Que requiert le contrôle A.2.5.7 ?
Avant toute utilisation, l'organisation doit indiquer au client si des sous-traitants sont utilisés pour le traitement des données personnelles.
Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) traite de la transparence des sous-traitants. Lorsqu’un responsable du traitement fait appel à des sous-traitants pour traiter des données personnelles pour le compte du responsable du traitement, ce dernier doit en être informé avant que le sous-traitant ne commence le traitement. Il s’agit d’une obligation proactive : l’information doit être divulguée avant toute utilisation, et non après.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.2.5.7) fournit les indications suivantes :
- Dispositions contractuelles — Des dispositions relatives à la divulgation des informations des sous-traitants devraient être incluses dans le contrat client.
- Portée de la divulgation — Divulguer le recours à la sous-traitance et les noms des sous-traitants
- Informations sur le pays et le transfert — Indiquez également les pays et les organisations auprès desquels les sous-traitants peuvent transférer des données, ainsi que les moyens par lesquels ces sous-traitants respectent ou dépassent les obligations du responsable du traitement.
- Considérations relatives aux risques de sécurité — Si la divulgation publique des informations relatives aux sous-traitants accroît le risque pour la sécurité, cette divulgation peut être effectuée dans le cadre d'un accord de confidentialité ou sur demande. Toutefois, la liste des pays doit toujours être divulguée.
- Voir aussi A.2.5.4 : Registres des divulgations de renseignements personnels à des tiers pour les exigences connexes
- Voir aussi A.2.5.5 : Notification des demandes de divulgation de renseignements personnels pour les exigences connexes
Ces lignes directrices établissent un équilibre entre transparence et sécurité. Si la divulgation complète des informations relatives aux sous-traitants (y compris leurs noms et leur statut de conformité) peut parfois s'avérer nécessaire dans le cadre d'un accord de confidentialité afin de prévenir les risques de sécurité, les pays vers lesquels des données personnelles peuvent être transférées doivent toujours être divulgués sans restriction. Ceci permet aux responsables du traitement d'évaluer en permanence la conformité des transferts transfrontaliers.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.5.7 correspond à ce qui suit GDPR des articles:
- Article 28 (2) Le sous-traitant ne peut faire appel à un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. En cas d'autorisation écrite générale, le sous-traitant doit informer le responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement d'autres sous-traitants, lui donnant ainsi la possibilité de s'y opposer.
- Article 28 (4) — Lorsqu'un sous-traitant fait appel à un autre sous-traitant pour réaliser des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations de protection des données que celles prévues dans le contrat liant le responsable du traitement et le sous-traitant s'appliquent à ce dernier.
GDPR L’article 28, paragraphe 2, exige soit une autorisation spécifique (avec désignation de chaque sous-traitant), soit une autorisation générale assortie d’un mécanisme de notification et d’opposition. Dans les deux cas, le responsable du traitement doit avoir connaissance des sous-traitants avant le début du traitement.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.5.7 comme contrôle indépendant, accompagnée de recommandations de mise en œuvre dans la clause B.2.5.7. Cette dernière couvre explicitement les exigences de déclaration par pays, les dispositions relatives aux accords de confidentialité pour les informations sensibles et l'obligation de divulguer comment les sous-traitants respectent, voire dépassent, les obligations du responsable du traitement. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.5.7, les auditeurs recherchent généralement :
- Registre des sous-traitants — Un registre tenu à jour de tous les sous-traitants utilisés pour le traitement des données personnelles, incluant leurs noms, leurs activités de traitement, leurs lieux d'établissement et la date à laquelle ils ont été informés de chaque client.
- Documents de divulgation préalables à l'engagement — Preuve que les sous-traitants ont été identifiés auprès des clients avant le début du traitement des données personnelles, et non après.
- Informations sur le pays — Documentation des pays et des organisations où chaque sous-traitant traite ou transfère des données personnelles
- Preuve de conformité — Documents attestant que les sous-traitants respectent, voire dépassent, les obligations du donneur d'ordre, tels que les certifications, les rapports d'audit ou les engagements contractuels.
- Dispositions contractuelles — Les clauses contractuelles définissant la procédure de déclaration des sous-traitants, notamment si une autorisation spécifique ou générale s'applique et le droit d'opposition du client
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.5.8 Recours à des sous-traitants | Réglemente les exigences contractuelles et d'autorisation relatives à l'engagement effectif du sous-traitant |
| A.2.5.3 Pays pour le transfert des données personnelles identifiables | Les pays sous-traitants doivent être inclus dans la liste des destinations de transfert |
| A.2.5.2 Base du transfert des données personnelles identifiables | Les transferts à des sous-traitants situés dans d'autres juridictions nécessitent un fondement juridique documenté. |
| A.2.2.2 Contrat client | Le contrat définit le modèle d'autorisation des sous-traitants (spécifique ou général). |
| A.2.2.6 Obligations du client | La transparence des sous-traitants aide les clients à démontrer leur propre conformité. |
À qui s'applique ce contrôle ?
Le point A.2.5.7 s'applique exclusivement à processeurs de données personnellesLes responsables du traitement sont en dernier ressort responsables du traitement des données personnelles, y compris des traitements effectués par des sous-traitants pour leur compte. Sans transparence quant aux personnes qui traitent leurs données et aux lieux de ce traitement, les responsables du traitement ne peuvent remplir leurs obligations de responsabilité. Ce contrôle garantit que les sous-traitants n'intègrent pas de sous-traitants externes dans la chaîne de traitement à l'insu du responsable du traitement.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la gestion des informations divulguées par les sous-traitants ?
ISMS.en ligne fournit des outils pratiques pour gérer la transparence des sous-traitants :
- Registre des sous-traitants — Tenir un registre centralisé de tous les sous-traitants, incluant leurs noms, leurs activités de traitement, leurs lieux d'implantation, leurs certifications et leur statut de conformité.
- Flux de travail de divulgation — Gérer les flux de travail de divulgation préalable à l'engagement, avec suivi des notifications clients, des demandes d'approbation et du traitement des objections.
- Cartographie du pays — Associer les sous-traitants à leurs pays de traitement, en mettant à jour automatiquement le registre des destinations de transfert lorsque les sous-traitants changent.
- Surveillance de la conformité — Suivre les preuves de conformité des sous-traitants (certifications, rapports d'audit, clauses contractuelles) et signaler leur expiration ou leur renouvellement.
- Portail Clients — Offrez à vos clients une visibilité sur votre registre de sous-traitants, réduisant ainsi les demandes d'informations ponctuelles et témoignant d'une transparence continue.
Questions fréquentes
Quelles informations doivent être divulguées concernant les sous-traitants ?
Le sous-traitant doit au minimum divulguer : le recours à des sous-traitants ; le nom de ces sous-traitants ; les pays et organisations où ils sont autorisés à transférer des données personnelles ; et les moyens mis en œuvre par les sous-traitants pour satisfaire, voire dépasser, les obligations du sous-traitant (par exemple, certifications, clauses contractuelles ou résultats d’audit). Si la divulgation du nom des sous-traitants présente un risque pour la sécurité, ces noms peuvent être communiqués dans le cadre d’un accord de confidentialité ou sur demande, mais la liste des pays où ils sont transférés doit toujours être rendue publique.
Quelle est la différence entre une autorisation spécifique et une autorisation générale ?
Conformément à l'article 28, paragraphe 2, du RGPD, le responsable du traitement peut accorder une autorisation spécifique (en approuvant individuellement chaque sous-traitant avant son engagement) ou une autorisation générale (en autorisant le sous-traitant à recourir à plusieurs sous-traitants, sous réserve d'un mécanisme de notification et d'opposition). En cas d'autorisation générale, le sous-traitant doit informer le responsable du traitement de toute modification envisagée concernant les sous-traitants et lui donner la possibilité de s'y opposer avant la mise en œuvre de cette modification. Le contrat doit clairement indiquer le modèle applicable.
Un sous-traitant peut-il refuser de divulguer le nom de ses sous-traitants ?
Les directives de l'annexe B autorisent la non-divulgation publique des noms si cela accroît le risque pour la sécurité, à condition qu'ils soient divulgués dans le cadre d'un accord de confidentialité ou sur demande. Cependant, le sous-traitant ne peut refuser catégoriquement de communiquer les noms au client, car le responsable du traitement a besoin de ces informations pour remplir ses propres obligations. La liste des pays doit toujours être divulguée sans restriction. En pratique, la plupart des clients s'attendent à trouver les noms complets des sous-traitants dans le cadre de l'accord de traitement des données ou sur une liste de sous-traitants accessible au public.
Les équipes d'approvisionnement utilisent ces contrôles pour évaluer les fournisseurs — voir notre guide des exigences d'approvisionnement et guide d'évaluation des fournisseurs.
Nos guide des exigences en matière de preuves d'audit détaille ce que les auditeurs de la documentation des sous-traitants attendent.
