Que requiert le contrôle A.2.3.2 ?
L’organisation doit fournir au client les moyens de se conformer à ses obligations relatives aux données personnelles identifiables.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) aborde une difficulté pratique majeure : les responsables du traitement ont des obligations légales envers les personnes concernées (comme répondre aux demandes d’accès, rectifier et supprimer les données), mais ils ne peuvent s’acquitter de ces obligations si leurs sous-traitants ne disposent pas des capacités nécessaires. Le point A.2.3.2 impose au sous-traitant l’obligation de garantir la disponibilité des moyens techniques et organisationnels permettant d’exercer les droits des personnes concernées.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.3.2) fournit les indications suivantes :
- Les obligations sont définies par la loi ou par contrat. Les obligations d'un responsable du traitement des données personnelles peuvent être définies par des exigences légales ou contractuelles. Ces obligations peuvent concerner des situations où le client utilise les services de l'organisation pour la mise en œuvre de ces services.
- Exemples pratiques — Par exemple, cela peut inclure la correction ou la suppression en temps opportun des informations personnelles identifiables.
- Spécifications contractuelles — Lorsqu'un client dépend de l'organisation pour obtenir des informations ou des mesures techniques afin de faciliter le respect des obligations envers les personnes concernées par les données personnelles, ces informations ou mesures techniques doivent être spécifiées dans un contrat.
- Voir aussi A.2.4.2 : Fichiers temporaires pour les exigences connexes
- Voir aussi A.2.4.4 : Commandes de transmission PII pour les exigences connexes
Les lignes directrices précisent qu'il ne s'agit pas d'une obligation abstraite : les sous-traitants doivent fournir des capacités concrètes, telles que la possibilité de récupérer, d'exporter, de corriger et de supprimer, sur demande, les données personnelles identifiables. Ces capacités doivent être définies dans le contrat afin que les deux parties comprennent ce que le sous-traitant fournira.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.3.2 correspond à ce qui suit GDPR des articles:
- Article 15 (3) — Le droit d’accès, y compris le droit d’obtenir une copie des données personnelles faisant l’objet d’un traitement
- Article 17 (2) — L’obligation du responsable du traitement d’informer les autres responsables du traitement des données de la demande d’effacement de la personne concernée
- Article 28, paragraphe 3, point e) — Le sous-traitant assiste le responsable du traitement afin de garantir le respect des obligations relatives aux droits des personnes concernées (articles 15 à 22).
GDPR L’article 28, paragraphe 3, point e), exige expressément des sous-traitants qu’ils assistent les responsables du traitement dans l’exercice de tous les droits des personnes concernées : accès (article 15), rectification (article 16), effacement (article 17), limitation du traitement (article 18), portabilité des données (article 20) et opposition (article 21). Le sous-traitant doit être en mesure de garantir chacun de ces droits.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.3.2 comme contrôle indépendant, accompagnée de conseils de mise en œuvre dans la clause B.2.3.2, comprenant des exemples pratiques et mettant l'accent sur la spécification contractuelle des obligations du sous-traitant. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.3.2, les auditeurs recherchent généralement :
- Capacité des personnes concernées à exercer leurs droits sur les données — Preuve que les systèmes et processus de l’organisation permettent de respecter tous les droits pertinents des personnes concernées : accès, rectification, effacement, limitation du traitement, portabilité et opposition
- Dispositions contractuelles — Clauses contractuelles précisant les mesures techniques et organisationnelles mises en œuvre par le sous-traitant pour garantir le respect des droits des personnes concernées
- procédures de traitement des demandes — Procédures documentées de traitement des demandes d'exercice des droits des personnes concernées transmises par les clients, y compris les délais de réponse
- Capacité technique — Preuve des capacités techniques telles que les fonctions d'exportation de données, la suppression d'enregistrements individuels, les outils de correction de données et les journaux d'audit des modifications apportées
- Enregistrements de réponse — Enregistrements des demandes d'exercice des droits des personnes concernées reçues des clients et des mesures prises, démontrant un traitement rapide et complet
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.2.2 Contrat client | Le contrat devrait préciser les obligations du sous-traitant en matière de respect des droits des personnes concernées |
| A.1.3.7 Accès, rectification ou effacement | Les droits côté contrôleur que le processeur doit activer |
| A.1.3.10 Traitement des demandes | Le processus de traitement des requêtes du contrôleur dépend de la prise en charge du processeur |
| A.2.4.3 Retour, transfert ou élimination | La portabilité et la possibilité d'effacer les données soutiennent les droits des personnes concernées. |
| A.2.2.6 Obligations du client | Le respect des droits des personnes concernées est un élément clé pour aider les clients à démontrer leur conformité. |
À qui s'applique ce contrôle ?
Le point A.2.3.2 s'applique exclusivement à processeurs de données personnellesCe principe reconnaît que les responsables du traitement ne peuvent remplir leurs obligations envers les personnes concernées sans la coopération des sous-traitants. Si les systèmes de ces derniers ne permettent pas la consultation, la rectification ou la suppression des données individuelles, le responsable du traitement se trouve dans l'incapacité de répondre aux demandes des personnes concernées, ce qui constitue un manquement à ses obligations légales, mais aussi un manquement contractuel et potentiellement juridique pour le sous-traitant.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la prise en charge des droits principaux en matière de renseignements personnels sur la personne ?
ISMS.en ligne fournit des outils pratiques pour soutenir les droits des personnes concernées en tant que sous-traitant :
- Gestion des demandes — Suivre et gérer les demandes d'accès aux données reçues des clients grâce à la gestion des flux de travail, des attributions et du suivi des échéances
- Documentation de capacités — Documentez vos capacités en matière de droits des personnes concernées pour chaque service ou système, en montrant précisément à vos clients ce que vous pouvez prendre en charge.
- Suivi des réponses — Consignez les réponses à chaque demande avec l'horodatage, les actions entreprises et les preuves, créant ainsi une piste d'audit complète.
- Surveillance des SLA — Surveiller les délais de réponse par rapport aux SLA contractuels, avec des alertes pour les demandes approchant de leur échéance.
- Gestion des preuves — Conserver les preuves de traitement des demandes dans un format structuré en vue des audits et des rapports clients.
Questions fréquentes
Quels droits des personnes concernées les sous-traitants doivent-ils respecter ?
Conformément au RGPD, les sous-traitants doivent pouvoir assister les responsables du traitement concernant : le droit d’accès (récupération et exportation des données personnelles) ; le droit de rectification (correction des données inexactes) ; le droit à l’effacement (suppression des données personnelles) ; le droit à la limitation du traitement (marquage des données pour en restreindre l’utilisation) ; le droit à la portabilité des données (fourniture des données dans un format structuré et lisible par machine) ; et le droit d’opposition (arrêt du traitement de certaines données). Les systèmes du sous-traitant doivent être conçus pour garantir l’exercice de l’ensemble de ces droits pour chaque individu.
Qui répond aux personnes concernées : le responsable du traitement ou le sous-traitant ?
Le responsable du traitement est chargé de répondre aux personnes concernées. Le sous-traitant fournit au responsable du traitement les moyens de répondre à leur demande. Si une personne concernée contacte directement le sous-traitant, celui-ci doit rediriger sa demande vers le responsable du traitement compétent (sauf stipulation contraire dans le contrat). Le sous-traitant ne doit pas communiquer directement avec les personnes concernées au sujet de leurs droits, sauf autorisation expresse du responsable du traitement.
Que se passe-t-il si le processeur ne peut pas techniquement satisfaire une requête ?
Si les systèmes du sous-traitant ne permettent pas d'exercer un droit particulier de la personne concernée (par exemple, la suppression granulaire d'enregistrements individuels dans les systèmes de sauvegarde), cette limitation doit être portée à la connaissance du client avant la conclusion du contrat. Le contrat doit clairement indiquer les possibilités et les limites du sous-traitant, ainsi que les solutions de contournement disponibles. Il est essentiel de concevoir des systèmes prenant en charge les droits des personnes concernées dès le départ (A.3.29 Architecture système sécurisée) est nettement plus facile et moins coûteux que d'ajouter cette fonctionnalité ultérieurement.
Nos guide des exigences en matière de preuves d'audit détaille ce que les responsables du traitement doivent démontrer concernant leurs obligations envers les personnes concernées.
