Que requiert le contrôle A.2.5.9 ?
L’organisation doit, lorsqu’elle dispose d’une autorisation écrite générale, informer le client de toute modification envisagée concernant l’ajout ou le remplacement de sous-traitants chargés du traitement des données personnelles, donnant ainsi au client la possibilité de s’opposer à ces modifications.
Cette commande se trouve à l'intérieur de Transfert et divulgation des renseignements personnels objectif (A.2.5), qui régit la manière dont les responsables du traitement des IIP gèrent le partage et le transfert ultérieur des données personnelles qui leur sont confiées par leurs clients.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.2.5.9) fournit les indications suivantes :
- En cas de changement de sous-traitant, une autorisation écrite du client est requise avant tout traitement de données personnelles identifiables par le nouveau sous-traitant.
- Cette autorisation peut prendre la forme de clauses contractuelles spécifiques qui définissent la procédure de notification et d'opposition.
- Il peut également s'agir d'un accord ponctuel spécifique conclu avant que le nouveau sous-traitant ne commence la production.
- Le principe fondamental est que le client conserve le contrôle sur les entités qui traitent ses données personnelles, même lorsqu'une autorisation générale a été accordée.
- Voir aussi A.2.5.2 : Base du transfert de données personnelles entre juridictions pour les exigences connexes
- Voir aussi A.2.5.3 : Pays et organisations internationales pour le transfert de données personnelles identifiables pour les exigences connexes
Ces recommandations soulignent que l'autorisation générale ne signifie pas un consentement absolu. Le client doit toujours avoir le droit d'examiner et, le cas échéant, de refuser les modifications apportées à la chaîne de sous-traitance.
Comment cela se traduit-il au regard du RGPD ?
La commande A.2.5.9 correspond directement à Article 28(2) du RGPDCette disposition stipule qu'un sous-traitant ne peut faire appel à un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. En cas d'autorisation écrite générale, le sous-traitant doit informer le responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement d'autres sous-traitants, lui permettant ainsi de s'y opposer.
Il s'agit de l'un des contrôles les plus directement alignés entre la norme ISO 27701:2025 et GDPR, le langage de contrôle reflétant fidèlement la réglementation.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Ce contrôle prend en charge le principe de confidentialité suivant de la norme ISO 29100 :
- Responsabilité — Assurer une traçabilité claire du traitement des données personnelles tout au long de la chaîne de sous-traitance
- Ouverture, transparence et notification — S’assurer que le client est informé des changements qui affectent la façon dont ses informations personnelles sont traitées
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.2.5.9, les auditeurs recherchent généralement :
- Registre des sous-traitants — Une liste documentée de tous les sous-traitants actuellement chargés du traitement des données personnelles, avec les dates d'engagement et l'étendue du traitement.
- Enregistrements de notification — Preuve que le client a été informé des changements prévus concernant les sous-traitants avant leur mise en œuvre.
- Processus d'opposition — Une procédure définie expliquant comment les clients peuvent formuler des objections aux changements proposés, y compris les délais impartis.
- Clauses contractuelles — Des accords écrits définissant le mécanisme de notification et d'opposition aux changements de sous-traitants
- Registres d'autorisation — Preuve d'autorisation écrite (générale ou spécifique) obtenue de chaque client
- historique des modifications — Un historique des modifications apportées aux sous-traitants au fil du temps, montrant tous les ajouts, remplacements et suppressions de sous-traitants.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.2.5.7 Divulgation des sous-traitants | L'utilisation de sous-traitants doit être divulguée avant le début du traitement. |
| A.2.5.8 Recours à un sous-traitant | Réglemente les exigences contractuelles lors du recours à des sous-traitants |
| A.2.2.2 Contrat client | L'accord-cadre qui définit les modalités de traitement, y compris les dispositions relatives aux sous-traitants |
| A.2.2.3 Objectifs de l'organisation | Le traitement doit rester conforme aux finalités convenues avec le client, y compris en cas de changement de sous-traitant. |
| A.3.10 Accords avec les fournisseurs | Exigences plus larges en matière de gestion des fournisseurs qui s'appliquent aux relations avec les sous-traitants |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence figurait à la clause 8.5.8 (modifications relatives au traitement des données personnelles par les sous-traitants). Le contenu du contrôle reste sensiblement le même en 2025, mais il est désormais intégré à la clause 8.5.8. Tableau A.2 avec une séparation plus claire entre l'énoncé de contrôle (A.2.5.9) et les directives de mise en œuvre (B.2.5.9). Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des changements de sous-traitants ?
ISMS.en ligne fournit des outils pratiques pour gérer les relations avec les sous-traitants et les changements :
- Registre des sous-traitants — Tenir un registre centralisé de tous les sous-traitants traitant des données personnelles, précisant le périmètre, le lieu et les détails du contrat.
- Modifier le flux de travail — Déclencher des flux de notification lors de l'ajout ou du remplacement de sous-traitants, avec des étapes d'approbation intégrées.
- Communication client — Enregistrer les notifications envoyées aux clients et suivre leurs réponses, y compris les objections soulevées.
- Gestion des contrats — Contrats de sous-traitance relatifs au stockage et au contrôle des versions, ainsi que les enregistrements d'autorisation
- La piste de vérification — Générer un historique complet des modifications apportées aux sous-traitants à des fins d'audit et de rapports de conformité
Questions fréquentes
Quelle est la différence entre une autorisation écrite générale et une autorisation écrite spécifique ?
L’autorisation écrite générale permet au sous-traitant de faire appel à des sous-traitants, sous réserve d’en informer le client et de lui donner la possibilité de s’y opposer. L’autorisation écrite spécifique exige que le client approuve chaque sous-traitant individuellement avant le début du traitement. Le point A.2.5.9 traite spécifiquement des obligations découlant de l’autorisation générale.
Quel est le préavis à respecter avant un changement de sous-traitant ?
La norme ISO 27701:2025 ne spécifie pas de délai de préavis minimal, mais le client doit disposer d'un délai raisonnable pour s'y opposer. Il est recommandé de définir ce délai dans le contrat de traitement des données. De nombreuses organisations utilisent un délai standard de 30 jours, mais ce délai doit être convenu avec chaque client en fonction de la sensibilité et du volume des données personnelles concernées.
Que se passe-t-il si un client s'oppose à un changement de sous-traitant ?
En cas d'objection d'un client, le nouveau sous-traitant ne doit pas traiter ses données personnelles. L'organisation doit disposer d'une procédure documentée pour la gestion des objections, pouvant inclure le maintien du sous-traitant actuel pour ce client, la proposition d'une solution alternative ou, dans certains cas, la résiliation du contrat. La décision prise sera régie par les termes de l'accord de traitement.
Les équipes d'approvisionnement utilisent ces contrôles pour évaluer les fournisseurs — voir notre guide des exigences d'approvisionnement et guide d'évaluation des fournisseurs.
Nos guide des exigences en matière de preuves d'audit détaille ce que les auditeurs de la documentation des sous-traitants attendent.
