Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.3.10 : Prise en compte de la sécurité de l’information dans les accords fournisseurs

Le contrôle A.3.10 exige des organismes qu'ils définissent et conviennent des exigences pertinentes en matière de sécurité de l'information avec chaque fournisseur traitant des données personnelles. Il s'agit d'un contrôle critique de la chaîne d'approvisionnement au sens de la norme ISO 27701:2025.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.3.10 ?

Les exigences pertinentes en matière de sécurité de l'information relatives au traitement des données personnelles doivent être établies et convenues avec chaque fournisseur en fonction du type de relation fournisseur-fournisseur.

Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe A.3, qui énonce les obligations des responsables du traitement et des sous-traitants du traitement des données personnelles, reconnaît que ces données circulent rarement au sein d’une seule organisation : fournisseurs, sous-traitants et partenaires introduisent tous des risques qui doivent être gérés contractuellement.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.3.10) fournit les indications suivantes :

  • Précisez le traitement des données personnelles identifiables. — Les accords devraient préciser si des données personnelles identifiables doivent être traitées et, le cas échéant, les mesures techniques et organisationnelles minimales que le fournisseur doit mettre en œuvre.
  • Répartir clairement les responsabilités — La répartition des responsabilités entre l’organisation, ses partenaires et ses fournisseurs doit être explicite et sans ambiguïté.
  • Mécanismes de conformité — Mettre en place un mécanisme permettant de garantir le respect des exigences légales applicables, telles que les clauses contractuelles relatives aux obligations en matière de protection des données
  • preuves d'audit indépendantes — Envisagez d’exiger une conformité auditée de manière indépendante (par exemple, Certification ISO 27001) comme moyen de démontrer que les fournisseurs respectent les exigences en matière de sécurité de l'information
  • Instructions spécifiques au processeur — Lorsque l’organisation agit en tant que sous-traitant, les contrats conclus avec ses propres fournisseurs (sous-traitants ultérieurs) doivent préciser que les données à caractère personnel ne sont traitées que conformément aux instructions du responsable du traitement.

Ces lignes directrices soulignent que les accords avec les fournisseurs ne sont pas qu'une simple formalité juridique ; ils constituent le principal mécanisme par lequel les organisations étendent leurs contrôles de confidentialité à la chaîne d'approvisionnement.

Comment cela se traduit-il au regard du RGPD ?

La commande A.3.10 correspond à plusieurs GDPR des articles:

  • Article 5(1)(f) — Intégrité et confidentialité, y compris lorsque les informations personnelles sont traitées par des tiers
  • Article 28 (1) — Les contrôleurs doivent utiliser uniquement des processeurs offrant des garanties suffisantes.
  • Article 28(3)(ah) — Clauses contractuelles obligatoires pour les accords de traitement des données, notamment l'objet, la durée, la nature du traitement et les obligations des deux parties
  • Article 30, paragraphe 2, point d) — Les sous-traitants doivent consigner les catégories de traitement effectuées pour le compte de chaque responsable du traitement.
  • Article 32 (1) (b) — Capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes de traitement

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était traitée par les clauses 6.12.1.1 et 6.12.1.2, qui portaient sur la politique de sécurité de l'information relative aux relations avec les fournisseurs et sur la sécurité au sein des accords fournisseurs. L'édition 2025 les regroupe en un seul contrôle (A.3.10) accompagné d'une section unifiée de recommandations de mise en œuvre (B.3.10). Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.3.10, les auditeurs recherchent généralement :

  • Registre des fournisseurs — Une liste de tous les fournisseurs qui traitent des données personnelles, avec des détails sur les données auxquelles ils accèdent et la nature du traitement.
  • accords de traitement des données — Contrats ou clauses signés précisant les exigences, les responsabilités et les obligations de conformité en matière de sécurité de l'information
  • registres de diligence raisonnable — Preuves que les fournisseurs ont été évalués avant leur engagement, notamment par le biais de questionnaires de sécurité ou de vérifications de certification.
  • Surveillance continue — Les comptes rendus des examens, audits ou contrôles de recertification périodiques des fournisseurs visant à confirmer la conformité continue
  • Gestion des sous-processeurs — Lorsque l'organisation est un sous-traitant, la documentation démontrant que les sous-traitants ultérieurs sont contractuellement tenus de respecter les instructions du responsable du traitement.

Quelles sont les commandes associées ?

Contrôle Lien familial
A.3.9 Droits d'accès L'accès des fournisseurs aux informations personnelles identifiables doit être régi par la politique de contrôle d'accès de l'organisation.
A.3.13 Exigences légales et contractuelles Les contrats de fournisseur doivent refléter les obligations légales et réglementaires applicables
A.3.18 Accords de confidentialité Le personnel des fournisseurs ayant accès aux informations personnelles identifiables doit signer des accords de confidentialité.
A.3.15 Examen indépendant Des audits indépendants peuvent démontrer la conformité des fournisseurs au lieu d'audits individuels chez les clients.
A.3.12 Réponse aux incidents Les contrats fournisseurs doivent inclure des obligations de notification des violations et des délais de réponse.

À qui s'applique ce contrôle ?

A.3.10 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants de données personnelles. Les responsables du traitement doivent s'assurer que leurs sous-traitants et fournisseurs disposent de garanties contractuelles adéquates. Les sous-traitants doivent imposer des exigences équivalentes à leurs propres sous-traitants ultérieurs, afin de garantir que les données personnelles ne soient traitées que conformément aux instructions documentées du responsable du traitement.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des accords de confidentialité des fournisseurs ?

ISMS.en ligne fournit des outils pratiques pour gérer les relations avec les fournisseurs et les obligations en matière de confidentialité :

  • Module de gestion des fournisseurs — Tenir un registre central de tous les fournisseurs traitant des données personnelles, avec les niveaux de risque, les dates des contrats et les calendriers de révision.
  • Suivi des contrats — Contrats de traitement des données de stockage et de contrôle de version avec rappels de renouvellement automatisés
  • Processus de diligence raisonnable — Évaluez les nouveaux fournisseurs par rapport à vos exigences de sécurité avant leur intégration, grâce à des modèles de questionnaires configurables.
  • Surveillance continue — Planifier des évaluations périodiques des fournisseurs, incluant l'attribution des tâches et la collecte des preuves.
  • Rapports prêts pour l'audit — Générer des rapports de conformité des fournisseurs indiquant l'état des accords, l'historique des révisions et les actions en cours
  • Suivi des sous-processeurs — Cartographiez l'intégralité de la chaîne de traitement afin de savoir précisément où les données personnelles circulent au sein de votre réseau d'approvisionnement.

Questions fréquentes

Que doit inclure un contrat de fournisseur pour le traitement des données personnelles ?

L’accord devrait au minimum préciser si des données personnelles sont traitées, les catégories et le volume de données concernées, les mesures techniques et organisationnelles minimales que le fournisseur doit mettre en œuvre, la répartition des responsabilités entre les deux parties, les exigences en matière de notification des violations de données et un mécanisme de vérification de la conformité. GDPR, L’article 28(3) énumère les clauses contractuelles obligatoires qui doivent être abordées.

La certification ISO 27001 peut-elle remplacer un audit fournisseur ?

Le guide de mise en œuvre mentionne explicitement la conformité auditée par un organisme indépendant, telle que la norme ISO 27001, comme mécanisme permettant de démontrer le respect des exigences de sécurité. Bien que la certification constitue une preuve solide, les organisations doivent s'assurer que le périmètre de la certification du fournisseur couvre les activités de traitement des données personnelles concernées. La certification à elle seule peut ne pas répondre à toutes les exigences spécifiques en matière de protection de la vie privée.

En quoi cela diffère-t-il pour les processeurs gérant des sous-processeurs ?

Lorsque votre organisation agit en tant que sous-traitant, vos contrats avec les sous-traitants ultérieurs doivent inclure une clause garantissant que les données personnelles ne sont traitées que conformément aux instructions du responsable du traitement. Vous demeurez responsable envers ce dernier des actions de vos sous-traitants ultérieurs ; par conséquent, le même niveau de rigueur contractuelle et de diligence raisonnable doit s’appliquer tout au long de la chaîne.

Voir nos guides sur La norme ISO 27701 en tant qu'exigence d'approvisionnement et comment évaluer les fournisseurs du point de vue de l'acheteur.

Nos guide des exigences en matière de preuves d'audit couvre la documentation fournisseur attendue par les auditeurs.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.