Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.3.31 : Informations de test

Le contrôle A.3.31 impose aux organisations de sélectionner, protéger et gérer de manière appropriée les informations de test relatives au traitement des données personnelles. Ce contrôle partagé empêche la divulgation inutile de données personnelles réelles dans les environnements de test et de développement.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.3.31 ?

Les informations relatives aux tests et au traitement des données personnelles doivent être sélectionnées, protégées et gérées de manière appropriée.

Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) traite de l’une des causes les plus fréquentes d’exposition inutile de données personnelles : la copie de données de production dans des environnements de test et de développement. Ces environnements présentent généralement des contrôles d’accès moins stricts, un accès plus étendu, une surveillance moindre et une infrastructure plus transitoire que les systèmes de production, ce qui constitue un risque important pour la protection de la vie privée s’ils contiennent des données personnelles.

Que dit le guide de mise en œuvre de l'annexe B ?

L’annexe B (section B.3.31) fournit les indications suivantes :

  • Privilégier les données synthétiques — Les informations personnelles ne doivent pas être utilisées à des fins de test ; il convient d’utiliser des informations personnelles falsifiées ou synthétiques à la place.
  • Appliquer des contrôles équivalents lorsque la transmission de données personnelles est inévitable. — Lorsque l’utilisation de données personnelles à des fins de test est inévitable, des mesures techniques et organisationnelles équivalentes à celles utilisées en environnement de production doivent être mises en œuvre afin de minimiser les risques.
  • Évaluer les risques lorsque des contrôles équivalents ne sont pas possibles — Lorsque de telles mesures équivalentes ne sont pas réalisables, une évaluation des risques doit être effectuée et utilisée pour identifier les mesures d'atténuation appropriées.
  • Voir aussi A.3.28 : Exigences de sécurité des applications pour les exigences connexes
  • Voir aussi A.3.29 : Principes d’architecture et d’ingénierie des systèmes sécurisés pour les exigences connexes

Ce guide établit une hiérarchie claire : d’abord les données synthétiques, puis les contrôles équivalents à ceux utilisés en production si l’utilisation de données personnelles réelles est inévitable, et enfin, en dernier recours, les mesures d’atténuation fondées sur une évaluation des risques. Cette approche progressive reconnaît que certains scénarios de test peuvent nécessiter des données réelles, tout en précisant que cela doit rester l’exception.

Comment cela se traduit-il au regard du RGPD ?

La commande A.3.31 correspond à ce qui suit GDPR article:

  • Article 5(1)(f) — Le principe d’intégrité et de confidentialité, qui exige une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé

L’utilisation de données personnelles réelles dans des environnements de test où les contrôles de sécurité sont moins stricts qu’en production constitue une violation directe de l’article 5, paragraphe 1, point f). Les autorités de surveillance ont engagé des poursuites contre des organisations ayant exposé des données personnelles via des environnements de test insuffisamment sécurisés.

Pour la correspondance complète entre le RGPD et la norme ISO 27701, voir Guide de conformité au RGPD.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence était couverte par la clause 6.11.3.1 (protection des données de test). L'édition 2025 conserve les exigences fondamentales (A.3.31) et les recommandations de mise en œuvre (B.3.31) proposent désormais une hiérarchie à trois niveaux plus claire pour la gestion des données de test : données synthétiques, contrôles équivalents, puis mesures d'atténuation évaluées en fonction des risques. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.3.31, les auditeurs recherchent généralement :

  • Politique relative aux données de test — Une politique documentée précisant que des données synthétiques ou anonymisées doivent être utilisées pour les tests, avec une procédure définie pour les cas exceptionnels où des données personnelles réelles sont requises.
  • capacité de données synthétiques — Preuve que l'organisation dispose d'outils ou de processus permettant de générer des données de test réalistes mais fictives
  • sécurité de l'environnement de test — Lorsque de véritables informations personnelles sont utilisées lors des tests, il convient de fournir la preuve que l'environnement de test dispose de contrôles de sécurité équivalents à ceux de la production (contrôles d'accès, chiffrement, journalisation, surveillance).
  • Évaluations des risques — Lorsque des contrôles équivalents ne sont pas possibles, des évaluations des risques documentées identifiant les risques et les mesures d'atténuation sélectionnées
  • gestion du cycle de vie des données de test — Preuve que les données personnelles réellement utilisées lors des tests sont supprimées ou détruites une fois les tests terminés.

Quelles sont les commandes associées ?

Contrôle Lien familial
A.3.27 Cycle de vie du développement sécurisé La gestion des données de test doit être intégrée au cycle de vie du développement.
A.3.30 Développement externalisé Les développeurs externes ne doivent pas utiliser de véritables informations personnelles identifiables (IPI) à des fins de test.
A.1.4.6 Dé-identification et suppression Les techniques de dépersonnalisation permettent de créer des données de test utilisables à partir de données de production.
A.3.9 Droits d'accès L'accès aux environnements de test contenant de véritables informations personnelles doit être contrôlé.
A.3.25 Exploitation forestière L'accès aux données personnelles dans les environnements de test doit être consigné.

À qui s'applique ce contrôle ?

A.3.31 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants de données personnelles. Toute organisation qui teste des systèmes traitant des données personnelles doit gérer les données de test de manière appropriée. Ceci est particulièrement important pour les fournisseurs SaaS, les éditeurs de logiciels et les fournisseurs de services gérés, pour lesquels le développement et les tests sont des activités continues et non des projets ponctuels.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des données de test ?

ISMS.en ligne fournit des outils pratiques pour gérer en toute sécurité les informations de test :

  • Gestion de politique — Publier des politiques relatives aux données de test avec un système de contrôle de version et de suivi des accusés de réception du personnel
  • Évaluations des risques — Effectuer des évaluations des risques ciblées pour les scénarios où la présence de données personnelles identifiables (DPI) réelles lors des tests est inévitable, avec des mesures d'atténuation documentées.
  • Gestion des exceptions — Assurer le suivi des exceptions approuvées où des données personnelles réelles sont utilisées à des fins de test, y compris la justification, l'approbation, les mesures de sécurité appliquées et la confirmation de destruction des données.
  • Surveillance de la conformité — Surveillez la conformité de l'environnement de test avec votre politique de données de test au sein des équipes de développement
  • Gestion des preuves — Conserver les preuves de gestion des données de test, y compris la documentation relative aux capacités des données synthétiques, les évaluations des risques et les enregistrements d'exceptions, en vue de la préparation aux audits.

Questions fréquentes

Quand est-il acceptable d'utiliser de véritables données personnelles à des fins de test ?

Les données personnelles réelles ne doivent être utilisées que lorsque les données synthétiques ne permettent pas de reproduire fidèlement le scénario de test. Les justifications courantes incluent : les tests de migration de données depuis un système existant (où la structure et le contenu des données doivent être vérifiés), le diagnostic d’un problème de production non reproductible avec des données synthétiques, ou les tests de performance où le volume et les caractéristiques des données doivent correspondre à ceux de la production. Dans tous les cas, une évaluation des risques doit être réalisée, des mesures de sécurité équivalentes doivent être appliquées et les données personnelles réelles doivent être supprimées de l’environnement de test une fois les tests terminés.

Quelles techniques peuvent être utilisées pour créer des données de test synthétiques ?

Les techniques courantes comprennent : les outils de génération de données qui créent des enregistrements réalistes mais fictifs (noms, adresses, identifiants) ; le masquage ou la pseudonymisation des données qui remplace les véritables valeurs d’informations personnelles par des valeurs fictives tout en préservant la structure et les relations entre les données ; le sous-ensemble de données qui prélève un petit échantillon de la production et l’anonymise ; et les outils de synthèse de données qui utilisent des modèles statistiques pour générer des données présentant les mêmes caractéristiques de distribution que les données de production. Cette approche doit préserver la valeur de test des données tout en éliminant les risques pour la confidentialité.

Quels contrôles de sécurité sont nécessaires pour les environnements de test contenant de véritables informations personnelles identifiables (PII) ?

La norme exige des contrôles équivalents à ceux de l'environnement de production. Cela inclut généralement : un modèle de contrôle d'accès identique avec les mêmes exigences d'authentification ; le chiffrement des données au repos et en transit ; la journalisation et la surveillance de tous les accès aux données ; des revues d'accès régulières ; l'isolation de l'environnement sécurisé par rapport aux réseaux publics ; et des procédures de destruction des données une fois les tests terminés. De nombreuses organisations jugent plus simple et moins risqué d'investir dans des données synthétiques plutôt que de dupliquer les contrôles de sécurité de production dans plusieurs environnements de test.

Incluez des contrôles de données de test dans votre Déclaration d'applicabilité.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent en matière de protection des données de test.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.