Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.2.5.4 : Enregistrement des divulgations de données personnelles à des tiers

Le contrôle A.2.5.4 exige des organisations qu'elles consignent les communications de données personnelles à des tiers, en précisant quelles données ont été communiquées, à qui et quand. Ceci permet de conserver une trace vérifiable de toutes les activités de partage de données avec des tiers.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.2.5.4 ?

L’organisation doit consigner les divulgations de renseignements personnels à des tiers, en précisant quelles informations ont été divulguées, à qui et quand.

Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) traite de la responsabilité en matière de partage de données avec des tiers. Chaque fois qu’un responsable du traitement divulgue des données personnelles à un tiers, qu’il s’agisse d’un sous-traitant, d’une autorité judiciaire, d’un auditeur ou de tout autre destinataire, un enregistrement doit être créé. Cet enregistrement doit mentionner l’étendue des données divulguées, l’identité du destinataire et la date de la divulgation.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.2.5.4) fournit les indications suivantes :

  • Opérations normales — Les divulgations effectuées dans le cadre des opérations de traitement normales, telles que les transferts à des sous-traitants ou les retours de données aux clients
  • Divulgations non routinières — Consignez également les informations supplémentaires divulguées à la suite d'enquêtes judiciaires ou d'audits externes.
  • Source et autorité — Les documents doivent inclure la source de la divulgation (qui en est à l'origine) et la source de l'autorité (quel fondement juridique ou contractuel l'a autorisée).
  • Voir aussi A.2.5.2 : Base du transfert de données personnelles entre juridictions pour les exigences connexes
  • Voir aussi A.2.5.8 : Recours à un sous-traitant pour le traitement des données personnelles pour les exigences connexes

Les lignes directrices précisent que les registres de divulgation doivent couvrir les divulgations courantes et non courantes. Les divulgations courantes comprennent les transferts réguliers de données aux sous-traitants dans le cadre du traitement normal. Les divulgations non courantes comprennent les réponses aux demandes des autorités légales, l'accès aux services d'audit externe et tout autre partage ponctuel de données personnelles avec des tiers.

Comment cela se traduit-il au regard du RGPD ?

La commande A.2.5.4 correspond à ce qui suit GDPR article:

  • Article 30, paragraphe 1, point d) — Le registre des activités de traitement doit indiquer les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires situés dans des pays tiers ou des organisations internationales.

Si GDPR L’article 30 exige la tenue d’un registre des catégories de destinataires. La norme ISO 27701 A.2.5.4 va plus loin en exigeant la tenue d’un registre des divulgations spécifiques, précisant quelles données personnelles ont été divulguées, à quel destinataire et à quelle date. Ceci permet une traçabilité plus détaillée que les exigences minimales du RGPD.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.5.4 comme contrôle autonome, accompagnée de recommandations de mise en œuvre dans la clause B.2.5.4. Cette dernière traite spécifiquement de l'enregistrement des informations non routinières divulguées lors d'enquêtes judiciaires et d'audits externes, et exige que les enregistrements mentionnent la source de la divulgation et l'autorité compétente. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.2.5.4, les auditeurs recherchent généralement :

  • Registre des déclarations — Un registre tenu à jour de toutes les divulgations de renseignements personnels à des tiers, avec une entrée pour chaque divulgation.
  • Intégrité des enregistrements — Chaque enregistrement doit comprendre : les catégories ou les éléments spécifiques de renseignements personnels divulgués, l’identité du destinataire, la date et l’heure de la divulgation, la source de la divulgation (qui l’a initiée) et l’autorisation de divulgation (base légale ou disposition contractuelle).
  • Couverture de routine et non de routine — Preuve que le registre couvre à la fois les divulgations opérationnelles courantes (telles que les transferts de sous-traitants) et les divulgations non courantes (telles que les demandes d'autorisation légale et l'accès aux audits).
  • Conservation des documents — Les documents relatifs aux informations divulguées sont conservés pendant la période requise par la loi applicable et le contrat client.
  • Signalement client — Preuve que les documents de divulgation peuvent être fournis aux clients sur demande, leur permettant ainsi de remplir leurs propres obligations de transparence

Quelles sont les commandes associées ?

Contrôle Lien familial
A.2.5.5 Notification des demandes de divulgation de renseignements personnels Les clients doivent être informés des demandes de divulgation juridiquement contraignantes, lesquelles doivent également être consignées.
A.2.5.6 Divulgations juridiquement contraignantes des renseignements personnels Les divulgations juridiquement contraignantes doivent être consignées auprès de l'autorité légale qui les a imposées.
A.2.5.7 Divulgation des sous-traitants Les déclarations des sous-traitants constituent une catégorie de déclarations de tiers nécessitant des documents
A.2.2.7 Enregistrements de traitement Les dossiers de divulgation font partie des dossiers de traitement plus généraux
A.2.5.3 Pays pour le transfert des données personnelles identifiables Les communications destinées à des destinataires situés dans d'autres pays doivent faire l'objet d'un renvoi au registre national.

À qui s'applique ce contrôle ?

Le point A.2.5.4 s'applique exclusivement à processeurs de données personnellesLes sous-traitants communiquent régulièrement des données personnelles à des tiers dans le cadre de leurs activités, que ce soit par le biais de contrats de sous-traitance, de retours de données aux clients, de réponses aux autorités légales ou d'audits externes. Sans un enregistrement systématique de ces communications, ni le sous-traitant ni le responsable du traitement ne peuvent justifier de la manière dont les données personnelles ont été partagées.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour le suivi de la divulgation des informations personnelles ?

ISMS.en ligne fournit des outils pratiques pour l'enregistrement et la gestion des divulgations de renseignements personnels :

  • Registre des déclarations — Tenir un registre centralisé de toutes les divulgations de données personnelles, avec des champs structurés pour les catégories de données personnelles, l'identité du destinataire, la date, la source et l'autorité compétente.
  • Enregistrement automatique — Créer des enregistrements de divulgation à partir de déclencheurs de flux de travail, garantissant ainsi que les divulgations de routine sont systématiquement enregistrées sans intervention manuelle.
  • Suivi des autorités — Relier chaque divulgation à sa base juridique ou à sa disposition contractuelle, en démontrant que chaque divulgation était autorisée.
  • Signalement client — Générer des rapports de divulgation pour chaque client, indiquant toutes les divulgations de leurs informations personnelles à des tiers.
  • Préparation à l'audit — Présenter les documents de divulgation dans un format structuré pour les audits internes et externes, avec des filtres par date, destinataire, catégorie de données personnelles et autorité compétente.

Questions fréquentes

Qu’est-ce qui constitue une divulgation à un tiers ?

Une divulgation a lieu chaque fois que des données personnelles sont mises à la disposition d'une entité extérieure à l'organisation. Cela inclut : les transferts à des sous-traitants pour traitement ; les retours de données au client (le responsable du traitement) ; les réponses aux demandes des autorités légales ; l'accès accordé aux auditeurs externes ; le partage avec d'autres sous-traitants ou responsables du traitement ; et toute autre situation où les données personnelles échappent au contrôle de l'organisation. Les transferts internes entre services ou systèmes au sein de l'organisation ne constituent pas des divulgations à des tiers, mais les transferts à des entités juridiques distinctes au sein d'un groupe peuvent l'être.

Quel niveau de détail doivent contenir les registres de divulgation ?

Les enregistrements doivent au minimum consigner : les données personnelles divulguées (catégories ou éléments de données spécifiques) ; le destinataire (l’organisme destinataire précis) ; la date et l’heure ; l’auteur de la divulgation ; et le fondement juridique de la divulgation (clause contractuelle, obligation légale ou instruction du client). Pour les divulgations non routinières, telles que les demandes d’autorisation légale, des informations supplémentaires doivent être fournies, notamment le numéro de référence de la demande, la disposition légale précise citée et toute restriction relative à la notification du client.

Combien de temps les documents de divulgation doivent-ils être conservés ?

Les durées de conservation des enregistrements de divulgation doivent être conformes à la législation applicable en matière de protection des données (le RGPD ne précise pas de durée, mais exige que les enregistrements soient mis à la disposition de l'autorité de contrôle sur demande), au contrat client (qui peut prévoir une durée de conservation) et à la politique de conservation interne de l'organisation. Il est courant de conserver ces enregistrements pendant toute la durée de la relation de traitement, augmentée d'une période suffisante pour couvrir d'éventuelles actions en justice (généralement six ans au Royaume-Uni). Les enregistrements ne doivent pas être détruits tant qu'une enquête ou un litige y afférent est en cours.

Nos guide des exigences en matière de preuves d'audit couvre la documentation de divulgation exigée par les auditeurs.

Découvrez nos offres de guide d'évaluation des fournisseurs pour savoir comment les clients évaluent les pratiques de divulgation des processeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.