Que requiert le contrôle A.3.17 ?
Le personnel de l'organisation et les parties intéressées concernées recevront une formation et une sensibilisation appropriées à la sécurité de l'information, ainsi que des mises à jour régulières sur la politique de sécurité de l'information de l'organisation, les politiques et procédures spécifiques à chaque sujet, en fonction de leurs fonctions et en ce qui concerne le traitement des informations personnelles identifiables.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) reconnaît que même les meilleurs dispositifs de contrôle technique sont inefficaces si les personnes qui les utilisent ne comprennent pas leurs responsabilités. La formation doit être adaptée au rôle de chaque personne et faire l’objet d’une mise à jour régulière ; elle ne doit pas être dispensée ponctuellement.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.17) fournit les indications suivantes :
- Sensibilisation au signalement des incidents — Sensibiliser le personnel à la manière de reconnaître et de signaler les incidents potentiels concernant les données personnelles, en veillant à ce que tous les employés comprennent les canaux de signalement et l’importance d’une remontée d’information rapide.
- Conséquences des violations — S’assurer que le personnel est conscient des conséquences du non-respect des règles de confidentialité et de sécurité, et ce, selon trois axes :
- Pour l'organisation — Sanctions légales, pertes commerciales, atteinte à la réputation
- Pour le membre du personnel — Conséquences disciplinaires, y compris un licenciement potentiel
- Pour le principal PII — Les préjudices physiques, matériels et émotionnels que les individus peuvent subir
- Voir aussi A.3.19 : Bureau dégagé et écran dégagé pour les exigences connexes
- Formation périodique sur l'accès aux informations personnelles identifiables — Inclure une formation périodique appropriée, spécifiquement destinée au personnel ayant accès aux données personnelles, allant au-delà de la simple sensibilisation à la sécurité.
Les recommandations soulignent que la sensibilisation ne suffit pas. Le personnel doit comprendre les conséquences concrètes d'une mauvaise gestion des données personnelles, et pas seulement des déclarations de principe abstraites, mais aussi l'impact tangible sur les personnes dont les données sont compromises.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.17 correspond à GDPR L’article 39(1)(b) (disposition connexe, non formellement cartographiée à l’annexe D) confie au délégué à la protection des données la mission de veiller au respect de la réglementation, notamment en attribuant les responsabilités, en sensibilisant et en formant le personnel impliqué dans les opérations de traitement. Bien que toutes les organisations ne disposent pas d’un délégué à la protection des données, GDPR indique clairement que la formation est une activité essentielle en matière de conformité.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée par la clause 6.4.2.2 (sensibilisation, éducation et formation à la sécurité de l'information). L'édition 2025 conserve les exigences fondamentales (A.3.17), avec une distinction plus claire entre l'énoncé de contrôle et les directives de mise en œuvre (B.3.17). L'approche tridimensionnelle de la sensibilisation aux conséquences (organisation, membre du personnel, personne concernée par les données personnelles) demeure une caractéristique distinctive des directives. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.17, les auditeurs recherchent généralement :
- Programme d'entrainement — Un programme documenté de sensibilisation à la protection de la vie privée et à la sécurité, dont le contenu est adapté aux différents rôles et niveaux d'accès aux informations personnelles.
- Dossiers d'achèvement — Preuve que tout le personnel concerné a suivi la formation requise, avec les dates, les résultats (le cas échéant) et les comptes rendus de toute formation de recyclage.
- Mises à jour régulières — Preuve que le contenu de la formation est mis à jour lorsque les politiques changent et que le personnel est informé des mises à jour des politiques
- Formation spécifique au rôle — Formation complémentaire pour le personnel ayant un accès élevé aux données personnelles ou des rôles de traitement spécialisés, au-delà de la sensibilisation générale
- Mesure de l'efficacité — Preuves que le programme de formation est évalué quant à son efficacité, par exemple au moyen d'évaluations des connaissances, de simulations d'hameçonnage ou d'analyses des tendances des incidents
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.11 Planification de la gestion des incidents | La formation devrait aborder la manière de reconnaître et de signaler les incidents impliquant des informations personnelles. |
| A.3.18 Accords de confidentialité | La formation renforce les obligations de confidentialité signées par le personnel. |
| A.3.9 Droits d'accès | Le personnel ayant accès aux renseignements personnels doit recevoir une formation ciblée sur ses responsabilités en matière d'accès. |
| A.3.16 Conformité aux politiques | Les conclusions des contrôles de conformité peuvent révéler des lacunes en matière de formation qui nécessitent d'être comblées. |
| A.3.12 Réponse aux incidents | La formation à la gestion des incidents permet de s'assurer que le personnel connaît son rôle en cas de violation de données. |
À qui s'applique ce contrôle ?
A.3.17 est un contrôle partagé Cela concerne aussi bien les responsables du traitement que les sous-traitants. Tout le personnel qui traite des données personnelles ou qui pourrait affecter leur sécurité doit recevoir une formation adéquate. Cela inclut non seulement les employés permanents, mais aussi les prestataires, le personnel temporaire et les personnes intéressées qui interagissent avec des données personnelles ou les systèmes qui les traitent.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Pourquoi nous choisir ISMS.en ligne pour la formation à la sensibilisation à la protection de la vie privée ?
ISMS.en ligne fournit des outils pratiques pour constituer et maintenir un personnel sensibilisé au respect de la vie privée :
- Gestion des modules de formation — Créer, attribuer et suivre la réalisation des modules de formation adaptés aux différents rôles et niveaux d'accès aux informations personnelles.
- Planification automatisée — Définir la fréquence des formations en fonction du rôle, avec des rappels automatiques pour la formation initiale et les formations de recyclage périodiques.
- Suivi des accusés de réception de la politique — S’assurer que tout le personnel lise et prenne connaissance des politiques de confidentialité mises à jour, avec des tableaux de bord de suivi et une procédure d’escalade pour les personnes ne répondant pas.
- Rapport d'achèvement — Générer des rapports prêts pour l'audit indiquant qui a terminé la formation, quand et les exigences restant à satisfaire.
- Intégration avec la gestion des incidents — Associez les dossiers de formation aux données d'incidents afin de pouvoir identifier si les lacunes en matière de formation ont contribué aux incidents liés aux données personnelles.
- Intégration des nouveaux arrivants — Attribuer automatiquement une formation sur la protection de la vie privée aux nouveaux employés dans le cadre du processus d'intégration
Questions fréquentes
À quelle fréquence faut-il actualiser la formation à la sensibilisation à la protection de la vie privée ?
La norme exige des mises à jour régulières, sans toutefois préciser de fréquence. La plupart des organisations dispensent une formation de recyclage annuelle à l'ensemble de leur personnel, ainsi que des formations complémentaires en cas de changements importants de politique. Le personnel occupant des postes à haut risque et manipulant des données personnelles sensibles peut nécessiter une formation plus fréquente. L'essentiel est de démontrer que la formation est continue et adaptée à l'évolution de la situation, et non un événement ponctuel.
La formation devrait-elle aborder les conséquences pour les personnes morales concernées ?
Oui. Le guide de mise en œuvre exige expressément que le personnel comprenne les conséquences des atteintes à la vie privée selon trois axes : pour l’organisation, pour lui-même et pour la personne concernée. L’illustration d’exemples concrets de préjudices subis par les individus – tels que l’usurpation d’identité, les pertes financières ou la détresse émotionnelle – aide le personnel à comprendre pourquoi les mesures de protection de la vie privée sont essentielles, au-delà des simples exigences de conformité.
Cela s'applique-t-il aux contractuels et au personnel temporaire ?
Oui. Ce contrôle s'applique au personnel de l'organisation et aux parties intéressées concernées. Cela inclut les prestataires, les intérimaires, les consultants et toute autre personne ayant accès à des données personnelles ou à des systèmes traitant des données personnelles. Une formation doit leur être dispensée avant tout traitement de données personnelles et doit être adaptée à leur rôle et à la durée de leur mission.
Incluez les exigences de formation dans votre Déclaration d'applicabilité et les lier à des obligations de contrôle spécifiques.
Une formation insuffisante est l'un des erreurs de mise en œuvre les plus courantes — Évitez-le en intégrant la sensibilisation à votre système de gestion de l'information dès le départ.
