Que requiert le contrôle A.2.5.3 ?
L'organisation doit préciser et documenter les pays et les organisations internationales auxquels les données personnelles identifiables peuvent éventuellement être transférées.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) traite d’une exigence fondamentale de transparence. Les responsables du traitement doivent savoir où leurs données peuvent être transférées, car les normes de protection des données varient selon les juridictions. Sans liste documentée des destinations de transfert, le responsable du traitement ne peut ni réaliser d’analyse d’impact relative aux transferts ni garantir la conformité aux exigences en matière de transferts transfrontaliers.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.5.3) fournit les indications suivantes :
- Opérations normales — Les pays participant aux opérations normales devraient être mis à la disposition des clients
- Traitement sous-traité — La liste devrait inclure les pays impliqués par le biais d'accords de sous-traitance.
- transferts d'autorité légale — En dehors des opérations courantes, les transferts requis par les autorités légales peuvent ne pas être spécifiés à l'avance ou faire l'objet d'une interdiction de divulgation afin de préserver la confidentialité de l'enquête.
- Voir aussi A.2.5.9 : Changement de sous-traitant pour le traitement des données personnelles pour les exigences connexes
Ces lignes directrices établissent une distinction importante entre les transferts effectués dans le cadre des opérations courantes (qui doivent être documentés et divulgués) et les transferts exigés par les autorités légales (qui peuvent être imprévisibles ou non divulguables). Pour les opérations courantes, le sous-traitant doit tenir une liste exhaustive recensant les destinations des transferts directs ainsi que celles effectuées par l'intermédiaire de sous-traitants.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.5.3 correspond à ce qui suit GDPR article:
- Article 30 (2) (c) — Le registre des activités de traitement effectuées pour le compte d'un responsable du traitement doit mentionner les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, en précisant notamment l'identification de ce pays tiers ou de cette organisation internationale.
GDPR L’article 30, paragraphe 2, point c), rend obligatoire la tenue de registres. Les sous-traitants doivent inclure les destinations des transferts dans leurs registres d’activités de traitement. Cette obligation s’applique aux sous-traitants employant 250 personnes ou plus, ainsi qu’aux sous-traitants de plus petite taille lorsque le traitement est susceptible d’engendrer un risque pour les personnes concernées.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.5.3 comme contrôle autonome, accompagnée de recommandations d'application dans la clause B.2.5.3 qui distingue clairement les transferts opérationnels courants des transferts de pouvoirs légaux. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.5.3, les auditeurs recherchent généralement :
- Registre national — Une liste documentée et tenue à jour de tous les pays et organisations internationales auxquels des informations personnelles identifiables peuvent être transférées dans le cadre d'opérations normales
- Couverture des sous-traitants — Preuve que la liste des pays inclut des destinations introduites par le biais de la sous-traitance, et pas seulement des transferts directs
- disponibilité des clients — Preuve que la liste des pays a été mise à la disposition des clients, que ce soit par le biais de contrats, de portails clients ou de communications directes
- Registres des activités de traitement — Destinations des transferts enregistrées dans les registres des activités de traitement visés à l’article 30, paragraphe 2
- Procédures de mise à jour — Une procédure documentée pour la mise à jour de la liste des pays lors de l'ajout de nouvelles destinations de transfert, incluant les procédures de notification aux clients
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.5.2 Base du transfert des données personnelles identifiables | Chaque pays concerné exige une base juridique documentée pour le transfert |
| A.2.5.7 Divulgation des sous-traitants | Les informations relatives aux sous-traitants comprennent les pays dans lesquels ils exercent leurs activités. |
| A.2.5.8 Recours à des sous-traitants | Les contrats de sous-traitance doivent aborder les destinations de transfert |
| A.2.2.7 Enregistrements de traitement | Les destinations de transfert sont un élément obligatoire du traitement des documents |
| A.2.5.4 Enregistrements des divulgations de renseignements personnels | Les communications à des organisations situées dans d'autres pays doivent être consignées auprès du pays de destination. |
À qui s'applique ce contrôle ?
Le point A.2.5.3 s'applique exclusivement à processeurs de données personnellesLes responsables du traitement ont besoin de ces informations pour réaliser leurs propres analyses d'impact relatives aux transferts et pour respecter leurs obligations de transparence envers les personnes concernées. Si un sous-traitant ne peut pas informer ses clients des pays où des données personnelles sont susceptibles d'être transférées, il ne peut pas se conformer à ses propres obligations en matière de protection des données. C'est pourquoi la liste des pays constitue un élément fondamental de la transparence des sous-traitants.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des destinations de transfert ?
ISMS.en ligne fournit des outils pratiques pour documenter et gérer les destinations de transfert des données personnelles identifiables :
- Registre national — Tenir un registre centralisé et versionné de tous les pays et organisations internationales auxquels des renseignements personnels peuvent être transférés.
- Intégration des sous-traitants — Associez les enregistrements des sous-traitants à leurs lieux de traitement, en incluant automatiquement les pays des sous-traitants dans votre liste de destinations de transfert.
- Signalement client — Générer des rapports sur les destinations de transfert pour les clients, indiquant tous les pays impliqués dans le traitement de leurs données
- Suivi des modifications — Suivi des ajouts et des suppressions de pays dans la liste avec un historique complet et des notifications clients automatisées.
- Cartographie de la conformité — Associer chaque destination de transfert à sa base légale (A.2.5.2 Base du transfert des données personnelles identifiables) et les dispositions contractuelles connexes pour une vision complète de la conformité
Questions fréquentes
La liste des pays doit-elle inclure les régions des fournisseurs de services cloud ?
Oui. Si votre infrastructure cloud s'étend sur plusieurs régions ou zones de disponibilité, chaque pays où des données peuvent être stockées ou traitées doit figurer dans la liste des pays. Cela inclut les sites de traitement principaux, les régions de basculement et tous les sites utilisés pour la réplication ou la sauvegarde des données. Même si vous configurez une région spécifique, vérifiez si les conditions d'utilisation de votre fournisseur de cloud autorisent le traitement ou le stockage temporaire de données dans d'autres régions pour des raisons opérationnelles.
Qu’en est-il des transferts requis par les forces de l’ordre ?
Les lignes directrices de l'annexe B reconnaissent que les transferts requis par les autorités judiciaires peuvent ne pas être spécifiés à l'avance et que leur divulgation peut être interdite afin de préserver la confidentialité de l'enquête. Ces transferts ne relèvent pas de la liste des pays où se déroulent les opérations courantes. Toutefois, vous devez documenter votre procédure de traitement de ces demandes (couverte par…). A.2.5.5 Demandes de divulgation de renseignements personnels et A.2.5.6 Divulgations juridiquement contraignantes) et informer les clients lorsque la loi le permet.
À quelle fréquence la liste des pays doit-elle être révisée ?
La liste des pays doit être révisée à chaque modification de votre infrastructure de traitement, de vos accords de sous-traitance ou de la configuration de votre fournisseur de cloud. Il est recommandé de procéder à une révision annuelle afin de vérifier l'exactitude de la liste. Toute modification apportée à cette liste doit déclencher la procédure de notification client requise par la loi. A.2.5.2 Base du transfert des données personnelles identifiables, donnant ainsi aux clients la possibilité d'en évaluer les implications et de s'y opposer si nécessaire.
Nos guide sur les transferts transfrontaliers de données couvre les obligations de transfert du contrôleur et du sous-traitant en vertu de la norme ISO 27701:2025.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour la documentation que les auditeurs attendent pour les contrôles de transfert.
