Que requiert le contrôle A.1.5.5 ?
L’organisation doit consigner les divulgations de renseignements personnels à des tiers, en précisant quelles informations ont été divulguées, à qui et à quel moment.
Il s'agit du dernier contrôle dans le Transfert de données personnelles objectif (A.1.5) dans le commandes du contrôleur PII. Alors que A.1.5.4 Enregistrements des transferts de données personnelles Alors que la section A.1.5.5 se concentre sur l’enregistrement des transferts formels, elle élargit la portée pour inclure toutes les divulgations, y compris celles qui ne relèvent pas du cadre de transfert typique.
Nos guide sur les transferts transfrontaliers de données fournit des conseils de bout en bout sur la mise en œuvre des garanties de transfert selon la norme ISO 27701:2025.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.5.5) fournit les indications suivantes :
- Informations opérationnelles normales Ces opérations doivent être consignées, notamment le partage d'informations personnelles avec un sous-traitant, un partenaire commercial ou un prestataire de services dans le cadre des opérations courantes.
- Informations supplémentaires Les opérations hors du cadre normal des activités doivent également être consignées, telles que les divulgations effectuées en réponse à des enquêtes judiciaires, des demandes d'audit des autorités de surveillance ou des ordonnances judiciaires.
- Les dossiers doivent inclure les source de la divulgation — la personne ou le système qui a initié ou autorisé la divulgation
- Les dossiers doivent inclure les l'autorité de faire la divulgation — le fondement juridique, l'obligation contractuelle ou l'autorisation interne qui le permettait
Il est important de faire la distinction entre les divulgations « normales » et les divulgations « supplémentaires ». De nombreuses organisations suivent les partages de données de routine, mais omettent d'enregistrer les divulgations ponctuelles effectuées sous la contrainte, par exemple en réponse à une demande des forces de l'ordre. Les deux doivent être consignées.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.5.5 correspond à GDPR L’article 30(1)(d) exige que les registres des activités de traitement comprennent les catégories de destinataires auxquels des données personnelles ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales.
Cela va bien au-delà du simple recensement des catégories de destinataires. La combinaison de A.1.5.4 Enregistrements des transferts de données personnelles et A.1.5.5 garantit que les organisations peuvent démontrer, de manière très précise, ce qui a été partagé avec qui et quand.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend en charge le ISO 29100 principe de Limitation de l'utilisation, de la conservation et de la divulgationL’enregistrement de chaque divulgation crée une base de preuves permettant de démontrer que les renseignements personnels ne sont partagés que lorsqu’il existe une raison documentée et justifiée, et que les divulgations inutiles ou non autorisées peuvent être identifiées et faire l’objet d’une enquête.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.5.5, les auditeurs recherchent généralement :
- Registre des déclarations — Un registre structuré de toutes les divulgations de renseignements personnels, indiquant les renseignements personnels divulgués, le destinataire, la date et l'heure, ainsi que l'autorité ayant autorisé la divulgation.
- Registres d'autorisation — Preuve de l'identité de la personne ayant autorisé chaque divulgation, notamment pour les divulgations non routinières telles que les demandes des forces de l'ordre
- Documentation des processus — Des procédures définies pour l'enregistrement des déclarations, y compris la désignation de la personne responsable de la tenue du registre
- Couverture des divulgations non routinières — Preuve que le processus permet de saisir les divulgations en dehors des opérations normales, et pas seulement le partage de données de routine
- Cohérence avec les registres de transfert — Que les registres de divulgation correspondent aux registres de transfert conservés en vertu de A.1.5.4 Enregistrements des transferts de données personnelles
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.5.4 Enregistrements de transfert de données personnelles | Les registres de transfert couvrent les transferts officiels ; les registres de divulgation offrent une vision plus globale, incluant les divulgations ponctuelles. |
| A.1.5.2 Identifier le fondement du transfert des données personnelles identifiables | Le fondement juridique des transferts s'applique également aux divulgations impliquant des flux de données transfrontaliers. |
| A.1.5.3 Pays pour le transfert des données personnelles identifiables | Les informations communiquées aux parties situées dans d'autres juridictions doivent être conformes à la liste des destinations approuvées. |
| A.1.2.9 Registres de traitement des données personnelles | Les registres de divulgation font partie des registres globaux des activités de traitement |
| A.1.3.3 Informations destinées aux personnes concernées par les données personnelles Détermination des informations relatives aux personnes physiques à risque | Les personnes concernées par les données personnelles peuvent devoir être informées de la divulgation de leurs données. |
| A.1.3.8 Obligations d'informer les tiers | Certaines divulgations peuvent entraîner des obligations de notification aux personnes concernées par les informations personnelles identifiables. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Dans l'édition 2019, cette exigence était traitée à la clause 7.5.4 (enregistrement des divulgations de renseignements personnels à des tiers). La version 2025 conserve les mêmes exigences fondamentales, mais l'annexe B restructurée établit désormais une distinction plus explicite entre les divulgations opérationnelles courantes et les divulgations supplémentaires (enquêtes judiciaires, audits). L'obligation de consigner la source et l'autorité pour chaque divulgation est également mise davantage en avant. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Pourquoi nous choisir ISMS.en ligne pour le suivi des divulgations de renseignements personnels ?
ISMS.en ligne facilite la tenue d'un registre complet des informations divulguées :
- Registre des déclarations — Consignez chaque divulgation de données personnelles avec des champs structurés pour le destinataire, les catégories de données personnelles, la date et l'heure, la source et l'autorisation.
- Processus de divulgation non routinière — Des flux d'approbation intégrés pour les demandes des forces de l'ordre et autres divulgations exceptionnelles, garantissant qu'une autorisation appropriée est obtenue avant le partage des données.
- Enregistrements liés — Associer les mentions légales aux accords de traitement des données pertinents, aux registres de transfert et aux profils des principaux responsables des données personnelles.
- La piste de vérification — Chaque dossier de divulgation comprend un historique complet des personnes qui l'ont créé, modifié ou examiné.
- Reporting — Générer des rapports de divulgation par destinataire, période, catégorie de renseignements personnels ou type d'autorisation à des fins d'examen par la direction et d'audits.
Questions fréquentes
Quelle est la différence entre un transfert et une divulgation ?
Un transfert désigne généralement le déplacement systématique de données personnelles d'une juridiction ou organisation à une autre dans le cadre d'un accord défini (par exemple, un accord de traitement des données). La notion de divulgation est plus large et englobe tout partage de données personnelles avec un tiers, qu'il soit ponctuel ou régulier. Tout transfert constitue une divulgation, mais l'inverse n'est pas vrai. Par exemple, la communication de données personnelles à un organisme d'application de la loi en réponse à une injonction judiciaire est une divulgation, mais ne constitue pas nécessairement un transfert au sens strict.
Comment devons-nous gérer les divulgations aux forces de l'ordre ?
La communication d'informations aux forces de l'ordre doit suivre une procédure définie. Il convient de consigner la demande reçue, le fondement juridique invoqué, l'identité de la personne au sein de l'organisation ayant autorisé la communication, les données personnelles communiquées, la date et l'autorité concernée. Si la demande est informelle (par exemple, une demande verbale sans décision de justice), il faut documenter le processus décisionnel et les motifs de l'autorisation ou du refus de communication.
Faut-il informer les personnes concernées par les divulgations de données personnelles ?
Cela dépend de la juridiction et de la nature de la divulgation. GDPRLes personnes concernées ont le droit de connaître les catégories de destinataires de leurs données. Pour certaines divulgations, une notification peut être requise en vertu de la loi. A.1.3.8 Obligations d'informer les tiers (Notification de modification, de traitement ou de divulgation). Toutefois, certaines divulgations, notamment aux forces de l'ordre, peuvent être exemptées de l'obligation de notification lorsque l'information de la personne concernée par les données personnelles risquerait de nuire à l'enquête.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la documentation de transfert spécifique attendue par les auditeurs.
