Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.3.8 : Obligations d’informer les tiers

Le contrôle A.1.3.8 exige des organisations qu'elles informent les tiers avec lesquels des données personnelles ont été partagées de toute modification, retrait ou objection concernant ces données. Ce contrôle garantit que les droits des personnes concernées s'appliquent concrètement au-delà de vos propres systèmes.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.3.8 ?

L’organisation doit informer les tiers avec lesquels des renseignements personnels ont été partagés de toute modification, retrait ou objection concernant les renseignements personnels partagés, et mettre en œuvre des politiques, des procédures ou des mécanismes appropriés à cet effet.

Cette commande se trouve à l'intérieur de Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle Objectif (A.1.3). Il est reconnu que les droits des personnes concernées ne sont effectifs que s'ils sont étendus au-delà du responsable du traitement. Lorsque vous corrigez, effacez ou limitez l'accès aux données personnelles dans vos propres systèmes, les tiers détenant des copies de ces données doivent être informés de faire de même.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.3.8) fournit des orientations sur la mise en place de procédures efficaces de notification aux tiers :

  • Suivi des divulgations — Conservez un registre des tiers ayant reçu chaque catégorie de données personnelles. Sans cela, vous ne pourrez pas savoir qui doit être informé lorsqu'un droit est exercé.
  • Déclencheurs de notifications — Définir des mécanismes clairs de notification aux tiers, notamment la correction des données personnelles inexactes, l'effacement des données personnelles, la limitation du traitement et le retrait du consentement
  • Procédures de notification — Documenter la manière dont les notifications seront envoyées aux tiers (courriel, API, portail) et les délais prévus.
  • Confirmation de l'action — Dans la mesure du possible, obtenir la confirmation de tiers qu'ils ont donné suite à la notification.
  • Exceptions — Documentez toute circonstance dans laquelle la notification est impossible ou exige des efforts disproportionnés, et informez-en le responsable du traitement des données personnelles.
  • Voir aussi A.1.3.2 : Obligations envers les mandants PII pour les exigences connexes
  • Voir aussi A.1.3.3 : Détermination des informations relatives aux personnes physiques à risque pour les exigences connexes

La difficulté pratique de ce contrôle s'accroît avec le nombre de tiers et la complexité des accords de partage de données. Des systèmes de notification automatisés et des obligations contractuelles claires avec les sous-traitants et les destinataires sont essentiels pour les organisations qui partagent massivement des données.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.3.8 correspond directement à GDPR Article 19:

  • Article 19 — Obligation de notification concernant la rectification, l’effacement ou la limitation du traitement des données à caractère personnel. Le responsable du traitement doit communiquer toute rectification, tout effacement ou toute limitation à chaque destinataire auquel les données ont été communiquées, sauf si cela s’avère impossible ou exige des efforts disproportionnés.
  • L'article 19 exige également que le responsable du traitement informe la personne concernée de l'identité de ces destinataires si celle-ci le demande.

Il s'agit d'un aspect souvent négligé. GDPR Les autorités de contrôle ont constaté que de nombreuses organisations traitent les demandes d'effacement dans leurs propres systèmes, mais omettent de les transmettre aux tiers destinataires des données. Une procédure de notification rigoureuse est indispensable pour une conformité effective.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le participation et accès individuels Ce principe, issu de la norme ISO 29100, exige que les personnes puissent contester l'exactitude de leurs données et les faire rectifier ou supprimer. Pour que ce droit soit effectif, les rectifications et suppressions doivent être communiquées à tous les détenteurs de données, et non pas seulement au responsable du traitement initial.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.3.8, les auditeurs recherchent généralement :

  • Registre des déclarations — Un registre tenu à jour des tiers ayant reçu des renseignements personnels, lié aux catégories de données et aux personnes concernées par ces renseignements.
  • Procédures de notification — Procédures documentées relatives à la manière et au moment où les tiers sont informés des corrections, suppressions, restrictions et objections
  • Enregistrements de notification — Preuve que les notifications ont effectivement été envoyées, avec les dates, le contenu et les coordonnées des destinataires
  • Suivi de confirmation — Lorsqu'elle est obtenue, confirmation de tiers attestant qu'ils ont donné suite à la notification
  • Dispositions contractuelles — Accords de traitement ou de partage de données qui obligent les tiers à donner suite à une notification
  • Documentation des exceptions — Lorsque la notification était impossible, justification documentée et preuves attestant que le responsable des informations personnelles identifiables a été informé

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.3.7 Accès, rectification ou effacement Corrections et ratures effectuées sous A.1.3.7 Accès, rectification ou effacement déclencher l'obligation de notification
A.1.3.5 Modifier ou retirer son consentement Le retrait d'un consentement concernant des informations personnelles partagées entraîne une notification aux tiers
A.1.3.6 S'opposer au traitement des données personnelles Les objections retenues concernant les données personnelles partagées entraînent une notification aux tiers
A.1.2.9 Enregistrements relatifs au traitement des données personnelles Les dossiers de traitement doivent documenter les destinataires, permettant ainsi le suivi des divulgations nécessaire ici.
A.1.5.2 Base du transfert des données personnelles identifiables Transferts entre pays et organisations internationales Les registres de transferts internationaux permettent d'identifier les destinataires tiers dans d'autres juridictions.
A.1.3.10 Traitement des demandes La notification aux tiers devrait être intégrée au flux de travail de traitement des demandes.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence figurait à la clause 7.3.7 (Obligations des responsables du traitement d'informer les tiers). L'édition 2025 conserve l'obligation principale au titre de la clause A.1.3.8, complétée par des indications dans la clause B.1.3.8. L'accent mis sur la tenue de registres de divulgation et la mise en place de procédures de notification documentées demeure essentiel. La nouvelle structure offre un point de contrôle d'audit plus clair pour cette obligation spécifique. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des notifications tierces ?

ISMS.en ligne vous aide à suivre les divulgations et à transmettre efficacement les droits des personnes concernées aux tiers :

  • Registre des divulgations aux tiers — Consignez chaque divulgation de renseignements personnels à des tiers en indiquant la date, la catégorie et la finalité, afin de toujours savoir qui doit être informé.
  • Flux de travail de notification automatisés — Lorsqu'une correction, une suppression ou une restriction est effectuée, générer automatiquement des tâches de notification pour chaque tiers concerné.
  • Suivi de confirmation — Consigner les dates auxquelles les tiers accusent réception des notifications et y donnent suite, afin de constituer une chaîne de preuves complète, de la demande à la résolution.
  • Lien contractuel — Lier les relations avec les tiers à des accords de traitement des données incluant des obligations de notification, garantissant ainsi un cadre contractuel pour les procédures opérationnelles
  • Journal des efforts disproportionnés — Lorsque la notification n'est pas possible, documentez le raisonnement dans un format structuré qui satisfasse au contrôle réglementaire.

Questions fréquentes

Comment savoir quels tiers ont reçu des informations personnelles identifiables spécifiques ?

Cela nécessite la tenue d'un registre de divulgation consignant chaque partage de données personnelles avec un tiers, en précisant la date, la catégorie de données partagées, l'identité du destinataire et la finalité. Pour les partages de données en masse ou réguliers (par exemple avec des sous-traitants), l'enregistrement peut se faire par catégorie plutôt qu'au niveau de chaque donnée. L'essentiel est que, lorsqu'une personne concernée exerce un droit, il soit possible d'identifier rapidement tous les tiers détenant ses données.

Qu’est-ce qui est considéré comme un « effort disproportionné » en matière de notification ?

Cette évaluation se fait au cas par cas. Les facteurs pris en compte incluent le nombre de destinataires, le coût de la notification, l'ancienneté et la nature des données, ainsi que l'impact potentiel sur la personne concernée. Par exemple, la notification d'un petit nombre de partenaires commerciaux connus est rarement disproportionnée. En revanche, la notification de centaines d'internautes inconnus ayant consulté des données publiques pourrait l'être. L'organisation doit justifier sa décision et informer la personne concernée si la notification s'avère impossible.

Le responsable du traitement des données personnelles a-t-il le droit de savoir qui sont les tiers ?

Oui. Conformément à l'article 19 du RGPD, le responsable du traitement doit informer la personne concernée de l'identité des destinataires de ses données si elle en fait la demande. Cela signifie que vous devez être en mesure de fournir une liste des tiers ayant reçu ses données personnelles. Ceci souligne l'importance de tenir un registre précis des communications. Votre politique de confidentialité devrait déjà mentionner les catégories de destinataires, mais vous pourriez être amené à fournir des informations précises sur demande.

Nos guide des exigences en matière de preuves d'audit détaille la documentation attendue par les auditeurs en matière de contrôle des droits des personnes concernées.

Les DPO chargés de ces obligations devraient consulter notre guide pour les DPO pour un aperçu complet.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.