Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.3.19 : Bureau dégagé et écran dégagé

La norme A.3.19 impose aux organisations de définir et d'appliquer des règles de bureau et d'écran dégagés dans les centres de traitement de l'information qui manipulent des données personnelles. Ce contrôle partagé réduit le risque d'accès non autorisé aux données personnelles laissées visibles dans les espaces de travail physiques et numériques.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.3.19 ?

Des règles de rangement des documents et des supports de stockage amovibles sur les bureaux, ainsi que des règles de rangement des écrans pour les équipements de traitement de l'information, doivent être définies et appliquées de manière appropriée.

Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) traite d’un risque d’apparence simple mais aux conséquences importantes : les informations personnelles laissées visibles sur les bureaux ou les écrans peuvent être vues, photographiées ou copiées par toute personne ayant un accès physique ou visuel à l’espace de travail. L’application de politiques de bureau et d’écran dégagés instaure une discipline de sécurité physique de base qui complète les contrôles d’accès techniques.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.3.19) fournit les indications suivantes :

  • Réduire au minimum la création de copies papier — L’organisation doit limiter la création de supports papier, y compris les données personnelles, au strict minimum nécessaire à la réalisation de la finalité du traitement identifiée.
  • supports de stockage amovibles — Les règles relatives au bureau dégagé doivent explicitement couvrir les supports amovibles tels que les clés USB, les disques durs externes et les disques optiques susceptibles de contenir des données personnelles.
  • Verrouillage de l'écran Les installations informatiques doivent être configurées pour verrouiller automatiquement les écrans après une période d'inactivité définie, et le personnel doit être formé au verrouillage manuel des écrans lorsqu'il quitte son poste de travail.
  • Voir aussi A.3.18 : Accords de confidentialité ou de non-divulgation pour les exigences connexes

Ces recommandations encouragent une approche de protection des données par défaut : si les données personnelles n’ont pas besoin d’être conservées sur support papier, elles ne devraient pas être créées. Lorsque l’utilisation de supports papier est inévitable, les règles de rangement sur le bureau garantissent leur sécurité lorsqu’ils ne sont pas utilisés.

Comment cela se traduit-il au regard du RGPD ?

La commande A.3.19 correspond à ce qui suit GDPR article:

  • Article 5(1)(f) — Le principe d’intégrité et de confidentialité exige que les données personnelles soient traitées de manière à garantir une sécurité appropriée, notamment la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou l’endommagement accidentels.

Les politiques de bureau propre et d’écran propre constituent une mise en œuvre pratique de l’article 5(1)(f), empêchant l’accès occasionnel ou opportuniste aux IPI dans les espaces de travail physiques et numériques.

Pour la correspondance complète entre le RGPD et la norme ISO 27701, voir Guide de conformité au RGPD.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était couverte par la clause 6.8.2.9 (politique de bureau et d'écran dégagés). L'édition 2025 conserve les exigences fondamentales (A.3.19) et les directives de mise en œuvre sont regroupées dans la clause B.3.19. L'accent mis sur la réduction au minimum de la création de copies papier de données personnelles est un ajout notable en matière de protection de la vie privée. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.3.19, les auditeurs recherchent généralement :

  • Politique de bureau et d'écran dégagés — Une politique documentée définissant des règles spécifiques pour la sécurisation des documents, des supports amovibles et des écrans lorsque les postes de travail sont sans surveillance.
  • Configuration du verrouillage automatique de l'écran — Preuve que les systèmes de traitement de l'information sont configurés pour se verrouiller après un délai d'inactivité défini (généralement de 5 à 15 minutes).
  • Mesures de sécurité physique — Tiroirs, armoires ou espaces de rangement sécurisés et verrouillables pour les documents contenant des renseignements personnels
  • Sensibilisation du personnel — Les dossiers de formation attestant que le personnel comprend et a été formé aux exigences relatives au bureau dégagé et à l'écran dégagé.
  • Contrôles de conformité — Comptes rendus des inspections périodiques des lieux de travail ou des contrôles ponctuels visant à vérifier le respect des règles relatives aux bureaux rangés

Quelles sont les commandes associées ?

Contrôle Lien familial
A.3.5 Classification de l'information Les étiquettes de classification indiquent quels documents doivent être mis en sécurité conformément aux règles du bureau propre.
A.3.17 Sensibilisation et formation La formation du personnel doit porter sur les obligations de bureau et d'écran dégagés.
A.3.20 Supports de stockage Laisser des supports amovibles sur les bureaux constitue une infraction manifeste au règlement intérieur.
A.3.22 Dispositifs terminaux utilisateur Les politiques relatives aux appareils terminaux doivent inclure des exigences de verrouillage d'écran.
A.3.16 Conformité aux politiques Les contrôles de conformité réguliers doivent inclure des audits de bureau et d'écran dégagés.

À qui s'applique ce contrôle ?

A.3.19 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants du traitement des données personnelles. Toute organisation traitant des données personnelles dans des espaces de travail physiques ou numériques doit définir et appliquer des règles de confidentialité concernant les bureaux et les écrans. Ceci est particulièrement important dans les bureaux paysagers, les espaces de travail partagés, les environnements de coworking et tout lieu où des personnes non autorisées peuvent avoir un accès visuel aux écrans ou aux documents.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour une conformité en matière de bureau dégagé et d'écran dégagé ?

ISMS.en ligne fournit des outils pratiques pour la mise en œuvre et le maintien de politiques de bureau et d'écran dégagés :

  • Modèles de politique — Des modèles de politiques de bureau et d'écran dégagés préconfigurés que vous pouvez personnaliser en fonction des besoins spécifiques et des types d'espaces de travail de votre organisation.
  • Campagnes de sensibilisation — Planifier et suivre les communications de sensibilisation du personnel, en veillant à ce que tous les employés comprennent leurs responsabilités en matière de bureau et d'écran propres.
  • Listes de contrôle de conformité — Créer et gérer des listes de contrôle pour les inspections ponctuelles des lieux de travail, avec enregistrement des résultats à des fins d'audit.
  • Suivi des formations — Enregistrer la réalisation des formations « bureau rangé » et « écran dégagé » pour chaque membre du personnel, avec des rappels automatiques pour les formations en retard.
  • Journalisation des incidents — Consigner et suivre les violations de la sécurité des bureaux comme des événements de sécurité, permettant ainsi l'analyse des tendances et une correction ciblée.

Questions fréquentes

Que doit couvrir une politique de bureau rangé ?

Une politique de bureau propre doit préciser que tous les documents et supports de stockage amovibles contenant des données personnelles doivent être rangés dans des tiroirs ou des armoires verrouillés lorsqu'ils ne sont pas utilisés. Elle doit couvrir les procédures de fin de journée, les règles relatives à l'absence des postes de travail pendant la journée, l'élimination des déchets confidentiels et la gestion des imprimantes et photocopieurs partagés. Cette politique doit également aborder les zones d'accès des visiteurs où des documents contenant des données personnelles pourraient être visibles.

Quel est le délai d'expiration recommandé pour le verrouillage de l'écran ?

La plupart des cadres de sécurité recommandent un délai d'inactivité de verrouillage automatique de l'écran compris entre 5 et 15 minutes. Les organisations traitant des données personnelles sensibles (telles que des données de santé ou des dossiers financiers) peuvent opter pour un délai plus court. Ce délai doit être appliqué de manière centralisée via une stratégie de groupe ou la gestion des appareils mobiles et ne doit pas être configurable par les utilisateurs finaux.

Comment les règles du bureau rangé s'appliquent-elles aux télétravailleurs ?

Les règles relatives au bureau rangé s'appliquent aussi bien aux télétravailleurs qu'aux personnes travaillant à domicile. Les organisations doivent fournir des recommandations sur la sécurisation des documents confidentiels à domicile, notamment l'utilisation de solutions de rangement verrouillables lorsque cela est possible. Il convient de rappeler aux télétravailleurs que les membres de leur famille et les visiteurs présents à leur domicile ne sont pas autorisés à consulter ces documents. Des filtres de confidentialité et un verrouillage automatique de l'écran doivent être activés sur tous les appareils utilisés pour le télétravail.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.