Analyse Loi 25
Pour nous joindre
Normes & gouvernance
27 mars 2025

ISO 27001 — A.5.31- Exigences légales, réglementaires et contractuelles

Lorsqu’on pense à la sécurité de l’information, on pense souvent au chiffrement, aux coupe-feu ou à la gestion des accès.

Pourtant, un des pièges des petites entreprises est d’ignorer les obligations légales, réglementaires et contractuelles.

Law — Photo by Mikhail Pavstyuk on Unsplash

Les ignorer peut avoir des conséquences coûteuses. Tel que

  • Amendes (ex. : RGPD en Europe, LPRPDE au Canada, Loi 25 au Québec).
  • Perte de confiance des clients si on ne connaît pas nos lois, ni comment en être conforme.
  • Exclusion des appels d’offres.
  • Responsabilité civile ou même criminelle pour négligence.

Le contrôle de sécurité A.5.31 demande que les exigences légales, réglementaires et contractuelles liées à la sécurité de l’information soient identifiées, documentées et mises à jour.

Concrètement, une organisation ne peut ignorer les lois ni les engagements contractuels pris avec ses clients.

Voici quelques situations observées :

  • Signature d’un contrat client sans lecture des annexes de sécurité, entraînant des obligations irréalistes, comme une surveillance 24/7 alors que les serveurs sont locaux et non supervisés.
  • Collecte de données personnelles sans en informer les utilisateurs, suivis d’une fuite d’information.
  • Utilisation de solutions SaaS américaines alors que des clients du secteur public exigent un hébergement local.

Concrètement, ce que j’observe trop régulièrement est que l’entreprise signe un contrat et que les exigences de sécurité du client ne sont pas transmises à l’équipe des opérations.

Ces équipes ne possèdent pas l’information nécessaire pour se conformer aux règles.

Devenir conforme

Concrètement pour être conforme

Étape 1: Modifier la politique ou directive

Ajouter les mentions suivantes dans la politique de sécurité, par exemple : « L’organisation respecte les lois des pays dans lesquels elle est présente et prend les moyens nécessaires pour les identifier, les évaluer et les gérer. »

Plus spécifiquement dans les directives ajouesté:

“Au moins une fois par an, une revue sera effectuée des exigences légales, réglementaires et contractuelles afin d’identifier les changements nécessaires à l’évaluation des risques liés à l’information. Cela inclura toute mise à jour de la liste associée des mesures de sécurité de l’information gérant les risques d’information identifiés. Ce document sera mis à jour pour refléter le fait que cette revue a eu lieu.”

Étape 2: Identifier et surveillance des lois

Utiliser des outils comme Google Alertes peuvent être configurés pour suivre l’actualité juridique dans différents pays. Par exemple : utiliser une recherche comme “[Nom du pays] + Privacy Law”.

Idéalement, un registre des pays dans lesquels l’entreprise est active devrait être maintenu, accompagné d’une liste des lois qui s’y appliquent.

Ressources utiles :

DLA Piper — Data Protection Laws of the World

IAPP Global Privacy Directory

Étape 3: Assurer un suivi des contrats et des exigences clients

Il est essentiel que le responsable de la sécurité de l’information (CISO) ait accès, de façon centralisée et structurée, à toutes les exigences contractuelles spécifiques des clients en matière de sécurité ou de protection de l’information.

Étape 4: Crée un registre pour documenter les exigences

Pour être conforme, un simple tableau Excel peut suffire, à condition d’y inclure au minimum :

  • Le nom du client ou le pays concerné
  • Loi qui s’applique
  • Description, les clauses de sécurité ou exigences particulières (ex. : hébergement local, audit externe, chiffrement spécifique, etc.)
  • Les documents contractuels de référence
  • La personne responsable de la mise en œuvre
  • La date de la dernière vérification et la date prévue pour la prochaine révision

Il est aussi recommandé d’inclure de la revue des contrats par l’équipe de sécurité ou le CISO avant la signature, ou tout au moins avant le démarrage des opérations.

C’est alors que le CISO s’assure que toutes les exigences sont comprises, évaluées, acceptées, et communiquées aux équipes concernées.

Si une loi est jugée non applicable, il est important de justifier cette décision. Par exemple :

« La loi X sur les renseignements bancaires ne s’applique pas, car l’entreprise ne traite aucun paiement directement. »

Il est important de conserver les analyses réalisées afin de pouvoir les démontrer en cas d’audit ou de litige.

Concrètement le suivi garde une trace dans le registre sous la section révision tel que:

« La dernière analyse a eu lieu le 27 mars 2025 et, suite à cette analyse, nous pouvons confirmer qu’il n’y a pas de nouveaux risques qui devraient être ajoutés à l’évaluation des risques d’information. Il n’y a pas de changement à la probabilité ou l’impact d’un des risques existants et qu’aucun changement à la déclaration d’applicabilité n’a été nécessaire.»

La conformité est un processus évolutif. Il est recommandé de réviser le registre au moins une fois par année, ou lorsqu’un changement survient :

  • Expansion vers un nouveau marché (ex. : entrée sur le marché européen).
  • Signature d’un nouveau contrat avec des exigences spécifiques.
  • Modification des lois (ex. : loi 25 au Québec).

Exemple de liste de validation avant lancement d’un projet :

  • La collecte de données personnelles est-elle en jeu ?
  • Des données confidentielles ou des métadonnées sensibles sont-elles traitées ?
  • Le stockage respecte-t-il les exigences contractuelles ?
  • Y a-t-il des obligations de rétention ou de destruction ?
  • Quelles sont les autres mesures de sécurité nécessaires au projet

Selon le rapport “Global Compliance Risk Benchmarking” de Thomson Reuters, 63 % des PME disposant d’une fonction de conformité structurée ont évité des sanctions majeures en 2022 (source : https://legal.thomsonreuters.com/en/insights/articles/compliance-program-benchmarking-survey).

Gartner note également que l’intégration des exigences légales aux évaluations de risques permet de réduire de 30 % en moyenne les incidents de non-conformité (source : https://www.gartner.com/en/articles/how-to-prepare-for-new-global-privacy-laws).

Pièges fréquents à éviter

  • Considérer que cela relève uniquement du service juridique. En réalité, la sécurité, les TI, les opérations et les RH sont également concernés.
  • Croire qu’une formation suffit. Comprendre les exigences est une étape, les appliquer avec des processus en est une autre.
  • Se contenter d’une politique générique. Une politique ISO 27001 non personnalisée risque de passer à côté d’exigences clés.
  • Réagir seulement en période d’audit. La conformité est un processus continu, non un exercice ponctuel.

Comme le rappelle l’expression, nul n’est censé ignorer la loi — ou pour les puristes en latin: “Nemo censetur ignorare legem”

Je reformule par « Ignorer la loi n’excuse pas la faute. » En sécurité de l’information, cette réalité est incontournable.

Critères de Succès

Voici quelques questions qu’un auditeur pourrait poser pour valider la conformité à la mesure de sécurité A.5.31 de la norme ISO 27001:2022 :

  1. Quelles sont les exigences légales et réglementaires que l’organisation doit respecter en matière de sécurité de l’information
  2. Comment faites-vous le suivi?
  3. Dans la liste des exigences, avez-vous inclus celle de vos clients, fournisseurs et sous-traitants?
  4. La liste des exigences inclut-elle les lois des pays dans lesquels vous faites affaire ?

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.

Patrick Boucher
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble