Que requiert le contrôle A.3.14 ?
Les documents relatifs au traitement des données personnelles doivent être protégés contre la perte, la destruction, la falsification, l'accès non autorisé et la divulgation non autorisée.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) traite d’une exigence fondamentale de gouvernance : les documents attestant de votre conformité en matière de protection des données doivent être sécurisés. Si ces documents peuvent être perdus, modifiés ou consultés sans autorisation, ils perdent toute valeur probante en tant que preuve de conformité.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.14) fournit les indications suivantes :
- Examen historique des politiques — Un examen des politiques actuelles et passées peut s'avérer nécessaire dans certaines situations, notamment pour résoudre les litiges avec les clients ou répondre aux enquêtes des autorités de surveillance.
- Conservez des copies des documents relatifs à la protection de la vie privée — Conservez des copies des politiques et procédures de confidentialité pendant la période spécifiée dans le calendrier de conservation des documents de l'organisation, y compris les versions précédentes lors de la mise à jour des politiques.
Ce guide souligne que la protection des données ne se limite pas aux documents actuels. Les organisations peuvent être amenées à démontrer les politiques en vigueur à un moment précis, par exemple pour prouver l'existence de garanties adéquates lors d'une violation de données, ou pour répondre à une plainte d'une personne concernée faisant référence à un traitement antérieur.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.14 correspond à GDPR L’article 5, paragraphe 2 (principe de responsabilité) et l’article 24, paragraphe 2 (mise en œuvre de politiques appropriées de protection des données) s’appliquent. Le principe de responsabilité exige des responsables du traitement qu’ils soient en mesure de démontrer leur conformité, ce qui repose entièrement sur la tenue de registres fiables et protégés. En cas de perte ou d’altération de ces registres, l’organisation ne peut remplir cette obligation.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était couverte par la clause 6.15.1.3 (protection des données). L'édition 2025 conserve les exigences fondamentales (A.3.14) et établit une distinction plus claire entre la déclaration de contrôle et les directives de mise en œuvre (B.3.14). La conservation des versions antérieures des politiques de confidentialité demeure un élément clé de ces directives. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.14, les auditeurs recherchent généralement :
- politique de conservation des documents — Une politique documentée précisant la durée de conservation des enregistrements de traitement des données personnelles, y compris les durées minimales de conservation pour les différentes catégories d'enregistrements.
- Contrôle de version — Preuve que les versions précédentes des politiques de confidentialité, des procédures et des registres de traitement sont conservées et accessibles, avec une numérotation claire des versions et les dates correspondantes.
- Contrôles d'accès — Des restrictions sur les personnes autorisées à accéder aux données de confidentialité, à les modifier et à les supprimer, avec un enregistrement des modifications apportées.
- Sauvegarde et récupération — Preuve que les enregistrements sont sauvegardés et peuvent être récupérés en cas de panne du système ou de perte de données
- Contrôles d'intégrité — Mécanismes de détection et de prévention de la falsification des documents, tels que les pistes d'audit, les signatures numériques ou le stockage inviolable
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.9 Droits d'accès | L'accès aux dossiers confidentiels doit être limité au personnel autorisé. |
| A.3.12 Réponse aux incidents | Les enregistrements des violations de données doivent être protégés dans le cadre de la gestion des documents de l'organisation. |
| A.3.13 Exigences légales et contractuelles | Les durées de conservation peuvent être déterminées par des obligations légales. |
| A.3.15 Examen indépendant | Les auditeurs ont besoin d'accéder aux archives historiques pour vérifier la conformité continue |
| A.3.16 Conformité aux politiques | Les pratiques de protection des documents doivent être vérifiées lors des contrôles de conformité. |
À qui s'applique ce contrôle ?
A.3.14 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants de données personnelles. Les responsables du traitement doivent conserver les documents attestant de leur conformité à la législation sur la protection des données, notamment les registres de traitement, les enregistrements de consentement et les analyses d'impact relatives à la protection des données. Les sous-traitants doivent conserver les documents relatifs aux activités de traitement effectuées pour le compte des responsables du traitement, les notifications de violation de données et la documentation contractuelle.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la protection des enregistrements de traitement des données personnelles ?
ISMS.en ligne fournit des outils pratiques pour la tenue de registres de confidentialité sécurisés et vérifiables :
- Gestion documentaire avec contrôle de version — Chaque politique, procédure et document est versionné et conserve l'historique complet des modifications, ce qui vous permet de toujours retrouver la version en vigueur à un moment donné.
- Contrôles d'accès basés sur les rôles — Limiter l'accès aux documents confidentiels en fonction des rôles, en veillant à ce que seul le personnel autorisé puisse consulter, modifier ou exporter les documents sensibles.
- Piste d'audit inviolable — Toutes les modifications apportées aux enregistrements sont consignées avec un horodatage et l'identité de l'utilisateur, ce qui constitue une preuve d'intégrité.
- Gestion automatisée de la rétention — Définissez des durées de conservation pour différents types d'enregistrements, avec des alertes avant expiration, afin de garantir le respect de votre calendrier de conservation.
- Stockage cloud sécurisé Les données sont stockées de manière chiffrée, au repos comme en transit, avec des sauvegardes automatisées et une reprise après sinistre.
Questions fréquentes
Pourquoi est-il important de conserver les versions précédentes des politiques de confidentialité ?
Les autorités de contrôle ou les tribunaux peuvent être amenés à examiner les politiques en vigueur à un moment précis, par exemple lors d'une violation de données, du traitement des données personnelles d'une personne concernée ou du dépôt d'une plainte. Sans archives, l'organisation ne peut démontrer les mesures de protection mises en place. Il est donc essentiel, pour garantir la transparence, de conserver des copies datées et versionnées de toute la documentation relative à la protection des données.
Combien de temps les enregistrements de traitement des informations personnelles doivent-ils être conservés ?
La norme ne prescrit pas de durée de conservation spécifique. Celle-ci doit être définie dans le calendrier de conservation des documents de l'organisation en fonction des exigences légales applicables, des obligations contractuelles et des besoins opérationnels. GDPR ne précise pas de durée de conservation exacte pour les documents de conformité, mais les organisations doivent les conserver suffisamment longtemps pour pouvoir répondre aux enquêtes des autorités de surveillance et aux plaintes des personnes concernées, qui peuvent survenir plusieurs années après le traitement.
Quels types d'enregistrements ce contrôle couvre-t-il ?
Cela concerne tous les documents relatifs au traitement des données personnelles, notamment : les registres d’activité de traitement, les politiques et procédures de confidentialité, les enregistrements de consentement, les analyses d’impact sur la protection des données, les rapports de violation de données, les registres des demandes des personnes concernées, les contrats fournisseurs, les dossiers de formation et les rapports d’audit. En résumé, tout document utilisé pour démontrer la conformité à la réglementation en matière de protection des données doit être protégé par ce contrôle.
Nos guide des exigences en matière de preuves d'audit Il répertorie les enregistrements spécifiques attendus par les auditeurs pour chaque clause et domaine de contrôle.
