ISO 27001:2022 Annexe A 6.6 – Accords de confidentialité ou de non-divulgation

• See ISO 27002:2022 Contrôle 6.6 pour plus d'informations.
• See ISO 27001:2013 Annexe A 13.2.4 pour plus d'informations.

Qu'est-ce que l'ISO 27001:2022 Annexe A 6.6 ?

La norme ISO 27001 : 2022, annexe A 6.6, stipule que les organisations doivent mettre en place des mesures pour protéger les informations confidentielles contre toute divulgation non autorisée. Cela comprend l'établissement d'accords de confidentialité avec les parties intéressées et le personnel.

Les organisations devraient créer des conditions pour leurs accords avec d'autres parties après avoir pris en compte les sécurité de l'information besoins, le type d'informations à gérer, leur niveau de classification, l'objectif auquel elles sont destinées et l'accès accordé à l'autre partie.

Explication des accords de confidentialité ou de non-divulgation

Un accord de confidentialité ou de non-divulgation (NDA) est un document juridique qui interdit la divulgation de secrets commerciaux et d'autres informations confidentielles.

Les informations confidentielles peuvent englober le plan d'affaires d'une entreprise, les chiffres financiers, les listes de clients et d'autres détails exclusifs. Ces contrats sont utilisés dans diverses circonstances, telles que :

• Un accord de confidentialité peut faire partie du contrat de travail d'une nouvelle recrue. Cela garantit que l'employé s'abstient de divulguer toute information confidentielle concernant l'entreprise, ses produits ou services, son personnel ou ses fournisseurs. Les entreprises ont également recours à des accords de non-divulgation pour interdire à leurs anciens employés de révéler des informations sensibles après l'embauche.
• Des accords de confidentialité sont régulièrement inclus dans les transactions commerciales, comme l'achat d'une entreprise, le regroupement avec une autre entreprise ou la vente d'une entreprise. Ces accords visent à empêcher les deux parties de révéler toute information confidentielle obtenue lors de la transaction.
• Les partenariats impliquent le recours à des accords de confidentialité lorsqu'une partie souhaite protéger son client existant ou relations fournisseurs d'être divulgué à un nouveau partenaire. Par exemple, si une entreprise a besoin d'un financement auprès d'investisseurs en capital-risque, elle peut demander à ces investisseurs de signer des NDA pour sécuriser les données confidentielles concernant les produits ou services de l'entreprise.

Les partenariats comportent souvent des clauses de confidentialité dans leur accord de partenariat, par lesquelles chaque partenaire s'engage à garder toute information confidentielle acquise au cours du partenariat entièrement confidentielle.

Objectif des accords de confidentialité

Les accords de confidentialité sont couramment utilisés par les particuliers et les entreprises. Ils répondent à une série d’objectifs, notamment :

• Protéger leurs secrets commerciaux et leurs informations exclusives des concurrents qui pourraient les exploiter.
• Empêchez le personnel de divulguer des données sensibles de l’entreprise à d’autres organisations.
• Sécurisation droits de propriété intellectuelle tels que les brevets et les droits d'auteur.

Quel est l’objectif de l’Annexe A 27001 de la norme ISO 2022 : 6.6 ?

La norme ISO 27001:2022 Annexe A 6.6 doit être appliquée pour garantir la sécurité des données lorsque le personnel, les partenaires et les fournisseurs collaborent avec une organisation.

Ce contrôle vise à sécuriser les données de l'organisation et à informer les signataires de leur obligation de gérer et de sauvegarder les informations de manière responsable et licite. Il sert également d’outil pour préserver les droits de propriété intellectuelle, par exemple les brevets, les marques, les secrets commerciaux et les droits d’auteur.

Les employeurs doivent s'assurer qu'un accord de non-divulgation est en place avant que des informations confidentielles ne soient divulguées à un employé ou un entrepreneur. L'accord clarifiera la responsabilité de l'individu de maintenir le secret des informations et la durée de la période de confidentialité après la fin de l'emploi.

Annexe A 6.6 expliquée

ISO 27001:2022 Annexe A Control 6.6 est conçu pour protéger la propriété intellectuelle et les intérêts commerciaux de votre organisation en arrêtant la divulgation de données confidentielles à des tiers. Cela implique l'établissement d'un accord ou d'un arrangement juridique entre votre organisation et son personnel, associés, sous-traitants, fournisseurs et autres tiers, qui contrôle l'utilisation des informations classifiées.

Les informations confidentielles sont toutes les données qui n'ont pas été rendues publiques ou partagées avec d'autres organisations du même secteur. Cela englobe les secrets commerciaux, les registres de clients, les formules et les stratégies commerciales.

Évaluez le contrôle pour décider si un tiers sera autorisé à accéder aux données personnelles sensibles et si des mesures doivent être prises pour garantir qu'il ne conserve pas ou ne continue pas à accéder aux données personnelles sensibles de l'organisation après son départ.

Lorsqu'un tiers quitte une organisation et qu'il existe un risque que des données sensibles soient exposées, l'organisation doit prendre les mesures nécessaires pour empêcher leur divulgation avant ou peu de temps après son départ.

Qu'est-ce que cela implique et comment répondre aux exigences

ISO 27001: 2022 L'Annexe A 6.6 exige que les parties à l'accord s'abstiennent de divulguer les informations confidentielles qui relèvent de son champ d'application. Le consentement de l’organisation est nécessaire dans tous les cas où la divulgation est nécessaire, sauf ordonnance du tribunal. Cette disposition est essentielle pour sauvegarder les données concernant les activités commerciales, la propriété intellectuelle et la recherche et développement.

Pour se conformer à l'annexe A 6.6, un accord/contrat de confidentialité et de non-divulgation doit être préparé avec précision pour protéger tous les secrets commerciaux et les données/informations sensibles liées aux activités et transactions de l'entreprise. Il est essentiel que les deux parties comprennent leurs devoirs et responsabilités en vertu de l'accord pendant et après la conclusion du partenariat commercial.

Une clause de confidentialité peut être incluse dans les contrats qui s'étendent au-delà de l'emploi de l'employé ou de l'engagement de tiers. Cela doit être fait pour garantir que les informations restent sécurisées.

Il est essentiel qu'un employé qui quitte un poste ou qui change d'emploi voit ses tâches et responsabilités en matière de sécurité transférées à une nouvelle personne, tous les identifiants d'accès étant supprimés et de nouveaux créés.

Lors de l’évaluation des accords de confidentialité et de non-divulgation, il convient de garder plusieurs éléments à l’esprit :

• Les données confidentielles qui doivent être sauvegardées.
• La durée de l'accord, y compris les cas où la confidentialité doit être maintenue perpétuellement ou jusqu'à ce que les données soient rendues publiques, sera déterminée.
• En cas de résiliation d'un contrat, les démarches nécessaires doivent être entreprises.
• Les signataires doivent prendre toutes les mesures nécessaires pour empêcher la divulgation non autorisée d'informations.
• Propriété des données, des connaissances commerciales confidentielles et de la propriété intellectuelle ayant un effet sur la confidentialité.
• Le signataire a le droit d'utiliser les informations confidentielles conformément à l'autorisation.
• Le droit de superviser ou d’évaluer des activités impliquant des données extrêmement classifiées.
• Le processus d'information et d'information des révélations non approuvées ou des fuites d'informations privées doit être suivi.
• À la résiliation du présent accord, toutes les données ou informations partagées entre les parties doivent être restituées ou détruites.
• Si l'accord n'est pas respecté, quelles mesures seront prises.

L'organisation doit s'assurer que les accords de confidentialité et de non-divulgation respectent les lois de la juridiction concernée.

Périodiquement et lorsque des changements affectent leurs exigences, il est nécessaire de revoir les accords de confidentialité et de non-divulgation.

De plus amples détails sur ce processus peuvent être trouvés dans la norme ISO 27001:2022.

Modifications et différences par rapport à la norme ISO 27001:2013

ISO 27001:2022 Annexe A 6.6 est une modification de l'ISO 27001:2013 Annexe A 13.2.4, plutôt qu'un nouveau contrôle.

Les deux contrôles de l'annexe A présentent divers parallèles, bien qu'ils ne soient pas identiques. Par exemple, les instructions de mise en œuvre des deux sont similaires, mais pas identiques.

La première partie du guide de mise en œuvre de la norme ISO 27001:2013, l'Annexe A 13.2.4, souligne que :

« Les accords de confidentialité ou de non-divulgation devraient répondre à l'exigence de protéger les informations confidentielles en utilisant des conditions juridiquement exécutoires. Les accords de confidentialité ou de non-divulgation sont applicables aux parties externes ou aux employés de l'organisation.

Les éléments doivent être sélectionnés ou ajoutés en tenant compte du type de l’autre partie et de son accès ou traitement autorisé aux informations confidentielles.

L'annexe A 6.6 de la norme ISO 27001:2022 déclare que toute organisation doit prendre les mesures appropriées pour :

« Les accords de confidentialité ou de non-divulgation devraient répondre à l'exigence de protéger les informations confidentielles en utilisant des conditions juridiquement exécutoires. Les accords de confidentialité ou de non-divulgation sont applicables aux parties intéressées et au personnel de l'organisation.

Sur la base des exigences de sécurité des informations d'une organisation, les termes des accords doivent être déterminés en tenant compte du type d'informations qui seront traitées, de leur niveau de classification, de leur utilisation et de l'accès autorisé par l'autre partie.

Les deux contrôles ont une structure et une fonction analogues dans leurs contextes individuels, bien que leur signification sémantique varie. L'annexe A 6.6 utilise un langage plus simple et convivial, facilitant la compréhension du contenu et du contexte. Ainsi, les utilisateurs peuvent plus facilement s’identifier à la norme.

La série Acompte 2022 de la norme ISO 27001 comprend des déclarations d'intention et des tableaux d'attributs selon le contrôle de l'annexe A, pour faciliter la compréhension et une mise en œuvre réussie. Ceci n’est pas prévu dans l’édition 2013.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

Qui est en charge de ce processus ?

Conformément à l'annexe A 6.6 de la norme ISO 27001 : 2022, le service des ressources humaines supervise généralement la rédaction et l'application de l'accord de confidentialité/non-divulgation dans la plupart des organisations, en collaboration avec le responsable/département de supervision tiers concerné.

Le responsable de la sécurité de l’information, le responsable des ventes ou le responsable de la production peuvent tous agir en tant que responsable superviseur.

Les départements et les responsables doivent garantir que tous les fournisseurs tiers employés par l'organisation prennent les mesures de sécurité appropriées pour protéger les données confidentielles contre toute divulgation ou utilisation non approuvée.

Tous les employés doivent signer un accord de confidentialité au début de leur emploi dans l'entreprise.

Dans de nombreuses organisations, quelle que soit leur taille, tout le personnel qui traite des informations confidentielles est tenu de signer un accord de confidentialité ou de non-divulgation.

Les employés des ventes, du marketing, du service client et des autres départements qui interagissent avec des informations confidentielles concernant les clients et les fournisseurs doivent recevoir une formation.

Les organisations doivent avoir des politiques en place obligeant le personnel à signer un accord de confidentialité avant d'accéder aux informations sensibles concernant les clients ou les fournisseurs, même en l'absence d'accord écrit.

Le fait de ne pas avoir de politique d’accord de confidentialité peut entraîner de graves risques. Ces risques comprennent :

• Les employés peuvent, involontairement, divulguer des informations confidentielles à des personnes extérieures à l'entreprise qui ne devraient pas y avoir accès, nuisant ainsi à l'organisation.
• Un employé peut divulguer des informations sensibles à un rival.
• Un travailleur mécontent peut voler la propriété intellectuelle de l'entreprise et l'utiliser à son propre profit.
• Les travailleurs peuvent par inadvertance laisser des données confidentielles sur leur ordinateur de bureau au bureau ou sur leur ordinateur portable à la maison, risquant ainsi d'être volées par un cybercriminel.

Que signifient ces changements pour vous ?

La norme ISO 27001 reste largement inchangée. Pour améliorer la convivialité, il a simplement été mis à jour. Les organisations adhérant à cette norme n’ont donc pas besoin de prendre de mesures supplémentaires pour rester conformes.

Afin de répondre aux changements de la norme ISO 27001:2022, l'organisation devra peut-être apporter de légères modifications à ses processus et procédures actuels, surtout s'ils nécessitent une recertification.

Pour mieux comprendre l’impact de la modification de la norme ISO 27001:2022 sur votre entreprise, veuillez consulter notre guide ISO 27001.

Comment ISMS.Aide en ligne

ISMS.Online aide les organisations et les entreprises à respecter les normes ISO 27001:2022 en fournissant un plateforme qui simplifie la gestion de protocoles de confidentialité ou de non-divulgation, permettant de les mettre à jour si nécessaire, de les tester et de suivre leur efficacité.

Nous fournissons un service basé sur le cloud plateforme pour gérer la confidentialité et la sécurité de l’information Systèmes de gestion, y compris les clauses de non-divulgation, la gestion des risques, les politiques, les plans et les procédures, le tout dans un seul endroit centralisé. La plateforme est conviviale et possède une interface intuitive qui facilite son apprentissage.

ISMS.Online facilite :

• Enregistrez facilement vos processus avec cette interface conviviale. Pas besoin d'installer de logiciel sur votre machine ou votre réseau !
• Rationalisez votre processus d’évaluation des risques en l’automatisant.
• Assurez le respect des réglementations grâce à des rapports et des listes de contrôle en ligne.
• Tenir un registre d’avancement tout en cherchant à obtenir la certification.

ISMS.Online propose une sélection complète d'outils pour aider les entreprises et les organisations à répondre aux exigences de la norme ISO 27001 et/ou ISO 27001 SMSI. Nous facilitons le respect des normes de l’industrie et vous offrons une tranquillité d’esprit.

Contactez-nous dès maintenant pour organiser une démonstration.