ISO 27701 Clause 7.4.1 – Collecte des limites
Objet de la clause 7.4.1
Les organisations doivent limiter leur collecte de données personnelles en fonction de trois facteurs :
- Pertinence.
- Proportionnalité.
- Nécessité.
Orientations sur la clause 7.4.1
Les organisations ne doivent collecter des informations personnelles – directement ou indirectement – que conformément aux facteurs ci-dessus, et uniquement à des fins pertinentes et nécessaires à la réalisation de leur objectif déclaré.
En tant que concept, la « confidentialité par défaut » doit être respectée – c'est-à-dire que toutes les fonctions facultatives doivent être désactivées par défaut.
ISO 27701 Clause 7.4.2 – Traitement des limites
Objet de la clause 7.4.2
Pour accompagner la norme ISO 27701 7.4.1, les organisations ne doivent également traiter les informations personnelles que si elles sont pertinentes, proportionnées et nécessaires pour atteindre un objectif déclaré.
Orientations sur la clause 7.4.2
Le traitement des informations personnelles comprend :
- Divulgation.
- Stockage.
- Accessibilité.
Toutes les fonctions ci-dessus doivent être exercées aux niveaux minimaux requis pour atteindre un objectif.
Les organisations doivent limiter le traitement des informations personnelles en conjonction avec les processus, politiques et procédures publiés en matière de sécurité de l'information (voir ISO 27701 Clause 6.2).
Clauses ISO 27701 pertinentes
- ISO 27701 6.2
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 7.4.3 – Précision et qualité
Objet de la clause 7.4.3
Les organisations doivent prendre des mesures pour garantir que les informations personnelles sont Avec cette connaissance vient le pouvoir de prendre, complet et mise à jour, tout au long de son cycle de vie.
Orientations sur la clause 7.4.3
Les politiques organisationnelles de sécurité des informations et les configurations techniques doivent contenir des étapes visant à minimiser les erreurs tout au long de l'opération de traitement des informations personnelles, y compris des contrôles sur la manière de répondre aux inexactitudes.
ISO 27701 Clause 7.4.4 – Objectifs de minimisation des informations personnelles
Objet de la clause 7.4.4
Les organisations doivent élaborer des procédures de « minimisation des données », y compris des mécanismes tels que la désidentification.
Orientations sur la clause 7.4.4
La minimisation des données doit être utilisée pour garantir que la collecte et le traitement des informations personnelles sont limités à la « finalité identifiée » de chaque fonction (voir ISO 27701, clause 7.2.1).
Une grande partie de ce processus consiste à documenter dans quelle mesure les informations des principaux PII doivent leur être directement imputables, et comment la minimisation doit être réalisée via une variété de méthodes disponibles.
Les organisations doivent décrire les techniques spécifiques utilisées pour anonymiser les responsables des informations personnelles, telles que :
- Randomisation.
- Ajout de bruit.
- Généralisation.
- Suppression d'attribut.
Clauses ISO 27701 pertinentes
- ISO 27701 7.2.1
ISO 27701 Clause 7.4.5 – Désidentification et suppression des informations personnelles identifiables à la fin du traitement
Objet de la clause 7.4.5
Les organisations doivent soit détruire complètement toutes les informations personnelles qui ne remplissent plus leur objectif, soit les modifier de manière à empêcher toute forme d'identification du principal.
Orientations sur la clause 7.4.5
Dès que l'organisation a établi que les informations personnelles n'ont plus besoin d'être traitées à aucun moment dans le futur, les informations doivent être supprimé or désidentifié, selon les circonstances.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 7.4.6 – Fichiers temporaires
Objet de la clause 7.4.6
Les fichiers temporaires sont créés pour un certain nombre de raisons techniques, tout au long du cycle de vie du traitement et de la collecte des informations personnelles, sur de nombreuses applications, systèmes et plates-formes de sécurité.
Les organisations doivent s'assurer que ces fichiers sont détruits dans un délai raisonnable, conformément à une politique de conservation officielle.
Orientations sur la clause 7.4.6
Un moyen simple d'identifier l'existence de tels fichiers consiste à effectuer des vérifications périodiques des fichiers temporaires sur le réseau. Les fichiers temporaires incluent souvent :
- Fichiers de mise à jour de la base de données.
- Informations mises en cache.
- Fichiers créés par des applications et des progiciels sur mesure.
Les organisations devraient adhérer à ce qu'on appelle procédure de collecte des ordures qui supprime les fichiers temporaires lorsqu'ils ne sont plus nécessaires.
ISO 27701 Clause 7.4.7 – Rétention
Objet de la clause 7.4.7
Il est d'une importance vitale que les organisations reconnaissent leurs obligations de supprimer et/ou d'éliminer les informations personnelles qui ne sont plus nécessaires pour atteindre un objectif déclaré.
Orientations sur la clause 7.4.7
Les organisations doivent rédiger et respecter des calendriers de conservation catégoriques qui décrivent la période exacte pendant laquelle les responsables des informations personnelles peuvent s'attendre à ce que leurs données soient conservées.
Les calendriers de conservation doivent être adaptés à toutes les exigences légales, statutaires ou contractuelles qui régissent la durée de conservation des informations personnelles sur une plateforme donnée.
ISO 27701 Clause 7.4.8 – Élimination
Objet de la clause 7.4.8
Les organisations doivent disposer de politiques et de procédures claires qui régissent la manière dont les informations personnelles sont éliminées.
Orientations sur la clause 7.4.8
La suppression des données est un sujet vaste qui comporte une multitude de variables différentes, basées sur la technique de suppression requise et la nature des données supprimées.
Les organisations doivent prendre en compte :
- Ce que les informations personnelles incluent.
- Toutes les métadonnées résiduelles qui doivent être effacées avec les données principales.
- Le type de support de stockage sur lequel les informations personnelles sont conservées.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 7.4.9 – Commandes de transmission PII
Objet de la clause 7.4.9
Toutes les informations personnelles devant être transférées à une organisation tierce doivent l'être avec le plus grand soin pour les informations envoyées, en utilisant des moyens sécurisés.
Orientations sur la clause 7.4.9
Les organisations doivent s'assurer que seul le personnel autorisé peut accéder aux systèmes de transmission, et ce, de manière facilement auditable, dans le seul but d'acheminer les informations là où elles doivent parvenir sans incident.
Articles de support du RGPD
Divers éléments de la norme ISO 27701, clause 7.4, sont applicables au Royaume-Uni. GDPR législation. Jetez un œil au tableau ci-dessous pour les références correspondantes.
Comment ISMS.online vous aide
La plateforme ISMS.online offre une assistance intégrée à chaque étape, ainsi que notre approche de mise en œuvre « Adopter, Adapter, Ajouter » de la norme ISO 27701, pour rendre le processus beaucoup plus facile.
Vous bénéficierez également d’une variété de fonctionnalités permettant de gagner du temps.
Si, pour une raison quelconque, vous ressentez un manque de confiance, de capacité ou de volonté d'agir au cours de votre parcours vers la norme ISO 27701, nous pouvons mettre à votre disposition notre équipe d'experts internes.
En savoir plus par réserver une démo.
