Que requiert le contrôle A.2.2.4 ?
L'organisation ne peut utiliser les données personnelles traitées dans le cadre d'un contrat à des fins de marketing et de publicité sans avoir préalablement obtenu le consentement de la personne concernée. Elle ne peut en aucun cas subordonner l'obtention de ce consentement à la fourniture du service.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L'annexe (A.2) instaure une interdiction spécifique et absolue : les sous-traitants ne doivent pas réutiliser les données personnelles des clients à des fins de marketing ou de publicité. Cette interdiction va au-delà de la limitation générale d'utilisation prévue par l'annexe (A.2). A.2.2.3 Objectifs de l'organisation en désignant explicitement le marketing comme une utilisation interdite et en ajoutant l'exigence de non-groupage — le consentement au marketing ne peut être lié à la fourniture de services.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.2.4) fournit les indications suivantes :
- Conformité des documents — La conformité des sous-traitants de données personnelles aux exigences contractuelles du client doit être documentée, notamment lorsque des activités de marketing ou de publicité sont prévues.
- Aucune inclusion forcée du marketing — Les organisations ne devraient pas insister sur l’inclusion d’utilisations à des fins de marketing ou de publicité lorsqu’un consentement explicite n’a pas été obtenu de manière régulière auprès des personnes concernées par les données personnelles.
- Voir aussi A.2.2.5 : Instruction contrefaisante pour les exigences connexes
- Voir aussi A.2.2.6 : Obligations du client pour les exigences connexes
Les lignes directrices indiquent également que ce contrôle complète le contrôle de limitation à usage plus général dans A.2.2.3 Objectifs de l'organisation et ne la remplace ni ne s'y substitue. Même si le consentement marketing est obtenu, le traitement doit toujours être conforme aux instructions documentées du client.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.2.4 correspond à ce qui suit GDPR article:
- Article 7 (4) — Pour déterminer si le consentement est libre et éclairé, il convient d'accorder la plus grande importance à la question de savoir si l'exécution d'un contrat est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.
L’article 7, paragraphe 4, aborde directement le problème du « groupage » : le consentement au marketing a peu de chances d’être donné librement (et donc valable) s’il constitue une condition d’obtention du service. Cela rend l’exigence de non-groupage prévue au point A.2.2.4 GDPR La conformité est une nécessité, et pas seulement une bonne pratique.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée dans le cadre plus large de la structure des clauses. L'édition 2025 propose la clause A.2.2.4 comme contrôle autonome, accompagnée de directives de mise en œuvre plus claires dans la clause B.2.2.4. Il est explicitement indiqué que ce contrôle complète, sans toutefois le remplacer, la clause A.2.2.4. A.2.2.3 Objectifs de l'organisation est une clarification utile. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.2.4, les auditeurs recherchent généralement :
- politique d'utilisation à des fins marketing — Une politique documentée interdisant l'utilisation des données personnelles des clients à des fins de marketing ou de publicité sans consentement valide
- Dossiers de consentement — Lorsque l'utilisation à des fins de marketing a lieu, il convient de prouver que le consentement préalable et libre des personnes concernées par les données personnelles a été obtenu et que ce consentement n'était pas intégré au service.
- Termes de contrat — Preuves que les contrats de service ne font pas du consentement marketing une condition de la prestation de services
- Contrôles techniques — Preuves que des mesures techniques empêchent l'utilisation des données personnelles des clients dans les systèmes de marketing sans autorisation appropriée
- La formation du personnel — Dossiers de formation démontrant que les équipes marketing et commerciales comprennent l'interdiction d'utiliser les données personnelles du processeur à des fins de marketing
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.2.3 Objectifs de l'organisation | L’utilisation à des fins de marketing est un cas particulier de limitation de finalité ; les deux contrôles s’appliquent. |
| A.2.2.2 Contrat client | Les restrictions marketing doivent être explicitement mentionnées dans le contrat client. |
| A.1.2.4 Déterminer le consentement | Les exigences du responsable du traitement pour déterminer quand le consentement est nécessaire |
| A.1.2.5 Obtenir et consigner le consentement | Le consentement au marketing doit être obtenu et consigné correctement. |
| A.2.2.7 Enregistrements de traitement | Les enregistrements de consentement marketing font partie des enregistrements de traitement du responsable du traitement |
À qui s'applique ce contrôle ?
Le point A.2.2.4 s'applique exclusivement à processeurs de données personnellesElle interdit formellement aux sous-traitants d'utiliser les données personnelles obtenues via les contrats de service à des fins de marketing. Ceci concerne particulièrement les fournisseurs de logiciels en tant que service (SaaS), de services cloud et de services gérés, qui pourraient être tentés d'exploiter les données clients pour la vente croisée, le marketing produit ou le ciblage publicitaire.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion de la conformité marketing ?
ISMS.en ligne fournit des outils pratiques pour garantir la conformité marketing en tant que sous-traitant :
- Gestion de politique — Publier et appliquer des politiques de restriction marketing avec accusé de réception du personnel et contrôle des versions
- Suivi du consentement — Lorsque le consentement marketing est obtenu, assurer le suivi et la gestion des enregistrements de consentement, y compris les dates d'expiration et la gestion des retraits.
- Cartographie des flux de données — Cartographier les flux de données pour identifier les points où les données personnelles des clients pourraient potentiellement atteindre les systèmes marketing et mettre en œuvre des contrôles appropriés
- Surveillance de la conformité — Surveiller le respect des restrictions marketing au sein des équipes et des systèmes
- Gestion des formations — Dispenser et assurer le suivi des formations en matière de conformité marketing pour le personnel concerné
Questions fréquentes
Un processeur peut-il inclure le consentement marketing dans ses conditions d'utilisation ?
Un responsable du traitement des données peut solliciter le consentement à des fins de marketing, mais ne doit pas en faire une condition d'accès au service. Le service doit donc être pleinement accessible sans consentement préalable. La demande de consentement doit être clairement distincte des conditions d'utilisation du service, libre et éclairé, spécifique et facile à retirer. Les cases pré-cochées ou les mécanismes de désabonnement ne constituent pas un consentement préalable valable.
Ce contrôle s'applique-t-il aux données agrégées ou anonymisées ?
Si les données ont été véritablement anonymisées au point que les personnes concernées ne peuvent plus être identifiées (directement ou indirectement), elles ne sont plus considérées comme des données personnelles et ne sont plus soumises à ce contrôle. Toutefois, le seuil d'anonymisation est élevé : les données pseudonymisées ou agrégées permettant potentiellement la réidentification des individus restent des données personnelles. Les responsables du traitement doivent faire preuve de prudence lorsqu'ils affirment que les données sont anonymisées et doivent disposer d'une méthodologie documentée pour vérifier l'efficacité de l'anonymisation.
Quelles sont les conséquences du non-respect de ce contrôle ?
L’utilisation des données personnelles des clients à des fins de prospection non autorisée peut entraîner : une rupture de contrat avec le client (pouvant mener à sa résiliation et à l’octroi de dommages et intérêts) ; une requalification en tant que responsable du traitement au sens du RGPD (avec toutes les obligations et responsabilités qui en découlent) ; des mesures coercitives de la part de l’autorité de contrôle ; et une atteinte à la réputation. Aux termes du RGPD, un sous-traitant qui détermine ses propres finalités de traitement (telles que le marketing) est considéré comme un responsable du traitement pour ce traitement, conformément à l’article 28, paragraphe 10.
Les entreprises SaaS sont confrontées à des défis uniques en matière de traitement des données — consultez notre guide pour les plateformes SaaS.
Nos guide des exigences en matière de preuves d'audit couvre les éléments de preuve que les auditeurs attendent en matière de contrôles des processeurs.
