Que requiert le contrôle A.1.5.4 ?
L’organisation doit consigner les transferts de données personnelles identifiables (DPI) vers ou depuis des tiers et assurer la coopération de ces derniers afin de répondre aux demandes futures relatives aux obligations envers les personnes concernées par les DPI.
Cette commande se trouve à l'intérieur de Transfert de données personnelles objectif (A.1.5) dans le commandes du contrôleur PII. Alors que A.1.5.2 Base du transfert des données personnelles identifiables identifie le fondement juridique et A.1.5.3 Pays pour le transfert des données personnelles documente les destinations, A.1.5.4 crée le registre opérationnel de ce qui a réellement été déplacé.
Nos guide sur les transferts transfrontaliers de données fournit des conseils de bout en bout sur la mise en œuvre des garanties de transfert selon la norme ISO 27701:2025.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.5.4) fournit les indications suivantes sur le contenu que doivent contenir les registres de transfert :
- Quelles informations personnelles ont été transférées ? — Les catégories et le volume des données personnelles incluses dans chaque transfert
- À qui — L’identité du destinataire, y compris son rôle (responsable du traitement, sous-traitant, sous-traitant ultérieur).
- Lorsque vous — La date et, le cas échéant, l'heure du transfert
- Base légale — Le fondement documenté sur lequel le transfert a été effectué
- Dispositions de coopération — Dispositions visant à garantir que la partie destinataire puisse coopérer concernant les demandes relatives aux données personnelles identifiables, telles que l'accès, la rectification ou l'effacement
Les documents doivent être conservés pendant la durée définie dans la politique de conservation des données de l'organisation. Les recommandations soulignent que les dispositions relatives à la coopération ne sont pas facultatives ; elles sont essentielles au respect des obligations continues envers les personnes concernées dont les données ont été transférées.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.5.4 correspond à GDPR L’article 30(1)(e) exige que les registres des activités de traitement comprennent des informations sur les transferts vers des pays tiers ou des organisations internationales, y compris l’identification du destinataire et, le cas échéant, la documentation des garanties appropriées.
L'élément de coopération s'inscrit dans le cadre plus large GDPR l’obligation pour les responsables du traitement de faciliter l’exercice des droits des personnes concernées (articles 12 à 22), même lorsque des informations personnelles identifiables ont été partagées avec des tiers.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend en charge le ISO 29100 principe de ResponsabilitéLa tenue de registres de transfert détaillés démontre que l'organisation peut justifier la destination des informations personnelles identifiables et les retracer tout au long de la chaîne de traitement en cas de questions.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.5.4, les auditeurs recherchent généralement :
- Journal de transfert — Un registre chronologique des transferts de données personnelles indiquant les données transférées, les destinataires, les dates et les fondements juridiques.
- Accords de coopération — Dispositions contractuelles ou accords documentés obligeant les destinataires à coopérer sur les demandes d'accès aux renseignements personnels des personnes concernées
- accords de traitement des données — Accords conclus avec des tiers comprenant des clauses de coopération relatives aux droits des personnes concernées
- Preuve de coopération dans la pratique — Des documents attestant que la coopération a été mise à l'épreuve, par exemple lorsqu'une personne concernée par des données personnelles a exercé ses droits et que la partie destinataire a apporté son concours.
- Conformité en matière de conservation — Preuve que les registres de transfert sont conservés pendant la période de conservation définie
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.5.2 Identifier le fondement du transfert des données personnelles identifiables | Le fondement juridique documenté dans A.1.5.2 Base du transfert des données personnelles identifiables est enregistré pour chaque transfert |
| A.1.5.3 Pays pour le transfert des données personnelles identifiables | Les transferts ne doivent s'effectuer que vers des destinations documentées et approuvées. |
| A.1.5.5 Enregistrements des divulgations de renseignements personnels | Les registres de divulgation complètent les registres de transfert, couvrant les divulgations qui peuvent ne pas impliquer de transfert formel. |
| A.1.3.7 Accès, rectification ou effacement Accès aux données personnelles | Les dispositions de coopération garantissent que les personnes concernées par les données personnelles peuvent exercer leurs droits d'accès tout au long de la chaîne de transfert. |
| A.1.3.7 Accès, rectification ou effacement | La coopération est essentielle pour garantir que les demandes d'effacement puissent être satisfaites par les parties destinataires. |
| A.1.2.9 Registres de traitement des données personnelles | Les enregistrements de transfert font partie des enregistrements plus larges des activités de traitement |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Dans l'édition 2019, cette exigence était traitée à la clause 7.5.3 (registres des transferts de données personnelles). L'exigence fondamentale demeure inchangée, mais les lignes directrices de 2025 précisent davantage le contenu des registres de transfert et insistent davantage sur les dispositions relatives à la coopération avec les destinataires. La structure restructurée Annexe ALe format /B sépare plus clairement l'instruction de contrôle des instructions d'implémentation détaillées. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour l'enregistrement des transferts de données personnelles ?
ISMS.en ligne fournit des outils spécialement conçus pour la tenue de registres de transfert complets :
- Journal de transfert — Consignez chaque transfert de données personnelles avec des champs structurés pour le destinataire, les catégories de données personnelles, la date, la base juridique et le statut de coopération.
- Gestion pour compte de tiers — Associer les enregistrements de transfert aux profils des fournisseurs, en y joignant les accords de traitement des données et les clauses de coopération.
- suivi des demandes des personnes concernées — Lorsqu'une personne concernée par des données personnelles exerce ses droits, suivez le parcours de ses données tout au long de la chaîne de transfert et coordonnez-vous avec les destinataires.
- Gestion de la rétention — Signaler automatiquement les dossiers de transfert dont la limite de conservation approche, en vue de leur examen ou de leur destruction.
- Tableaux de bord de conformité — Voyez en un coup d'œil quels transferts sont entièrement documentés et lesquels nécessitent une attention particulière.
Questions fréquentes
Quel niveau de détail est nécessaire dans les enregistrements de transfert ?
Les enregistrements de transfert doivent être suffisamment détaillés pour identifier les catégories spécifiques de données personnelles transférées, le destinataire, la date et la base juridique. Il n'est pas nécessaire d'enregistrer chaque champ de données individuellement, mais les catégories doivent être pertinentes (par exemple, « coordonnées des employés et données de paie » plutôt que simplement « données personnelles »). Le niveau de détail doit permettre à l'organisation de répondre aux demandes d'accès aux données personnelles et de démontrer sa conformité aux auditeurs.
Comment la coopération avec des tiers doit-elle être documentée ?
Les accords de traitement des données ou contrats équivalents doivent inclure des dispositions relatives à la coopération. Celles-ci doivent préciser les délais de réponse aux demandes d'accès aux données personnelles, la procédure de transmission des demandes, les responsabilités en matière d'effacement ou de rectification, ainsi que les procédures d'escalade. Il est recommandé de tester régulièrement ces mécanismes de coopération plutôt que d'attendre une demande réelle pour constater leur dysfonctionnement.
Les transferts internes entre sociétés du groupe sont-ils pris en compte ?
Oui, si les sociétés du groupe sont des entités juridiques distinctes. Chaque entité juridique est un responsable du traitement ou un sous-traitant distinct ; par conséquent, les transferts entre elles sont considérés comme des transferts à des tiers aux fins de ce contrôle. Les accords de partage de données intragroupe doivent comporter les mêmes dispositions de coopération que les accords externes, et les transferts doivent être consignés dans le registre des transferts.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la documentation de transfert spécifique attendue par les auditeurs.
