Que requiert le contrôle A.1.2.7 ?
L'organisation doit conclure un contrat écrit avec tout sous-traitant de données personnelles qu'elle utilise et s'assurer que ces contrats prévoient la mise en œuvre des contrôles appropriés. Annexe A (voir Tableau A.2).
Cette commande se trouve à l'intérieur de Conditions de collecte et de traitement Objectif (A.1.2). Il reconnaît que de nombreuses organisations ne traitent pas l'intégralité des données personnelles en interne ; elles font appel à des fournisseurs de services cloud, des prestataires de paie, des plateformes marketing et d'autres tiers pour traiter ces données en leur nom. L'objectif A.1.2.7 garantit que ces accords sont encadrés par des contrats formels qui étendent les obligations de confidentialité et de sécurité au sous-traitant.
La référence à Tableau A.2 c'est important : cela signifie que le contrat doit aborder la question des informations personnelles identifiables. processeur Des contrôles définis dans la norme, et non pas seulement des clauses générales de protection des données.
Les équipes d'approvisionnement exigent de plus en plus la certification ISO 27701 des sous-traitants — consultez notre guide des exigences d'approvisionnement et guide d'évaluation des fournisseurs.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.2.7) fournit les indications suivantes sur les éléments que les contrats de sous-traitance doivent préciser :
- Nature et finalité du traitement — Ce que le processeur fera des données personnelles et pourquoi
- Types de données personnelles traitées — Les catégories de données personnelles que le sous-traitant traitera (par exemple, coordonnées, données financières, dossiers médicaux)
- Durée du traitement — Combien de temps le sous-traitant traitera-t-il les données personnelles et que deviendront ces données à la fin du contrat ?
- Obligations du sous-traitant — Les obligations spécifiques que le sous-traitant doit remplir, notamment la mise en œuvre des Tableau A.2 contrôles appropriés au traitement
- Droits et obligations du contrôleur — Le droit de l'organisation d'auditer, de donner des instructions et d'approuver ou de refuser les sous-traitants
- Exigences de mise en œuvre Tableau A.2 contrôles — Le contrat doit faire référence aux contrôles spécifiques du sous-traitant figurant à l'annexe A et pertinents pour les activités de traitement, ou les intégrer.
Le guide indique également que les organisations devraient prendre en considération dispositions relatives au sous-traitement — si le sous-traitant est autorisé à faire appel à d’autres sous-traitants, et si oui, dans quelles conditions et avec quelles exigences de notification.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.2.7 correspond à ce qui suit GDPR dispositions :
- Article 5 (2) — Le principe de responsabilité, qui exige des responsables du traitement qu'ils puissent démontrer leur conformité. Les contrats de sous-traitance écrits constituent un mécanisme de responsabilité essentiel.
- Article 28, paragraphe 3, point e) — Les contrats de sous-traitance doivent exiger du sous-traitant qu’il aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité, notification des violations de données, analyses d’impact relatives à la protection des données et consultation préalable).
- Article 28 (9) — Le contrat doit être établi par écrit, y compris sous forme électronique.
GDPR L’article 28 contient des clauses contractuelles obligatoires supplémentaires par rapport aux exigences explicites de la norme ISO 27701. Il impose notamment au sous-traitant d’agir uniquement sur instructions documentées, de garantir la confidentialité du personnel traitant les données, de supprimer ou de restituer les données à la fin du contrat et de mettre à disposition toutes les informations nécessaires pour démontrer la conformité. Les organisations visant une conformité totale au RGPD doivent s’assurer que leurs contrats couvrent l’ensemble des exigences de l’article 28, paragraphe 3.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Ce contrôle prend en charge deux principes de confidentialité de la norme ISO 29100 :
- Responsabilité — Les contrats étendent la responsabilité en matière de protection des données personnelles identifiables (DPI) au-delà des propres opérations du responsable du traitement jusqu'à ses sous-traitants, garantissant ainsi que l'ensemble de la chaîne de traitement est régie.
- Sécurité des renseignements — Contrats exigeant la mise en œuvre de Tableau A.2 Les contrôles garantissent que les sous-traitants appliquent des mesures de sécurité appropriées aux données personnelles qu'ils traitent.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.2.7, les auditeurs recherchent généralement :
- Registre du processeur — Une liste complète de tous les sous-traitants de données personnelles engagés par l'organisation, avec les activités de traitement qu'ils effectuent.
- Contrats signés ou accords de protection des données — Des accords écrits avec chaque sous-traitant, soit sous forme d'accords de traitement des données (ATD) autonomes, soit sous forme de clauses intégrées à des contrats de services plus larges.
- Tableau A.2 analyse de la couverture — Preuve que le contrat aborde les contrôles pertinents du sous-traitant Tableau A.2, soit par référence explicite, soit en intégrant des exigences équivalentes
- Dispositions relatives aux sous-traitants — Clauses précisant si et comment le sous-traitant peut faire appel à d'autres sous-traitants, y compris les mécanismes de notification et d'approbation
- dossiers d'examen des contrats — Preuve que les contrats de sous-traitance sont régulièrement revus et mis à jour, notamment lorsque les activités de traitement changent ou que la norme est mise à jour
- registres de diligence raisonnable — Preuve que l'organisation a évalué la capacité du sous-traitant à mettre en œuvre les contrôles requis avant de conclure le contrat
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| Tableau A.2 (Contrôles du processeur de données personnelles) | Les mécanismes de contrôle qui doivent être intégrés aux contrats de traitement |
| A.1.2.6 Évaluation de l'impact sur la vie privée | Les évaluations d'impact sur la protection des données (EIP) doivent prendre en compte les risques découlant des accords avec les sous-traitants. |
| A.1.5.2 Base du transfert des données personnelles entre juridictions | Le partage d'informations personnelles avec des sous-traitants est une forme de divulgation qui doit être encadrée. |
| A.1.2.8 Contrôleur PII conjoint | Lorsqu'une relation de contrôle conjoint existe plutôt qu'une relation de contrôle conjoint avec un sous-traitant, des exigences contractuelles différentes s'appliquent. |
| A.1.2.9 Registres de traitement des données personnelles | Les registres de traitement doivent identifier les activités impliquant des sous-traitants. |
| ISO 27001 A.5.19–A.5.22 | Contrôles de sécurité des relations fournisseurs dans le système de gestion de la sécurité de l'information (SGSI) sous-jacent |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Dans l'édition 2019, cette exigence figurait à la clause 7.2.6 (contrats avec les sous-traitants de données personnelles). L'exigence fondamentale — des contrats écrits décrivant les contrôles appropriés — demeure inchangée. L'édition 2025 renforce cette exigence en y faisant explicitement référence. Tableau A.2, qui propose un ensemble de contrôles des sous-traitants plus clair et plus structuré que l'annexe A de l'édition 2019. Cela permet aux organisations d'identifier plus facilement les contrôles que leurs contrats doivent intégrer. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la gestion des contrats de traitement des données personnelles ?
ISMS.en ligne simplifie l'ensemble du cycle de vie des contrats de traitement, de la vérification préalable au suivi continu de la conformité :
- Registre du processeur — Tenir à jour un registre centralisé de tous les responsables du traitement des données personnelles, indiquant leurs activités de traitement, le statut de leurs contrats et les dates de révision, le tout dans un seul et même endroit.
- bibliothèque de clauses DPA — Modèles de clauses contractuelles préétablies conformes à la norme ISO 27701 Tableau A.2 Exigences et article 28 du RGPD, prêts à être intégrés à vos accords
- Tableau A.2 cartographie — Identifier automatiquement les contrôles de sous-traitance applicables à chaque accord de sous-traitance, en veillant à ce qu'aucune clause obligatoire ne soit omise.
- Suivi des sous-processeurs — Enregistrer les sous-traitants agréés pour chaque sous-traitant, avec des alertes lorsque de nouveaux sous-traitants sont notifiés
- Rappels concernant la révision des contrats — Notifications automatisées lorsque des contrats doivent être révisés, lorsque des activités de traitement changent ou lorsque la norme est mise à jour
- Due diligence des fournisseurs — Des questionnaires intégrés pour évaluer les capacités du processeur avant la signature du contrat, avec des évaluations notées et des résultats documentés.
Questions fréquentes
Chaque fournisseur a-t-il besoin d'un accord de traitement des données ?
Seuls les fournisseurs qui traitent des données personnelles pour votre compte (c’est-à-dire qui agissent en tant que sous-traitants) sont tenus de conclure un contrat au titre de l’article A.1.2.7. Les fournisseurs de services qui n’impliquent pas l’accès à des données personnelles, tels que les fournisseurs de fournitures de bureau, n’ont pas besoin d’un accord de protection des données (APD). La question essentielle est de savoir si le fournisseur traitera, consultera ou stockera des données personnelles dans le cadre de sa prestation. En cas de doute, considérez le fournisseur comme un sous-traitant et établissez un contrat : mieux vaut un APD inutile que de ne pas en avoir un qui est obligatoire.
Que faire concernant les sous-processeurs ?
Votre contrat avec chaque sous-traitant doit aborder la question de la sous-traitance. Les approches courantes consistent à exiger une autorisation écrite préalable pour chaque sous-traitant, à imposer une notification assortie d'un droit d'opposition, ou à approuver au préalable une liste nominative de sous-traitants. Conformément à l'article 28 du RGPD, le sous-traitant ne peut faire appel à un autre sous-traitant sans autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Quelle que soit l'approche choisie, assurez-vous que le contrat impose au sous-traitant des obligations contractuelles équivalentes à ses sous-traitants ultérieurs.
Comment gérer les sous-traitants qui refusent de signer notre accord de protection des données ?
Les grands fournisseurs de services de traitement des données (notamment les fournisseurs SaaS) proposent souvent leur propre accord de protection des données (APD) standard plutôt que de signer le vôtre. Cette pratique est généralement acceptable à condition que leur APD couvre les éléments requis : nature et finalité du traitement, types de données personnelles, durée, obligations et les dispositions pertinentes. Tableau A.2 Contrôles. Examinez leur accord de protection des données (APD) en le comparant à une liste de clauses obligatoires. En cas de lacunes, négociez des avenants ou des conditions supplémentaires. Si un sous-traitant refuse tout accord écrit relatif au traitement des données personnelles, vous ne devez pas faire appel à lui : le contrôle exige explicitement un contrat écrit.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent lorsqu'ils évaluent ce contrôle.
