Que requiert le contrôle A.1.4.8 ?
L’organisation ne doit pas conserver les données personnelles identifiables (DPI) plus longtemps que nécessaire aux fins pour lesquelles elles sont traitées.
Cette commande se trouve à l'intérieur de minimisation des informations personnelles identifiables objectif (A.1.4) et aborde la dimension temporelle de la minimisation des données. A.1.4.2 Limite de collecte limite ce que vous collectez et A.1.4.3 Traitement limite La règle A.1.4.8 limite son utilisation, tandis que la règle A.1.4.8 limite sa durée de conservation. Ensemble, ces contrôles constituent un cadre de minimisation complet.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.4.8) fournit les indications suivantes :
- Définir les périodes de rétention — Pour chaque catégorie de données personnelles, définir des durées de conservation en fonction de la finalité du traitement et des exigences légales applicables (telles que la conservation des documents fiscaux, le droit du travail ou les réglementations sectorielles).
- Mettre en œuvre des programmes de fidélisation — Créer et tenir à jour des calendriers de conservation formels qui précisent la période de conservation, l'événement déclencheur (par exemple, fin de contrat, fin de service) et l'action à entreprendre à l'expiration (suppression ou dépersonnalisation).
- Examiner périodiquement les données personnelles stockées — Examiner régulièrement les données personnelles stockées au regard des calendriers de conservation afin d'identifier les données qui auraient dû être supprimées ou dont la durée de conservation approche.
- Communiquer les périodes de conservation — Informer les personnes concernées des durées de conservation de leurs données, généralement par le biais d’avis de confidentialité, afin de respecter les exigences de transparence. A.1.3.3 Informations destinées aux personnes concernées par les données personnelles
La gestion de la conservation des données n'est pas une opération ponctuelle. Elle nécessite une gouvernance continue afin de garantir le respect des échéanciers, la justification des exceptions et l'intégration des nouvelles catégories de données personnelles à mesure que les activités de traitement évoluent.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.4.8 correspond à ce qui suit GDPR dispositions relatives à la transparence :
- Article 13 (2) a) — Oblige le responsable du traitement à informer les personnes concernées de la durée de conservation de leurs données personnelles, ou des critères utilisés pour déterminer cette durée, au moment de la collecte.
- Article 14 (2) a) — La même exigence s’applique aux données obtenues indirectement (et non directement auprès de la personne concernée).
Le GDPR Le principe de limitation de la conservation énoncé à l’article 5(1)(e) constitue la principale application de ce contrôle, les dispositions relatives à la transparence appuyant l’obligation de communiquer les durées de conservation aux personnes concernées.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend directement en charge le ISO 29100 principe de Limitation de l'utilisation, de la conservation et de la divulgationCe principe exige que les données personnelles ne soient conservées que pendant la durée nécessaire à la réalisation des finalités énoncées. Il exige également que les durées de conservation soient définies en fonction de la finalité applicable et communiquées aux personnes concernées.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.4.8, les auditeurs recherchent généralement :
- Programme de rétention — Un document officiel répertoriant chaque catégorie de données personnelles, sa durée de conservation définie, l'événement déclencheur, la base juridique de cette durée (le cas échéant) et la mesure d'élimination.
- Examiner les dossiers — Preuve d'examens périodiques des données personnelles stockées par rapport au calendrier de conservation, avec des résultats documentés et toutes les mesures correctives prises
- Preuves d'élimination — Documents indiquant que les données personnelles identifiables ont été détruites à l'expiration de leur période de conservation, avec un lien vers A.1.4.9 élimination procédures
- Registre des exceptions — Documentation de toute information personnelle conservée au-delà de sa période prévue, avec justification (par exemple, conservation légale, litige en cours, enquête réglementaire).
- Contenu de la déclaration de confidentialité — Preuve que les durées ou les critères de conservation des données sont communiqués aux personnes concernées par le biais d’avis de confidentialité
- Configurations système — Paramètres techniques qui imposent ou prennent en charge les périodes de conservation (archivage automatique, suppression automatique, indicateurs d'expiration)
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.4.6 Dé-identification et suppression | Définit ce qui arrive aux données personnelles identifiables (DPI) lorsque la période de conservation expire. |
| A.1.4.9 Élimination | Fournit les méthodes d'élimination sécurisées utilisées en fin de conservation |
| A.1.4.7 Fichiers temporaires | Les fichiers temporaires ont leurs propres exigences de conservation à court terme |
| A.1.4.5 Objectifs de minimisation des informations personnelles identifiables | Les calendriers de rétention mettent en œuvre la dimension temporelle des objectifs de minimisation |
| A.1.2.2 Identifier et documenter l'objectif | Les durées de conservation sont déterminées à partir des finalités de traitement documentées |
| A.1.3.3 Détermination des informations relatives aux personnes physiques à risque | Les durées de rétention doivent être communiquées aux individus |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Dans l'édition 2019, la conservation était traitée à la clause 7.4.7 (conservation). Le contrôle de 2025 comporte la même exigence fondamentale. La restructuration Annexe ALe format /B sépare plus clairement la déclaration de contrôle des lignes directrices de mise en œuvre. Ces dernières insistent davantage sur la communication des durées de conservation aux personnes concernées, renforçant ainsi le lien entre la gestion de la conservation et les obligations de transparence. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la gestion de la conservation des informations personnelles ?
ISMS.en ligne rend la gestion de la fidélisation pratique, cohérente et conforme aux exigences d'audit :
- Générateur de calendrier de fidélisation — Créer des calendriers de conservation formels avec des catégories, des périodes, des événements déclencheurs, des bases juridiques et des mesures d'élimination, le tout dans un format structuré et consultable.
- Alertes d'expiration automatisées — Recevez des notifications lorsque les données personnelles approchent ou atteignent leur limite de conservation, réduisant ainsi le risque de sur-conservation.
- Gestion du cycle d'évaluation — Planifier des évaluations périodiques de la rétention des connaissances, incluant l'attribution des tâches, le suivi de leur réalisation et la documentation des résultats.
- Gestion des exceptions — Documenter et suivre les exceptions de conservation (obligations de conservation légale, exigences réglementaires) avec des flux d'approbation et des prolongations temporaires.
- Intégration de la politique de confidentialité — Liez les durées de conservation à vos avis de confidentialité afin que les modifications apportées aux calendriers de conservation soient reflétées dans les communications aux personnes concernées par les renseignements personnels.
- Chaîne d'élimination — Relier les calendriers de conservation aux procédures d'élimination en vertu de A.1.4.9 Élimination, créant ainsi un parcours de cycle de vie complet
Questions fréquentes
Comment déterminer la durée de conservation appropriée pour chaque catégorie de données personnelles identifiables (DPI) ?
Commencez par définir la finalité du traitement : combien de temps les données personnelles sont-elles réellement nécessaires à cette fin ? Vérifiez ensuite les obligations légales ou réglementaires de conservation qui peuvent imposer une durée minimale (par exemple, les documents fiscaux, les dossiers du personnel, les documents financiers). La durée de conservation doit être la plus longue entre la durée liée à la finalité et la durée minimale légale, sans toutefois la dépasser. En l’absence d’obligation légale, seule la durée liée à la finalité s’applique. Documentez la justification de chaque durée de conservation.
Qu’est-ce qui déclenche le début d’une période de rétention ?
Le déclencheur dépend du contexte de traitement. Les déclencheurs courants incluent : la fin de la relation client, la finalisation d’une transaction, l’expiration d’un contrat, la cessation d’emploi, la dernière interaction avec la personne concernée ou la date de collecte des données personnelles. Ce déclencheur doit être clairement défini dans le calendrier de conservation afin que la date d’expiration puisse être calculée sans ambiguïté.
Les durées de conservation peuvent-elles différer pour une même information personnelle utilisée à des fins différentes ?
Oui. Une même donnée personnelle peut être conservée pendant des durées différentes selon sa finalité. Par exemple, l'adresse e-mail d'un client peut être conservée 12 mois après la fin de la relation client pour le suivi du service, mais pendant 6 ans à des fins de tenue de registres financiers. La durée la plus longue applicable détermine la date de suppression des données personnelles, mais le traitement pour chaque finalité doit cesser dès l'expiration de sa durée de conservation.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour les éléments de preuve spécifiques que les auditeurs attendent en matière de contrôle de la qualité des données et de minimisation.
Consignez ce contrôle dans votre Déclaration d'applicabilité avec votre justification quant à son applicabilité.
