Que requiert le contrôle A.1.5.3 ?
L'organisation doit préciser et documenter les pays et les organisations internationales auxquels les données personnelles identifiables peuvent éventuellement être transférées.
Cette commande se trouve à l'intérieur de Transfert de données personnelles objectif (A.1.5) dans le commandes du contrôleur PII. Où A.1.5.2 Base du transfert des données personnelles identifiables La section A.1.5.3 traite du mécanisme juridique et se concentre sur la documentation précise de l'endroit où les PII peuvent se retrouver.
Nos guide sur les transferts transfrontaliers de données fournit des conseils de bout en bout sur la mise en œuvre des garanties de transfert selon la norme ISO 27701:2025.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.5.3) fournit les indications suivantes :
- Tenir un registre de tous les pays et organisations internationales auxquels des renseignements personnels peuvent être transférés.
- Tenez compte du statut d'adéquation de chaque juridiction de destination pour déterminer si les transferts sont autorisés.
- Mettre à la disposition des personnes concernées par les données personnelles les informations relatives aux destinations des transferts, soit directement, soit par le biais de documents de confidentialité publiés.
- Tenez le registre à jour au fur et à mesure que de nouvelles destinations de correspondance sont ajoutées ou que des destinations existantes sont supprimées.
Concrètement, les organisations ne peuvent plus considérer les transferts internationaux comme une boîte noire. Chaque destination potentielle doit être identifiée, évaluée et documentée avant tout transfert de données personnelles.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.5.3 correspond à deux touches Dispositions du RGPD:
- Article 15 (2) — La personne concernée a le droit d’être informée des pays vers lesquels ses données personnelles sont transférées et des garanties appropriées mises en place.
- Article 30, paragraphe 1, point e) — Les registres des activités de traitement doivent inclure les transferts vers des pays tiers ou des organisations internationales, ainsi que la documentation relative aux garanties appropriées.
Sous GDPRCes informations doivent être facilement accessibles sur demande aux personnes concernées et aux autorités de contrôle.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend en charge le ISO 29100 principe de ResponsabilitéLa tenue d'un registre documenté des destinations de transfert démontre que l'organisation sait où vont les données personnelles identifiables et a pris des mesures délibérées pour évaluer et approuver chaque destination.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.5.3, les auditeurs recherchent généralement :
- Registre national — Une liste documentée et à jour de tous les pays et organisations internationales auxquels des renseignements personnels peuvent être transférés
- Évaluations d'adéquation — Preuve que le statut d'adéquation de chaque destination a été examiné et consigné
- Avis de confidentialité — Documentation relative à la protection de la vie privée publiée informant les personnes concernées des pays où leurs données peuvent être traitées.
- Modifier les enregistrements — Preuve que le registre est mis à jour lorsque de nouvelles destinations sont ajoutées, par exemple lorsqu'un nouveau fournisseur de services cloud ou sous-traitant est engagé.
- Alignement avec les registres de transfert — Ces transferts effectifs (enregistrés sous A.1.5.4 Enregistrements des transferts de données personnelles) ne vous rendez que vers les destinations documentées
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.5.2 Identifier le fondement du transfert des données personnelles identifiables | Le cadre juridique détermine quels pays sont des destinations autorisées. |
| A.1.5.4 Enregistrements de transfert de données personnelles | Les enregistrements de transfert réels doivent correspondre à la liste de destination approuvée |
| A.1.5.5 Enregistrements des divulgations de renseignements personnels | Les divulgations à des tiers dans d'autres juridictions doivent être documentées. |
| A.1.3.3 Informations destinées aux personnes concernées par les données personnelles Détermination des informations relatives aux personnes physiques à risque | Les destinations des transferts font partie des informations qui doivent être fournies aux personnes. |
| A.1.2.9 Registres de traitement des données personnelles | Le registre de destination alimente les enregistrements de traitement globaux |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée à la clause 7.5.2 (pays et organisations internationales vers lesquels les données personnelles peuvent être transférées). Le fond reste inchangé, mais la restructuration de 2025 établit un lien plus clair entre la déclaration de contrôle (A.1.5.3) et les lignes directrices de mise en œuvre (B.1.5.3). L'obligation de mettre à la disposition des personnes concernées les informations relatives à la destination des données personnelles demeure une exigence fondamentale. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour le suivi des destinations de transfert de données personnelles ?
ISMS.en ligne vous fournit les outils nécessaires pour tenir un registre clair et vérifiable de la destination des informations personnelles identifiables :
- Registre de destination de transfert — Tenir à jour une liste centralisée des pays et organisations agréés, avec leur statut d'adéquation et les dates de révision.
- Suivi des sous-processeurs — Associer chaque sous-traitant aux pays où il opère, avec un signalement automatique lorsqu'une nouvelle destination est ajoutée.
- Intégration de la politique de confidentialité — Veillez à ce que la documentation relative à la protection de la vie privée soit alignée sur la liste des destinations approuvées grâce à des enregistrements liés.
- Flux de travail d'examen — Programmez des évaluations pour chaque destination et recevez des alertes en cas de modification des décisions d'adéquation ou du cadre juridique.
- Preuve d'audit — Exporter le registre complet de destination avec l'historique des modifications pour les audits de certification et les demandes de renseignements réglementaires
Questions fréquentes
Faut-il lister tous les pays dans lesquels un fournisseur de services cloud opère ?
Oui, si les données personnelles peuvent être stockées ou consultées depuis ces emplacements. Les fournisseurs de services cloud traitent souvent des données dans plusieurs régions et peuvent avoir du personnel d'assistance dans des pays différents de celui où les données sont hébergées. Vous devriez collaborer avec vos fournisseurs afin d'obtenir une liste exhaustive de tous les pays où les données personnelles peuvent être traitées, stockées ou consultées, et les inclure dans votre registre.
Que se passe-t-il si la liste des pays change fréquemment ?
Le registre doit être un document évolutif. Mettez en place un processus de mise à jour automatique dès qu'une nouvelle destination de transfert est proposée, par exemple dans le cadre des procédures d'approvisionnement ou d'intégration des fournisseurs. Chaque modification doit être évaluée au regard des modalités de transfert documentées. A.1.5.2 Base du transfert des données personnelles identifiableset les mentions d'information sur la protection des données personnelles doivent être mises à jour pour refléter la position actuelle.
Cela s'applique-t-il aux transferts au sein de l'UE/EEE ?
En vertu du RGPD, les transferts au sein de l'UE/EEE ne sont pas considérés comme des transferts internationaux et ne nécessitent pas de mécanisme de transfert spécifique. Cependant, la norme ISO 27701 adopte une approche plus large et indépendante de toute juridiction. Il est recommandé de documenter tous les pays où des données personnelles sont traitées, même au sein de l'EEE, car d'autres législations applicables (par exemple, les législations nationales de transposition) peuvent imposer des exigences supplémentaires.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la documentation de transfert spécifique attendue par les auditeurs.
