Que requiert le contrôle A.2.2.7 ?
L’organisation doit déterminer et conserver les documents nécessaires pour démontrer le respect de ses obligations (telles que spécifiées dans le contrat applicable) en matière de traitement des données personnelles effectué pour le compte d’un client.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII l'annexe (A.2) et établit les obligations de tenue de registres propres au sous-traitant. A.2.2.6 Obligations du client Le point A.2.2.7 exige que le sous-traitant aide ses clients à démontrer leur conformité et qu'il conserve des documents à des fins de reddition de comptes. Ces documents doivent attester que le sous-traitant a respecté ses obligations contractuelles et les exigences légales applicables.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.2.7) fournit les indications suivantes :
- Exigences juridictionnelles — Certaines juridictions peuvent exiger que l’organisation enregistre des informations telles que :
- Catégories de traitements effectués pour le compte de chaque client
- Transferts vers des pays tiers ou des organisations internationales
- Description générale des mesures de sécurité techniques et organisationnelles
- Voir aussi A.2.2.2 : Contrat client pour les exigences connexes
- Voir aussi A.2.2.4 : Utilisation à des fins de marketing et de publicité pour les exigences connexes
Les directives reflètent directement les GDPR L’article 30, paragraphe 2, définit les exigences relatives à la tenue des registres des activités de traitement des sous-traitants. Si la norme ISO les qualifie d’exigences juridictionnelles, les organisations soumises au RGPD les considèrent comme des obligations de tenue de registres obligatoires.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.2.7 correspond à ce qui suit GDPR des articles:
- Article 30 (2) a) — Le nom et les coordonnées de chaque sous-traitant, de chaque responsable du traitement pour le compte duquel le sous-traitant agit, ainsi que du représentant et du délégué à la protection des données du responsable du traitement ou du sous-traitant.
- Article 30 (2) (b) — Les catégories de traitements effectués pour le compte de chaque responsable du traitement
- Article 30 (3) — Les documents doivent être consignés par écrit, y compris sous forme électronique.
- Article 30 (4) — Le responsable du traitement doit mettre le registre à la disposition de l'autorité de surveillance sur demande.
- Article 30 (5) — Exemption pour les organisations de moins de 250 employés, sauf si le traitement est susceptible d'entraîner un risque, n'est pas occasionnel ou porte sur des catégories particulières de données.
L’article 30, paragraphe 2, du RGPD énonce une liste minimale et précise des informations que doivent contenir les registres des sous-traitants. Les organisations doivent considérer cette liste comme un minimum, et non comme un maximum.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.2.7 comme contrôle autonome, accompagnée de directives de mise en œuvre (B.2.2.7) qui énumèrent clairement les exigences de conservation des documents applicables à chaque juridiction. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.2.7, les auditeurs recherchent généralement :
- Registres des activités de traitement — Un registre tenu à jour des activités de traitement effectuées pour le compte de chaque client, incluant les catégories de traitement, les types de données et les finalités.
- Enregistrements de transfert — Documentation de tout transfert de données personnelles vers des pays tiers ou des organisations internationales, y compris la base juridique de chaque transfert.
- Documentation relative aux mesures de sécurité — Une description générale des mesures de sécurité techniques et organisationnelles mises en place pour le traitement des données personnelles
- Informations de contact — Tenue à jour des registres des coordonnées du sous-traitant, du contrôleur, du représentant et du DPO pour chaque accord de traitement.
- processus de tenue des registres — Un processus documenté pour la mise à jour des dossiers, comprenant des calendriers de révision et des déclencheurs de mise à jour.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.2.6 Obligations du client | Les enregistrements de traitement soutiennent les informations fournies aux clients pour leur conformité. |
| A.2.2.3 Objectifs de l'organisation | Les documents doivent démontrer que le traitement est conforme aux objectifs documentés du client. |
| A.1.2.9 Enregistrements (contrôleur) | L'équivalent côté contrôleur des exigences d'enregistrement des traitements |
| A.3.14 Protection des documents | Les dossiers de traitement doivent être stockés en toute sécurité et protégés contre toute modification non autorisée. |
| A.2.5.2 Base du transfert des données personnelles identifiables | Les enregistrements des transferts transfrontaliers constituent un élément clé des enregistrements de traitement |
À qui s'applique ce contrôle ?
Le point A.2.2.7 s'applique exclusivement à processeurs de données personnellesCela crée une obligation de tenue de registres indépendante pour les sous-traitants, distincte des obligations de tenue de registres propres au responsable du traitement en vertu de la réglementation. A.1.2.9 Registres de traitement des données personnellesEn vertu du RGPD, l’exemption pour les petites entreprises prévue à l’article 30, paragraphe 5, est rarement appliquée en pratique, car la plupart des traitements ne sont pas véritablement « occasionnels » et de nombreux sous-traitants traitent des données sensibles. Les sous-traitants doivent donc tenir des registres, quelle que soit la taille de leur organisation.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des dossiers de traitement ?
ISMS.en ligne fournit des outils pratiques pour la tenue des registres des activités de traitement :
- Registre de traitement — Tenir un registre central et structuré de toutes les activités de traitement par client, avec documentation des catégories, des types de données, des finalités et des mesures de sécurité
- Suivi des transferts — Enregistrer et surveiller les transferts transfrontaliers de données personnelles identifiables (DPI) avec documentation légale et suivi du pays de destination
- Rappels automatisés — Programmez des examens périodiques des dossiers avec des rappels automatisés afin de garantir que les dossiers restent à jour et exacts.
- Préparation de l'autorité de supervision — Générer des enregistrements dans un format adapté aux demandes des autorités de contrôle, conformément aux obligations de l'article 30, paragraphe 4, du RGPD
- Historique de la version — Conserver un historique complet des versions des dossiers de traitement, montrant comment les modalités de traitement ont évolué au fil du temps.
Questions fréquentes
Que doivent contenir les enregistrements du processeur ?
Conformément à l'article 30, paragraphe 2, du RGPD, les registres des sous-traitants doivent contenir : le nom et les coordonnées de chaque sous-traitant et de chaque responsable du traitement pour lequel il agit, ainsi que leurs représentants et délégués à la protection des données (DPO) le cas échéant ; les catégories de traitements effectués pour le compte de chaque responsable du traitement ; les transferts vers des pays tiers ou des organisations internationales, y compris la base juridique ; et une description générale des mesures de sécurité techniques et organisationnelles. Il est recommandé d'y inclure également les types de données personnelles traitées, la base juridique du traitement, les informations relatives aux sous-traitants ultérieurs et les durées de conservation.
À quelle fréquence les enregistrements doivent-ils être mis à jour ?
Les enregistrements doivent être mis à jour dès qu'une modification importante intervient dans les modalités de traitement, comme l'arrivée d'un nouveau client, un changement de catégorie de traitement, l'introduction d'un nouveau sous-traitant, un nouveau transfert transfrontalier ou une modification des mesures de sécurité. De plus, les enregistrements doivent être revus régulièrement (au moins une fois par an) afin de vérifier leur exactitude et leur exhaustivité. De nombreuses organisations intègrent la mise à jour des enregistrements à leurs processus de gestion des changements pour garantir des mises à jour en temps réel.
Les entreprises de transformation employant moins de 250 personnes sont-elles tenues de tenir des registres ?
L’article 30, paragraphe 5, du RGPD prévoit une exemption limitée pour les organisations de moins de 250 employés, mais elle ne s’applique que si le traitement n’est pas susceptible d’engendrer un risque pour les personnes concernées, est occasionnel et ne porte pas sur des catégories particulières de données ni sur des données relatives à des infractions pénales. En pratique, la plupart des sous-traitants ne bénéficient pas de cette exemption car leurs traitements sont réguliers (et non occasionnels) et peuvent concerner des types de données qui la déclenchent. La norme ISO 27701 ne prévoit pas d’exemption similaire ; par conséquent, tous les sous-traitants souhaitant obtenir une certification doivent tenir des registres, quelle que soit la taille de leur organisation.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la liste complète des documents que les auditeurs attendent des processeurs.
