestataires de services font l’objet d’une revue régulière et structurée.

Extrait de la section « Objet », clause de politique 1.1.

La préparation ISO 27701 ne dépend pas de la taille de l’entreprise. Un sous-traitant SaaS de 30 personnes n’a pas nécessairement besoin des mêmes outils d’audit qu’une banque mondiale, mais il doit tout de même démontrer que l’accès, la suppression, l’escalade des incidents, la gouvernance des sous-traitants ultérieurs et la conservation des éléments probants sont maîtrisés.

La chaîne d’éléments probants Clarysec : REG03, REG12, CAPA et revue

Clarysec structure le test des contrôles de protection des données autour d’une chaîne d’éléments probants simple.

REG03 définit les contrôles PIMS applicables et leur statut de mise en œuvre. REG12 enregistre les échantillons, les éléments probants, les constats, les lacunes de traçabilité, la vérification des actions correctives et les données d’entrée de la revue de direction. Les enregistrements CAPA transforment les constats en améliorations fondées sur l’analyse de la cause racine. La Direction revoit la performance du PIMS, les risques, les non-conformités, les actions correctives et les décisions d’amélioration.

La Politique de gestion des informations documentées et des éléments probants du PIMS exige que les problèmes de qualité des éléments probants soient consignés :

[Tous] Le responsable de l’audit interne/conformité DOIT enregistrer dans REG12 les lacunes d’exhaustivité, d’exactitude ou de traçabilité des éléments probants lors de chaque audit planifié ou revue de conformité.

Extrait de la section « Création, nommage et qualité des éléments probants », clause de politique 4.3.4.

C’est important, car tout constat n’est pas une défaillance totale de contrôle. Parfois, le contrôle a fonctionné, mais les éléments probants sont incomplets. Parfois, un ticket de suppression est clôturé, mais aucun journal système ne prouve la suppression. Parfois, le registre des activités de traitement mentionne le CRM, mais omet l’export vers l’entrepôt de données. Parfois, un contrat fournisseur existe, mais la surveillance continue est absente.

La Politique d’audit et de surveillance de la conformité exige également des audits internes structurés :

Les audits internes doivent suivre une procédure documentée comprenant :

Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.1.1.

Et lorsque des constats surviennent :

Tous les constats doivent donner lieu à une CAPA documentée comprenant :

Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.2.1.

La Politique de gestion des risques - PME renforce la discipline de clôture :

L’achèvement et l’efficacité des actions de traitement doivent être vérifiés.

Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.3.2.

La Politique de surveillance, d’audit et d’amélioration du PIMS ferme la boucle :

[Tous] Le responsable de l’audit interne/conformité DOIT vérifier dans REG12 l’efficacité des actions correctives dans les 30 jours suivant la clôture déclarée de l’action corrective.

Extrait de la section « Non-conformité et action corrective », clause de politique 4.4.7.

C’est la différence entre corriger un ticket et améliorer un système de management.

Test pratique 1 : demandes de suppression et accountability au sens du GDPR

Les demandes de suppression sont l’un des moyens les plus clairs de tester si l’accountability en matière de protection des données fonctionne en pratique.

Supposons qu’une entreprise SaaS de taille intermédiaire agisse à la fois comme responsable du traitement et comme sous-traitant. Elle maîtrise les données des employés, du marketing et de facturation. Elle traite les données des utilisateurs finaux des clients pour le compte de clients entreprise. L’organisation souhaite tester si les contrôles de suppression sont prêts pour un audit ISO 27701:2025 et pour l’assurance demandée par les clients au sens du GDPR.

Étape 1 : sélectionner l’activité de traitement depuis REG03

Choisissez une activité de traitement présentant un risque réel relatif à la vie privée, par exemple « données de profil des utilisateurs finaux des clients traitées dans la plateforme SaaS ». Confirmez si l’organisation agit comme responsable du traitement, sous-traitant ou les deux. Identifiez les contrôles associés à la gestion des droits, à la validation des instructions du sous-traitant, à la conservation, à la suppression, au contrôle d’accès, à la journalisation, à la gestion des sauvegardes et à la coordination fournisseurs.

Étape 2 : définir un objectif de test précis

Un objectif de test utile est spécifique et fondé sur les éléments probants :

« Vérifier que les demandes de suppression relatives aux données de profil des utilisateurs finaux des clients sont reçues, authentifiées ou validées au regard des instructions, traitées dans le workflow défini, journalisées, techniquement exécutées dans les systèmes de production, répercutées aux sous-traitants ultérieurs concernés lorsque requis, et clôturées avec des éléments probants. »

Étape 3 : extraire un échantillon représentatif

Sélectionnez cinq demandes de suppression du dernier trimestre. Incluez une demande courante, une demande impliquant un administrateur client, une demande fondée sur une instruction de sous-traitance, une demande comportant une exception de conservation et une demande touchant à la gestion des sauvegardes.

Le Zenith Blueprint, dans la phase Audit, revue et amélioration, étape 26 : exécution de l’audit, met l’accent sur l’échantillonnage et la collecte des éléments probants :

✓ Interroger le personnel concerné : demander aux personnes responsables des processus d’expliquer comment elles satisfont aux exigences. Par exemple, demander au propriétaire du risque de présenter la dernière appréciation des risques, ou demander aux RH comment les nouveaux arrivants sont formés à la sécurité (afin de couvrir la mesure 6.3 relative à la sensibilisation).
✓ Revoir la documentation : vérifier que les documents et enregistrements existent et sont à jour.
✓ Observer les pratiques : si possible, procéder à une observation directe.
✓ Échantillonner et effectuer des contrôles ponctuels : il est impossible de tout vérifier, l’échantillonnage doit donc être utilisé.

Extrait de la phase Audit, revue et amélioration, étape 26 : exécution de l’audit (conduire un audit interne).

Étape 4 : examiner les éléments probants pour chaque échantillon

Pour chaque demande échantillonnée, collectez le ticket de réception, la classification des rôles, la vérification de l’identité ou l’autorisation du client, le journal de suppression système, la décision d’exception de conservation, l’explication relative à la gestion des sauvegardes, la notification au sous-traitant ultérieur, la communication de clôture, les horodatages et la validation par le responsable de la revue.

Étape 5 : enregistrer les résultats dans REG12

Enregistrez dans REG12 l’échantillon, la source des éléments probants, le résultat du contrôle, l’exception et la lacune de traçabilité. Si la suppression a eu lieu mais qu’aucun journal de production n’existe, le contrôle peut avoir fonctionné, mais les éléments probants sont faibles. Si la demande a été retardée parce que la responsabilité du fournisseur était ambiguë, le constat peut relever de la gouvernance des tiers et des obligations contractuelles répercutées.

Étape 6 : créer une CAPA et vérifier l’efficacité

Si la cause racine est une responsabilité mal définie entre le support, le juridique et l’ingénierie, la CAPA peut inclure un workflow révisé, une matrice RACI mise à jour, des champs d’éléments probants obligatoires et des contrôles mensuels par échantillonnage des suppressions.

Le Zenith Blueprint, dans la phase Audit, revue et amélioration, étape 29, explique l’exigence de clôture :

Planifier la manière dont vous allez vérifier l’efficacité de chaque action corrective. Cela peut impliquer de planifier un audit ou un contrôle de suivi. Par exemple, si votre action corrective consistait à former le personnel informatique au contrôle d’accès, vous pouvez prévoir de revoir les nouveaux comptes dans un mois afin de vérifier que tous disposent des approbations appropriées (vérification).

Extrait de la phase Audit, revue et amélioration, étape 29 : amélioration continue (actions correctives et enseignements tirés).

Pour la suppression, la vérification pourrait consister à échantillonner les cinq demandes de suppression suivantes après la mise en production du workflow révisé. Ce n’est qu’à ce moment que la CAPA devrait être clôturée.

Test pratique 2 : limitation des finalités et minimisation des données

Un deuxième test à forte valeur porte sur la limitation des finalités. Il est particulièrement utile avant une due diligence client, le lancement d’analytique, un enrichissement par IA, l’extension d’un entrepôt de données ou des changements d’automatisation marketing.

La plateforme SaaS de Maria collecte les données des utilisateurs clients pour la fourniture du service. L’objectif de contrôle consiste à s’assurer que les données à caractère personnel sont utilisées uniquement pour des finalités déterminées et légitimes, et ne sont pas réutilisées pour l’analytique marketing, sauf lorsque l’utilisateur a donné un consentement explicite et distinct, lorsque cela est requis.

Type d’éléments probantsLivrables justificatifs spécifiques
DocumentationPolitique de protection des données et de la vie privée, registre des activités de traitement, accord de traitement des données client, mentions d’information, enregistrements de gestion du consentement
Configuration techniqueRègles de traitement des données applicatives, schémas de bases de données, configurations d’API, paramètres des jobs ETL
Journaux et enregistrementsJournaux d’accès applicatifs, journaux de requêtes de bases de données, historique des changements de consentement, enregistrements d’exports de campagnes
Éléments probants relatifs au personnelEntretiens avec le propriétaire de produit, le développeur principal, l’administrateur de bases de données et le responsable de la protection des données

Un test robuste de fonctionnement ne s’arrête pas à la politique. Il échantillonne les utilisateurs qui ont consenti au marketing et ceux qui n’y ont pas consenti. Il vérifie si le statut du consentement est correctement répercuté dans les bases de données applicatives principales, les tables de l’entrepôt de données, les outils de campagne, les tableaux de bord et les exports. Si des utilisateurs non consentants apparaissent dans une audience marketing, l’organisation présente une non-conformité concrète.

La version PME de la Politique d’audit et de surveillance de la conformité donne le bon cadre d’analyse au travers d’un exemple de test technique :

Vérification des contrôles techniques (par exemple, statut des sauvegardes, configuration du contrôle d’accès, enregistrements de correctifs)

Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.1.1.2.

Pour la protection des données, la vérification des contrôles techniques inclut les contrôles de synchronisation du consentement, les exports de contrôle d’accès, les journaux de suppression, les paramètres de chiffrement, les tests de masquage des données, les alertes DLP, les contraintes de sauvegarde, les événements de surveillance et les éléments probants fournisseurs.

Cartographier les tests de protection des données avec ISO/IEC 27001:2022 et la cartographie Clarysec

Les contrôles de protection des données ne fonctionnent pas isolément. La protection des données à caractère personnel dépend de l’inventaire des actifs, de la classification, du contrôle d’accès, de la gouvernance cloud, du masquage des données, du transfert d’informations, de la journalisation, de la surveillance, de la suppression, de la protection des enregistrements, de la supervision des fournisseurs et de la revue indépendante.

Dans Zenith Controls : guide de correspondance de conformité, la mesure ISO/IEC 27001:2022 Annexe A 5.34, Protection de la vie privée et des données à caractère personnel, est cartographiée comme un contrôle préventif aligné sur la confidentialité, l’intégrité et la disponibilité, avec les concepts cybersécurité Identifier et Protéger, et des capacités opérationnelles en protection de l’information ainsi qu’en juridique et conformité.

Sa relation avec l’inventaire est directe :

Un inventaire des actifs informationnels (5.9) devrait inclure les ensembles de données à caractère personnel détenus (bases de données clients, dossiers RH). Cela soutient 5.34 en garantissant que l’organisation sait quelles données à caractère personnel elle détient et où elles se trouvent, ce qui constitue la première étape pour les protéger.

Extrait de Zenith Controls, Protection de la vie privée et des données à caractère personnel, mesure 5.34.

Pour les tests d’audit, cela signifie que l’auditeur protection des données ne doit pas commencer uniquement par la mention d’information. Il doit commencer par l’inventaire des données à caractère personnel, le registre des activités de traitement, les flux de données, l’inventaire des actifs et l’inventaire des fournisseurs. Si l’inventaire est incomplet, les contrôles de protection des données en aval ne peuvent pas être pleinement fiables.

Le guide cartographie également la mesure ISO/IEC 27001:2022 Annexe A 5.34 avec des contrôles associés tels que 5.9 Inventaire des informations et autres actifs associés, 5.12 Classification de l’information, 5.14 Transfert d’informations, 5.15 Contrôle d’accès, 5.16 Gestion des identités, 5.23 Sécurité de l’information dans l’utilisation des services cloud, 5.33 Protection des enregistrements, 8.11 Masquage des données, 8.12 Prévention des fuites de données et 8.10 Suppression des informations.

Deux autres mesures ISO/IEC 27001:2022 Annexe A sont particulièrement pertinentes :

Mesure ISO/IEC 27001:2022Pertinence pour les tests de protection des donnéesExemple d’éléments probants
5.34 Protection de la vie privée et des données à caractère personnelConfirme que les exigences de protection de la vie privée et des données à caractère personnel sont mises en œuvre sur la base des lois, réglementations et contratsRegistre des activités de traitement, DPIA, enregistrements des bases légales, éléments probants DSR, journaux de conservation
5.35 Revue indépendante de la sécurité de l’informationFournit une validation objective indiquant que les dispositifs de sécurité, y compris les contrôles pertinents pour la protection des données, sont revus indépendammentRapports d’audit interne, résultats de revue externe, échantillons REG12, enregistrements CAPA
5.36 Conformité aux politiques, règles et normes de sécurité de l’informationConfirme la conformité continue aux règles et normes internesRevues de conformité aux politiques, vérifications des accès, résultats de surveillance, registres des dérogations

La Politique de protection des données et de la vie privée exige :

Un audit interne de conformité relatif à la protection des données doit être réalisé annuellement ou lors de changements organisationnels ou réglementaires majeurs. Le périmètre d’audit doit inclure :

Extrait de la section « Exigences de gouvernance », clause de politique 5.4.

Elle inclut en outre :

L’efficacité des mesures techniques et organisationnelles

Extrait de la section « Exigences de gouvernance », clause de politique 5.4.1.

La Politique de protection des données et de la vie privée - PME conserve la même attente de manière pratique :

Des audits réguliers relatifs à la protection des données ou des vérifications de contrôles doivent être réalisés et journalisés

Extrait de la section « Exigences de gouvernance », clause de politique 5.3.3.

Pourquoi l’accountability au sens du GDPR est désormais un enjeu de cybergouvernance

Les éléments probants relatifs à la protection des données ne sont plus demandés uniquement par les auditeurs spécialisés. Les mêmes preuves peuvent être demandées par un auditeur ISO 27701:2025, un auditeur ISO/IEC 27001:2022, un réviseur GDPR, une autorité compétente NIS2, un client soumis à DORA, un évaluateur NIST CSF ou un comité des risques du conseil d’administration.

NIS2 Article 21 impose aux entités essentielles et importantes de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour la gestion des risques de cybersécurité. Article 21(2)(f) inclut explicitement les politiques et procédures destinées à évaluer l’efficacité des mesures de gestion des risques de cybersécurité. NIS2 rend également les organes de direction responsables de l’approbation et de la supervision des mesures de gestion des risques de cybersécurité.

DORA s’applique à compter du 17 janvier 2025 aux entités financières et établit un corpus détaillé de règles de résilience opérationnelle numérique. Il exige la gestion des risques liés aux TIC, la supervision par l’organe de direction, l’audit interne, la remédiation des constats critiques, la classification et la notification des incidents, les tests de résilience, la gestion des risques liés aux prestataires tiers de services TIC, les contrôles contractuels, les registres des dispositifs de services TIC et les stratégies de sortie. Les prestataires de services TIC qui servent des entités financières doivent anticiper des demandes d’éléments probants motivées par DORA dans le cadre de l’assurance demandée par les clients.

NIST CSF 2.0 fournit une couche de traduction utile. Sa fonction GOVERN attend des organisations qu’elles comprennent les attentes des parties prenantes, les dépendances et les obligations légales, réglementaires, contractuelles, relatives à la vie privée et aux libertés civiles. Son approche par Profils aide à comparer les résultats actuels aux résultats cibles, à identifier les écarts et à prioriser les plans d’action.

Pression liée aux exigencesCe que le test des contrôles de protection des données doit produireAncrage Clarysec
Accountability au sens du GDPRÉléments probants démontrant que les principes, la base légale, les droits, la sécurité, la conservation et les obligations des sous-traitants sont effectivement respectésPolitiques PIMS, REG03, REG12, CAPA
Préparation ISO 27701:2025Contrôles PIMS testés, applicabilité fondée sur les rôles, qualité des éléments probants, audit interne, revue de directionPolitique de surveillance, d’audit et d’amélioration du PIMS
Assurance ISO/IEC 27001:2022Traçabilité du traitement des risques, justification de la SoA, maîtrise opérationnelle, audit, revue, améliorationZenith Blueprint, guide de correspondance de conformité Zenith Controls
Gouvernance NIS2Évaluation de l’efficacité, préparation aux incidents, contrôles fournisseurs, supervision par la directionCartographie des mesures ISO/IEC 27001:2022 Annexe A 5.35 et 5.36
Assurance DORATests des contrôles TIC, tests de résilience, éléments probants tiers, enregistrements du cycle de vie des incidentsModèle d’éléments probants d’audit avec correspondance entre référentiels
NIST CSF 2.0Profil actuel, profil cible, analyse des écarts, amélioration prioriséeZenith Blueprint étapes 24, 26, 29

Le Zenith Blueprint renforce la traçabilité à l’étape 24 :

Votre SoA doit être cohérente avec votre registre des risques et votre plan de traitement des risques. Vérifiez de nouveau que chaque contrôle que vous avez choisi comme traitement du risque est marqué « Applicable » dans la SoA. À l’inverse, si un contrôle est marqué « Applicable » dans la SoA, vous devez disposer d’une justification, généralement un risque cartographié, une exigence légale ou réglementaire, ou un besoin métier.

Extrait de la phase Audit, revue et amélioration, étape 24 : audit, revue et amélioration.

Pour le test des contrôles de protection des données, le même principe s’applique à l’applicabilité PIMS. Chaque contrôle de protection des données applicable doit être rattaché à un risque de traitement, une obligation légale, une exigence client ou un besoin métier. Chaque test doit se rattacher à ce contrôle.

Comment différents auditeurs apprécieront le même contrôle

Un programme robuste de tests de protection des données anticipe l’angle d’analyse de l’auditeur. Le même contrôle de suppression, contrôle d’accès ou contrôle d’intégration des sous-traitants sera interprété différemment selon le contexte de revue.

Angle de l’auditeurQuestion d’audit probableÉléments probants attendus
Auditeur ISO 27701:2025Les contrôles PIMS fondés sur les rôles sont-ils mis en œuvre, évalués et améliorés ?Applicabilité REG03, échantillons REG12, registre des activités de traitement, cartographie des politiques, résultats d’audit
Auditeur ISO/IEC 27001:2022Le contrôle lié à la protection des données est-il intégré au traitement des risques, à la SoA, à la maîtrise opérationnelle, à l’audit interne et à la revue de direction ?Registre des risques, justification de la SoA, plan de traitement, éléments probants de contrôle, comptes rendus de revue de direction
Réviseur GDPRLe responsable du traitement peut-il démontrer la conformité aux principes et obligations du GDPR ?Base légale, mentions d’information, journaux DSR, DPIA, contrats, registres des violations, éléments probants de conservation
Évaluateur NIST CSFL’organisation connaît-elle ses obligations, définit-elle des résultats cibles, mesure-t-elle les écarts et s’améliore-t-elle ?Profil actuel et profil cible, plan de traitement des écarts, priorisation des risques, enregistrements de gouvernance
Client ou régulateur orienté DORALes contrôles TIC sont-ils testés, les incidents classifiés, les fournisseurs surveillés et les services critiques résilients ?Programme de tests, enregistrements d’incidents, registre des fournisseurs, contrats, plans de sortie
Auditeur de type ISACA ou COBIT 2019Les objectifs, la responsabilité, les indicateurs, la clôture des problèmes et la supervision de la gouvernance sont-ils efficaces ?RACI, KPI, journaux des problèmes, vérification CAPA, rapports à la direction

C’est pourquoi REG12 est si précieux. Il transforme la conformité en matière de protection des données en éléments probants de gouvernance auditables.

Constats fréquents dans les tests des contrôles PIMS

Clarysec observe régulièrement les mêmes constats d’audit relatifs à la protection des données dans les organisations qui se préparent à la certification ISO 27701:2025, à l’assurance client GDPR ou à la due diligence d’entreprise.

Le registre des activités de traitement ne correspond pas à la réalité des systèmes

Le registre des activités de traitement liste le CRM et les plateformes de support, mais les ingénieurs ont ajouté des exports analytiques, des journaux d’observabilité, des outils d’IA et des tables d’entrepôt de données.

Réponse de test : échantillonner les systèmes depuis l’inventaire des actifs et l’inventaire cloud, puis les rapprocher du registre des activités de traitement. Utiliser la relation entre les mesures ISO/IEC 27001:2022 Annexe A 5.9 et 5.34 comme justification d’audit.

L’accès aux données à caractère personnel est approuvé, mais pas revu périodiquement

Les approbations initiales existent, mais les revues des accès à privilèges n’incluent pas les outils d’usurpation pour le support, les bases de données de production, les tableaux de bord BI ou les comptes d’urgence.

Réponse de test : échantillonner les utilisateurs actifs ayant accès aux données à caractère personnel et comparer le rôle, le besoin métier, l’approbation, le statut MFA, la dernière connexion et les éléments probants de revue.

Les contrats de sous-traitance existent, mais la surveillance est faible

L’accord de traitement des données est signé, mais le questionnaire fournisseur est ancien. Personne n’a revu les changements de sous-traitants ultérieurs, les localisations de données, le niveau de sécurité ou les obligations de notification d’incident.

Réponse de test : échantillonner les sous-traitants critiques et examiner la due diligence, les clauses contractuelles, les changements de sous-traitants ultérieurs, les garanties applicables au transfert et les enregistrements de surveillance. Cela soutient le GDPR, les attentes NIS2 en matière de chaîne d’approvisionnement et les attentes DORA en matière de risques liés aux tiers.

La réponse aux incidents existe, mais la classification relative à la vie privée est incohérente

Les incidents de sécurité sont journalisés, mais l’impact relatif à la vie privée n’est pas toujours évalué. Les critères de violation de données au sens du GDPR ne sont pas documentés de manière cohérente. Les obligations de notification client sont gérées de façon informelle.

Réponse de test : échantillonner les incidents impliquant une exposition de données et examiner la classification, l’escalade relative à la vie privée, la revue juridique, les décisions de notification, la préservation des éléments probants, la cause racine et les enseignements tirés.

La CAPA est clôturée sans vérification de l’efficacité

Une procédure est mise à jour et le constat est clôturé. Personne ne teste si l’échantillon suivant s’est amélioré.

Réponse de test : vérifier l’efficacité des actions correctives dans REG12 dans les 30 jours suivant la clôture déclarée, comme l’exige la Politique de surveillance, d’audit et d’amélioration du PIMS.

Un sprint de 90 jours pour tester les contrôles de protection des données

Pour les organisations qui progressent vers la préparation ISO 27701:2025, la due diligence client ou une revue d’accountability au sens du GDPR, Clarysec recommande un sprint ciblé de 90 jours.

CalendrierAxe de travailLivrables
Jours 1 à 15Domaine d’application et modèle d’éléments probantsRôles PIMS, registre des activités de traitement, applicabilité REG03, risques prioritaires, obligations légales, dépendances fournisseurs, règles de nommage des éléments probants
Jours 16 à 35Tests de conceptionRevue de politique, RACI, mentions d’information, base légale, déclencheurs DPIA, workflows DSR, classification des incidents, calendriers de conservation, contrôles fournisseurs
Jours 36 à 65Tests de fonctionnementÉchantillons pour les accès, suppressions, incidents, sous-traitants, transferts, conservation, formation, surveillance technique, éléments probants REG12
Jours 66 à 80CAPA et traitement des risquesCause racine, action corrective, propriétaire, date d’échéance, risque résiduel, méthode de vérification
Jours 81 à 90Préparation de la revue de directionDossier de performance du PIMS, objectifs, risques ouverts, non-conformités, actions correctives, problèmes fournisseurs, décisions d’amélioration

À la fin du sprint, l’organisation doit être en mesure de répondre aux questions réellement posées par les auditeurs :

  • Quelles données à caractère personnel traitez-vous ?
  • Dans quel rôle ?
  • Quels contrôles s’appliquent ?
  • Pourquoi sont-ils applicables ?
  • Quels éléments probants démontrent qu’ils sont mis en œuvre ?
  • Quel échantillon démontre qu’ils fonctionnent ?
  • Quels écarts ont été constatés ?
  • Quelles actions correctives ont été engagées ?
  • Qui a vérifié l’efficacité ?
  • Qu’est-ce que la Direction a revu et décidé ?

De la protection des données documentaire à l’accountability démontrable

Un certificat ISO 27701 a de la valeur, mais il n’est pas l’objectif final. Les clients, les autorités de contrôle, les conseils d’administration et les auditeurs attendent de plus en plus la preuve que les contrôles de protection des données sont conçus, mis en œuvre, surveillés, corrigés et gouvernés.

La conformité en matière de protection des données échoue lorsqu’elle est traitée comme un projet documentaire. Elle résiste à l’examen lorsqu’elle devient un système d’éléments probants testés.

Clarysec aide les organisations à passer d’une conformité déclarée à une accountability démontrable en reliant les politiques PIMS, l’applicabilité REG03, les échantillons d’éléments probants REG12, la vérification CAPA, la revue de direction et la cartographie entre référentiels au moyen de Zenith Blueprint : feuille de route en 30 étapes pour l’auditeur et de Zenith Controls : guide de correspondance de conformité.

Si votre organisation se prépare à une certification ISO 27701:2025, une revue d’accountability au sens du GDPR, une assurance client en matière de protection des données, des éléments probants de gouvernance NIS2 ou une due diligence fournisseur motivée par DORA, commencez par un atelier ciblé de tests des contrôles de protection des données.

Clarysec peut vous aider à cartographier l’applicabilité REG03, à construire des échantillons d’audit REG12, à tester les contrôles PIMS prioritaires, à aligner les constats sur les CAPA et à préparer des éléments de sortie de revue de direction capables de résister à l’examen.

Votre prochain audit de protection des données ne doit pas être une collecte improvisée de captures d’écran. Il doit démontrer avec assurance que la protection des données fonctionne, qu’elle est étayée par des éléments probants, revue et améliorée en continu.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article