Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.3.20 : Supports de stockage

Le contrôle A.3.20 exige que les organisations gèrent les supports de stockage contenant des PII tout au long de leur cycle de vie, de l'acquisition à l'élimination, conformément à leur système de classification et à leurs exigences de manipulation.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.3.20 ?

Les supports de stockage contenant des données personnelles doivent être gérés tout au long de leur cycle de vie (acquisition, utilisation, transport et élimination) conformément au système de classification et aux exigences de manipulation de l'organisation.

Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) traite du cycle de vie complet de tout support physique ou amovible contenant des données personnelles. Contrairement aux contrôles de sécurité purement numériques, A.3.20 se concentre sur les risques concrets de perte, de vol, d’interception ou d’élimination inappropriée des supports à chaque étape de leur parcours au sein de l’organisation.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.3.20) fournit des orientations détaillées couvrant plusieurs domaines clés :

  • Documentez toute utilisation des supports amovibles — L’organisation doit documenter toute utilisation de supports ou de dispositifs amovibles pour le stockage de données personnelles, en créant un registre vérifiable des supports existants et de leur utilisation.
  • Chiffrez autant que possible. — Les supports ou dispositifs physiques amovibles utilisés pour stocker des données personnelles doivent permettre le chiffrement. Les supports non chiffrés ne doivent être utilisés qu’en cas d’absolue nécessité, et des mesures compensatoires telles que des emballages inviolables doivent être mises en place pour atténuer les risques.
  • procédures d'élimination sécurisées — Lorsqu'un support amovible contenant des données personnelles est éliminé, des procédures d'élimination sécurisées doivent être documentées et mises en œuvre afin de garantir que les données personnelles précédemment stockées ne soient pas accessibles.
  • contrôles de transfert de supports physiques — Un système doit enregistrer les supports physiques entrants et sortants contenant des données personnelles, notamment le type de support, l'expéditeur autorisé, les destinataires autorisés, la date et l'heure, ainsi que le volume du support.
  • Chiffrement en transit — Dans la mesure du possible, des mesures supplémentaires telles que le chiffrement devraient garantir que les données ne soient accessibles qu'à destination, et non pendant leur transit.
  • Autorisation avant de quitter les lieux — Les supports physiques contenant des données personnelles doivent faire l'objet d'une procédure d'autorisation avant de quitter les locaux de l'organisation, afin de garantir que ces données ne soient accessibles qu'au personnel autorisé.

Ce guide souligne que les supports amovibles emportés hors des locaux de l'organisation sont particulièrement vulnérables à la perte, aux dommages et aux accès non autorisés. Le chiffrement de ces supports constitue une protection essentielle qui réduit les risques pour la sécurité et la confidentialité en cas de compromission.

Comment cela se traduit-il au regard du RGPD ?

La commande A.3.20 correspond à ce qui suit GDPR des articles:

  • Article 5(1)(f) — Le principe d’intégrité et de confidentialité, qui exige une sécurité appropriée, notamment une protection contre le traitement non autorisé et la perte accidentelle
  • Article 32 (1) a) — L’obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées, notamment la pseudonymisation et le chiffrement des données personnelles

Le GDPRLa mention explicite du chiffrement dans l’article 32(1)(a) s’aligne directement sur l’accent mis par A.3.20 sur le chiffrement des supports amovibles chaque fois que cela est possible.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était répartie entre les clauses 6.5.3.1 (gestion des supports amovibles), 6.5.3.2 (élimination des supports), 6.5.3.3 (transfert physique des supports) et 6.8.2.5. L'édition 2025 les regroupe en une seule clause, A.3.20, offrant ainsi une vision plus cohérente du cycle de vie de la gestion des supports de stockage. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Demander demo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.3.20, les auditeurs recherchent généralement :

  • Inventaire des médias — Un registre de tous les supports de stockage amovibles et portables utilisés pour les données personnelles identifiables, incluant le type de support, le propriétaire, le niveau de classification et l'emplacement physique.
  • Politique de chiffrement et preuves — Une politique imposant le chiffrement des supports amovibles contenant des informations personnelles identifiables, avec la preuve que ce chiffrement est appliqué (par exemple, BitLocker, clés USB à chiffrement matériel).
  • Journal de transfert — Enregistrements des transferts de supports physiques indiquant l'expéditeur, le destinataire, l'autorisation, la date et le type de support
  • Registres d'élimination — Certificats de destruction ou registres d'élimination sécurisée des supports mis hors service
  • Procédures d'autorisation — Une procédure documentée pour approuver le retrait des supports contenant des données personnelles identifiables des locaux de l'organisation

Quelles sont les commandes associées ?

Contrôle Lien familial
A.3.5 Classification de l'information Les exigences en matière de traitement des supports sont déterminées par la classification des données personnelles qu'ils contiennent.
A.3.6 Étiquetage des informations Les supports de stockage doivent être étiquetés en fonction de leur niveau de classification.
A.3.21 Élimination ou réutilisation sécurisée La mise au rebut des équipements contenant des supports de stockage doit respecter les procédures de sécurité.
A.3.26 Utilisation de la cryptographie Les exigences de chiffrement des supports sont régies par la politique de cryptographie.
A.3.7 Transfert d'informations Le transfert sur support physique est une forme de transfert d'informations couverte par A.3.7 Transfert d'informations

À qui s'applique ce contrôle ?

A.3.20 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants du traitement des données personnelles. Toute organisation utilisant des supports de stockage physiques ou amovibles pour les données personnelles doit gérer ces supports tout au long de leur cycle de vie. Ceci est particulièrement important pour les organisations qui transfèrent des données personnelles via des supports amovibles entre leurs sites, à des tiers ou à leurs clients.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des supports de stockage ?

ISMS.en ligne fournit des outils pratiques pour la gestion des supports de stockage contenant des informations personnelles identifiables :

  • Registre des actifs — Tenir un inventaire centralisé de tous les supports de stockage, classés par niveau, propriétaire et emplacement physique, avec un suivi du cycle de vie de l'acquisition à la mise au rebut
  • Flux de travail de transfert — Enregistrer et autoriser les transferts de supports physiques via des flux d'approbation, en veillant à ce que chaque mouvement soit enregistré et auditable.
  • Suivi de l'élimination — Consigner les opérations d'élimination sécurisée par des certificats de destruction, directement liés au registre des actifs pour une traçabilité complète.
  • Gestion de politique — Publiez et diffusez des politiques relatives aux supports de stockage avec suivi des accusés de réception, afin de démontrer que le personnel comprend les exigences.
  • Dossiers de preuves d'audit — Générez des dossiers de preuves préconfigurés pour A.3.20 qui regroupent votre inventaire de supports, les journaux de transfert, les registres d'élimination et les accusés de réception de politiques.

Questions fréquentes

Quels sont les supports de stockage considérés comme tels au sens de cette réglementation ?

Les supports de stockage comprennent tout dispositif physique capable de stocker des données : clés USB, disques durs externes, cartes SD, disques optiques (CD, DVD, Blu-ray), bandes magnétiques, disques SSD et même documents papier. Le contrôle s’applique aussi bien aux supports amovibles qu’aux supports intégrés aux équipements portables tels que les ordinateurs portables. Si le support peut contenir des données personnelles identifiables et peut être déplacé hors des locaux de l’organisation, il relève du champ d’application de la règle A.3.20.

Le chiffrement est-il obligatoire pour tous les supports amovibles ?

Les recommandations préconisent le chiffrement chaque fois que cela est possible. Les supports non chiffrés ne doivent être utilisés qu'en cas d'absolue nécessité, et des mesures de sécurité compensatoires doivent être mises en place. En pratique, les clés USB modernes à chiffrement matériel et les outils de chiffrement intégral du disque rendent le chiffrement possible dans la quasi-totalité des cas. Les auditeurs exigeront une justification claire pour tout cas où le chiffrement n'est pas utilisé.

Comment les organisations doivent-elles gérer le stockage cloud sous ce contrôle ?

Le point A.3.20 porte spécifiquement sur les supports de stockage physiques et amovibles, et non sur le stockage en nuage. Ce dernier est traité par d'autres contrôles, notamment : A.3.10 Accords avec les fournisseurs (accords avec les fournisseurs) et A.3.7 Transfert d'informations (transfert d'informations). Toutefois, si des données sont téléchargées depuis un stockage cloud vers un support amovible, ce support relève immédiatement du champ d'application de l'article A.3.20 et doit être géré en conséquence.

Consignez ce contrôle dans votre Déclaration d'applicabilité avec votre approche de mise en œuvre.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.