Que requiert le contrôle A.2.4.4 ?
L'organisation doit soumettre les données personnelles transmises sur un réseau de transmission de données à des contrôles appropriés, conçus pour garantir que les données atteignent leur destination prévue.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) traite de la sécurité des données personnelles lors de leur transmission. Dès lors que des données personnelles circulent sur des réseaux, que ce soit entre des systèmes au sein de l’environnement du sous-traitant, entre le sous-traitant et le responsable du traitement, ou entre le sous-traitant et un sous-traitant ultérieur, elles doivent être protégées contre l’interception, la modification et le détournement.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.4.4) fournit les indications suivantes :
- Contrôle d'accès — S’assurer que seules les personnes autorisées aient accès aux systèmes de transmission
- Processus documentés — Suivre les procédures appropriées, notamment la conservation des données d'audit pour démontrer la conformité
- Intégrité et livraison — S’assurer que les informations personnelles sont transmises sans compromis aux destinataires appropriés.
- Exigences contractuelles — Les exigences de transmission peuvent être spécifiées dans le contrat client.
- Consultation client — En l'absence d'obligations contractuelles, l'organisation doit consulter le client avant toute transmission.
- Voir aussi A.2.3.2 : Respecter les obligations envers les responsables des renseignements personnels sur la protection des données pour les exigences connexes
- Voir aussi A.2.4.2 : Fichiers temporaires pour les exigences connexes
Les recommandations soulignent que les contrôles de transmission ne relèvent pas uniquement d'un aspect technique. Le sous-traitant doit s'assurer que les données appropriées parviennent au destinataire approprié sans être compromises en cours de route. Cela nécessite une combinaison de chiffrement, de contrôles d'accès, de mécanismes d'authentification et de pistes d'audit. Lorsque le client a des exigences spécifiques en matière de transmission, celles-ci doivent être consignées dans le contrat.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.4.4 correspond à ce qui suit GDPR article:
- Article 5(1)(f) — Intégrité et confidentialité — Les données à caractère personnel doivent être traitées de manière à garantir une sécurité appropriée, notamment la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels, au moyen de mesures techniques ou organisationnelles appropriées.
Le principe d'intégrité et de confidentialité exige que les données personnelles soient protégées aussi bien lors de leur transmission que lorsqu'elles sont stockées. La transmission de données personnelles identifiables sur des réseaux sans contrôles appropriés (tels que le chiffrement) expose ces données à l'interception et à la compromission, ce qui constitue une violation directe de ce principe.
Pour la correspondance complète entre le RGPD et la norme ISO 27701, voir Guide de conformité au RGPD.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.4.4 comme contrôle indépendant, accompagnée de recommandations de mise en œuvre dans la clause B.2.4.4 qui traite spécifiquement de l'accès aux systèmes de transport, de la conservation des données d'audit et du rôle des contrats clients dans la définition des exigences de transport. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.4.4, les auditeurs recherchent généralement :
- Normes de chiffrement — Preuve que les données personnelles identifiables sont chiffrées lors de leur transmission à l'aide de protocoles actuels et reconnus par l'industrie (tels que TLS 1.2 ou supérieur pour les données en transit).
- Contrôles d'accès — Documentation démontrant que seules les personnes et les systèmes autorisés ont accès aux mécanismes de transmission
- Des pistes de vérification — Données d'audit conservées attestant de la bonne transmission, notamment l'expéditeur, le destinataire, l'horodatage et la confirmation de livraison
- Spécifications contractuelles — Les clauses contractuelles précisant les exigences de transmission du client, notamment les normes de chiffrement, les canaux autorisés et les procédures de vérification du destinataire
- Registres d'incidents — Enregistrements de toutes les pannes de transmission ou incidents de sécurité, y compris l'analyse des causes profondes et les mesures correctives prises
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.5.2 Base du transfert des données personnelles entre juridictions | La transmission transfrontalière nécessite à la fois des contrôles techniques et un cadre juridique. |
| A.2.2.2 Contrat client | Les exigences en matière de transmission doivent être spécifiées dans le contrat client. |
| A.2.4.3 Retour, transfert ou élimination | La restitution des données personnelles au client constitue une forme de transmission nécessitant des contrôles appropriés. |
| A.3 Contrôles de sécurité partagés | La sécurité du réseau et les contrôles cryptographiques garantissent la sécurité des transmissions. |
| A.2.5.3 Pays pour le transfert des données personnelles identifiables | Les destinations de transmission doivent être documentées et divulguées. |
À qui s'applique ce contrôle ?
Le point A.2.4.4 s'applique exclusivement à processeurs de données personnellesLes sous-traitants transmettent fréquemment des données personnelles dans le cadre de leurs opérations, qu'il s'agisse de recevoir des données des responsables du traitement, de renvoyer des résultats traités, de partager des données avec des sous-traitants ou de répliquer des données entre systèmes. Chaque point de transmission représente un risque potentiel. Ce contrôle garantit que les sous-traitants mettent en œuvre des mesures de protection appropriées pour toutes les données personnelles en transit.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour les commandes de transmission PII ?
ISMS.en ligne fournit des outils pratiques pour gérer la sécurité de la transmission des informations personnelles identifiables :
- Documents de politique — Documentez vos politiques de sécurité de transmission, y compris les normes de chiffrement, les canaux autorisés et les contrôles d'accès, avec un système de contrôle de version et une planification des révisions.
- Cartographie des actifs — Cartographier les flux de données impliquant la transmission d'informations personnelles, en identifiant les systèmes expéditeur et destinataire, les méthodes de transmission et les contrôles appliqués à chacun.
- Gestion des contrats — Suivez les exigences de transmission spécifiques aux clients en parallèle de vos contrôles standard, afin de garantir le respect des obligations contractuelles.
- gestion des incidents — Consigner et gérer les incidents de sécurité des transmissions en analysant leurs causes profondes, en définissant les mesures correctives et en tirant les leçons de l'expérience.
- Preuve d'audit — Conserver les données d'audit de transmission, les certificats de chiffrement et les enregistrements de contrôle d'accès sous forme de preuves structurées pour les audits internes et externes.
Questions fréquentes
Quelles normes de chiffrement doivent être utilisées pour la transmission des informations personnelles identifiables (PII) ?
La norme ne prescrit pas de protocoles de chiffrement spécifiques, mais les bonnes pratiques actuelles exigent l'utilisation de TLS 1.2 ou d'une version supérieure pour les données en transit sur les réseaux. Pour l'envoi de courriels, privilégiez le chiffrement S/MIME ou PGP. Pour les transferts de fichiers, utilisez SFTP ou SCP plutôt que FTP non chiffré. Pour les communications API, imposez le protocole HTTPS avec validation de certificat. Les exigences spécifiques peuvent également être définies par le contrat client ou par la réglementation applicable en matière de protection des données.
Que se passe-t-il si le client ne spécifie pas ses exigences en matière de transmission ?
Les recommandations de l'annexe B précisent qu'en l'absence d'obligations contractuelles, l'organisation doit consulter le client avant toute transmission. Concrètement, cela implique de le consulter proactivement sur ses méthodes de transmission privilégiées, ses exigences en matière de chiffrement et ses procédures de vérification du destinataire. La documentation de cette consultation et de l'approche convenue protège les deux parties et témoigne des bonnes pratiques auprès des auditeurs.
Ce contrôle s'applique-t-il à la transmission au sein du réseau interne ?
Oui. Ce contrôle s'applique aux données personnelles transmises sur tout réseau de transmission de données, y compris les réseaux internes. Bien que les transmissions externes présentent généralement un risque plus élevé, le trafic des réseaux internes peut également être intercepté, notamment dans les environnements partagés ou cloud. Il est recommandé de chiffrer les données personnelles en transit, que le réseau soit interne ou externe, et de mettre en œuvre la segmentation du réseau et des contrôles d'accès afin de limiter leur exposition.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour les preuves spécifiques au processeur requises par les auditeurs.
