Que requiert le contrôle A.3.3 ?
Les politiques de sécurité de l'information relatives au traitement des données personnelles doivent être définies, approuvées par la direction, publiées, communiquées au personnel concerné et aux parties intéressées concernées, et faire l'objet d'un accusé de réception de leur part. Elles doivent également être revues à intervalles réguliers et en cas de changements importants.
Il s'agit du premier contrôle dans le contrôles de sécurité partagés (Tableau A.3), qui s'appliquent aux organisations agissant en tant que responsables du traitement des données personnelles, sous-traitants de données personnelles ou les deux. Elle étend les exigences de la norme ISO 27001 relatives aux politiques de sécurité de l'information afin de couvrir explicitement la protection de la vie privée et des données personnelles.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.3.3) fournit les indications suivantes :
- Développent politiques de confidentialité distinctes ou renforcer les politiques de sécurité de l'information existantes pour répondre aux exigences de traitement des renseignements personnels
- Inclure un engagement à respecter conformément à la législation applicable en matière de protection des données personnelles et aux conditions contractuelles
- Tenir compte des exigences légales lors de l'élaboration, de l'approbation et de la maintenance continue des politiques.
- Les politiques doivent être adaptées à la nature, à l'échelle et au contexte des activités de traitement des données personnelles.
- Réviser les politiques à intervalles réguliers et en cas de changements importants, tels que de nouvelles lois, de nouvelles activités de traitement ou une restructuration organisationnelle.
- Voir aussi A.3.13 : Exigences légales et réglementaires pour les exigences connexes
- Voir aussi A.3.15 : Examen indépendant de la sécurité de l'information pour les exigences connexes
Ces lignes directrices laissent aux organisations une certaine flexibilité quant à la structuration de leurs politiques. Une politique unique et intégrée couvrant à la fois la sécurité et la confidentialité des informations est acceptable, de même qu'un ensemble de documents distincts mais liés. L'essentiel est que le traitement des données personnelles soit explicitement abordé et que les politiques soient clairement communiquées et reconnues.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.3 correspond à GDPR Article 5(1)(f) (principe d'intégrité et de confidentialité) et article 32(2) (obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées). GDPR ne prescrit pas la forme exacte des politiques de sécurité, mais attend des organisations qu'elles mettent en place des mesures documentées et proportionnées au risque.
Ces articles du RGPD sont cartographiés dans le groupe plus large B.3.5–B.3.16 de contrôles partagés, reflétant que la politique est le fondement à partir duquel toutes les autres mesures de sécurité découlent.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
En tant que contrôle de sécurité partagé, A.3.3 soutient le cadre plus large de ISO 29100 Des politiques de sécurité de l'information bien définies, qui encadrent le traitement des données personnelles, constituent le socle de gouvernance nécessaire à la mise en œuvre de principes tels que la sécurité de l'information, la responsabilité et la conformité.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.3, les auditeurs recherchent généralement :
- Documents de politique approuvés — Des politiques de sécurité de l'information qui abordent explicitement le traitement des données personnelles, avec preuve d'approbation de la direction (signatures, procès-verbaux du conseil d'administration, registres d'approbation).
- Enregistrements de communication — Preuve que les politiques ont été publiées et communiquées à tout le personnel concerné et aux parties intéressées
- Registres de remerciements — Accusés de réception signés ou électroniques du personnel confirmant qu'ils ont lu et compris les politiques
- Examiner les dossiers — Preuve des révisions planifiées, avec dates, réviseurs et modifications apportées
- Engagement de conformité légale — Une déclaration explicite dans la politique s'engageant à respecter la législation applicable en matière de protection des renseignements personnels et les conditions contractuelles
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.4 Rôles et responsabilités en matière de sécurité de l'information | Les politiques définissent les attentes ; les rôles et les responsabilités garantissent que quelqu'un est responsable de leur mise en œuvre. |
| A.3.5 Classification de l'information | Les politiques de classification doivent aborder explicitement les renseignements personnels, conformément à la section A.3.3. |
| A.3.6 Étiquetage des informations | Les procédures d'étiquetage mettent en œuvre les exigences de la politique d'identification des renseignements personnels. |
| A.3.7 Transfert d'informations | Les règles de transfert doivent être fondées sur la politique de sécurité globale. |
| A.1.2.9 Registres de traitement des données personnelles | Les politiques définissent le cadre de gouvernance dans lequel les dossiers de traitement sont conservés. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était répartie entre les articles 6.2.1.1 et 6.2.1.2. L'article 6.2.1.1 traitait de l'exigence générale selon laquelle les politiques de sécurité de l'information doivent prendre en compte le traitement des données personnelles, tandis que l'article 6.2.1.2 abordait l'engagement de la direction. L'édition 2025 les regroupe en un seul contrôle (A.3.3) assorti de directives de mise en œuvre unifiées (B.3.3). Le fond reste le même, mais la structure est plus claire. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des politiques de sécurité de l'information ?
ISMS.en ligne vous fournit tout ce dont vous avez besoin pour créer, communiquer et maintenir des politiques conformes :
- Modèles de politiques prédéfinis — Commencez par des modèles conformes aux normes ISO 27001 et ISO 27701, puis personnalisez-les pour les activités de traitement des données personnelles de votre organisation.
- Contrôle de version — Suivez chaque modification apportée à chaque politique grâce à l'historique complet des versions, afin de toujours savoir ce qui était en vigueur et quand.
- Suivi des accusés de réception — Attribuer des politiques au personnel et suivre qui les a lues et en a accusé réception, avec des rappels automatisés pour les accusés de réception en attente.
- Examens programmés Définissez des dates de révision pour chaque politique et recevez des alertes lorsque les révisions sont dues, afin d'éviter que les politiques ne deviennent obsolètes.
- Preuves liées — Associer les politiques aux contrôles qu'elles prennent en charge, créant ainsi une piste d'audit claire de la politique à sa mise en œuvre.
Questions fréquentes
Devrions-nous créer une politique de confidentialité distincte ou mettre à jour les politiques de sécurité existantes ?
La norme autorise les deux approches. Une politique de confidentialité distincte est particulièrement adaptée aux organisations traitant des données personnelles complexes, car elle permet d'aborder en détail les questions de confidentialité spécifiques. Compléter les politiques existantes est plus pratique pour les petites organisations ou celles dont les activités de traitement sont plus simples. L'essentiel est que le traitement des données personnelles soit traité de manière explicite et adéquate, quelle que soit l'approche choisie.
Qui doit prendre acte de ces politiques ?
L’ensemble du personnel concerné et des parties intéressées. Le « personnel concerné » désigne toute personne traitant des données personnelles ou ayant accès à des systèmes traitant des données personnelles. Les « parties intéressées » peuvent inclure les prestataires, le personnel temporaire, les sous-traitants ou même les clients lorsque des obligations contractuelles exigent la connaissance des politiques de sécurité de l’organisation. Le périmètre doit être défini en fonction du contexte de l’organisation.
À quelle fréquence les politiques doivent-elles être révisées ?
À intervalles réguliers (généralement annuels) et en cas de changements importants. Ces changements peuvent inclure de nouvelles activités de traitement des données personnelles, des modifications de la législation applicable, une restructuration organisationnelle, des incidents de sécurité révélant des lacunes dans les politiques ou des évolutions de l'environnement technologique. L'approche la plus courante consiste en un examen annuel fixe, complété par un processus d'examen déclenché par des événements.
Les RSSI responsables de la gouvernance des politiques de confidentialité devraient lire notre Guide du RSSI relatif à la norme ISO 27701:2025.
Votre Déclaration d'applicabilité Il convient de faire référence aux politiques qui prennent en charge chaque contrôle sélectionné.
