Que requiert le contrôle A.3.21 ?
Les équipements contenant des supports de stockage avec des données personnelles doivent être vérifiés afin de s'assurer que toutes les données sensibles et tous les logiciels sous licence ont été supprimés ou écrasés de manière sécurisée avant leur mise au rebut ou leur réutilisation.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) traite d’un risque critique lié à la fin de vie des équipements : les données personnelles identifiables (DPI) restant sur les supports de stockage d’équipements mis hors service ou réaffectés peuvent être récupérées à l’aide d’outils d’analyse forensique facilement accessibles. Sans destruction de données vérifiée, les organisations s’exposent à des violations de données importantes à chaque fois qu’elles se débarrassent, vendent, donnent ou réaffectent du matériel.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.21) fournit les indications suivantes :
- Garantir la sécurité de la réaffectation du stockage — Lorsqu'un espace de stockage est réattribué, les données personnelles identifiables (DPI) qui y résidaient auparavant ne doivent pas être accessibles au nouvel utilisateur ou au nouveau système.
- Résoudre les problèmes de suppression liés aux performances — L’effacement explicite des données personnelles peut s’avérer impossible en raison des limitations de performance du système, ce qui crée un risque d’accès à ces données par un autre utilisateur. Ce risque doit être évité par des mesures techniques spécifiques.
- Par défaut, tous les supports sont considérés comme contenant des informations personnelles identifiables (IPI). — Tout matériel contenant des supports de stockage susceptibles de contenir des données personnelles doit être traité comme s'il en contenait effectivement, et des procédures d'élimination sécurisées doivent être appliquées, que la présence de données personnelles ait été confirmée ou non.
- Voir aussi A.3.5 : Classification des informations pour les exigences connexes
- Voir aussi A.3.6 : Étiquetage de l'information pour les exigences connexes
L'approche de précaution adoptée dans les lignes directrices est importante : plutôt que d'exiger des organisations qu'elles déterminent si chaque équipement contient effectivement des données personnelles (ce qui peut être difficile et source d'erreurs), la norme recommande de traiter tout équipement doté d'un support de stockage comme s'il contenait des données personnelles.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.21 correspond à ce qui suit GDPR article:
- Article 5(1)(f) — Le principe d’intégrité et de confidentialité, qui exige une sécurité appropriée des données à caractère personnel, notamment la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou l’endommagement accidentels
Le défaut d’élimination sécurisée du matériel est l’une des manières les plus courantes et les plus visibles dont les organisations enfreignent l’article 5(1)(f), ce qui entraîne souvent des mesures d’exécution et des amendes importantes.
Pour la correspondance complète entre le RGPD et la norme ISO 27701, voir Guide de conformité au RGPD.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée par la clause 6.8.2.7 (élimination ou réutilisation sécurisée du matériel). L'édition 2025 conserve les mêmes exigences fondamentales que la clause A.3.21, avec des recommandations de mise en œuvre dans la clause B.3.21. Le principe consistant à traiter tout matériel contenant des supports de stockage comme s'il contenait des données personnelles reste une recommandation clé. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.21, les auditeurs recherchent généralement :
- politique de destruction des données — Une politique documentée précisant comment le matériel contenant des informations personnelles doit être nettoyé avant d'être mis au rebut ou réutilisé, y compris les méthodes approuvées (par exemple, l'effacement cryptographique, la démagnétisation, la destruction physique).
- Certificats de destruction — Confirmation écrite des équipes internes ou des prestataires de destruction de données tiers attestant que la destruction des données a été effectuée, idéalement avec une référence aux numéros de série ou d'inventaire spécifiques.
- registre de cession d'actifs — Un registre de tous les équipements mis au rebut ou réaffectés, indiquant l'identifiant de l'actif, la date de mise au rebut, la méthode de destruction des données et la personne responsable.
- Contrats d'élimination par des tiers — Lorsque l'élimination des données est externalisée, les contrats doivent préciser les normes de destruction et la responsabilité, et comporter des preuves de diligence raisonnable à l'égard du prestataire.
- Contrôles de vérification — Preuve que la destruction des données a été vérifiée (par exemple, contrôles ponctuels, échantillonnage ou rapports de vérification automatisés provenant de logiciels d'effacement de données).
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.20 Supports de stockage | La mise au rebut est la dernière étape du cycle de vie des supports de stockage gérée par A.3.20 Supports de stockage |
| A.1.4.9 Élimination | Exigences d'élimination spécifiques au contrôleur pour les données PII, en complément de l'élimination physique des équipements |
| A.1.4.6 Dé-identification et suppression | Exigences de suppression des données à satisfaire avant la mise au rebut de l'équipement |
| A.3.10 Accords avec les fournisseurs | Les prestataires de services d'élimination de déchets tiers doivent être liés par des conditions contractuelles appropriées. |
| A.3.14 Protection des documents | Les certificats et registres d'élimination doivent être conservés comme preuves. |
À qui s'applique ce contrôle ?
A.3.21 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants du traitement des données personnelles. Toute organisation qui possède ou loue du matériel susceptible de stocker des données personnelles doit garantir la destruction sécurisée des données avant tout changement de propriétaire de ce matériel, que ce soit par mise au rebut, vente, don, restitution (à la fin du contrat de location) ou réaffectation interne.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion de la mise au rebut des équipements ?
ISMS.en ligne fournit des outils pratiques pour gérer la mise au rebut et la réutilisation sécurisées des équipements :
- Suivi du cycle de vie des actifs — Suivez chaque équipement, de son acquisition à sa mise au rebut, grâce à des mises à jour de statut et à l'historique de propriété liés à votre registre des actifs.
- Flux de travail d'élimination — Déclencher des flux de travail de mise hors service qui exigent une vérification de la destruction des données avant qu'un actif puisse être marqué comme mis hors service
- stockage des certificats — Téléversez et liez directement les certificats de destruction aux enregistrements d'actifs, créant ainsi une piste d'audit complète.
- Gestion des fournisseurs — Gérer les prestataires de services d'élimination de déchets tiers à l'aide des contrats, des documents de vérification préalable et des évaluations de performance
- Dossiers de preuves automatisés — Générer des dossiers de preuves prêts pour l'audit, combinant les registres d'actifs, les journaux de cession et les certificats de destruction, conformément à la norme A.3.21.
Questions fréquentes
Quelles méthodes de destruction de données sont acceptables ?
Les méthodes acceptables comprennent l'effacement cryptographique (qui rend les données chiffrées illisibles en détruisant les clés de chiffrement), l'écrasement sécurisé à l'aide d'algorithmes conformes aux normes industrielles (par exemple, les directives NIST 800-88), la démagnétisation (pour les supports magnétiques) et la destruction physique (broyage, écrasement ou incinération). La méthode choisie doit être proportionnée à la sensibilité des données personnelles et au type de support de stockage. Pour les disques SSD, l'effacement cryptographique ou la destruction physique est préférable, car l'écrasement traditionnel peut ne pas atteindre toutes les cellules de stockage.
Qu’en est-il du matériel loué restitué au bailleur ?
Le matériel loué doit être traité de la même manière que le matériel mis au rebut : toutes les données personnelles doivent être effacées de manière sécurisée avant sa restitution. Le contrat de location doit préciser les responsabilités en matière de destruction des données et permettre à l’organisation d’effectuer ou de vérifier l’effacement des données avant que le matériel ne quitte ses locaux. Si le bailleur se charge de la destruction, il convient d’obtenir une confirmation écrite et des certificats de destruction.
Faut-il traiter différemment les équipements endommagés ou défectueux ?
Les équipements endommagés requièrent une vigilance accrue, car l'effacement des données par logiciel peut s'avérer impossible. Si le support de stockage est encore intact, sa destruction physique est généralement la solution la plus sûre. Si l'équipement est envoyé en réparation, l'organisation doit évaluer la possibilité de retirer les supports de stockage contenant des données personnelles avant son départ de ses locaux. Le principe de précaution des recommandations s'applique : si l'équipement est susceptible de contenir des données personnelles, il convient de le traiter comme tel.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.
