Que requiert le contrôle A.3.27 ?
Des règles relatives au développement sécurisé des logiciels et des systèmes liés au traitement des données personnelles doivent être établies et appliquées.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) exige des organisations qu’elles intègrent la protection des données personnelles dès le début du cycle de vie du développement logiciel, plutôt que d’ajouter des contrôles de confidentialité a posteriori. Il s’agit de la mise en œuvre concrète du principe de « protection des données dès la conception » : les équipes de développement ont besoin de règles claires et applicables pour concevoir des systèmes qui protègent les données personnelles par défaut.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.27) fournit des orientations détaillées sur l’intégration de la protection de la vie privée dans le développement :
- politiques de développement axées sur les données personnelles — Les politiques de développement et de conception des systèmes devraient inclure des orientations relatives aux besoins de l'organisation en matière de traitement des données personnelles, en fonction de ses obligations envers les personnes concernées et des exigences légales applicables.
- Confidentialité par conception et par défaut — Les politiques devraient prendre en compte les aspects suivants :
- Lignes directrices sur la protection des données personnelles et la mise en œuvre des principes de confidentialité (selon la norme ISO/IEC 29100) dans le cycle de vie du développement logiciel
- Les exigences en matière de protection de la vie privée et des données personnelles identifiables (DPI) dès la phase de conception peuvent s'appuyer sur les résultats d'une évaluation des risques liés à la protection de la vie privée ou d'une analyse d'impact relative à la protection de la vie privée.
- Points de contrôle de la protection des données personnelles dans les étapes clés du projet
- Connaissances requises en matière de confidentialité et de protection des données personnelles pour les équipes de développement
- Par défaut, le traitement des données personnelles est minimisé.
- Voir aussi A.3.29 : Principes d’architecture et d’ingénierie des systèmes sécurisés pour les exigences connexes
- Voir aussi A.3.31 : Informations sur les tests pour les exigences connexes
Ce guide s'articule autour de cinq axes d'action que les équipes de développement peuvent intégrer à leurs processus existants. L'accent mis sur la minimisation du traitement des données personnelles par défaut est particulièrement important : les systèmes doivent être conçus pour collecter et traiter uniquement les données personnelles strictement nécessaires à la finalité identifiée.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.27 correspond à ce qui suit GDPR article:
- Article 25 (1) — Protection des données dès la conception et par défaut, exigeant des responsables du traitement qu'ils mettent en œuvre des mesures techniques et organisationnelles appropriées visant à appliquer les principes de protection des données et à intégrer les garanties nécessaires au traitement, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même.
L'article 25 est l'un des GDPRles dispositions les plus prospectives de et A.3.27 fournit une manière structurée de démontrer la conformité en intégrant les exigences de confidentialité dans les processus de développement.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée par la clause 6.11.2.1 (politique de développement sécurisé). L'édition 2025 conserve les exigences fondamentales (A.3.27) et propose des recommandations de mise en œuvre plus détaillées (B.3.27), offrant un cadre en cinq points plus clair pour intégrer la protection de la vie privée au développement. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.27, les auditeurs recherchent généralement :
- politique de développement sécurisé — Une politique documentée qui inclut des exigences spécifiques en matière de données personnelles pour chaque phase du cycle de vie du développement (conception, développement, tests, déploiement, maintenance).
- Évaluations de l'impact sur la vie privée — Preuve que des analyses d'impact sur la protection des données (AIP) ou des analyses d'impact relatives à la protection des données (AIPPD) sont réalisées lors de la phase de conception de nouveaux systèmes ou de modifications importantes apportées à des systèmes traitant des données personnelles identifiables (DPI).
- points de contrôle de protection des informations personnelles — Preuves que les étapes clés du projet incluent des examens ou des validations en matière de confidentialité, comme des points de contrôle de confidentialité dans les revues de sprint ou les listes de vérification de mise en production.
- Formation des développeurs — Documents attestant que les membres de l'équipe de développement ont été formés aux exigences de protection des données personnelles, aux principes de confidentialité et aux pratiques de codage sécurisé.
- Preuve de minimisation des données — Preuves que les systèmes sont conçus pour collecter et traiter le minimum de données personnelles nécessaires, telles que des documents de conception indiquant les champs de données pris en compte et la raison pour laquelle chacun est requis.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.2.6 Évaluation de l'impact sur la vie privée | Les analyses d'impact sur la protection des données (AIP) intègrent les exigences de confidentialité dans le processus de développement. |
| A.1.4.5 Objectifs de minimisation des informations personnelles identifiables | Le développement devrait implémenter la minimisation des données par défaut. |
| A.3.28 Exigences de sécurité de l'application | Les exigences de sécurité des applications complètent les règles de développement sécurisé |
| A.3.17 Sensibilisation et formation | La formation des développeurs à la protection de la vie privée favorise les bonnes pratiques de développement sécurisé |
| A.1.2.2 Identifier et documenter l'objectif | Les finalités de traitement documentées définissent les informations personnelles que le système doit collecter. |
À qui s'applique ce contrôle ?
A.3.27 est un contrôle partagé Cela s'applique aux responsables du traitement et aux sous-traitants de données personnelles. Toute organisation qui développe ou met en service des logiciels et des systèmes de traitement de données personnelles doit établir et appliquer des règles de développement sécurisées. Cela concerne les équipes de développement internes, les développeurs externes et les équipes travaillant sur des intégrations ou des personnalisations sur mesure. Pour le développement externalisé, voir également la section relative au contrôle. A.3.30 Développement externalisé.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la conformité en matière de développement sécurisé ?
ISMS.en ligne fournit des outils pratiques pour intégrer la protection de la vie privée dans vos processus de développement :
- Flux de travail d'analyse d'impact relative à la protection des données (AIPD) — Des modèles d'analyse d'impact sur la protection des données intégrés à votre processus de développement garantissent la prise en compte des exigences de confidentialité dès la conception.
- Gestion de politique — Publier des politiques de développement sécurisées avec contrôle de version, accusé de réception du personnel et planification des révisions
- Gestion des formations — Suivre la réalisation des formations de protection de la vie privée des développeurs, avec des rappels automatisés pour les certifications en retard ou arrivant à expiration.
- Suivi des étapes du projet — Créer des points de contrôle de protection des données personnelles dans les plans de projet, avec des flux de travail de validation pour les contrôles de confidentialité.
- Preuve de conformité — Collecter et organiser les preuves de développement sécurisé, notamment les analyses d'impact sur la protection des données (AIP), les revues de conception, les comptes rendus de revue de code et les résultats des tests, en vue de l'audit.
Questions fréquentes
Que signifie concrètement la notion de confidentialité par défaut ?
La protection de la vie privée par défaut signifie que lors du déploiement d'un système ou de la création d'un compte utilisateur, les paramètres par défaut doivent garantir le plus haut niveau de protection de la vie privée. Les utilisateurs doivent donner leur accord explicite pour partager des données supplémentaires, plutôt que de devoir refuser la collecte de données. Par exemple, un système ne doit collecter que les informations personnelles minimales requises pour son fonctionnement principal, la collecte de données supplémentaires étant désactivée par défaut et activée uniquement si l'utilisateur choisit explicitement de les fournir.
Que sont les points de contrôle de protection des informations personnelles identifiables (PII) ?
Les points de contrôle de protection des données personnelles sont des étapes définies du cycle de vie d'un projet où les exigences de confidentialité sont examinées et vérifiées. Il peut s'agir, par exemple, d'un examen de la confidentialité lors de la conception de l'architecture, d'un point de contrôle lors de la revue de code vérifiant la conformité du traitement des données personnelles, d'une validation de la confidentialité avant la mise en production et d'une vérification de la confidentialité après le déploiement. Ces points de contrôle doivent être documentés dans le processus de développement et comporter des critères clairs de réussite ou d'échec.
Ce contrôle s'applique-t-il aux logiciels commerciaux ?
Le point A.3.27 s’applique principalement aux logiciels et systèmes développés ou mis en service par l’organisation. Concernant les logiciels du commerce, l’organisation doit évaluer, lors des phases d’acquisition et de configuration, si le logiciel répond aux exigences de protection des données personnelles (voir [référence manquante]). A.3.28 Sécurité des applications). Toutefois, toute personnalisation, intégration ou configuration de logiciels prêts à l'emploi qui affecte le traitement des IPI doit suivre les règles de développement sécurisé établies en vertu de la section A.3.27.
Les entreprises SaaS devraient également lire notre guide pour les plateformes SaaS pour les exigences de confidentialité spécifiques au développement.
Pour les considérations de développement spécifiques à l'IA, consultez notre Gouvernance de la confidentialité de l'IA guider.
