Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.2.4.2 : Fichiers temporaires

Le contrôle A.2.4.2 exige des organismes qu'ils veillent à ce que les fichiers temporaires créés lors du traitement des données personnelles soient supprimés conformément aux procédures documentées et dans un délai spécifié et documenté. Ceci permet d'éviter la conservation inutile de données personnelles dans des éléments du système souvent négligés.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.2.4.2 ?

L’organisation doit veiller à ce que les fichiers temporaires créés à la suite du traitement des données personnelles soient éliminés (par exemple effacés ou détruits) conformément aux procédures documentées et dans un délai spécifié et documenté.

Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) aborde un risque pour la protection de la vie privée souvent négligé : les fichiers temporaires. Les systèmes d’information génèrent régulièrement des fichiers temporaires lors de leur fonctionnement normal, et ces fichiers peuvent contenir des données personnelles qui persistent longtemps après la fin du traitement initial. En l’absence de procédures de suppression documentées, les fichiers temporaires deviennent une source incontrôlée de conservation de données personnelles.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.2.4.2) fournit les indications suivantes :

  • Vérification périodique — L’organisation doit vérifier périodiquement que les fichiers temporaires inutilisés sont supprimés dans le délai imparti.
  • Types de fichiers temporaires — Les systèmes d'information créent des fichiers temporaires en fonctionnement normal, notamment les journaux de restauration, les fichiers temporaires de base de données et les fichiers temporaires d'application.
  • Rétention après l'achèvement de la tâche Les fichiers temporaires ne sont plus nécessaires une fois la tâche terminée, mais il est parfois impossible de les supprimer immédiatement.
  • Collecte des ordures — Un processus de collecte des déchets devrait identifier les fichiers temporaires et enregistrer la date de leur dernière utilisation, permettant ainsi leur élimination systématique.
  • Voir aussi A.2.3.2 : Respecter les obligations envers les responsables des renseignements personnels sur la protection des données pour les exigences connexes
  • Voir aussi A.2.4.4 : Commandes de transmission PII pour les exigences connexes

Les recommandations soulignent la nécessité pour les organisations d'adopter une approche systématique de la gestion des fichiers temporaires. Un nettoyage ponctuel est insuffisant. Un système de suppression automatique doit analyser régulièrement les fichiers temporaires, déterminer leur ancienneté et éliminer ceux dont la durée de conservation est dépassée.

Comment cela se traduit-il au regard du RGPD ?

La commande A.2.4.2 correspond à ce qui suit GDPR article:

  • Article 5(1)(c) — Minimisation des données Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. La conservation de données personnelles dans des fichiers temporaires au-delà de ce qui est nécessaire constitue une violation directe de ce principe.

Le principe de minimisation des données exige que les données personnelles ne soient pas conservées plus longtemps que nécessaire. Les fichiers temporaires contenant des données personnelles mais ne servant à aucune fin constituent une violation manifeste de ce principe. Les mécanismes de suppression automatisés garantissent le respect de ce principe en supprimant systématiquement ces fichiers.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, ce contrôle correspondait aux normes ISO 27018 A.5.1 et ISO 29151 A.7.2. L'édition 2025 regroupe ces références en un contrôle autonome A.2.4.2, accompagné de recommandations d'implémentation spécifiques en B.2.4.2. Les exigences pratiques restent inchangées, mais la structure de l'édition 2025 fournit des indications plus claires sur les mécanismes de récupération des données et la vérification périodique. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.2.4.2, les auditeurs recherchent généralement :

  • Procédures d'élimination documentées — Procédures écrites précisant comment les fichiers temporaires sont identifiés, la durée de conservation documentée et la méthode d'élimination (effacement ou destruction).
  • Périodes de conservation définies — Un délai précis et documenté pendant lequel les fichiers temporaires doivent être supprimés lorsqu'ils ne sont plus nécessaires.
  • mécanismes de collecte des déchets — Preuves de processus automatisés ou planifiés qui identifient et suppriment les fichiers temporaires, y compris les journaux indiquant quand ces processus s'exécutent
  • Registres de vérification périodique — Documents attestant que l'organisation vérifie périodiquement si les fichiers temporaires inutilisés sont supprimés dans le délai imparti.
  • Inventaire du système — Un inventaire des systèmes qui créent des fichiers temporaires contenant des informations personnelles identifiables, y compris les types de fichiers temporaires générés (journaux de restauration, fichiers temporaires de base de données, fichiers temporaires d'application).

Quelles sont les commandes associées ?

Contrôle Lien familial
A.2.4.3 Retour, transfert ou élimination des renseignements personnels Des obligations plus larges en matière d'élimination des renseignements personnels qui complètent l'élimination des fichiers temporaires
A.2.2.2 Contrat client Le contrat peut préciser les durées de conservation temporaire des fichiers et les exigences en matière d'élimination.
A.3 Contrôles de sécurité partagés Les contrôles de sécurité relatifs au stockage des données et à la gestion des supports s'appliquent à la gestion des fichiers temporaires.
A.2.2.7 Enregistrements de traitement L’élimination temporaire des dossiers doit être consignée dans les documents relatifs au traitement.
Annexe D Cartographie RGPD Cartes de GDPR Article 5(1)(c) relatif à la minimisation des données

À qui s'applique ce contrôle ?

Le point A.2.4.2 s'applique exclusivement à processeurs de données personnellesLors du traitement de données pour le compte des responsables du traitement, les sous-traitants créent souvent des fichiers temporaires susceptibles de contenir des copies des données personnelles traitées. Le responsable du traitement peut même ignorer l'existence de ces fichiers. Ce contrôle impose au sous-traitant l'obligation de gérer et de supprimer systématiquement ces fichiers temporaires, afin d'empêcher la persistance de données personnelles dans des éléments système négligés.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des fichiers temporaires ?

ISMS.en ligne fournit des outils pratiques pour la gestion des obligations d'élimination des fichiers temporaires :

  • Gestion de politique — Créer et tenir à jour des procédures documentées d'élimination des fichiers temporaires avec contrôle de version, flux d'approbation et rappels de révision automatisés.
  • Inventaire des actifs — Cartographier les systèmes qui génèrent des fichiers temporaires contenant des informations personnelles, en associant chacun à sa période de conservation documentée et à sa méthode d'élimination
  • Planification des tâches — Planifier des tâches de vérification périodiques pour confirmer que les processus de nettoyage des fichiers temporaires sont en cours d'exécution et que ces fichiers sont supprimés dans le délai spécifié.
  • Collecte de preuves — Conserver les registres de vérification et les journaux de collecte des déchets sous forme de preuves d'audit structurées, prêtes pour un examen interne ou externe.
  • Cartographie de contrôle — Associer les contrôles des fichiers temporaires aux exigences pertinentes de la norme ISO 27701 et aux articles du RGPD, démontrant ainsi une approche cohérente de la minimisation des données.

Questions fréquentes

Quels types de fichiers temporaires contiennent généralement des informations personnelles identifiables (IPI) ?

Parmi les exemples courants, citons les tables temporaires de bases de données utilisées lors du traitement des requêtes, les journaux de restauration qui stockent les données transactionnelles à des fins de récupération, les fichiers de cache d'application, les fichiers de session, les fichiers de spool d'impression, les fichiers de préparation à l'exportation, les fichiers intermédiaires ETL (extraction, transformation, chargement) et les fichiers journaux qui capturent les données personnelles identifiables (DPI) pendant le traitement. Tout système traitant des DPI peut générer des fichiers temporaires dans le cadre de son fonctionnement normal ; un inventaire complet est donc indispensable.

Combien de temps faut-il conserver les fichiers temporaires ?

La norme exige une « période spécifiée et documentée », sans toutefois en prescrire la durée exacte. La période de conservation appropriée dépend du type de fichier et du contexte de traitement. Les journaux de restauration peuvent devoir être conservés jusqu'à la confirmation d'une transaction, tandis que les fichiers cache d'application peuvent être supprimés sans risque immédiatement après la fin de la session. L'exigence essentielle est que cette période soit documentée, justifiée et appliquée de manière cohérente par un système de nettoyage automatique des données.

Qu'est-ce qu'un processus de collecte des déchets dans ce contexte ?

Le nettoyage des fichiers temporaires (ou « garbage collection ») est un processus systématique qui identifie les fichiers temporaires, détermine leur date de dernière utilisation et supprime ceux dont la durée de conservation est dépassée. Ce processus peut être automatisé par des scripts, des tâches planifiées, des utilitaires de nettoyage du système d'exploitation ou des routines de nettoyage au niveau de l'application. Il doit s'exécuter régulièrement et générer des journaux consultables lors des vérifications périodiques et présentables aux auditeurs comme preuve de conformité.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour les preuves spécifiques au processeur requises par les auditeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.