Que requiert le contrôle A.2.2.3 ?
L’organisation doit s’assurer que les données personnelles traitées pour le compte d’un client ne le sont qu’aux fins exprimées dans les instructions documentées de ce dernier.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) établit l’obligation fondamentale du sous-traitant : la limitation des finalités. Le sous-traitant a pour mission d’exécuter les instructions du responsable du traitement et non de poursuivre ses propres objectifs concernant les données. Tout traitement allant au-delà de ce que le client a documenté et ordonné constitue un manquement à cette obligation et potentiellement une violation du droit de la protection des données.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.2.3) fournit les indications suivantes :
- Documentez l'objectif et le calendrier du service. — Le contrat entre l'organisation et le client doit inclure, sans toutefois s'y limiter, l'objectif et le délai à respecter pour la prestation de service.
- Laisser une marge de manœuvre technique dans les instructions générales — Il peut exister des raisons techniques justifiant que l'organisation détermine la méthode de traitement des données personnelles, conformément aux instructions générales du client, mais sans instruction expresse de sa part. Par exemple, l'allocation de ressources de traitement spécifiques en fonction de certaines caractéristiques de la personne concernée.
- Activer la vérification du client — L’organisation devrait permettre au client de vérifier sa conformité aux principes de spécification et de limitation de l’objet.
- Étendre aux sous-traitants — Ceci garantit également qu'aucune donnée personnelle n'est traitée par l'organisation ou l'un de ses sous-traitants à des fins autres que celles exprimées dans les instructions documentées du client.
- Voir aussi A.2.2.6 : Obligations du client pour les exigences connexes
Ces lignes directrices établissent un juste équilibre : les responsables du traitement peuvent prendre des décisions techniques concernant l’efficacité du traitement des données, mais ils ne doivent pas en modifier la finalité. Le client doit pouvoir vérifier que cette limite est respectée.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.2.3 correspond à ce qui suit GDPR des articles:
- Article 5 (1) a) — Le principe de légalité, d'équité et de transparence
- Article 5 (1) (b) — Le principe de limitation des finalités, qui exige que les données personnelles soient collectées pour des finalités déterminées, explicites et légitimes, et ne soient pas traitées ultérieurement d'une manière incompatible avec ces finalités
- Article 28 (3) a) — Le sous-traitant ne traitera les données à caractère personnel que sur instructions documentées du responsable du traitement.
- Article 29 — Le sous-traitant ne doit pas traiter de données à caractère personnel sauf sur instruction du responsable du traitement.
- Article 32 (4) — Toute personne agissant sous l’autorité du sous-traitant et ayant accès à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement.
Sous GDPRUn sous-traitant qui traite des données au-delà des instructions documentées du client risque d'être requalifié en tant que responsable du traitement de ces données, avec toutes les obligations légales que cela implique.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.2.3 comme contrôle autonome, accompagnée de recommandations de mise en œuvre (B.2.2.3) qui précisent la limite entre la discrétion technique légitime et l'extension non autorisée de la finalité. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.2.3, les auditeurs recherchent généralement :
- Instructions documentées du client — Des instructions claires et écrites de chaque client précisant les finalités pour lesquelles les données personnelles peuvent être traitées
- Traitement des dossiers — Documents attestant que les activités de traitement réelles sont conformes aux instructions documentées du client
- Mécanismes de vérification — Preuves que les clients peuvent vérifier la conformité aux finalités, telles que les droits d'audit, les capacités de reporting ou les tableaux de bord de transparence.
- Contrôles des sous-traitants — Preuve que l'obligation de limitation des finalités est étendue à tous les sous-traitants impliqués dans le traitement des données personnelles.
- La formation du personnel — Dossiers de formation attestant que le personnel comprend qu'il ne doit pas traiter les renseignements personnels identifiables au-delà des fins documentées du client
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.2.2 Contrat client | Le contrat doit documenter les finalités du traitement et les instructions |
| A.2.2.4 Utilisation à des fins de marketing et de publicité | Interdiction formelle d'utiliser les informations personnelles à des fins de marketing au-delà des instructions du client |
| A.2.2.5 Instruction contrefaisante | Le processeur doit signaler les instructions du client susceptibles d'enfreindre la loi. |
| A.2.5.8 Recours à un sous-traitant | Les sous-traitants doivent également être liés par les limitations de finalité du client |
| A.2.2.7 Enregistrements de traitement | Les documents doivent démontrer que le traitement est conforme aux objectifs documentés. |
À qui s'applique ce contrôle ?
Le point A.2.2.3 s'applique exclusivement à processeurs de données personnellesIl s'agit de la mise en œuvre, côté processeur, du principe de limitation des finalités. Les responsables du traitement définissent les finalités ; les sous-traitants doivent s'y conformer strictement. Tout traitement effectué à des fins propres à l'organisation (analyse, amélioration des produits, formation d'IA) sans autorisation explicite du client constitue une violation de ce contrôle.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la conformité à la limitation de finalité ?
ISMS.en ligne fournit des outils pratiques pour démontrer les limites de sa fonction en tant que processeur :
- Registre de traitement — Documenter et tenir à jour un registre des activités de traitement par client, en lien avec ses instructions et finalités documentées.
- Suivi des instructions client — Consignez les instructions des clients dans un système de contrôle de version, afin de pouvoir démontrer quelles instructions étaient en vigueur à tout moment.
- Gestion des sous-traitants — Limitations de flux jusqu'aux sous-traitants avec suivi des contrats et surveillance de la conformité
- Accompagnement aux audits — Fournir aux clients des dossiers de preuves démontrant la conformité à l'objectif, appuyant leurs droits de vérification
- Gestion de politique — Publier et diffuser auprès du personnel les politiques de limitation des finalités, avec suivi des accusés de réception.
Questions fréquentes
Un processeur peut-il utiliser les informations personnelles identifiables (IPI) à des fins d'analyse ou d'amélioration de ses produits ?
Non sans l'autorisation expresse du client. L'utilisation des données personnelles du client à des fins propres au sous-traitant — telles que l'entraînement de modèles d'apprentissage automatique, l'analyse comparative, l'amélioration des produits ou l'analyse de données — constitue un traitement excédant les instructions documentées et enfreint la clause A.2.2.3. Conformément au RGPD, un sous-traitant qui décide unilatéralement de traiter des données à ses propres fins peut être considéré comme un responsable du traitement pour ce traitement, et hérite alors de toutes les obligations et responsabilités qui en découlent.
Où se situe la limite entre la discrétion technique et l'élargissement des objectifs ?
La discrétion technique signifie que le sous-traitant peut décider comment atteindre efficacement l'objectif du client ; par exemple, en choisissant les serveurs à utiliser, en allouant les ressources de traitement ou en appliquant une stratégie de mise en cache. L'extension de finalité signifie que le sous-traitant utilise les données à des fins non spécifiées par le client ; par exemple, analyser les tendances des données personnelles à des fins d'analyse interne. Le critère déterminant est de savoir si le traitement sert l'objectif documenté du client ou les intérêts propres du sous-traitant.
Comment les limites de l'objectif doivent-elles être communiquées au personnel ?
Tout le personnel ayant accès aux données personnelles des clients doit comprendre qu'il ne peut les traiter qu'aux fins documentées dans les instructions du client. Ce point doit être abordé lors de la formation initiale, rappelé lors de sessions de sensibilisation régulières et intégré aux contrôles d'accès basés sur les rôles. Des contrôles techniques doivent également garantir la limitation des finalités lorsque cela est possible : par exemple, en restreignant les exportations de données, en empêchant les téléchargements massifs et en consignant tous les accès à des fins d'audit.
Les entreprises SaaS sont confrontées à des défis uniques en matière de traitement des données — consultez notre guide pour les plateformes SaaS.
Nos guide des exigences en matière de preuves d'audit couvre les éléments de preuve que les auditeurs attendent en matière de contrôles des processeurs.
