Que requiert le contrôle A.3.9 ?
Les droits d'accès aux données personnelles identifiables et aux autres actifs associés au traitement de ces données doivent être accordés, examinés, modifiés et supprimés conformément à la politique et aux règles de contrôle d'accès spécifiques à ce sujet de l'organisation.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe A.3 énonce les obligations applicables aux responsables du traitement et aux sous-traitants du traitement des données personnelles. Une gestion efficace des accès garantit que seul le personnel autorisé peut accéder aux données personnelles, réduisant ainsi le risque de divulgation ou de modification non autorisée.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.9) fournit les indications suivantes :
- Tenir des registres précis — Tenir à jour les dossiers des profils utilisateurs documentant les personnes autorisées à accéder aux données personnelles et aux systèmes de traitement de ces données.
- Identifiants d'accès individuels des utilisateurs — Utiliser des identifiants individuels d’utilisateurs afin que les organisations puissent identifier précisément qui a accédé aux informations personnelles et quelles modifications elles ont apportées, favorisant ainsi la responsabilisation et la traçabilité.
- Responsabilités du processeur — Dans le cadre d'un sous-traitant, le client (responsable du traitement) peut être chargé de certains aspects de la gestion des accès. Les sous-traitants doivent accorder aux responsables du traitement les droits d'administration nécessaires pour leur permettre de gérer les accès selon leurs besoins.
- Voir aussi A.3.8 : Gestion des identités pour les exigences connexes
- Voir aussi A.3.23 : Authentification sécurisée pour les exigences connexes
L'importance accordée à l'identification individuelle implique que les comptes partagés ou les identifiants de connexion génériques ne sont pas acceptables lorsque des données personnelles sont en jeu. Chaque accès doit pouvoir être attribué à une personne spécifique.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.9 correspond à GDPR L’article 5, paragraphe 1, point f), exige que les données à caractère personnel soient traitées de manière à garantir une sécurité appropriée, notamment la protection contre tout accès non autorisé. Un contrôle d’accès robuste est l’un des moyens les plus directs de démontrer le respect de ce principe d’intégrité et de confidentialité.
Pour la correspondance complète entre le RGPD et la norme ISO 27701, voir Guide de conformité au RGPD.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée dans les clauses 6.6.2.2, 6.6.2.5 et 6.6.2.6, qui portaient respectivement sur la gestion des accès utilisateurs, la révision des droits d'accès et la suppression ou la modification de ces droits. L'édition 2025 les regroupe en un seul contrôle (A.3.9), avec une distinction plus claire entre l'énoncé du contrôle et les instructions de mise en œuvre (B.3.9). Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.9, les auditeurs recherchent généralement :
- Politique de contrôle d'accès — Une politique documentée et spécifique au sujet, décrivant comment les droits d'accès aux informations personnelles sont attribués, examinés et révoqués.
- registre d'accès utilisateur — Une liste à jour de toutes les personnes ayant accès aux renseignements personnels, y compris leurs rôles et les ensembles de données spécifiques auxquels elles peuvent accéder.
- Examens d'accès périodiques — Preuve d’examens réguliers (par exemple, trimestriels) confirmant que les droits d’accès demeurent appropriés, avec un compte rendu de toute modification apportée.
- Processus d'arrivée/déménagement/départ — Des procédures documentées décrivant comment l'accès est accordé aux nouveaux employés, ajusté en cas de changement de poste et supprimé sans délai lors du départ d'un employé.
- Les journaux d'audit — Journaux système démontrant que des identifiants d'utilisateurs individuels sont utilisés et que les événements d'accès sont traçables
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.10 Accords avec les fournisseurs | Les contrats fournisseurs doivent définir les droits et restrictions d'accès aux données personnelles identifiables. |
| A.3.18 Accords de confidentialité | Le personnel ayant accès aux informations personnelles identifiables doit être soumis à des obligations de confidentialité. |
| A.3.16 Conformité aux politiques | Vérifiez que les politiques de contrôle d'accès sont appliquées dans la pratique. |
| A.3.15 Examen indépendant | Des audits indépendants devraient évaluer l'efficacité des contrôles d'accès |
| A.3.17 Sensibilisation et formation | Le personnel a besoin d'une formation sur les responsabilités en matière de contrôle d'accès et de gestion des renseignements personnels. |
À qui s'applique ce contrôle ?
A.3.9 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants du traitement des données personnelles. Les responsables du traitement doivent veiller à ce que l'accès aux données personnelles soit limité au personnel autorisé, tandis que les sous-traitants doivent fournir aux responsables du traitement les outils administratifs nécessaires à la gestion des droits d'accès. Concrètement, cela signifie que les deux parties doivent disposer de procédures de gestion des accès documentées.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion des droits d'accès aux informations personnelles identifiables ?
ISMS.en ligne fournit des outils pratiques pour gérer les contrôles d'accès dans le cadre de votre programme de protection de la vie privée :
- registre de contrôle d'accès — Documenter qui a accès à quelles données personnelles, avec une catégorisation basée sur les rôles et des flux d'approbation
- examens d'accès programmés — Mettez en place des cycles de révision avec des rappels automatisés afin que les droits d'accès soient vérifiés à intervalles réguliers.
- Flux de travail des nouveaux arrivants/déménageurs/départs — Modèles de tâches prédéfinis pour l'attribution, la modification et la révocation des accès en cas de changement de personnel
- Piste d'audit complète Chaque modification des droits d'accès est consignée avec l'horodatage, les approbateurs et les motifs, en vue d'un audit.
- Gestion de politique — Maintenez votre politique de contrôle d'accès grâce à un système de gestion des versions, un suivi des accusés de réception du personnel et des dates de révision.
Questions fréquentes
À quelle fréquence les droits d'accès doivent-ils être réexaminés ?
La norme ne prescrit pas de fréquence précise, mais la plupart des organisations examinent les droits d'accès aux données personnelles tous les trimestres. Les systèmes à haut risque traitant des catégories sensibles de données personnelles peuvent justifier des examens mensuels. L'essentiel est que ces examens soient effectués à intervalles planifiés et documentés, et que toute anomalie soit résolue rapidement.
Est-il possible d'utiliser des comptes partagés pour accéder à des informations personnelles identifiables (IPI) ?
Les recommandations de mise en œuvre exigent expressément des identifiants d'accès individuels afin que les organisations puissent identifier les personnes ayant accédé aux données personnelles et les modifications apportées. Les comptes partagés ou génériques compromettent cette traçabilité. Si leur utilisation est inévitable pour des raisons techniques spécifiques, des mesures compensatoires telles que la journalisation et la supervision supplémentaires doivent être documentées.
Quelles sont les obligations d'un sous-traitant en matière de gestion des accès clients ?
Lorsqu'un sous-traitant traite des données personnelles pour le compte d'un responsable du traitement, ce dernier peut avoir besoin de gérer directement certains aspects liés à l'accès. Le sous-traitant doit fournir les droits et outils d'administration appropriés permettant au responsable du traitement d'accorder et de révoquer les accès selon les besoins. La répartition des responsabilités doit être clairement stipulée dans le contrat de traitement.
Documentez ce contrôle dans votre Déclaration d'applicabilité avec votre justification de mise en œuvre.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.
