Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.2.5.8 : Recours à un sous-traitant pour le traitement des données personnelles

Le contrôle A.2.5.8 exige que les organisations ne fassent appel à un sous-traitant pour le traitement des données personnelles que conformément au contrat client. Ceci garantit que les accords de sous-traitance sont autorisés, encadrés contractuellement et soumis aux mêmes obligations de confidentialité que le traitement principal.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.2.5.8 ?

L'organisation ne pourra faire appel à un sous-traitant pour le traitement des données personnelles identifiables que conformément au contrat client.

Cette commande se trouve à l'intérieur de Contrôles du processeur PII L’annexe (A.2) établit le cadre contractuel de la sous-traitance. Les responsables du traitement ne peuvent déléguer librement le traitement des données personnelles à des sous-traitants. Tout accord de sous-traitance doit être autorisé par le contrat client, et le sous-traitant doit être soumis à des obligations de confidentialité équivalentes. Ceci protège les intérêts du responsable du traitement tout au long de la chaîne de traitement.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.2.5.8) fournit les indications suivantes :

  • autorisation écrite du client — L’autorisation écrite du client est requise avant toute intervention d’un sous-traitant. Celle-ci peut prendre la forme de clauses contractuelles ou d’un accord spécifique ponctuel.
  • Contrat de sous-traitance écrit — L’organisation doit avoir un contrat écrit avec chaque sous-traitant.
  • Tableau A.2 contrôles — Le contrat de sous-traitance doit aborder tous les contrôles applicables. Tableau A.2 (les commandes du processeur PII)
  • Implémentation par défaut — Les sous-traitants doivent mettre en œuvre par défaut tous les contrôles A.2 ; toute exclusion doit être justifiée.
  • Voir aussi A.2.5.2 : Base du transfert de données personnelles entre juridictions pour les exigences connexes
  • Voir aussi A.2.5.4 : Registres des divulgations de renseignements personnels à des tiers pour les exigences connexes

Ces lignes directrices établissent une chaîne claire d'obligations contractuelles. Le client autorise la sous-traitance, le sous-traitant conclut un contrat avec le sous-traitant, et ce contrat reprend les obligations du contrat liant le sous-traitant au client. Les dérogations aux contrôles A.2 ne sont autorisées que lorsqu'elles sont justifiées, afin de garantir que la protection de la vie privée ne diminue pas au fil de la chaîne de traitement.

Comment cela se traduit-il au regard du RGPD ?

La commande A.2.5.8 correspond à ce qui suit GDPR des articles:

  • Article 28 (2) — Le sous-traitant ne peut faire appel à un autre sous-traitant sans autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
  • Article 28 (4) — Lorsqu'un sous-traitant fait appel à un autre sous-traitant, les mêmes obligations de protection des données que celles prévues dans le contrat conclu entre le responsable du traitement et le premier sous-traitant sont imposées à ce dernier par voie contractuelle, notamment en prévoyant des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles appropriées.

GDPR L’article 28, paragraphe 4, prévoit la transmission des obligations : le contrat de sous-traitance doit imposer au sous-traitant les mêmes obligations que celles imposées par le responsable du traitement au sous-traitant initial. En cas de manquement du sous-traitant à ses obligations, le sous-traitant initial demeure pleinement responsable envers le responsable du traitement.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était intégrée à la structure plus générale des clauses. L'édition 2025 propose la clause A.2.5.8 comme contrôle autonome, accompagnée de directives de mise en œuvre dans la clause B.2.5.8 qui exige explicitement que les contrats de sous-traitance traitent de toutes les questions. Tableau A.2 contrôles et exige que les sous-traitants mettent en œuvre par défaut tous les contrôles A.2, sauf exceptions justifiées. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Le puissant tableau de bord d'ISMS.online

Commencer votre essai gratuit

Envie d'explorer ?

Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.

Commencer


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.2.5.8, les auditeurs recherchent généralement :

  • Autorisation du client — Autorisation écrite de chaque client pour le recours à des sous-traitants, que ce soit par le biais de clauses contractuelles (autorisation générale) ou d'approbations spécifiques (autorisation spécifique).
  • Contrats de sous-traitance — Des contrats écrits avec chaque sous-traitant qui abordent tous les contrôles A.2 applicables, avec des justifications documentées pour toute exclusion.
  • Répercussion des obligations — Preuve que les obligations imposées au sous-traitant par le contrat client ont été répercutées sur les contrats de sous-traitance
  • Couverture de contrôle A.2 — Un tableau indiquant les contrôles A.2 inclus dans chaque contrat de sous-traitance et la justification des exclusions.
  • surveillance de la conformité des sous-traitants — Preuves que l'organisation surveille le respect par les sous-traitants de leurs obligations contractuelles, telles que les résultats d'audit, le statut de certification et les évaluations de performance

Quelles sont les commandes associées ?

Contrôle Lien familial
A.2.5.7 Divulgation des sous-traitants Les sous-traitants doivent être identifiés auprès du client avant leur engagement.
A.2.2.2 Contrat client Le contrat client autorise la sous-traitance et définit les conditions
A.2.5.3 Pays pour le transfert des données personnelles identifiables Les lieux de traitement des sous-traitants doivent être documentés et divulgués.
A.2.4.3 Retour, transfert ou élimination Les sous-traitants doivent se conformer aux exigences d'élimination des données personnelles identifiables à la fin du contrat.
A.2.2.6 Obligations du client Les preuves de conformité des sous-traitants attestent de la responsabilité du client

À qui s'applique ce contrôle ?

Le point A.2.5.8 s'applique exclusivement à processeurs de données personnellesLorsqu'un sous-traitant fait appel à un sous-traitant, les données personnelles du responsable du traitement sont soumises à un traitement supplémentaire. Le responsable du traitement doit avoir l'assurance que ce traitement supplémentaire offre le même niveau de protection que le traitement principal. Ce contrôle garantit que la sous-traitance est autorisée, encadrée contractuellement et soumise à l'ensemble des contrôles prévus à l'article A.2.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des engagements des sous-traitants ?

ISMS.en ligne fournit des outils pratiques pour la gestion de l'engagement des sous-traitants :

  • Gestion des contrats — Stocker et gérer les contrats de sous-traitance avec un système de contrôle de version, en liant chaque contrat aux contrôles A.2 applicables et aux autorisations client.
  • Cartographie de contrôle — Associer chaque contrat de sous-traitance à tous les contrôles A.2, avec des champs structurés pour documenter la couverture des contrôles et les exclusions justifiées.
  • Suivi des autorisations — Suivre les autorisations client pour chaque sous-traitant, y compris le type d'autorisation (spécifique ou générale), la date d'octroi et toutes conditions.
  • Surveillance de la conformité — Surveiller la conformité des sous-traitants grâce à des évaluations planifiées, au suivi des certifications et à la gestion des résultats d'audit
  • Répercussion des obligations — Comparez les obligations contractuelles du client avec celles du sous-traitant afin de vérifier que toutes les exigences ont été correctement transposées.

Questions fréquentes

Que doit inclure le contrat de sous-traitance ?

Le contrat de sous-traitance doit aborder tous les contrôles applicables. Tableau A.2 (Les contrôles du sous-traitant de données personnelles). Cela inclut les instructions de traitement, les obligations de confidentialité, les mesures de sécurité, le respect des droits des personnes concernées, la notification des violations de données, la suppression des données, les dispositions relatives aux transferts transfrontaliers et les droits d'audit. Le sous-traitant doit mettre en œuvre par défaut tous les contrôles A.2. Toute exclusion doit être documentée et justifiée en fonction du périmètre de la sous-traitance. Le contrat doit également transposer au sous-traitant les mêmes obligations que celles imposées par le contrat client.

Qui est responsable si le sous-traitant manque à ses obligations ?

Conformément au RGPD, le sous-traitant initial demeure pleinement responsable envers le responsable du traitement de l'exécution des obligations du sous-traitant. Si ce dernier manque à ses obligations en matière de protection des données, la responsabilité incombe au sous-traitant initial. C'est pourquoi des contrats de sous-traitance solides, un suivi de la conformité et des droits d'audit sont essentiels. Le sous-traitant initial doit également veiller à inclure des clauses d'indemnisation appropriées dans son contrat de sous-traitance afin de gérer le risque commercial lié au non-respect des obligations par le sous-traitant.

Les exclusions des contrôles A.2 peuvent-elles être justifiées ?

Oui, mais les exclusions doivent être justifiées par la portée et la nature du sous-traitement. Par exemple, un sous-traitant qui fournit uniquement l'hébergement de l'infrastructure (sans accès aux données personnelles) peut légitimement exclure les contrôles relatifs aux droits des personnes concernées ou à la divulgation de leurs données personnelles. Cependant, les contrôles relatifs à la sécurité, à la confidentialité et à la notification des violations de données restent applicables. La justification doit être documentée, faire l'objet d'une évaluation des risques et être approuvée. Les auditeurs examineront attentivement les exclusions afin de s'assurer qu'elles ne créent pas de failles dans la protection de la vie privée.

Les équipes d'approvisionnement utilisent ces contrôles pour évaluer les fournisseurs — voir notre guide des exigences d'approvisionnement et guide d'évaluation des fournisseurs.

Nos guide des exigences en matière de preuves d'audit détaille ce que les auditeurs de la documentation des sous-traitants attendent.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.