Que requiert le contrôle A.3.18 ?
Les accords de confidentialité ou de non-divulgation reflétant les besoins de l'organisation en matière de protection des renseignements personnels doivent être identifiés, documentés, régulièrement revus et signés par le personnel et les autres parties intéressées concernées.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) établit une garantie contractuelle fondamentale : toute personne ayant accès à des données personnelles doit être formellement tenue au secret professionnel. Ceci crée un cadre juridique clair pour faire respecter les obligations de protection des données au niveau individuel.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.18) fournit les indications suivantes :
- Veillez à ce que l'accès aux informations personnelles soit régi par des obligations de confidentialité. — Toute personne ayant accès à des renseignements personnels doit être soumise à une obligation de confidentialité, que ce soit par le biais d'un contrat de travail, d'un accord de confidentialité distinct ou d'un accord équivalent.
- Précisez la durée de l'obligation — Indiquez clairement la durée d'application des obligations de confidentialité, qui peut s'étendre au-delà de la fin de l'emploi ou de la période contractuelle.
- exigences spécifiques au processeur — Pour les sous-traitants, l'accord de confidentialité doit garantir que les employés et les agents respectent les politiques de l'organisation en matière de traitement et de protection des données.
- Voir aussi A.3.19 : Bureau dégagé et écran dégagé pour les exigences connexes
Les directives précisent que la confidentialité n'est pas seulement une attente culturelle ; elle doit constituer un engagement écrit et signé, avec une durée définie, afin que les obligations survivent aux changements de rôle, à la cessation d'emploi et à l'expiration du contrat.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.18 correspond à plusieurs GDPR des articles:
- Article 5(1)(f) — Le principe d'intégrité et de confidentialité, qui exige des mesures de sécurité appropriées, notamment une protection contre la divulgation non autorisée
- Article 28 (3) (b) — Les responsables du traitement doivent s’assurer que les personnes autorisées à traiter des données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité.
- Article 38(5) (disposition connexe, non formellement cartographiée à l'annexe D) — Le délégué à la protection des données est tenu au secret professionnel ou à la confidentialité concernant l'exercice de ses fonctions.
L’article 28(3)(b) est particulièrement important car il fait des engagements de confidentialité un élément obligatoire des accords de traitement – et non une pratique recommandée facultative.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée par la clause 6.10.2.4 (accords de confidentialité ou de non-divulgation). L'édition 2025 conserve les exigences fondamentales (A.3.18) et distingue plus clairement la déclaration de contrôle et les directives de mise en œuvre (B.3.18). L'accent mis sur la spécification de la durée des obligations et la garantie du respect de ces obligations par les employés du sous-traitant demeure essentiel. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.18, les auditeurs recherchent généralement :
- registre des accords de non-divulgation/de confidentialité — Une liste tenue à jour de toutes les personnes ayant signé des accords de confidentialité, indiquant la date de signature, la version de l'accord et la date d'expiration ou de révision.
- Accords signés — Copies des accords signés pour l'ensemble du personnel et des parties intéressées concernées ayant accès aux données personnelles
- Contenu de l'accord — Que les accords précisent l'étendue de la confidentialité, les types d'informations couvertes, la durée des obligations et les conséquences d'une violation
- Preuves d'examen régulier — Des documents attestant que les accords sont revus à intervalles réguliers et mis à jour en fonction des besoins.
- Couverture pour tous les types d'accès — Accords couvrant le personnel permanent, les contractuels, les travailleurs temporaires, les consultants et toute autre partie ayant accès aux renseignements personnels.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.9 Droits d'accès | Des accords de confidentialité doivent être signés avant que l'accès aux informations personnelles identifiables ne soit accordé. |
| A.3.17 Sensibilisation et formation | La formation devrait renforcer les obligations auxquelles le personnel s'est engagé dans ses accords. |
| A.3.10 Accords avec les fournisseurs | Les contrats fournisseurs devraient exiger que le personnel des fournisseurs signe des accords de confidentialité. |
| A.3.13 Exigences légales et contractuelles | Les obligations de confidentialité peuvent être dictées par des exigences légales ou contractuelles. |
| A.3.14 Protection des documents | Les accords signés doivent être conservés en lieu sûr pendant la période appropriée. |
À qui s'applique ce contrôle ?
A.3.18 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement des données personnelles qu'aux sous-traitants. Les responsables du traitement doivent s'assurer que leur personnel et les tiers sont tenus à la confidentialité. Les sous-traitants ont l'obligation supplémentaire suivante : GDPR L’article 28(3)(b) vise à garantir que toutes les personnes autorisées à traiter des données personnelles se soient engagées à respecter la confidentialité, ce qui fait de ce contrôle une exigence contractuelle et non une simple bonne pratique.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la gestion des accords de confidentialité ?
ISMS.en ligne fournit des outils pratiques pour maintenir les accords de confidentialité au sein de votre organisation :
- Registre des accords — Tenir un registre central de tous les accords de confidentialité et de non-divulgation, avec les coordonnées des signataires, les dates, les versions et les calendriers de révision.
- flux de travail de signature numérique — Émettre, suivre et recueillir les accords signés électroniquement, avec des rappels automatisés pour les signatures manquantes.
- Gestion de version — Lors de la mise à jour des modèles d'accords, assurez-vous de suivre les personnes qui utilisent la version actuelle et déclenchez une nouvelle signature si nécessaire.
- Alertes d'expiration et de révision — Notifications automatiques lorsque les accords approchent de leur date de révision ou lorsque les périodes de confidentialité sont sur le point d'expirer
- Lié à la gestion des accès — Associez les accords de confidentialité à votre registre de contrôle d'accès afin que l'accès aux informations personnelles identifiables ne soit accordé qu'une fois les accords en place.
Questions fréquentes
Quelle doit être la durée des obligations de confidentialité ?
Les directives de mise en œuvre exigent des organisations qu'elles précisent la durée des obligations. Dans de nombreux cas, les obligations de confidentialité s'étendent au-delà de la fin de l'emploi ou de la période contractuelle – souvent pendant deux à cinq ans, voire indéfiniment pour les données particulièrement sensibles. Cette durée doit être proportionnée à la sensibilité des données personnelles et au préjudice potentiel lié à leur divulgation. Il peut être nécessaire de consulter un avocat afin de garantir l'applicabilité de ces obligations dans les juridictions concernées.
Les clauses des contrats de travail peuvent-elles remplacer les accords de confidentialité indépendants ?
Oui, à condition que le contrat de travail contienne des clauses de confidentialité suffisamment détaillées couvrant spécifiquement les données personnelles, précisant la durée des obligations et adaptées au poste occupé. De nombreuses organisations incluent une clause de confidentialité générale dans les contrats de travail et la complètent par un accord plus détaillé relatif aux données personnelles pour le personnel occupant des postes à haut risque. L'essentiel est que les obligations soient documentées et signées, quel que soit le format du document.
Que se passe-t-il si une personne refuse de signer un accord de confidentialité ?
Si une personne refuse de signer et que son poste requiert l'accès aux données personnelles, cet accès ne devrait lui être accordé qu'après la signature de l'accord. Pour les nouveaux employés, la signature de l'accord de confidentialité devrait être une condition d'embauche ou, à minima, une condition d'obtention des droits d'accès aux données personnelles. Pour le personnel déjà en poste, l'organisation devrait collaborer avec les services des ressources humaines et juridiques afin de résoudre la situation, ce qui peut impliquer une réaffectation de la personne à un poste ne nécessitant pas l'accès aux données personnelles.
Documentez vos exigences en matière d'accord de confidentialité dans votre Déclaration d'applicabilité.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour les preuves de confidentialité attendues par les auditeurs.
