Quels sont les contrôles relatifs au traitement des données personnelles identifiables (PII) dans la norme ISO 27701:2025 ?
Tableau A.2 de ISO 27701:2025 Annexe A Elle définit 18 contrôles qui s'appliquent à toute organisation agissant en tant que sous-traitant de données personnelles. Un sous-traitant de données personnelles traite les données personnelles pour le compte et selon les instructions d'un responsable du traitement.
Ces contrôles sont regroupés en quatre objectifs :
- Conditions de collecte et de traitement (A.2.2) — 6 contrôles couvrant les accords clients, les limitations de finalité, les restrictions marketing et les enregistrements
- Obligations envers les principaux responsables de PII (A.2.3) — 1 contrôle couvrant l'assistance à la conformité du client
- Protection des données dès la conception et protection des données par défaut (A.2.4) — 3 contrôles relatifs aux fichiers temporaires, au retour/à l'élimination des données personnelles et à la transmission
- Partage, transfert et divulgation des renseignements personnels (A.2.5) — 8 contrôles couvrant les transferts, les informations à fournir et la gestion des sous-traitants
Les instructions de mise en œuvre pour chaque contrôle figurent à l'annexe B, section B.2 (par exemple, les instructions pour A.2.2.2 Contrat client (se trouve en B.2.2.2).
Liste complète des contrôles du tableau A.2
| Contrôle | Objet | Résumé |
|---|---|---|
| A.2.2.2 Contrat client | Accord client | S'assurer que les contrats précisent le rôle du sous-traitant dans l'assistance aux obligations du client |
| A.2.2.3 Objectifs de l'organisation | Objectifs de l'organisation | Ne traitez les données personnelles identifiables qu'aux fins décrites dans les instructions documentées du client. |
| A.2.2.4 Marketing et publicité | Utilisation du marketing et de la publicité | N’utilisez pas les données personnelles contractuelles à des fins de marketing sans le consentement approprié des personnes concernées. |
| A.2.2.5 Instruction contrefaisante | Instruction contrefaisante | Informez le client si une instruction de traitement enfreint la loi applicable. |
| A.2.2.6 Obligations du client | Obligations du client | Fournir au client des informations permettant de démontrer sa conformité |
| A.2.2.7 Registres de traitement des données personnelles | Enregistrements relatifs au traitement des données personnelles | Conserver des documents attestant du respect des obligations contractuelles en matière de protection des données personnelles. |
| A.2.3.2 Obligations envers les mandants PII | Respecter les obligations envers les personnes physiques à risque | Fournir au client les moyens de se conformer aux principales obligations en matière de protection des données personnelles |
| A.2.4.2 Fichiers temporaires | Fichiers temporaires | Éliminer les fichiers temporaires issus du traitement des données personnelles dans un délai documenté. |
| A.2.4.3 Retour, transfert ou élimination | Retour, transfert ou élimination des données personnelles | Retournez, transférez ou éliminez en toute sécurité les renseignements personnels et mettez la politique à disposition |
| A.2.4.4 Commandes de transmission PII | Contrôles de transmission des données personnelles | Les données personnelles transmises sur les réseaux sont soumises à des contrôles appropriés. |
| A.2.5.2 Base du transfert des données personnelles identifiables | Base juridique du transfert de renseignements personnels entre juridictions | Informer le client en temps opportun des modalités des transferts internationaux de données personnelles. |
| A.2.5.3 Pays pour le transfert des données personnelles | Pays et organisations internationales pour le transfert de données personnelles | Spécifiez et documentez les pays et les organisations vers lesquels les informations personnelles peuvent être transférées. |
| A.2.5.4 Enregistrements des divulgations de renseignements personnels | Registres des divulgations de renseignements personnels à des tiers | Consigner les divulgations de renseignements personnels, y compris les informations divulguées, les destinataires et la date. |
| A.2.5.5 Demandes de divulgation de renseignements personnels | Notification des demandes de divulgation de renseignements personnels | Informer le client de toute demande de divulgation juridiquement contraignante |
| A.2.5.6 Divulgations juridiquement contraignantes | Divulgations de renseignements personnels juridiquement contraignantes | Rejetez les demandes non contraignantes et consultez le client avant de divulguer des informations. |
| A.2.5.7 Divulgation des sous-traitants | Divulgation des sous-traitants utilisés pour le traitement des données personnelles | Informer le client du recours à des sous-traitants avant toute utilisation |
| A.2.5.8 Recours à des sous-traitants | Recours à un sous-traitant pour le traitement des données personnelles | N'engagez des sous-traitants que conformément au contrat client. |
| A.2.5.9 Changement de sous-traitant | Changement de sous-traitant pour le traitement des données personnelles | Informez le client des changements prévus concernant les sous-traitants et laissez-lui la possibilité de formuler des objections. |
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quel est le lien entre les contrôles des sous-traitants et le RGPD ?
Le tableau A.2 correspond principalement à GDPR Article 28 (obligations du sous-traitant) et article 30 (registres des traitements). Principaux liens :
- A.2.2.2 Contrat client–3 (Accords et objectifs) → Art. 28(3)(a), Art. 29 — traitement sous l'autorité du responsable du traitement
- A.2.2.7 Registres de traitement des données personnelles (Records) → Art. 30(2–5) — registres des activités de traitement du sous-traitant
- A.2.4.3 Retour, transfert ou élimination (Retour/élimination) → Art. 28(3)(g) — suppression ou restitution après la fin du service
- A.2.5.7 Divulgation des sous-traitants–9 (Sous-traitants) → Art. 28(2–4) — autorisation des sous-traitants et modifications
Quelles autres questions s'appliquent aux processeurs de données personnelles ?
Le tableau A.2 ne constitue pas l'ensemble des exigences applicables aux responsables du traitement des données personnelles. Vous devez également mettre en œuvre les contrôles applicables. Tableau A.3 (contrôles de sécurité partagés), qui couvre les principes fondamentaux de la sécurité de l'information tels que le contrôle d'accès, la gestion des incidents, la cryptographie et la journalisation.
Pourquoi nous choisir ISMS.en ligne pour la conformité du processeur PII ?
ISMS.en ligne vous aide à mettre en œuvre et à justifier chaque contrôle du tableau A.2 :
- Gestion des contrats — Suivre les accords clients, les finalités du traitement et les obligations de conformité
- Registre des sous-traitants — Documenter les sous-traitants, leurs emplacements et le processus de notification au client
- Enregistrements de transfert — Tenir un registre des transferts internationaux avec une documentation juridique à l'appui.
- Journalisation des divulgations — Consignez toutes les divulgations de renseignements personnels, en précisant quoi, à qui et quand.
- Procédures de fin de service — Documenter et suivre les processus de retour, de transfert ou d'élimination des renseignements personnels.
- Support à double rôle — Si vous agissez à la fois en tant que contrôleur et processeur, gérez les deux. Tableau A.1 et A.2 en un seul endroit
Questions fréquentes
Pourquoi n'y a-t-il que 18 commandes de processeur contre 31 commandes de contrôleur ?
Les sous-traitants de données personnelles agissent sous les instructions du responsable du traitement ; de nombreuses décisions relatives à la protection de la vie privée (base légale, consentement, droits des personnes concernées) relèvent donc de la responsabilité de ce dernier. Les contrôles des sous-traitants portent principalement sur le respect des obligations contractuelles, les limitations du traitement, la gestion des sous-traitants et le traitement des informations divulguées.
Une organisation peut-elle être à la fois contrôleur et sous-traitant ?
Oui. De nombreuses organisations agissent à la fois comme responsables du traitement pour certaines activités et comme sous-traitants pour d'autres. Dans ce cas, les deux rôles sont concernés. Tableau A.1 Le tableau A.2 s'applique, des rôles distincts étant définis pour chaque activité de traitement. La clause 4.1 de la norme ISO 27701:2025 exige que vous déterminiez votre rôle pour chaque instance de traitement de données personnelles.
Ai-je également besoin du tableau A.3 comme processeur ?
Oui. Tableau A.3 (contrôles de sécurité partagés) Cela s'applique aussi bien aux contrôleurs qu'aux processeurs. En tant que processeur, vous avez besoin à la fois du tableau A.2 (spécifique au processeur) et du tableau A.2. Tableau A.3 (contrôles de sécurité partagée) dans votre déclaration d'applicabilité.
Les entreprises SaaS trouveront des conseils personnalisés sur le traitement des données dans notre guide pour les plateformes SaaS.
Découvrez comment les équipes d'approvisionnement utilisent la norme ISO 27701 pour évaluer les sous-traitants dans notre section « Achats ». guide d'évaluation des fournisseurs et exigences d'approvisionnement guider.
