Que requiert le contrôle A.1.4.9 ?
L'organisation doit disposer de politiques, de procédures ou de mécanismes documentés pour l'élimination des données personnelles identifiables.
Cette commande se trouve à l'intérieur de minimisation des informations personnelles identifiables objectif (A.1.4) et garantit que lorsque les données personnelles arrivent au terme de leur cycle de vie, que ce soit par expiration de la période de conservation (A.1.4.8), la finalité du traitement ou une demande du responsable du traitement des données personnelles, les données sont détruites de manière à empêcher leur récupération.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.4.9) fournit les indications suivantes :
- S'assurer que les informations personnelles ne peuvent pas être récupérées Les méthodes d'élimination doivent garantir que les données personnelles ne puissent être ni récupérées, ni reconstituées, ni restaurées après leur élimination. La simple suppression (suppression d'un fichier d'un répertoire) est généralement insuffisante, car les données peuvent subsister sur le support de stockage.
- Choisir les méthodes d'élimination appropriées — Les méthodes doivent être adaptées au support de stockage et inclure : la suppression sécurisée (écrasement), la destruction physique du support (broyage, démagnétisation, incinération) et l’effacement cryptographique (destruction des clés de chiffrement des données chiffrées).
- Procédures documentaires par type de support — La méthode d’élimination doit être documentée pour chaque type de support de stockage utilisé par l’organisation (disques durs, SSD, périphériques USB, documents papier, stockage en nuage, bandes de sauvegarde).
- Tenir à jour les registres d'élimination — Conservez des registres indiquant ce qui a été éliminé, quand, par qui et selon quelle méthode. Ces registres servent de preuves d'audit et de documents de reddition de comptes.
- Voir aussi A.1.4.2 : Limite de collecte pour les exigences connexes
- Voir aussi A.1.4.3 : Traitement limité pour les exigences connexes
Le principe fondamental est que la destruction doit être vérifiable. Un auditeur doit pouvoir retracer le parcours des données personnelles, de leur calendrier de conservation jusqu'au document de destruction confirmant leur destruction sécurisée.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.4.9 correspond à GDPR L’article 5, paragraphe 1, point f), relatif au principe d’intégrité et de confidentialité, exige que les données à caractère personnel soient traitées de manière à garantir une sécurité appropriée, notamment la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels. La destruction sécurisée contribue directement à ce principe en garantissant que les données à caractère personnel ne soient pas divulguées par inadvertance par des méthodes de destruction inadéquates.
Pour la correspondance complète entre le RGPD et la norme ISO 27701, voir Guide de conformité au RGPD.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend en charge le ISO 29100 principe de Limitation de l'utilisation, de la conservation et de la divulgationPlus précisément, l'exigence que les données personnelles soient détruites de manière sécurisée lorsqu'elles ne sont plus nécessaires. Sans destruction sécurisée, les contrôles de limitation de la durée de conservation sont incomplets car les données continuent d'exister même après l'expiration théorique de la période de conservation.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.4.9, les auditeurs recherchent généralement :
- Politique d'élimination — Une politique documentée décrivant l'approche de l'organisation en matière d'élimination des données personnelles, y compris les responsabilités, les méthodes approuvées et les exigences de vérification
- Procédures spécifiques au milieu — Procédures d'élimination documentées pour chaque type de support de stockage : électronique (disque dur, SSD, cloud), amovible (clés USB, bandes de sauvegarde) et physique (papier, documents imprimés).
- Registres d'élimination — Un registre ou un journal des activités d'élimination indiquant ce qui a été éliminé, quand, par qui et selon quelle méthode
- Accords d'élimination par des tiers — Lorsque l’élimination est sous-traitée (par exemple à une entreprise de destruction de documents ou à une entreprise spécialisée dans le recyclage des actifs informatiques), des contrats précisant les normes d’élimination sécurisée et des certificats de destruction sont requis.
- Preuves de vérification — Documents attestant de la destruction effective des données, tels que certificats de destruction, rapports de vérification d'écrasement ou confirmations de fournisseurs de services cloud
- La formation du personnel — Preuve que le personnel chargé de l'élimination comprend les procédures et l'importance d'une destruction sécurisée
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.4.8 Rétention | Les calendriers de conservation définissent le moment où l'élimination doit être déclenchée. |
| A.1.4.6 Dé-identification et suppression | La suppression est une forme d'élimination ; la dépersonnalisation est l'autre option. |
| A.1.4.7 Fichiers temporaires | Les fichiers temporaires doivent être éliminés dans les délais de conservation courts qui leur sont définis. |
| A.1.4.5 Objectifs de minimisation des informations personnelles identifiables | L'élimination est le mécanisme final du cycle de vie de minimisation |
| A.1.4.10 Commandes de transmission PII | Les informations personnelles transmises à des tiers peuvent également devoir être éliminées par le destinataire. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, l'élimination était traitée à la clause 7.4.8 (élimination). Le contrôle de 2025 conserve la même exigence fondamentale relative aux politiques, procédures ou mécanismes d'élimination documentés. Les lignes directrices de mise en œuvre insistent désormais davantage sur la nécessité de procédures spécifiques au support et sur l'importance de la tenue de registres d'élimination. L'effacement cryptographique est également mentionné plus fréquemment comme technique d'élimination. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion de l'élimination des données personnelles ?
ISMS.en ligne vous aide à boucler la boucle du cycle de vie des données grâce à des processus d'élimination documentés et vérifiables :
- bibliothèque de procédures d'élimination — Maintenir des procédures d'élimination documentées pour chaque type de support de stockage, avec un contrôle des versions et des flux d'approbation.
- Journal d'élimination — Consignez chaque opération d'élimination en précisant ce qui a été détruit, la méthode utilisée, l'auteur de l'opération et la date, afin de constituer la piste d'audit exigée par les auditeurs.
- Gestion pour compte de tiers — Suivez les prestataires de services d'élimination des déchets, leurs contrats, leurs certificats de destruction et leur conformité à vos normes d'élimination.
- Intégration de la rétention — Déclenchez automatiquement les tâches d'élimination à l'expiration des périodes de conservation, en reliant votre calendrier de conservation au processus d'élimination.
- Liaison avec le registre des actifs — Liez les registres d'élimination à votre registre des actifs informatiques et à votre inventaire des données afin de pouvoir suivre les informations personnelles identifiables (IPI) de leur collecte jusqu'à leur destruction certifiée.
Questions fréquentes
La suppression d'un fichier constitue-t-elle une destruction suffisante dans le cadre de ce contrôle ?
En général, non. La suppression standard d'un fichier (déplacement vers la corbeille ou suppression de l'entrée correspondante dans le répertoire) ne supprime pas les données du support de stockage. Ces données restent récupérables à l'aide d'outils d'analyse forensique jusqu'à leur écrasement. La destruction sécurisée nécessite l'écrasement des données (pour les disques durs), l'utilisation des commandes d'effacement sécurisé du fabricant (pour les SSD), la destruction physique ou l'effacement cryptographique. La méthode choisie doit être proportionnée à la sensibilité des données personnelles et au risque de récupération.
Comment gérer l'élimination des données personnelles stockées dans le cloud ?
Pour le stockage en nuage, la destruction physique des supports n'est généralement pas envisageable. L'organisation doit plutôt : utiliser les API de suppression sécurisée du fournisseur de services cloud ; vérifier, via les conditions générales ou les certifications du fournisseur, que les données supprimées sont irrécupérables ; envisager l'effacement cryptographique (chiffrement des données avec une clé unique, puis destruction sécurisée de cette clé) ; et conserver la confirmation du fournisseur que les données ont été supprimées de toutes les répliques et sauvegardes. La procédure de suppression doit être documentée dans votre contrat de traitement des données en nuage.
Les documents relatifs à l'élimination des déchets doivent-ils être conservés ?
Oui. Les registres de destruction constituent la preuve que les données personnelles ont été détruites de manière sécurisée. Ils doivent être conservés pendant une durée suffisante pour démontrer la conformité lors des audits et répondre à toute question des personnes concernées ou des autorités de réglementation concernant le devenir de leurs données. Ces registres ne doivent pas contenir les données personnelles elles-mêmes, mais uniquement les métadonnées relatives à la destruction (catégorie, date, méthode, auteur). La durée de conservation habituelle de ces registres correspond à votre cycle d'audit, augmentée de tout délai de prescription applicable.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour les éléments de preuve spécifiques que les auditeurs attendent en matière de contrôle de la qualité des données et de minimisation.
Consignez ce contrôle dans votre Déclaration d'applicabilité avec votre justification quant à son applicabilité.
