Que requiert le contrôle A.1.4.10 ?
L'organisation doit soumettre les données personnelles transmises (par exemple, envoyées à une autre organisation) sur un réseau de transmission de données à des contrôles appropriés conçus pour garantir que les données atteignent leur destination prévue.
Cette commande se trouve à l'intérieur de minimisation des informations personnelles identifiables L’objectif (A.1.4) porte sur la sécurité des données personnelles lorsqu’elles quittent le contrôle direct de l’organisation lors de leur transmission. Que ces données soient envoyées à un sous-traitant, partagées avec un partenaire, transférées vers un service cloud ou transmises entre systèmes internes, l’organisation doit s’assurer qu’elles parviennent à destination et qu’elles sont protégées pendant leur transit.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.4.10) fournit les indications suivantes :
- Mettre en œuvre le chiffrement des données personnelles identifiables en transit — Utilisez le chiffrement pour protéger les données personnelles lors de leur transmission, afin d'empêcher toute interception ou écoute clandestine. Cela concerne aussi bien les transmissions externes (à des tiers) que les transmissions internes (entre systèmes).
- Vérifier l'identité et l'autorisation du destinataire — Avant de transmettre des données personnelles, vérifiez que le destinataire est bien celui qu'il prétend être et qu'il est autorisé à les recevoir.
- transmissions de journal — Conserver des registres des transmissions de renseignements personnels, y compris ce qui a été envoyé, à qui, quand et par quel canal.
- Prendre en compte la sécurité du canal de transmission — Évaluer la sécurité du canal de transmission lui-même, y compris le réseau, les protocoles et les intermédiaires impliqués
- Utilisez des protocoles sécurisés — Utilisez des protocoles de sécurité conformes aux normes de l'industrie, tels que TLS (pour le Web et le courrier électronique), SFTP (pour le transfert de fichiers), VPN (pour les connexions réseau) et les API chiffrées.
- Voir aussi A.1.4.2 : Limite de collecte pour les exigences connexes
- Voir aussi A.1.4.5 : Objectifs de minimisation des informations personnelles identifiables pour les exigences connexes
Ce contrôle est indépendant de toute technologie, mais exige des organisations qu'elles choisissent des méthodes de transmission proportionnées à la sensibilité des données personnelles et au risque. La transmission de dossiers médicaux requiert des contrôles plus stricts que la transmission de l'adresse électronique d'un contact professionnel.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.4.10 correspond à GDPR L’article 5, paragraphe 1, point f), énonce le principe d’intégrité et de confidentialité, qui exige que les données à caractère personnel soient traitées de manière à garantir une sécurité appropriée, notamment la protection contre le traitement non autorisé ou illicite et contre la perte accidentelle. La transmission constitue une activité de traitement, et la sécurité des données en transit est un élément essentiel de ce principe. GDPRles exigences de sécurité de l'article 32.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend en charge le ISO 29100 principe de Sécurité des renseignementsCela exige que les données personnelles soient protégées par des contrôles appropriés contre les risques tels que l'accès non autorisé, la destruction, l'utilisation, la modification, la divulgation ou la perte. La transmission représente l'un des moments les plus critiques du cycle de vie des données, car les données personnelles sont exposées aux menaces au niveau du réseau.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.4.10, les auditeurs recherchent généralement :
- politique de sécurité de transmission — Une politique documentée précisant les contrôles de sécurité minimaux requis pour les données personnelles identifiables en transit, y compris les protocoles approuvés, les normes de chiffrement et les procédures de vérification des destinataires
- Configurations de chiffrement — Preuves de configurations TLS/SSL pour les services web, de configurations SFTP pour les transferts de fichiers, de paramètres VPN pour les connexions réseau et de normes de chiffrement des API
- Procédures de vérification des destinataires — Procédures documentées de vérification de l'identité et de l'autorisation des destinataires de données personnelles avant transmission, notamment pour les nouveaux destinataires ou les transferts ponctuels
- Journaux de transmission — Enregistrements des transmissions de données personnelles, indiquant ce qui a été envoyé, à qui et par quel canal
- accords avec des tiers — Accords de traitement ou de partage de données avec les destinataires qui précisent les exigences de sécurité de la transmission
- Évaluations de la vulnérabilité — Résultats des évaluations de réseau et de protocole confirmant que les canaux de transmission répondent aux exigences de sécurité
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.4.4 Exactitude et qualité | L'intégrité des données lors de la transmission protège l'exactitude des informations personnelles identifiables. |
| A.1.4.9 Élimination | Les informations personnelles transmises à des tiers peuvent également nécessiter une destruction à l'extrémité destinataire. |
| A.1.4.7 Fichiers temporaires | Les processus de transmission créent souvent des fichiers de transit temporaires contenant des informations personnelles identifiables (IPI). |
| A.1.4.3 Limiter le traitement | La transmission ne doit concerner que les données nécessaires à la finalité indiquée. |
| A.1.2.2 Identifier et documenter l'objectif | La transmission ne devrait avoir lieu que pour appuyer une finalité de traitement documentée |
| A.1.2.9 Enregistrements de traitement | Les activités de transmission doivent être consignées dans les registres de traitement, y compris les catégories de destinataires. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, les contrôles de transmission des données personnelles étaient traités à la clause 7.4.9 (Contrôles de transmission des données personnelles). L'édition 2025 conserve la même exigence fondamentale. Les lignes directrices relatives à la mise en œuvre font désormais plus explicitement référence aux protocoles sécurisés modernes et mettent davantage l'accent sur la vérification du destinataire et la journalisation des transmissions. La nouvelle structure clarifie également le lien entre la sécurité des transmissions et les contrôles de sécurité de l'information plus généraux de la norme ISO 27001. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la gestion des contrôles de transmission des informations personnelles identifiables ?
ISMS.en ligne centralise la gestion de la confidentialité et les contrôles de sécurité des informations sur une plateforme unique :
- Cartographie des flux de données — Visualiser et documenter chaque transmission d'informations personnelles identifiables (IPI), y compris la source, la destination, le canal, le protocole et la norme de chiffrement utilisés.
- Registre des destinataires — Tenir un registre des destinataires autorisés de données personnelles identifiables, indiquant leur statut de vérification, leurs accords de traitement des données et les méthodes de transmission approuvées.
- Documentation relative aux contrôles de sécurité — Documenter les configurations de chiffrement, les normes de protocole et les mesures de sécurité réseau avec des enregistrements de contrôle de version
- Intégration ISO 27001 — Intégrez les contrôles de transmission des informations personnelles à votre système de gestion de la sécurité de l'information global, afin de garantir l'alignement des contrôles de confidentialité et de sécurité.
- Suivi de la conformité par des tiers — Surveiller la conformité des destinataires de données, notamment par le biais d'examens de contrats, d'évaluations de sécurité et de notifications d'incidents.
- Preuves prêtes à être vérifiées — Exportez les politiques de transmission, les enregistrements de configuration et les schémas de flux de données dans le cadre de votre dossier de preuves de certification.
Questions fréquentes
Ce contrôle s'applique-t-il aussi bien aux transferts de données internes qu'externes ?
Oui. Ce contrôle s'applique aux données personnelles transmises sur tout réseau de transmission de données, qu'il s'agisse de réseaux internes ou de transferts externes. Bien que le profil de risque puisse différer (les transferts externes étant généralement exposés à un risque d'interception plus élevé), les transferts internes doivent également être protégés par un chiffrement et des contrôles d'accès appropriés, notamment lorsque les données personnelles traversent des segments de réseau ou transitent par une infrastructure partagée.
Quel est le niveau de chiffrement minimal acceptable pour les informations personnelles identifiables en transit ?
La norme ne prescrit pas de suite de chiffrement spécifique, mais les bonnes pratiques actuelles du secteur recommandent TLS 1.2 ou une version supérieure pour le trafic web et API, TLS 1.3 étant privilégié lorsque les deux parties le prennent en charge. Les protocoles plus anciens (SSL, TLS 1.0, TLS 1.1) sont obsolètes et ne doivent pas être utilisés. Pour les transferts de fichiers, SFTP ou SCP sur SSH est la norme. Pour la messagerie électronique, le chiffrement TLS entre les serveurs de messagerie doit être appliqué autant que possible. Ce choix doit être documenté et conforme à votre politique de sécurité de l'information.
Comment les organisations doivent-elles gérer les informations personnelles transmises par courriel ?
L'utilisation du courrier électronique présente des défis spécifiques, car les protocoles standard ne garantissent pas un chiffrement de bout en bout. Les mesures appropriées comprennent : l'application du protocole TLS entre votre serveur de messagerie et celui du destinataire (TLS opportuniste ou obligatoire) ; l'utilisation du chiffrement S/MIME ou PGP pour les données personnelles hautement sensibles ; la protection par mot de passe des pièces jointes contenant des données personnelles ; l'utilisation de liens de partage de fichiers sécurisés plutôt que de pièces jointes directes ; et la mise en œuvre de règles de prévention des pertes de données (DLP) afin de détecter et d'empêcher toute divulgation accidentelle de données personnelles par courrier électronique. L'approche adoptée doit être proportionnée à la sensibilité des données personnelles.
Nos guide des exigences en matière de preuves d'audit détaille les attentes des auditeurs en matière de contrôles de sécurité de transmission.
Pour connaître les exigences en matière de transmission transfrontalière, veuillez consulter notre guide sur les transferts transfrontaliers de données.
