Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.4.7 : Fichiers temporaires

Le contrôle A.1.4.7 exige des organismes qu'ils veillent à ce que les fichiers temporaires créés lors du traitement des données personnelles soient supprimés dans un délai spécifié et documenté. Les fichiers temporaires constituent l'une des sources d'exposition des données personnelles les plus souvent négligées.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.4.7 ?

L’organisation doit veiller à ce que les fichiers temporaires créés à la suite du traitement des données personnelles soient éliminés (par exemple effacés ou détruits) conformément aux procédures documentées et dans un délai spécifié et documenté.

Cette commande se trouve à l'intérieur de minimisation des informations personnelles identifiables L’objectif (A.1.4) cible une catégorie de données spécifique, souvent négligée : les fichiers temporaires, les caches, les journaux, les exportations et les résultats intermédiaires créés par les systèmes lors du traitement normal. Ces fichiers contiennent fréquemment des copies complètes des données personnelles et peuvent persister longtemps après la fin du traitement qui les a créés.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.4.7) fournit les indications suivantes :

  • Identifiez l'emplacement de création des fichiers temporaires. — Identifiez tous les emplacements où des fichiers temporaires contenant des informations personnelles peuvent être générés, notamment les caches système, les journaux d'application, les spoules d'impression, les bases de données temporaires, les fichiers d'exportation de données, les zones de transit et les copies de travail.
  • Définir les durées maximales de conservation — Pour chaque type de fichier temporaire, définissez la durée maximale de conservation avant suppression.
  • Mettre en œuvre l'élimination automatisée — Dans la mesure du possible, utilisez des mécanismes automatisés (scripts de suppression planifiée, politiques d'expiration du cache, rotation des journaux) pour garantir la suppression des fichiers temporaires sans intervention manuelle.
  • Vérifier l'élimination — Vérifier que l’élimination a bien eu lieu, notamment pour les processus manuels où des dossiers peuvent être oubliés.
  • Voir aussi A.1.4.2 : Limite de collecte pour les exigences connexes
  • Voir aussi A.1.4.4 : Exactitude et qualité pour les exigences connexes

La difficulté pratique réside dans le fait que les fichiers temporaires sont créés par les systèmes, et non par les utilisateurs. Les serveurs d'applications, les bases de données, les systèmes de messagerie, les outils de reporting et même les logiciels bureautiques génèrent des fichiers temporaires dans le cadre de leur fonctionnement normal. L'organisation doit donc bien connaître son environnement technique afin d'identifier les endroits où des données personnelles peuvent apparaître sous forme temporaire.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.4.7 correspond à GDPR Article 5, paragraphe 1, point c), principe de minimisation des données. Les fichiers temporaires qui persistent au-delà de leur besoin immédiat constituent une conservation inutile de données à caractère personnel. GDPR ne mentionne pas spécifiquement les fichiers temporaires, mais le principe de minimisation exige que les données personnelles ne soient conservées sous aucune forme plus longtemps que nécessaire, ce qui inclut les copies transitoires.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le ISO 29100 principe de Limitation de l'utilisation, de la conservation et de la divulgationCette réglementation exige que les données personnelles ne soient conservées que le temps nécessaire à la réalisation des finalités énoncées. Par définition, les fichiers temporaires sont destinés à des usages transitoires et doivent figurer parmi les premières données à être supprimées lorsqu'elles ne sont plus nécessaires.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.4.7, les auditeurs recherchent généralement :

  • Inventaire des fichiers temporaires — Une liste documentée de tous les emplacements et composants système où des fichiers temporaires contenant des informations personnelles peuvent être créés
  • Définitions de la période de rétention — Durées maximales de conservation spécifiées pour chaque type de fichier temporaire, avec justification
  • Procédures d'élimination — Procédures documentées pour l'élimination de chaque type de fichier temporaire, y compris la méthode d'élimination et la personne responsable.
  • Preuves d'automatisation — Enregistrements de configuration pour les mécanismes d'élimination automatisée (tâches cron, politiques de cache, paramètres de rotation des journaux, règles de suppression automatique)
  • Enregistrements de vérification — Preuve de contrôles périodiques confirmant que les fichiers temporaires sont éliminés comme prévu, en particulier pour les processus d'élimination manuelle.
  • Registres d'incidents — Tous les cas où des fichiers temporaires ont persisté au-delà de leur période de conservation définie, et les mesures correctives prises

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.4.5 Objectifs de minimisation des informations personnelles identifiables L'élimination temporaire des fichiers fait partie de la stratégie globale de minimisation.
A.1.4.6 Dé-identification et suppression Les procédures de suppression des fichiers temporaires suivent les mêmes principes que la suppression en fin de traitement.
A.1.4.9 Élimination Les mécanismes d'élimination doivent couvrir les fichiers temporaires ainsi que les magasins de données principaux
A.1.4.8 Rétention Les politiques de conservation doivent aborder explicitement la question des fichiers temporaires au même titre que celle du stockage permanent.
A.1.4.3 Limiter le traitement Les fichiers temporaires représentent un traitement accessoire qui doit néanmoins rester dans le périmètre.
A.1.4.10 Commandes de transmission PII Les processus de transmission créent souvent des fichiers de transit temporaires qui doivent être supprimés.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, les fichiers temporaires étaient traités à la clause 7.4.6 (fichiers temporaires). Le contrôle de 2025 est substantiellement identique quant à ses exigences. La restructuration Annexe ALe format /B fournit des instructions de mise en œuvre plus claires, notamment concernant la nécessité d'une élimination et d'une vérification automatisées. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion de la conformité des fichiers temporaires ?

ISMS.en ligne vous aide à transformer un domaine de conformité généralement négligé en un processus documenté et auditable :

  • registre de fichiers temporaires — Recenser tous les emplacements où sont générés des fichiers temporaires contenant des données personnelles, en précisant les durées de conservation et les méthodes d'élimination pour chacun.
  • Planification de l'élimination — Configurez des tâches d'élimination avec des rappels automatisés, afin de ne rien oublier, même pour les processus d'élimination manuels.
  • Listes de vérification — Mettre en place des contrôles de vérification réguliers pour confirmer que les fichiers temporaires ont été supprimés comme prévu, avec des résultats documentés.
  • Intégration de l'évaluation des risques — Intégrez les risques liés aux fichiers temporaires à votre registre des risques de sécurité de l'information, en veillant à ce qu'ils reçoivent l'attention appropriée.
  • Preuve d'audit — Les registres d'élimination des déchets d'exportation, les résultats de vérification et la documentation relative aux procédures doivent figurer dans votre dossier de preuves de certification.

Questions fréquentes

Quels types de fichiers temporaires contiennent généralement des informations personnelles identifiables (IPI) ?

Parmi les exemples courants, citons : les caches des serveurs d’applications, les caches des résultats de requêtes de bases de données, les fichiers de spoule d’impression, les caches des pièces jointes des e-mails, les exportations CSV et Excel depuis les systèmes CRM ou RH, les fichiers de préparation ETL, les fichiers journaux contenant les identifiants utilisateur, les cookies de navigateur stockés sur les appareils partagés, les copies temporaires créées lors de la migration de données et les fichiers brouillon ou d’enregistrement automatique issus de l’édition de documents. Les types précis dépendent de votre infrastructure technologique et de vos activités de traitement.

Quelle doit être la durée de conservation des fichiers temporaires ?

La norme ne prescrit pas de durées spécifiques, mais exige qu'elles soient spécifiées et documentées. La durée appropriée dépend du type de fichier et de sa finalité technique. Un fichier de spoule d'impression peut être supprimé en quelques heures, tandis qu'un fichier de préparation à la migration de données peut être conservé pendant plusieurs jours, le temps de vérifier la migration. Le principe fondamental est que la durée de conservation doit être aussi courte que possible compte tenu de la finalité du fichier, et que sa suppression doit être automatique lorsque cela est possible.

Les fichiers journaux doivent-ils être traités comme des fichiers temporaires sous ce contrôle ?

Si les fichiers journaux contiennent des informations personnelles (telles que des identifiants d'utilisateur, des adresses électroniques ou des adresses IP), ils doivent être inclus dans votre gestion des fichiers temporaires ou traités conformément à votre politique de conservation. A.1.4.8De nombreuses organisations traitent les journaux d'application et d'accès comme une catégorie distincte, avec leurs propres durées de conservation, souvent dictées par des exigences de surveillance de la sécurité. L'important est qu'ils soient documentés, que leurs durées de conservation soient définies et qu'ils soient supprimés à l'expiration de ces délais.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour les éléments de preuve spécifiques que les auditeurs attendent en matière de contrôle de la qualité des données et de minimisation.

Consignez ce contrôle dans votre Déclaration d'applicabilité avec votre justification quant à son applicabilité.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.