Le contrôle A.5.31 ISO 27001:2022 exige le maintien d'un registre des exigences légales, statutaires, réglementaires et contractuelles. Ce template Exce.
TL;DR — En résumé
Template Excel gratuit ISO 27001:2022 — Le contrôle A.5.31 ISO 27001:2022 exige le maintien d'un registre des exigences légales, statutaires
Template gratuit · Excel — Gouvernance
Le contrôle A.5.31 ISO 27001:2022 exige le maintien d'un registre des exigences légales, statutaires, réglementaires et contractuelles. Ce template Excel structure cette veille avec dates de revue, propriétaires et conformité actuelle.
Le registre des exigences légales et contractuelles ISO 27001 est l'outil de pilotage de la conformité normative dans le cadre du contrôle A.5.31 — Exigences légales, statutaires, réglementaires et contractuelles de l'Annexe A ISO/IEC 27001:2022. Ce contrôle impose à l'organisation d'identifier, de documenter et de maintenir à jour toutes les exigences légales et contractuelles relatives à la sécurité de l'information applicables à son contexte. Dans le paysage réglementaire actuel — RGPD, NIS 2, DORA, secteur de la santé (HDS), défense (II 901), finances (DSP2) — les organisations font face à une multiplication des obligations légales et réglementaires dont le non-respect peut entraîner des sanctions financières considérables et des dommages réputationnels sévères. Un registre des exigences légales structuré et maintenu à jour est donc à la fois une obligation normative ISO 27001 et un outil de protection stratégique. Ce template Excel, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, couvre les exigences légales (droit français, droit européen), réglementaires (autorités sectorielles : ANSSI, CNIL, ACPR, ARS), contractuelles (clauses de sécurité dans les contrats clients et fournisseurs) et autres engagements volontaires (codes de conduite, certifications sectorielles). Il inclut pour chaque exigence : la source légale, les articles applicables, la portée (systèmes/traitements concernés), le niveau de conformité actuel, le propriétaire de la conformité, la date de prochaine vérification, et les actions correctives en cours. Il s'adresse aux RSSI, DPO et responsables juridiques qui pilotent la conformité réglementaire, aux directions générales qui doivent être informées des obligations applicables, et aux auditeurs internes qui vérifient la maîtrise de la conformité légale. Le registre est un input essentiel de la analyse de contexte organisationnel (clauses 4.1/4.2) et doit être croisé avec le registre des risques pour traiter les risques de non-conformité.
Contexte réglementaire et normatif
Le contrôle A.5.31 d'ISO/IEC 27001:2022 impose que les exigences législatives, réglementaires et contractuelles relatives à la sécurité de l'information ainsi que l'approche de l'organisation pour satisfaire à ces exigences soient identifiées, documentées et tenues à jour. Ce contrôle remplace et élargit l'ancien contrôle A.18.1 de la version 2013.
Le cadre légal applicable à la sécurité de l'information en France est particulièrement riche :
- RGPD (Règlement UE 2016/679) : exigences de sécurité des traitements (Article 32), notification des violations (Articles 33-34), AIPD pour les traitements à risque élevé (Article 35). Applicable à toute organisation traitant des données de résidents européens.
- Directive NIS 2 (2022/2555 — Loi n°2024-449) : mesures de gestion des risques, notification d'incidents, sécurité de la chaîne d'approvisionnement pour les entités importantes et essentielles. Applicable depuis octobre 2024.
- DORA (Règlement UE 2022/2554) : résilience opérationnelle numérique pour les entités financières. Applicable depuis janvier 2025.
- Code pénal (Articles 323-1 et suivants) : infractions liées aux systèmes de traitement automatisé de données (STAD). Obligations de signalement des incidents aux autorités.
- Loi Informatique et Libertés (Loi n°78-17) : déclinaison nationale du RGPD, gérée par la CNIL. Obligations spécifiques pour certains secteurs.
- Référentiel HDS (Hébergement de Données de Santé) : certification obligatoire pour tout hébergeur de données de santé.
Structure détaillée du template
Onglet 1 — Registre consolidé des exigences
Table principale avec colonnes : ID unique, catégorie (Légale / Réglementaire / Contractuelle / Volontaire), source de l'exigence (texte légal, autorité régulatrice, nom du contrat), référence précise (article, section), description de l'exigence en langage accessible, portée (quels systèmes, traitements, entités sont concernés), niveau de conformité actuel (Conforme / En cours / Non conforme / Non applicable), propriétaire de la conformité, date de dernière vérification, prochaine date de vérification, actions correctives en cours, liens vers les documents de conformité prouvant la conformité.
Onglet 2 — Calendrier de veille réglementaire
Calendrier des publications réglementaires à suivre : publications CNIL (délibérations, recommandations), publications ANSSI (guides, certifications, qualifications), Journal Officiel de l'Union Européenne (nouveaux règlements), textes de transposition nationaux, révisions des référentiels sectoriels (HDS, PCI-DSS, etc.). Pour chaque source : fréquence de consultation recommandée, responsable de la veille, outil utilisé (alertes Google, abonnements newsletters officielles).
Onglet 3 — Matrice conformité par système
Vue croisée systèmes/exigences : pour chaque système d'information majeur (SI RH, CRM, ERP, messagerie, SI clients), liste des exigences légales applicables et statut de conformité. Cette vue facilite les AIPD RGPD et les analyses de risques légaux.
Onglet 4 — Registre des contrats avec clauses de sécurité
Liste de tous les contrats contenant des clauses de sécurité de l'information : contrats clients (clauses ISO 27001, confidentialité, audits de sécurité), contrats fournisseurs (DPA RGPD, clauses de sécurité, droits d'audit), contrats de sous-traitance (clauses de confidentialité, exigences de certification). Pour chaque contrat : parties, date d'expiration, clauses de sécurité principales, obligations de reporting incidents au client/fournisseur, statut de conformité.
Guide d'utilisation étape par étape
Étape 1 — Inventaire initial des exigences applicables
Réalisez un inventaire initial exhaustif des exigences légales applicables : consultant un juriste spécialisé en droit des technologies, les publications de la CNIL, de l'ANSSI et des autorités sectorielles applicables à votre secteur. Pour chaque loi ou règlement identifié, extrayez les articles spécifiques qui imposent des obligations de sécurité de l'information. Ne vous limitez pas au RGPD — explorez les obligations sectorielles (santé, finance, défense) et les réglementations de sécurité nationale.
Étape 2 — Inventaire des clauses contractuelles
Réalisez un inventaire des contrats en vigueur contenant des clauses de sécurité : contrats clients importants (les grandes entreprises et le secteur public exigent souvent des clauses de sécurité spécifiques, parfois la certification ISO 27001), contrats avec les sous-traitants qui traitent des données personnelles (DPA RGPD obligatoire), contrats d'hébergement et de services cloud (clauses de sécurité, certifications du prestataire, droits d'audit).
Étape 3 — Évaluation de la conformité actuelle
Pour chaque exigence identifiée, évaluez le niveau de conformité actuel de l'organisation. Cette évaluation peut nécessiter des interviews avec les équipes concernées, une revue des politiques et procédures existantes, ou un audit de conformité spécifique. Documentez les écarts identifiés comme base du plan d'action de conformité.
Étape 4 — Intégration dans le SMSI
Les écarts de conformité identifiés doivent être intégrés dans le registre des risques (risques de non-conformité) et dans le RTP (actions correctives). Assurez-vous que les contrôles Annexe A sélectionnés dans le SoA couvrent les obligations légales pertinentes.
Étape 5 — Organisation de la veille réglementaire
La conformité légale n'est pas statique — les lois et règlements évoluent constamment. Organisez une veille systématique : abonnements aux newsletters des autorités (CNIL, ANSSI, publications officielles), désignation d'un responsable de la veille par domaine réglementaire, mise à jour trimestrielle du registre, alerte sur les nouvelles obligations avec impact sur le SMSI.
Étape 6 — Révision annuelle formelle
Réalisez une révision annuelle complète du registre, coïncidant avec la revue de direction. Cette révision doit couvrir : les nouvelles réglementations entrées en vigueur dans l'année, les évolutions des exigences existantes (nouvelles recommandations CNIL, nouveaux guides ANSSI), les nouvelles obligations contractuelles issues des contrats signés dans l'année, le niveau de conformité actualisé pour chaque exigence.
Tableau des contrôles / checklist complète
| Contrôle | Clause ISO | Statut | Responsable | Preuve | Commentaire |
|---|---|---|---|---|---|
| Registre des exigences légales formalisé et tenu à jour | A.5.31 | À vérifier | RSSI / DPO | Registre versionné | |
| RGPD — traitement des données personnelles conforme (Article 32) | A.5.31 + RGPD | À vérifier | DPO | AIPD + mesures techniques | |
| RGPD — procédure de notification de violation documentée (Art.33) | A.5.31 + RGPD | À vérifier | DPO / RSSI | Procédure notification | |
| NIS 2 — exigences applicables identifiées (entité importante/essentielle) | A.5.31 + NIS2 | À vérifier | RSSI / Direction | Analyse NIS 2 | |
| Exigences sectorielles spécifiques identifiées (HDS, ACPR, etc.) | A.5.31 | À vérifier | RSSI / Juriste | Registre exigences | |
| Clauses contractuelles de sécurité client inventoriées | A.5.31 | À vérifier | Juridique / Commercial | Registre contrats | |
| DPA RGPD signé avec tous les sous-traitants traitant données personnelles | A.5.31 + RGPD | À vérifier | DPO | DPA archivés | |
| Propriétaire de conformité désigné pour chaque exigence | A.5.31 | À vérifier | RSSI | Colonne propriétaire | |
| Niveau de conformité évalué pour chaque exigence | A.5.31 | À vérifier | RSSI / DPO | Colonne statut conformité | |
| Ecarts de conformité intégrés dans le registre des risques | A.5.31 + 6.1.2 | À vérifier | RSSI | Registre risques | |
| Veille réglementaire organisée et documentée | A.5.31 | À vérifier | RSSI / DPO | Process veille + abonnements | |
| Registre révisé trimestriellement | A.5.31 | À vérifier | RSSI / DPO | Historique révisions | |
| Conformité légale présentée en revue de direction | A.5.31 + 9.3 | À vérifier | RSSI | PV revue direction | |
| Code pénal — obligations de signalement incidents cyber respectées | A.5.31 | À vérifier | RSSI / Juridique | Procédure signalement | |
| Droits de propriété intellectuelle respectés (logiciels licenciés) | A.5.32 | À vérifier | DSI / Achats | Inventaire licences | |
| Lois sur la protection de la vie privée au travail respectées (CNIL) | A.5.31 + RGPD | À vérifier | DPO / DRH | Analyse vie privée salariés | |
| Registre cohérent avec les exigences identifiées en clause 4.2 | A.5.31 + 4.2 | À vérifier | RSSI | Croisement analyse contexte | |
| Délais de conservation des données personnelles respectés | A.5.31 + RGPD | À vérifier | DPO | Politique rétention données | |
| Obligation de certification ISO 27001 dans les contrats clients vérifiée | A.5.31 | À vérifier | Commercial / RSSI | Clauses contractuelles | |
| Transferts de données hors UE conformes (clauses contractuelles types) | A.5.31 + RGPD | À vérifier | DPO | CCT ou binding corporate rules | |
| Registre des activités de traitement (RGPD Art.30) maintenu à jour | A.5.31 + RGPD | À vérifier | DPO | Registre traitements | |
| Procédures de réponse aux droits des personnes documentées (RGPD) | A.5.31 + RGPD | À vérifier | DPO | Procédures DSR | |
| Cryptographie conforme aux exigences légales (export, standards) | A.5.31 + A.8.24 | À vérifier | RSSI / DSI | Politique cryptographie | |
| Mentions légales et politique de confidentialité site web à jour | A.5.31 + RGPD | À vérifier | DPO / Marketing | Site web | |
| Registre géré selon la procédure documentaire (7.5) | A.5.31 + 7.5 | À vérifier | RSSI | Numéro de version visible |
Points de vigilance pour l'audit de certification
Piège 1 — Registre existant mais non maintenu à jour
Un registre créé lors du projet de certification puis jamais révisé est une non-conformité lors des audits de surveillance. Le paysage réglementaire évolue constamment. Remédiation : désignez un responsable de la veille réglementaire et planifiez des révisions trimestrielles avec alerte sur les nouvelles obligations.
Piège 2 — RGPD traité séparément du SMSI ISO 27001
Dans de nombreuses organisations, la conformité RGPD et le SMSI ISO 27001 sont gérés par des équipes différentes qui ne communiquent pas. Cela crée des doublons et des incohérences. Remédiation : intégrez les obligations RGPD de sécurité dans le registre des exigences légales ISO 27001 et assurez la coordination RSSI/DPO.
Piège 3 — Clauses contractuelles ignorées
Les exigences contractuelles (clauses ISO 27001 dans les contrats clients, SLA de sécurité chez les fournisseurs) sont souvent omises du registre. Un auditeur peut demander à voir un contrat client et vérifier si les clauses de sécurité sont respectées. Remédiation : impliquez les équipes commerciales et achats dans la tenue du registre pour capturer toutes les exigences contractuelles.
Intégration dans le SMSI
- Analyse de contexte (4.1/4.2) : les exigences légales sont un input clé de l'analyse des parties prenantes.
- Registre des risques : les risques de non-conformité doivent figurer dans le registre.
- Revue de direction (9.3) : la conformité légale est présentée annuellement à la direction.
Bonnes pratiques terrain
Coordonnez RSSI et DPO : la conformité RGPD et la sécurité ISO 27001 se recoupent fortement. Une coordination régulière entre RSSI et DPO permet d'éviter les doublons et d'assurer la cohérence entre les deux démarches. Organisez un point mensuel RSSI/DPO pour partager les évolutions réglementaires et les nouveaux risques identifiés.
Créez un tableau de bord de conformité légale : une synthèse visuelle du niveau de conformité (vert/orange/rouge) pour chaque obligation légale majeure permet à la direction de comprendre rapidement l'état de la conformité et de prioriser les ressources. Ce tableau de bord est un input précieux de la revue de direction.
FAQ
Quelles sont les principales lois françaises relatives à la sécurité de l'information que le registre doit couvrir ?
Le registre des exigences légales d'une organisation française doit couvrir au minimum : le RGPD (Règlement UE 2016/679) et la Loi Informatique et Libertés pour les traitements de données personnelles, la directive NIS 2 (Loi n°2024-449 du 26 avril 2024) si l'organisation est une entité importante ou essentielle, le Code pénal (articles 323-1 à 323-8) pour les infractions aux STAD et les obligations de signalement, DORA (Règlement UE 2022/2554) si l'organisation est une entité financière, HDS si elle héberge des données de santé, les réglementations sectorielles applicables (II 901 pour la défense, ACPR pour les assurances et banques, etc.), les obligations contractuelles de sécurité présentes dans les contrats clients et fournisseurs significatifs. Un juriste spécialisé en droit des technologies est recommandé pour l'inventaire initial et la mise à jour annuelle.
Le registre des exigences légales est-il différent du registre des activités de traitement RGPD ?
Oui, ce sont deux registres distincts avec des objectifs différents. Le registre des activités de traitement (Article 30 RGPD) recense tous les traitements de données personnelles réalisés par l'organisation, avec les finalités, les catégories de données, les durées de conservation et les destinataires. Le registre des exigences légales ISO 27001 (A.5.31) recense toutes les obligations légales, réglementaires et contractuelles applicables à la sécurité de l'information, avec le niveau de conformité et les propriétaires. Les deux registres sont complémentaires et doivent être cohérents : pour chaque traitement du registre RGPD qui présente des risques de sécurité, une AIPD doit être réalisée et les mesures de sécurité identifiées doivent figurer dans le registre des exigences légales ISO 27001. Dans les organisations avec un DPO, les deux registres sont souvent co-gérés.
Points clés à retenir
- A.5.31 impose d'identifier, documenter et maintenir à jour toutes les exigences légales et contractuelles
- RGPD, NIS 2, DORA, HDS, Code pénal — le cadre légal français est dense et évolue rapidement
- Les clauses contractuelles de sécurité (clients et fournisseurs) font partie des exigences à documenter
- Un propriétaire de conformité doit être désigné pour chaque exigence
- La veille réglementaire est continue — révisez le registre trimestriellement
- Les écarts de conformité s'intègrent dans le registre des risques et le RTP
- Coordonnez RSSI et DPO pour éviter doublons et incohérences RGPD/ISO 27001
- Présentez le tableau de bord de conformité légale en revue de direction annuelle
Maintien à jour du registre face à l'évolution réglementaire : méthodes et outils
Le registre des exigences légales et contractuelles ISO 27001 n'est utile que s'il reflète la réalité réglementaire du moment — une réalité qui évolue à un rythme soutenu. La directive NIS 2, le règlement DORA, le Cyber Resilience Act, les évolutions du RGPD via les décisions de la CNIL et de l'EDPB : chaque trimestre apporte son lot de nouvelles exigences ou d'évolutions interprétatives qui peuvent rendre certains contrôles insuffisants ou en exiger de nouveaux.
La veille réglementaire structurée constitue la première brique du maintien à jour. Elle ne peut reposer uniquement sur l'initiative individuelle du RSSI ou du DPO. Une organisation efficace de la veille implique plusieurs sources complémentaires : les bulletins officiels, les services de veille juridique spécialisés cybersécurité, et les associations professionnelles sectorielles qui synthétisent les implications pratiques pour leurs membres dans un langage opérationnel accessible.
La procédure d'intégration d'une nouvelle exigence dans le registre doit être documentée et assignée à un responsable. Quand une nouvelle réglementation est identifiée, le processus comprend : analyse de l'applicabilité à l'organisation, identification des contrôles ISO 27001 impactés ou à créer, évaluation de l'écart entre l'état actuel et les nouvelles exigences, et planification des actions correctives. Cette analyse doit être conduite conjointement par les équipes juridique, conformité, et sécurité.
Les exigences contractuelles présentent des défis spécifiques de suivi. Contrairement aux exigences légales qui s'appliquent uniformément, chaque contrat peut contenir des clauses de sécurité uniques. Des outils de gestion contractuelle permettant d'extraire et de centraliser les clauses de sécurité constituent un investissement justifié dès que le nombre de contrats actifs avec clauses de sécurité dépasse la vingtaine.
Articulation entre le registre ISO 27001 et les autres référentiels de conformité
L'articulation entre le registre ISO 27001 et les autres référentiels réglementaires — NIS 2, RGPD, PCI-DSS, HDS, SOC 2 selon les secteurs — est une source d'efficience souvent inexploitée. La majorité des exigences de ces référentiels se chevauchent sur les contrôles fondamentaux de sécurité. Une approche de cartographie croisée entre ces référentiels, documentée dans le registre ou dans un document annexe, permet d'identifier les contrôles qui satisfont simultanément plusieurs exigences réglementaires, réduisant le travail de conformité multi-cadres.
La preuve de conformité aux exigences du registre est aussi importante que le registre lui-même. Pour chaque exigence légale ou contractuelle, le registre doit référencer les preuves disponibles : politiques approuvées, rapports d'audit, certifications, attestations de sous-traitants. Cette traçabilité est indispensable lors des audits clients, des audits de certification ISO 27001, et des demandes des autorités de contrôle.
La gestion de ces preuves dans un système documentaire structuré — avec versioning, dates de validité, et workflow de mise à jour — transforme le registre d'un document statique en un tableau de bord de la conformité réelle. Cette dimension opérationnelle du registre, souvent sous-estimée lors de sa conception initiale, détermine son utilité réelle sur le long terme et sa valeur lors des exercices d'audit externe menés par les organismes de certification ou les clients.
La fréquence de révision formelle du registre doit être définie dans la procédure documentaire et respectée rigoureusement. Une révision annuelle planifiée, coïncidant avec le cycle d'audit interne ISO 27001, garantit la pertinence minimale du registre. Pour les organisations opérant dans des secteurs particulièrement actifs du point de vue réglementaire — services financiers, santé, énergie — une révision semestrielle est recommandée. La date de la dernière révision et le nom du responsable doivent figurer explicitement dans le registre, fournissant une preuve documentée de la diligence raisonnable exercée dans le maintien de la conformité réglementaire.
Un projet cybersécurité ?
Expert dispo · Réponse 24h