Que requiert le contrôle A.1.3.9 ?
L’organisation doit être en mesure de fournir une copie des données personnelles traitées, à la demande du responsable du traitement.
Cette commande se trouve à l'intérieur de Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle objectif (A.1.3). Tandis que A.1.3.7 Accès, rectification ou effacement Alors que le droit d'accès est plus général, le point A.1.3.9 porte spécifiquement sur la fourniture concrète de copies des données personnelles et introduit les exigences en matière de portabilité des données. C'est ce contrôle qui transforme le droit d'accès théorique en un résultat tangible.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.3.9) fournit des indications sur la manière de répondre efficacement aux demandes de copie et de portabilité :
- Format structuré et lisible par machine — Lorsque cela est techniquement possible, fournissez les données personnelles identifiables dans un format structuré, couramment utilisé et lisible par machine. Les formats courants incluent CSV, JSON et XML.
- Droit de transmettre — Tenir compte du droit de la personne concernée de transmettre directement ses données à un autre responsable du traitement. Lorsque cela est techniquement possible, prévoir un mécanisme de transfert direct entre responsables du traitement.
- Premier exemplaire gratuit Le premier exemplaire est gratuit. Pour les exemplaires supplémentaires, des frais raisonnables, basés sur les coûts administratifs, peuvent être appliqués.
- Livraison sécurisée — Les copies doivent être livrées de manière sécurisée, par des canaux cryptés ou des liens de téléchargement sécurisés, afin d'empêcher tout accès non autorisé pendant la transmission.
- Portée des données — Préciser quelles données personnelles sont concernées par les demandes de copie et les demandes de portabilité. La portabilité s'applique généralement aux données personnelles fournies par la personne concernée et traitées de manière automatisée sur la base de son consentement ou d'un contrat.
- Voir aussi A.1.3.3 : Détermination des informations relatives aux personnes physiques à risque pour les exigences connexes
- Voir aussi A.1.3.6 : Opposition au traitement des données personnelles pour les exigences connexes
Les lignes directrices reconnaissent que le format et le mode de diffusion doivent être pratiques tant pour l'organisation que pour la personne concernée. Lorsqu'il existe plusieurs formats, cette dernière doit pouvoir choisir celui qu'elle préfère.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.3.9 correspond à GDPR dispositions relatives aux copies d'accès et à la portabilité des données :
- Article 15 (3) Le responsable du traitement doit fournir une copie des données à caractère personnel faisant l'objet d'un traitement. Pour toute copie supplémentaire, il peut facturer des frais raisonnables basés sur les coûts administratifs.
- Article 15 (4) — Le droit d’obtenir une copie ne doit pas porter atteinte aux droits et libertés des autres.
- Article 20 (1) — Droit de recevoir ses données personnelles dans un format structuré, couramment utilisé et lisible par machine (portabilité des données)
- Article 20 (2) — Droit à ce que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible
- Article 20 (3) — La portabilité n’entraîne pas l’obligation de supprimer les données du contrôleur d’origine
- Article 20 (4) — La portabilité ne doit pas porter atteinte aux droits et libertés des autres.
Il convient de noter une distinction importante : l’article 15 (droit d’accès) s’applique à toutes les données à caractère personnel traitées par le responsable du traitement. L’article 20 (droit à la portabilité) s’applique uniquement aux données fournies par la personne concernée, traitées par des moyens automatisés, sur la base de son consentement ou d’un contrat.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend en charge le participation et accès individuels Conformément au principe de la norme ISO 29100, l'accès aux données n'est pertinent que si la personne concernée peut obtenir une copie exploitable de ses données. Ce principe exige un accès pratique et effectif, et la section A.1.3.9 garantit que cet accès se traduit par un livrable que la personne concernée peut examiner, vérifier et, le cas échéant, transférer à un autre prestataire.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.3.9, les auditeurs recherchent généralement :
- Documentation de format — Formats documentés disponibles pour fournir des copies de données personnelles (CSV, JSON, XML, PDF) avec justification pour chaque format.
- Capacité technique — Preuve que les systèmes peuvent extraire les données personnelles identifiables (DPI) dans les formats documentés sans recourir à des solutions de contournement manuelles susceptibles d’entraîner des erreurs ou des omissions.
- mécanismes de livraison sécurisés — Procédures documentées pour la transmission sécurisée des copies de données personnelles aux demandeurs (courriel chiffré, portail sécurisé, transfert de fichiers chiffrés)
- Politique tarifaire — Lorsque des frais sont facturés pour des copies supplémentaires, un barème de frais documenté et raisonnable, basé sur les coûts administratifs, doit être établi.
- Évaluation de la portabilité — Documentation identifiant les données personnelles qui sont soumises aux exigences de portabilité (données fournies par la personne concernée, traitées automatiquement, sur la base du consentement ou d'un contrat).
- Exemples de requêtes complétées — Exemples de requêtes complétées illustrant les données transmises, le format utilisé et la méthode de transmission sécurisée
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.3.7 Accès, rectification ou effacement | A.1.3.7 Accès, rectification ou effacement établit le droit d'accès ; A.1.3.9 précise les modalités de remise de la copie |
| A.1.3.10 Traitement des demandes | Les demandes de copies sont gérées dans le cadre plus large de traitement des demandes. |
| A.1.3.2 Obligations envers les mandants PII | Le droit à une copie et à la portabilité figure parmi les obligations à identifier |
| A.1.3.4 Fournir des informations aux personnes concernées par les données personnelles | Les personnes concernées par les données personnelles doivent être informées de leur droit d'obtenir une copie de leurs données. |
| A.1.2.9 Enregistrements relatifs au traitement des données personnelles | Le traitement des enregistrements permet de déterminer l'étendue des données à inclure dans une réponse à une demande de copie |
| A.3 Contrôles de sécurité partagés | La livraison sécurisée des copies de données personnelles nécessite des mesures techniques appropriées |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, la fourniture d'une copie des données personnelles était traitée à la clause 7.3.8 (Fourniture d'une copie des données personnelles traitées). L'édition 2025 lui attribue un numéro de contrôle spécifique (A.1.3.9) et des instructions dédiées sont fournies à ce sujet dans la clause B.1.3.9. Cette distinction avec le droit d'accès plus général… A.1.3.7 Accès, rectification ou effacement permet un audit plus ciblé des capacités de transmission des données. L'accent mis sur les formats structurés et lisibles par machine ainsi que sur la transmission sécurisée demeure essentiel. Voir la Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des demandes de copie et de portabilité des informations personnelles identifiables ?
ISMS.en ligne rationalise la livraison des copies de données personnelles tout en maintenant la sécurité et la traçabilité :
- Exportation multiformat — Générez des copies des données personnelles identifiables (DPI) dans des formats structurés (CSV, JSON, PDF) à partir de votre registre de données, en veillant à leur lisibilité par machine lorsque cela est nécessaire.
- Portail de livraison sécurisé — Fournir des copies des informations personnelles identifiables (IPI) via un lien de téléchargement sécurisé et temporaire, éliminant ainsi le risque d'envoyer des données sensibles par courriel non chiffré
- Identification de la portée — Utilisez votre cartographie des données pour identifier rapidement quelles données relèvent d'une demande de copie ou d'une demande de portabilité, garantissant ainsi des réponses précises et complètes.
- Suivi des demandes — Consignez chaque demande de copie en précisant le format fourni, le mode de livraison utilisé et la confirmation de réception, afin de constituer une piste d'audit fiable.
- Gestion des frais — Lorsque des frais de copie supplémentaires s'appliquent, suivez les frais et fournissez au responsable des informations personnelles identifiables un détail clair des coûts.
Questions fréquentes
Quelle est la différence entre une copie d'accès et la portabilité des données ?
Une copie d'accès (GDPR L’article 15 couvre toutes les données à caractère personnel que le responsable du traitement traite concernant la personne concernée, indépendamment de leur origine ou de la base légale du traitement. La portabilité des données (article 20) est plus restrictive : elle s’applique uniquement aux données à caractère personnel fournies par la personne concernée, traitées par des moyens automatisés, sur la base de son consentement ou d’un contrat. La portabilité inclut également le droit de transmettre directement ses données à un autre responsable du traitement. En pratique, les ensembles de données à fournir peuvent varier selon le droit exercé.
Quel format devez-vous utiliser pour fournir les copies des informations personnelles identifiables (IPI) ?
Pour les copies d'accès, tout format clair et lisible est acceptable, y compris le PDF. Pour les demandes de portabilité, les données doivent être dans un format structuré, couramment utilisé et lisible par machine. Les formats CSV et JSON sont les plus répandus. Dans la mesure du possible, proposez au responsable des données personnelles un choix de format. Ce format doit permettre la réutilisation des données ou leur importation dans un autre système sans nécessiter d'outils spécialisés.
Pouvez-vous facturer la fourniture d'une copie de données personnelles ?
La première copie doit être fournie gratuitement. Pour les copies supplémentaires des mêmes données, vous pouvez facturer des frais raisonnables, basés sur les coûts administratifs. Ces frais doivent être proportionnés et justifiés. Vous ne pouvez pas utiliser les frais comme moyen de dissuasion pour empêcher les personnes d'exercer leurs droits. Si vous facturez des frais, vous devez en informer la personne concernée et indiquer le montant avant de procéder.
Nos guide des exigences en matière de preuves d'audit détaille la documentation attendue par les auditeurs en matière de contrôle des droits des personnes concernées.
Les DPO chargés de ces obligations devraient consulter notre guide pour les DPO pour un aperçu complet.
