Que requiert le contrôle A.2.2.6 ?
L’organisation doit fournir au client les informations appropriées pour que celui-ci puisse démontrer sa conformité à ses obligations.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L'annexe (A.2) aborde un aspect fondamental de la relation entre le responsable du traitement et le sous-traitant : la capacité du responsable du traitement à démontrer sa responsabilité. Les responsables du traitement sont tenus par la loi (y compris GDPR L’article 5(2) leur permet de démontrer leur conformité aux principes de protection des données, mais ils ne peuvent le faire sans informations de leurs sous-traitants sur la manière dont les données personnelles sont traitées. Ce contrôle garantit la transparence des sous-traitants.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.2.6) fournit les indications suivantes :
- Accompagnement aux audits — Les informations nécessaires au client peuvent inclure la question de savoir si l'organisation autorise et contribue aux audits menés par le client ou par un autre auditeur mandaté ou convenu par le client.
- Voir aussi A.2.2.3 : Objectifs de l'organisation pour les exigences connexes
- Voir aussi A.2.2.4 : Utilisation à des fins de marketing et de publicité pour les exigences connexes
Le guide souligne en particulier l'importance des droits d'audit comme mécanisme clé pour démontrer la conformité. Ces droits peuvent prendre plusieurs formes : audits sur site réalisés par le client, audits par un tiers mandaté par le client, certification selon des normes reconnues (telles que la norme ISO 27701), ou fourniture de rapports d'audit, de rapports SOC 2 ou d'autres preuves de conformité sur demande.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.2.6 correspond à ce qui suit GDPR article:
- Article 28(3)(h) — Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28, et permet et contribue aux audits, y compris aux inspections, menés par le responsable du traitement ou un autre auditeur mandaté par celui-ci.
L’article 28, paragraphe 3, point h), du RGPD érige cette obligation en contrat obligatoire, imposant aux sous-traitants de mettre à disposition les informations relatives à leur conformité et de collaborer activement aux audits des responsables du traitement. Il ne s’agit pas d’une option, mais d’une obligation légale pour les sous-traitants soumis au RGPD.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.2.6 comme contrôle autonome, accompagnée de recommandations de mise en œuvre dans la clause B.2.2.6 qui soulignent l'importance du support d'audit. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.2.6, les auditeurs recherchent généralement :
- capacité de fourniture d'informations — Preuve que l'organisation peut fournir aux clients, sur demande, les informations pertinentes en matière de conformité, telles que les registres de traitement, la documentation relative aux mesures de sécurité et les détails des sous-traitants.
- mécanismes de soutien à l'audit — Une approche documentée pour accompagner les audits clients, que ce soit par des visites sur site, des certifications tierces, des rapports d'audit partagés ou des réponses à des questionnaires.
- Rapports de conformité — Des rapports ou tableaux de bord de conformité réguliers sont fournis aux clients, démontrant le respect continu des obligations contractuelles et légales.
- Termes de contrat — Les clauses contractuelles qui définissent la portée, la fréquence et le format des informations de conformité à fournir
- Enregistrements de réponse — Enregistrements des demandes d'informations de conformité reçues des clients et des réponses fournies
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.2.2 Contrat client | Le contrat définit les informations de conformité que le sous-traitant doit fournir. |
| A.2.2.7 Enregistrements de traitement | Les registres de traitement constituent une source essentielle d'informations sur la conformité pour les clients |
| A.3.15 Examen indépendant | Les résultats d'audits indépendants peuvent être communiqués aux clients à titre de preuve de conformité. |
| A.3.14 Protection des documents | Les dossiers de conformité doivent être conservés en toute sécurité et mis à disposition en cas de besoin. |
| A.2.5.7 Divulgation des sous-traitants | Les informations sur les sous-traitants constituent un élément clé de la transparence en matière de conformité. |
À qui s'applique ce contrôle ?
Le point A.2.2.6 s'applique exclusivement à processeurs de données personnellesCe texte reconnaît que les responsables du traitement dépendent de leurs sous-traitants pour obtenir les informations nécessaires à la démonstration de leur conformité. Sans ces informations, le responsable du traitement ne peut remplir ses obligations de responsabilité. Les sous-traitants qui refusent de fournir les informations de conformité ou qui s'opposent aux demandes d'audit empêchent leurs clients de se conformer à la législation sur la protection des données.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour le soutien à la conformité des clients ?
ISMS.en ligne fournit des outils pratiques pour aider vos clients à respecter leurs obligations de conformité :
- dossiers de preuves de conformité — Générer des dossiers de preuves préconfigurés pour les clients, contenant les enregistrements de traitement, les mesures de sécurité, le statut de certification et les informations sur les sous-traitants.
- Gestion des audits — Gérez les demandes d'audit client grâce à la planification, au partage de documents et au suivi des résultats, le tout au même endroit.
- Gestion des certifications — Suivez et partagez vos certifications ISO 27701, ISO 27001 et autres avec vos clients comme preuve de conformité.
- Gestion des questionnaires — Répondez efficacement aux questionnaires clients sur la sécurité et la confidentialité grâce à des bibliothèques de réponses prédéfinies.
- Tableaux de bord de transparence — Offrez à vos clients une visibilité sur votre niveau de conformité grâce à des tableaux de bord et des rapports partagés.
Questions fréquentes
Quelles informations les processeurs doivent-ils mettre à la disposition des clients ?
Les sous-traitants doivent être en mesure de fournir : le détail des activités de traitement effectuées pour le compte du client ; les mesures de sécurité mises en œuvre ; les informations relatives aux sous-traitants ultérieurs et leurs contrats ; les procédures de notification des violations de données ; les mécanismes de transfert des données ; les procédures de conservation et de suppression des données ; les dossiers de formation du personnel ; et les résultats des audits de sécurité ou des tests d’intrusion. Les informations spécifiques requises doivent être définies dans le contrat de traitement des données et permettre au client de démontrer le respect de ses propres obligations.
Un prestataire de services de traitement peut-il facturer son assistance en matière d'audit ?
Cela dépend des termes du contrat. Le RGPD exige du sous-traitant qu'il « autorise et contribue aux audits », mais n'interdit pas la facturation raisonnable du temps et des ressources mobilisés. De nombreux sous-traitants incluent un certain nombre de jours d'audit ou de réponses à des questionnaires par an dans leurs honoraires, avec une assistance supplémentaire disponible à un tarif convenu. En revanche, les sous-traitants ne peuvent ni refuser ni entraver indûment les demandes d'audit. Cette démarche doit être transparente et convenue au préalable dans le contrat.
Les certifications peuvent-elles remplacer les audits clients ?
Les certifications telles que l'ISO 27701 ou les rapports SOC 2 peuvent réduire considérablement le besoin d'audits clients individuels en fournissant une assurance indépendante de conformité. De nombreux clients acceptent les certifications actuelles comme preuve suffisante. Cependant, les certifications ne suppriment pas le droit du client à un audit en vertu de l'article 28, paragraphe 3, point h), du RGPD. En pratique, il est préférable de proposer les certifications comme principal mécanisme de preuve, avec la possibilité de réaliser des audits complémentaires spécifiques au client si celui-ci le souhaite.
Les entreprises SaaS sont confrontées à des défis uniques en matière de traitement des données — consultez notre guide pour les plateformes SaaS.
Nos guide des exigences en matière de preuves d'audit couvre les éléments de preuve que les auditeurs attendent en matière de contrôles des processeurs.
