Que requiert le contrôle A.3.7 ?
Des règles, procédures ou accords de transfert d'informations relatifs au traitement des données personnelles doivent être mis en place pour tous les types de transferts au sein de l'organisation et entre l'organisation et les autres parties.
Cette commande se trouve à l'intérieur de contrôles de sécurité partagés (Tableau A.3) et s'applique aussi bien aux responsables du traitement des données personnelles qu'aux sous-traitants. Elle traite de la sécurité des données personnelles en transit, en complément des contrôles de transfert spécifiques aux responsables du traitement. A.1.5 qui portent sur les aspects juridiques et de gouvernance des transferts internationaux.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.3.7) fournit les indications suivantes :
- S'assurer que les règles relatives au traitement des renseignements personnels sont respectées appliqué à l'intérieur et à l'extérieur du système le cas échéant
- Considérer tous les modes de transfert, y compris les transferts électroniques (courriel, partage de fichiers, API, synchronisation dans le nuage), les transferts physiques (supports portables, documents imprimés, messagerie) et la communication verbale
- Les règles de transfert doivent préciser les contrôles de sécurité requis pour chaque méthode et niveau de classification.
- Les accords conclus avec des tiers doivent définir les responsabilités en matière de protection des données personnelles lors du transfert.
- Les procédures doivent prévoir la gestion des échecs de transfert, des interceptions et des pertes de supports.
- Voir aussi A.3.20 : Supports de stockage pour les exigences connexes
- Voir aussi A.3.21 : Élimination ou réutilisation sécurisée des équipements pour les exigences connexes
Ce guide souligne que la sécurité des transferts ne se limite pas au chiffrement. Elle englobe l'intégralité du cycle de vie d'un transfert : autorisation, conditionnement, transmission, confirmation de réception et gestion des exceptions.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.7 correspond à GDPR Article 5(1)(f) (principe d'intégrité et de confidentialité). GDPR La loi exige que les données personnelles soient traitées de manière à garantir une sécurité appropriée, notamment la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels. Les procédures de transfert sécurisé constituent un élément essentiel de cette obligation.
Ce contrôle contribue également au respect de l’article 32 (sécurité du traitement), qui exige des mesures techniques et organisationnelles appropriées, y compris, le cas échéant, le chiffrement des données à caractère personnel et la capacité d’assurer la confidentialité continue des systèmes de traitement.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
En tant que contrôle de sécurité partagé, A.3.7 soutient le cadre plus large ISO 29100 Le cadre de sécurité des transferts est une mise en œuvre directe du principe de sécurité de l'information, garantissant que les informations personnelles identifiables (IPI) sont protégées non seulement au repos, mais aussi tout au long de leurs déplacements entre systèmes, emplacements et organisations.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.7, les auditeurs recherchent généralement :
- Politique ou procédures de transfert — Règles documentées couvrant tous les modes de transfert (électronique, physique, verbal) avec des dispositions spécifiques pour les données personnelles identifiables
- Normes de chiffrement — Preuve que les données personnelles sont chiffrées lors de leur transmission à l'aide des normes actuelles (par exemple, TLS 1.2+ pour les transferts électroniques, conteneurs chiffrés pour les supports portables).
- accords de transfert — Accords conclus avec des parties externes définissant les exigences de sécurité pour les informations personnelles identifiables en transit
- Contrôles techniques — Preuves de configuration pour le chiffrement des courriels, les plateformes de transfert de fichiers sécurisées, les VPN et la sécurité des API
- Gestion des incidents — Procédures à suivre en cas d'échec de transfert, comme la perte de supports portables ou l'interception de communications
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.5 Classification de l'information | Les niveaux de classification déterminent les contrôles de sécurité des transferts requis |
| A.3.6 Étiquetage des informations | Les étiquettes rendent la classification visible, aidant ainsi le personnel à appliquer les procédures de transfert correctes. |
| A.1.5.2 Base du transfert des données personnelles entre juridictions | La base légale de transfert (contrôle du responsable du traitement) complète les mesures de sécurité prévues au point A.3.7. |
| A.1.5.4 Enregistrements de transfert de données personnelles | Les documents de transfert doivent faire référence aux mesures de sécurité appliquées lors du transfert. |
| A.3.3 Politiques de sécurité des informations | Les procédures de transfert doivent être fondées sur la politique de sécurité globale. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était répartie entre les clauses 6.10.2.1, 6.10.2.2 et 6.10.2.3, couvrant respectivement la messagerie électronique, les politiques et procédures de transfert d'informations et les accords de confidentialité. L'édition 2025 les regroupe en un seul contrôle (A.3.7) assorti de directives unifiées (B.3.7). Cette simplification rend l'exigence plus cohérente et plus facile à mettre en œuvre, tout en conservant le même champ d'application. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour gérer le transfert sécurisé d'informations ?
ISMS.en ligne fournit les outils nécessaires pour documenter, appliquer et prouver vos contrôles de sécurité des transferts :
- Documentation relative à la procédure de transfert — Créer et maintenir des procédures de transfert pour chaque méthode (courriel, partage de fichiers, supports physiques) avec des flux de travail de contrôle de version et d'approbation.
- Gestion des fournisseurs et des partenaires — Stockez les accords de transfert de propriété avec les profils des fournisseurs, assurez le respect des exigences de sécurité convenues et signalez les accords à renouveler.
- Preuve de contrôle — Lier les contrôles techniques (configurations de chiffrement, paramètres de la plateforme de transfert sécurisé) aux exigences de politique pertinentes
- gestion des incidents — Consigner et suivre les incidents liés aux transferts, en analysant leurs causes profondes et en mettant en œuvre des actions correctives.
- Registre intégré des risques — Évaluer les risques liés aux transferts en parallèle des autres risques liés à la sécurité de l'information, en veillant à ce que des contrôles proportionnés soient appliqués en fonction du niveau de classification.
Questions fréquentes
Ce contrôle s'applique-t-il uniquement aux transferts externes ?
Non. Le contrôle couvre explicitement les transferts « au sein de l’organisation et entre l’organisation et d’autres parties ». Les transferts internes, tels que le déplacement de données personnelles entre services, systèmes ou sites au sein d’une même organisation, doivent également être soumis aux règles de transfert. Cela inclut la messagerie interne, le partage de fichiers entre équipes, la réplication de données entre centres de données et le déplacement physique de documents entre bureaux.
Quelles normes de chiffrement doivent être utilisées pour les informations personnelles identifiables en transit ?
Pour les transferts électroniques, utilisez au minimum TLS 1.2 ou une version ultérieure. Pour les courriels, privilégiez S/MIME ou PGP pour les données personnelles sensibles. Pour les supports amovibles, utilisez le chiffrement AES-256. Pour les transferts via API, imposez le protocole HTTPS avec TLS mutuel lorsque cela est possible. Les normes spécifiques doivent être proportionnées au niveau de classification des données personnelles transférées et conformes aux meilleures pratiques et aux recommandations réglementaires en vigueur.
Comment devons-nous gérer les transferts verbaux d'informations personnelles identifiables ?
La communication verbale de données personnelles (par exemple, appels téléphoniques, discussions en personne) doit être encadrée par vos procédures de transfert. Envisagez des mesures telles que la vérification d'identité avant toute divulgation verbale de données personnelles, l'interdiction de discuter de données personnelles sensibles dans les lieux publics, l'utilisation de canaux de communication sécurisés pour les conversations sensibles et la formation du personnel à la gestion appropriée des données personnelles lors de la communication verbale.
Documentez ce contrôle dans votre Déclaration d'applicabilité avec votre justification de mise en œuvre.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.
