Que requiert le contrôle A.1.2.8 ?
L'organisation déterminera les rôles et responsabilités respectifs en matière de traitement des données personnelles (y compris les exigences de protection et de sécurité des données personnelles) avec tout responsable conjoint du traitement des données personnelles.
Cette commande se trouve à l'intérieur de Conditions de collecte et de traitement objectif (A.1.2). Il s'agit d'un scénario spécifique, mais de plus en plus fréquent : celui où deux organisations ou plus déterminent conjointement les finalités et les moyens du traitement des données personnelles. Contrairement à la relation responsable du traitement/sous-traitant régie par A.1.2.7 Contrats avec les sous-traitants de données personnellesLe contrôle conjoint implique un pouvoir de décision partagé — et donc une responsabilité partagée.
La responsabilité conjointe survient lorsque des organisations collaborent à des activités impliquant des données personnelles identifiables (DPI) — par exemple, des campagnes de marketing conjointes, des plateformes partagées, des partenariats de recherche ou des services intégrés où les deux parties influencent les données collectées et leur utilisation.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.2.8) fournit les indications suivantes :
- Convenir des responsabilités respectives — Les responsables conjoints du traitement doivent s’entendre sur l’organisation responsable de chaque obligation découlant du traitement des données personnelles, notamment en ce qui concerne :
- Exercice des principaux droits relatifs aux données personnelles (demandes d'accès, effacement, rectification, portabilité)
- Fournir les informations requises aux personnes concernées par les données personnelles (avis de confidentialité, obligations de transparence)
- Mise en place des mesures de sécurité
- Notification d'infraction
- Voir aussi A.1.2.2 : Identifier et documenter l’objectif pour les exigences connexes
- Voir aussi A.1.2.3 : Identifier la base légale pour les exigences connexes
- Mettre ce dispositif à la disposition des responsables de PII — Les modalités de la responsabilité conjointe du traitement des données devraient être communiquées aux personnes dont les données personnelles sont traitées, afin qu'elles sachent quelle organisation contacter pour obtenir des informations.
- Consignez l'accord formellement — Bien que le contrôle n’utilise pas le mot « contrat », l’obligation de « déterminer » les rôles et les responsabilités sous-entend un accord formel et documenté entre les parties.
Les lignes directrices reconnaissent qu'en pratique, un responsable conjoint du traitement peut prendre l'initiative concernant certaines obligations (comme celle d'être le principal point de contact pour les demandes des personnes concernées), mais cela n'exonère pas les autres responsables du traitement de leurs responsabilités.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.2.8 correspond directement à GDPR Article 26:
- Article 26 (1) — Lorsque deux ou plusieurs responsables du traitement déterminent conjointement les finalités et les moyens du traitement, ils déterminent de manière transparente leurs responsabilités respectives en matière de respect des obligations découlant de la GDPR, notamment en ce qui concerne l’exercice des droits des personnes concernées et leurs obligations respectives de fournir des informations
- Article 26 (2) — Le dispositif doit refléter fidèlement les rôles et relations respectifs des responsables conjoints du traitement vis-à-vis des personnes concernées. L’essentiel du dispositif doit être porté à la connaissance de la personne concernée.
- Article 26 (3) — Indépendamment des termes de l'accord, les personnes concernées peuvent exercer leurs droits en vertu du RGPD à l'égard de chacun des responsables du traitement. Il s'agit d'un point crucial : les accords internes ne peuvent limiter les droits des personnes concernées par le traitement de leurs données personnelles.
L’article 26, paragraphe 3, est particulièrement important : même si les responsables conjoints du traitement conviennent que l’organisation A traite toutes les demandes des personnes concernées, une personne peut toujours adresser sa demande à l’organisation B, qui doit alors soit la traiter, soit la transmettre au service compétent. Les deux organisations demeurent responsables.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend en charge le Responsabilité Le principe de responsabilité énoncé dans la norme ISO 29100 exige que le traitement des données personnelles soit assuré par des parties clairement identifiées et responsables de leurs actes. La responsabilité conjointe du traitement crée une situation où la responsabilité doit être explicitement attribuée ; sans accord formel, il peut être difficile de déterminer quelle organisation est responsable de quelle obligation, ce qui compromet l’ensemble du cadre de responsabilité.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.2.8, les auditeurs recherchent généralement :
- registre des contrôleurs conjoints — Une liste documentée de tous les accords de responsabilité conjointe du responsable du traitement auxquels l'organisation est partie, avec l'identité de chaque responsable conjoint et les activités de traitement concernées.
- accords de contrôle conjoint — Des accords écrits et signés définissant la répartition des responsabilités entre les parties
- Matrice des responsabilités — Une cartographie claire des responsabilités de chaque responsable du traitement (droits des personnes concernées, notification des violations de données, sécurité, transparence)
- Communication principale relative aux renseignements personnels — Preuve que l'essence de l'accord de responsabilité conjointe est communiquée aux personnes concernées par le traitement des données personnelles, généralement par le biais de mentions d'information sur la protection des données ou de pages d'information dédiées.
- Désignation du point de contact — Un point de contact unique et documenté pour les personnes concernées par le traitement des données personnelles, même lorsque les responsabilités sont partagées entre plusieurs responsables du traitement.
- Procédures opérationnelles — Processus de gestion des scénarios où une personne concernée par des données personnelles contacte le « mauvais » responsable du traitement (par exemple, procédures de transfert, accords sur les délais de réponse)
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.2.7 Contrats avec les sous-traitants de données personnelles | Les exigences contractuelles varient selon qu'il s'agisse d'une relation de contrôle conjoint ou d'une relation de responsable du contrôle et de sous-traitant. |
| A.1.3.3 Informations destinées aux personnes concernées par les données personnelles | Les responsables conjoints du contrôle doivent s'entendre sur qui fournit quelles informations et comment. |
| A.1.3.2 Obligations envers les mandants PII | La responsabilité du traitement des demandes des personnes concernées doit être répartie entre les responsables conjoints du traitement. |
| A.1.2.6 Évaluation de l'impact sur la vie privée | Les accords de traitement conjoint peuvent déclencher des exigences en matière d'analyse d'impact sur la protection des données (AIP). |
| A.1.5.2 Base du transfert des données personnelles entre juridictions | Le partage des informations personnelles identifiables entre responsables conjoints du traitement doit être encadré. |
| A.1.2.9 Registres de traitement des données personnelles | Les registres de traitement doivent identifier les accords de contrôle conjoint. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence figurait à la clause 7.2.7 (responsable conjoint du traitement des données personnelles). L'exigence fondamentale demeure inchangée : les responsables conjoints du traitement doivent s'entendre sur leurs responsabilités respectives. La restructuration de 2025 en Tableau A.1 Elle établit une distinction plus claire entre la déclaration de contrôle (A.1.2.8) et les lignes directrices (B.1.2.8). L'accent mis sur la mise à disposition du dispositif aux personnes concernées par le traitement des données personnelles a été maintenu, conformément aux exigences de transparence fondamentales de la norme ISO 27701 et du RGPD. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des accords de contrôle conjoint ?
ISMS.en ligne vous aide à formaliser, suivre et mettre en œuvre la gestion conjointe avec clarté :
- registre des contrôleurs conjoints — Documenter chaque accord de contrôle conjoint avec les parties concernées, les activités de traitement couvertes et l'état de l'accord.
- Modèles de répartition des responsabilités — Des matrices de responsabilités préétablies couvrant les droits des personnes concernées, la notification des violations de données, la sécurité et la transparence, afin qu'aucun détail ne soit négligé.
- Gestion des accords — Stockez, gérez les versions et examinez les accords de co-responsabilité au même titre que vos autres documents de conformité.
- Mentions légales liées — Relier les accords de responsabilité conjointe aux avis de confidentialité qui informent les personnes concernées sur leurs données personnelles, en veillant à ce que les exigences de transparence soient respectées.
- Flux de travail inter-organisationnels — Définir et suivre les procédures de transmission des demandes des personnes concernées entre responsables conjoints du traitement des données, avec surveillance des SLA
- Preuves prêtes à être vérifiées — Générer des dossiers de preuves de conformité démontrant la répartition des responsabilités et leur mise en œuvre opérationnelle
Questions fréquentes
Comment déterminer si une relation relève du contrôle conjoint ou d'une relation de contrôle et de sous-traitance ?
La question clé est de savoir qui détermine fins et moyens En matière de traitement des données, si les deux organisations influencent les raisons et les modalités du traitement des données personnelles, il s'agit d'une responsabilité conjointe. Si une organisation détermine la finalité du traitement et que l'autre se contente d'exécuter des instructions, il s'agit d'une relation responsable du traitement/sous-traitant. En pratique, de nombreuses relations se situent dans une zone grise. Il convient d'examiner si l'autre partie a un intérêt propre dans le résultat du traitement. Décide-t-elle des données à collecter et de leur utilisation ? Si oui, il s'agit probablement d'un responsable conjoint du traitement plutôt que d'un sous-traitant.
Un co-responsable peut-il être tenu responsable des manquements de l'autre ?
Conformément à l'article 26, paragraphe 3, du RGPD, les personnes concernées peuvent exercer leurs droits à l'encontre de n'importe quel responsable conjoint du traitement, indépendamment des accords internes. Cela signifie que si un responsable ne répond pas à une demande d'une personne concernée, l'autre peut être tenu responsable. Les autorités de contrôle peuvent également engager des poursuites contre tout ou partie des responsables conjoints du traitement. Les accords internes peuvent répartir la responsabilité financière entre les parties, mais ils ne peuvent limiter les droits des personnes concernées ni les pouvoirs des autorités de contrôle.
Que devons-nous dire aux principaux responsables de PII au sujet de la gestion conjointe ?
Les éléments essentiels de l'accord doivent être communiqués aux personnes concernées. Au minimum, cela doit inclure : l'identité de chaque responsable conjoint du traitement, les types de traitements dont chacun est responsable et la manière dont les personnes concernées peuvent exercer leurs droits (y compris un point de contact). Ces informations figurent généralement dans la politique de confidentialité. Il n'est pas nécessaire de divulguer tous les détails de l'accord interne ; il suffit de fournir suffisamment d'informations pour que les personnes comprennent qui est responsable et comment les contacter.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent lorsqu'ils évaluent ce contrôle.
