Que requiert le contrôle A.2.4.3 ?
L'organisation doit pouvoir restituer, transférer ou détruire les données personnelles de manière sécurisée. Elle doit également mettre sa politique à la disposition du client.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) traite du traitement des données personnelles à la fin d’une relation de traitement. À l’expiration d’un contrat, le sous-traitant doit pouvoir restituer les données au responsable du traitement, les transférer à un autre sous-traitant ou les détruire de manière sécurisée. Sa politique de gestion des données en fin de contrat doit être transparente et accessible au client.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.4.3) fournit les indications suivantes :
- Options multiples — Le traitement des données en fin de contrat peut impliquer la restitution des données personnelles au client, leur transfert à une autre organisation, leur suppression, leur anonymisation ou leur archivage.
- Effacement complet — L’organisation doit garantir que les données personnelles identifiables sont effacées de partout, y compris des sauvegardes, dès qu’elles ne sont plus nécessaires à la finalité initiale.
- Politique d'élimination — L’organisation doit élaborer une politique d’élimination des déchets et la mettre à la disposition des clients.
- Rétention post-rupture — La politique d'élimination des données doit couvrir la période de conservation après la résiliation du contrat, en précisant la durée de conservation des données avant leur élimination définitive.
- Voir aussi A.2.4.4 : Commandes de transmission PII pour les exigences connexes
Les recommandations insistent sur l'exhaustivité. Supprimer les données personnelles identifiables (DPI) des systèmes de production tout en conservant des copies dans les sauvegardes est insuffisant. Le responsable du traitement doit s'assurer que toutes les copies des DPI, y compris celles présentes dans les systèmes de sauvegarde, les environnements de reprise après sinistre et les archives, sont identifiées et supprimées dans les délais de conservation documentés.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.4.3 correspond à ce qui suit GDPR des articles:
- Article 28(3)(g) — Le sous-traitant efface ou restitue, au choix du responsable du traitement, toutes les données à caractère personnel après la fin de la prestation de services et supprime les copies existantes, sauf si le droit de l'Union ou le droit d'un État membre impose leur conservation.
- Article 30(1)(f) — Une description générale des mesures de sécurité techniques et organisationnelles, y compris celles relatives à l'élimination des données
GDPR L’article 28, paragraphe 3, point g), confère au responsable du traitement le droit de choisir entre l’effacement et la restitution des données. Le sous-traitant doit proposer les deux options. La seule exception concerne les cas où le droit de l’Union ou le droit d’un État membre impose au sous-traitant de conserver certaines données ; dans ce cas, la base juridique de cette conservation doit être documentée.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.4.3 comme contrôle autonome, accompagnée de recommandations de mise en œuvre dans la clause B.2.4.3, qui traite spécifiquement de l'effacement des sauvegardes, de la transparence des politiques et des durées de conservation après résiliation. L'obligation explicite de mettre la politique d'élimination des données à la disposition des clients constitue un point important. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.4.3, les auditeurs recherchent généralement :
- Politique d'élimination documentée — Une politique écrite régissant le retour, le transfert et l'élimination des données personnelles, y compris les méthodes de suppression sécurisée, d'anonymisation et d'archivage
- disponibilité des clients — Preuve que la politique d'élimination a été mise à la disposition des clients, que ce soit par le biais d'annexes contractuelles, de portails clients ou par fourniture directe.
- Procédures post-rupture — Procédures documentées de gestion des données personnelles après la résiliation du contrat, incluant les durées de conservation définies et la séquence des étapes de restitution, de transfert et d'élimination
- capacité d'effacement des sauvegardes — Preuve que l'organisation peut identifier et effacer les données personnelles identifiables (DPI) des systèmes de sauvegarde, des environnements de reprise après sinistre et des espaces de stockage archivés
- Registres d'élimination — Documents relatifs aux activités passées d'élimination de données personnelles, y compris les certificats de destruction, la confirmation de restitution des données et les preuves d'effacement des sauvegardes.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.4.2 Fichiers temporaires | L'élimination temporaire des fichiers fait partie de l'obligation plus générale d'élimination des données personnelles. |
| A.2.2.2 Contrat client | Le contrat doit préciser les procédures de retour, de transfert et d'élimination des données. |
| A.2.3.2 Obligations envers les mandants PII | La portabilité des données et les droits à l'effacement sont liés aux capacités d'élimination. |
| A.2.2.6 Obligations du client | Les politiques d'élimination des déchets font partie des informations de conformité fournies aux clients |
| A.2.5.8 Recours à des sous-traitants | Les sous-traitants doivent également se conformer aux exigences en matière d'élimination des données personnelles identifiables. |
À qui s'applique ce contrôle ?
Le point A.2.4.3 s'applique exclusivement à processeurs de données personnellesÀ la fin d'une relation de traitement, le responsable du traitement doit avoir l'assurance que ses données ont été traitées correctement. Si le sous-traitant ne peut ni restituer les données ni les détruire de manière sécurisée, le responsable du traitement s'expose à un risque de non-conformité permanent. Ce contrôle garantit que les sous-traitants disposent des capacités et des procédures documentées nécessaires à la gestion des données en fin de contrat.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la gestion de l'élimination des données personnelles ?
ISMS.en ligne fournit des outils pratiques pour la gestion du retour, du transfert et de l'élimination des informations personnelles identifiables :
- Gestion de politique — Créez et maintenez votre politique d'élimination des données personnelles identifiables (DPI) grâce à un système de contrôle des versions, des flux d'approbation et des calendriers de révision automatisés, afin de garantir sa mise à jour.
- Suivi des contrats — Suivre les obligations d'élimination conformément au contrat client, y compris les périodes de conservation après résiliation et la méthode d'élimination choisie par le client
- Flux de travail d'élimination — Gérer la destruction des données en fin de contrat grâce à des flux de travail structurés couvrant les systèmes de production, les sauvegardes, la reprise après sinistre et l'archivage
- Gestion des preuves — Conserver les certificats d'élimination, les confirmations de retour et les preuves d'effacement de sauvegarde sous forme d'enregistrements d'audit structurés.
- Cartographie de la conformité — Lier les procédures d'élimination aux dispositions de l'article 28, paragraphe 3, point g), du RGPD et aux contrôles correspondants de la norme ISO 27701, démontrant ainsi une approche globale.
Questions fréquentes
Comment élimine-t-on les données personnelles identifiables (PII) dans les systèmes de sauvegarde ?
L’élimination des données personnelles identifiables (DPI) des sauvegardes est l’un des aspects les plus complexes de ce contrôle. Plusieurs options sont possibles : laisser les bandes de sauvegarde expirer naturellement au cours d’une période de rotation définie (en documentant la durée maximale de conservation) ; utiliser des systèmes de sauvegarde permettant la suppression granulaire d’enregistrements individuels ; chiffrer les DPI avec des clés spécifiques au client et détruire ces clés à la fin du contrat ; ou mettre en œuvre une politique d’exclusion de sauvegarde empêchant la sauvegarde des DPI après le déclenchement de l’élimination. L’approche choisie doit être documentée dans la politique d’élimination et communiquée au client.
Que se passe-t-il si des obligations légales empêchent l'élimination ?
L’article 28, paragraphe 3, point g), du RGPD autorise les sous-traitants à conserver des données à caractère personnel après la fin du contrat si le droit de l’Union ou le droit d’un État membre l’exige. Il peut s’agir, par exemple, de documents fiscaux, de données relatives aux transactions financières ou de données faisant l’objet d’une obligation de conservation en cas de litige. Lorsque la conservation légale s’applique, le sous-traitant doit documenter la base juridique spécifique, l’étendue des données conservées, la durée de conservation et les restrictions d’accès appliquées. Le client doit être informé de toute obligation légale de conservation qui empêcherait la suppression complète des données à la fin du contrat.
La politique d'élimination des déchets doit-elle être incluse dans le contrat ?
Oui. La politique d'élimination des données doit figurer soit en annexe au contrat, soit être mentionnée dans l'accord de traitement des données, avec un mécanisme permettant au client d'accéder à la version en vigueur. Ceci garantit que les deux parties se sont entendues sur la méthode d'élimination avant le début du traitement. Le contrat doit également préciser le droit du client de choisir entre la restitution et la suppression des données, toute durée de conservation après la résiliation et le format de restitution des données sur demande.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour les preuves spécifiques au processeur requises par les auditeurs.
