Que requiert le contrôle A.2.5.2 ?
L’organisation informera le client en temps opportun des modalités de transfert des données personnelles entre juridictions et de toute modification envisagée à cet égard, afin que le client puisse s’opposer à ces modifications ou résilier le contrat.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe A.2 traite de l’un des aspects les plus complexes de la protection des données : les transferts transfrontaliers. Lorsqu’un sous-traitant transfère des données personnelles identifiables (DPI) au-delà des frontières juridictionnelles, le responsable du traitement doit connaître la base juridique de ce transfert. Si cette base juridique change, le responsable du traitement doit avoir la possibilité de s’y opposer ou d’y mettre fin avant que la modification ne prenne effet.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.5.2) fournit les indications suivantes :
- Documenter le fondement juridique — L'organisation doit documenter sa conformité aux exigences légales comme base du transfert
- Informer les clients des transferts — Doit informer le client des transferts à des fournisseurs, à d'autres parties, à d'autres pays ou à d'autres organisations
- Notification préalable — Doit informer le client à l'avance afin qu'il puisse s'opposer aux modifications ou résilier le contrat
- clauses de flexibilité contractuelle — Les accords peuvent inclure des clauses autorisant l'organisation à mettre en œuvre des changements sans préavis, sous réserve de limites définies.
- mécanismes de transfert — Pour les transferts internationaux, identifier les clauses contractuelles types, les règles d'entreprise contraignantes (REC), les règles de confidentialité transfrontalières et les pays et circonstances spécifiques concernés.
- Voir aussi A.2.5.5 : Notification des demandes de divulgation de renseignements personnels pour les exigences connexes
- Voir aussi A.2.5.6 : Divulgation juridiquement contraignante des renseignements personnels pour les exigences connexes
Les lignes directrices indiquent clairement que la transparence est la norme. Le sous-traitant doit informer proactivement le responsable du traitement de la base juridique des transferts, sans attendre que ce dernier pose la question. Lorsque des clauses de flexibilité contractuelles existent, elles doivent comporter des limites clairement définies et ne peuvent être utilisées pour contourner le droit de contrôle du responsable du traitement.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.5.2 correspond à ce qui suit GDPR des articles:
- Article 44 — Principe général des transferts : les transferts n’ont lieu que si GDPR les conditions sont remplies
- Article 46 (1) — Des garanties appropriées pour les transferts en l'absence de décision d'adéquation
- Article 46(2)(af) — Des garanties spécifiques, notamment des règles d'entreprise contraignantes, des clauses contractuelles types, des codes de conduite et des mécanismes de certification
- Article 46(3)(ab) — Clauses contractuelles et dispositions administratives autorisées par les autorités de surveillance
- Article 48 — Transferts ou divulgations non autorisés par le droit de l'Union
- Article 49(1)(ag) — Dérogations pour des situations spécifiques, notamment le consentement explicite, la nécessité contractuelle et les intérêts vitaux
- Article 49(2-6) — Conditions et limitations des transferts fondés sur une dérogation
Il s'agit de l'un des contrôles les plus détaillés de la norme, reflétant la complexité du cadre réglementaire du RGPD en matière de transferts de données. Les responsables du traitement doivent être en mesure d'identifier et de documenter le mécanisme spécifique du RGPD applicable à chaque transfert.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.5.2 comme contrôle autonome, accompagnée de recommandations de mise en œuvre dans la clause B.2.5.2 qui intègre explicitement les règles d'entreprise contraignantes, les clauses contractuelles types et les règles de confidentialité transfrontalières en tant que mécanismes de transfert. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.5.2, les auditeurs recherchent généralement :
- évaluations d'impact des transferts — Évaluations documentées du fondement juridique de chaque transfert transfrontalier, y compris le mécanisme spécifique du RGPD invoqué
- Notifications clients — Enregistrements des notifications envoyées aux clients concernant les motifs des transferts, y compris les dates d'envoi et les réponses ou objections des clients
- Dossiers de gestion des changements — Preuve que les clients sont informés à l'avance de toute modification prévue des modalités de transfert, et disposent d'un délai suffisant pour s'y opposer ou y mettre fin
- Documentation sur les mécanismes de transfert — Copies des clauses contractuelles types, des règles d'entreprise contraignantes, des décisions d'adéquation ou autres mécanismes utilisés pour chaque transfert
- Dispositions contractuelles — Les clauses contractuelles relatives aux transferts transfrontaliers, y compris les clauses de flexibilité et leurs limites définies.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.5.3 Pays pour le transfert des données personnelles identifiables | Documents précisant les pays vers lesquels les informations personnelles identifiables peuvent être transférées |
| A.2.5.7 Divulgation des sous-traitants | Les informations fournies par les sous-traitants comprennent les pays où ils traitent des données personnelles. |
| A.2.4.4 Commandes de transmission PII | Contrôles techniques pour la sécurisation des données personnelles lors des transmissions transfrontalières |
| A.2.2.2 Contrat client | Les modalités de transfert et les procédures de notification doivent être précisées dans le contrat. |
| A.2.5.4 Enregistrements des divulgations de renseignements personnels | Les transferts transfrontaliers à des tiers doivent être enregistrés comme des divulgations. |
À qui s'applique ce contrôle ?
Le point A.2.5.2 s'applique exclusivement à processeurs de données personnellesLes responsables du traitement sont légalement tenus de veiller à ce que les transferts transfrontaliers de données soient conformes à la législation sur la protection des données, mais ils ne peuvent s'acquitter de cette obligation sans la transparence de leurs sous-traitants. Ce contrôle garantit que les sous-traitants informent les responsables du traitement de la base juridique des transferts et leur donnent la possibilité de s'y opposer avant que toute modification ne prenne effet.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des transferts transfrontaliers ?
ISMS.en ligne fournit des outils pratiques pour la gestion des transferts transfrontaliers de données personnelles :
- Transfert de cartographie — Cartographier tous les flux de données transfrontaliers, en documentant la base juridique, le mécanisme de transfert et le pays de destination pour chaque transfert.
- Flux de notification — Gérer les notifications clients relatives aux modalités de transfert et aux modifications grâce à un suivi des communications et à un enregistrement des réponses
- Workflow — Conservez les clauses contractuelles types, les BCR et les références de décision d'adéquation à côté de chaque enregistrement de transfert.
- Gestion du changement — Suivre les modifications proposées aux modalités de transfert tout au long des processus d'approbation, en veillant à ce que les clients soient informés avant leur entrée en vigueur.
- Tableau de bord de conformité — Suivre l'état de tous les transferts transfrontaliers, leurs bases juridiques et leur statut de notification à partir d'une interface unique
Questions fréquentes
Qu’est-ce qui est considéré comme un transfert entre juridictions ?
Un transfert entre juridictions a lieu dès lors que des données personnelles sont déplacées d'une juridiction à une autre. Cela inclut les transferts physiques (expédition de supports entre pays), les transferts électroniques (transmission de données vers des serveurs situés dans un autre pays), l'accès à distance (permettant au personnel d'un autre pays d'accéder à des données personnelles stockées localement) et le traitement dans le nuage (utilisation de services cloud qui stockent ou traitent des données dans plusieurs régions). Même les transferts temporaires, tels que le transit de données par un nœud de réseau situé dans une autre juridiction, peuvent être considérés comme tels selon la législation applicable.
Quel délai de préavis les clients doivent-ils recevoir avant toute modification de leurs transferts ?
La norme exige une notification « en temps opportun », mais ne précise pas de délai minimal. Ce délai doit permettre au client d’évaluer la modification, de réaliser les analyses nécessaires (telles qu’une analyse d’impact du transfert) et soit d’accepter la modification, soit de négocier des amendements, soit de résilier le contrat. Un délai minimal de 30 jours est courant, mais la durée exacte doit être définie dans le contrat en fonction de la complexité et de la sensibilité du traitement.
Un contrat peut-il autoriser les transferts sans notification préalable au client ?
Les lignes directrices de l'annexe B reconnaissent que les accords peuvent inclure des clauses autorisant l'organisation à mettre en œuvre des modifications sans notification préalable, mais ces clauses doivent être clairement définies. En pratique, ces clauses s'appliquent généralement aux transferts effectués au sein d'un même cadre juridique (par exemple, entre États membres de l'UE où l'adéquation est automatique) plutôt qu'aux transferts vers des juridictions dont les normes de protection des données diffèrent sensiblement. Le droit de contrôle du responsable du traitement ne doit pas être compromis par des clauses de flexibilité excessivement larges.
Nos guide sur les transferts transfrontaliers de données couvre les obligations de transfert du contrôleur et du sous-traitant en vertu de la norme ISO 27701:2025.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la documentation que les auditeurs attendent pour les contrôles de transfert.
