policy ISO 27701 PIMS Policy Pack

Politique relative au sous-traitant de données à caractère personnel dans le cloud

Politique relative au sous-traitant de données à caractère personnel dans le cloud alignée sur ISO 27701, couvrant les instructions du client, les sous-traitants ultérieurs, les accès, les transferts, la suppression, l’assistance en cas de violation et les éléments de preuve.

Aperçu

La Politique relative au sous-traitant de données à caractère personnel dans le cloud définit la manière dont le traitement cloud des données à caractère personnel doit être maîtrisé lorsque l’organisation agit en tant que sous-traitant ou sous-traitant ultérieur. Elle couvre les instructions du client, la responsabilité partagée, l’isolement des locataires, les sous-traitants ultérieurs, les transferts, la suppression, l’assistance en cas de violation, les audits et les éléments de preuve dans REG02, REG03, REG08, REG09, REG10 et REG12.

Contrôle du sous-traitant cloud

Définit les exigences obligatoires de protection de la vie privée pour le traitement des données à caractère personnel dans les services SaaS, PaaS, IaaS, hébergés, de cloud managé, de stockage, d’analytique et d’infrastructure.

Traitement fondé sur les instructions

Exige que les instructions du client ou du sous-traitant en amont soient enregistrées, examinées et suivies avant le début du traitement des données à caractère personnel dans le cloud.

Gouvernance des sous-traitants ultérieurs

Couvre l’autorisation des sous-traitants ultérieurs cloud, les obligations répercutées, les emplacements, les notifications de changement, la surveillance et les éléments de preuve de sortie.

Éléments de preuve de sortie disponibles

Exige des éléments de preuve de retour, de transfert, de suppression, d’élimination et de sortie des sous-traitants ultérieurs pour les systèmes en production, les sauvegardes, les journaux et les copies de support.

Lire l'aperçu complet (click to expand)
La Politique relative au sous-traitant de données à caractère personnel dans le cloud définit les exigences obligatoires de protection de la vie privée applicables aux services cloud lorsque l’organisation agit en tant que sous-traitant ou sous-traitant ultérieur de données à caractère personnel. Son champ d’application inclut les services SaaS, PaaS, IaaS, les applications hébergées, le cloud managé, le support cloud, le stockage cloud, l’analytique cloud et les services d’infrastructure cloud qui traitent des données à caractère personnel pour le compte de clients. La politique vise à maintenir l’alignement du traitement cloud sur les accords clients documentés, les instructions du client, les instructions du sous-traitant en amont, les dispositifs relatifs aux sous-traitants ultérieurs, la configuration des régions cloud, l’accès au support cloud, l’administration des services, la sauvegarde, la réplication, la journalisation, la surveillance, la suppression, le retour, l’assistance en cas de violation, le support d’audit et les obligations d’assistance au client. Un objectif central de la politique est le contrôle fondé sur les éléments de preuve. Avant l’intégration d’un client ou toute modification substantielle du service, le responsable de la protection des données / responsable du PIMS doit enregistrer dans REG02 et REG08 chaque service de traitement cloud de données à caractère personnel, le rôle de traitement, la source des instructions du client, les catégories de données à caractère personnel, les catégories de personnes concernées, la finalité du service, le lieu du traitement, la dépendance vis-à-vis d’un sous-traitant ultérieur, la dépendance liée à la suppression et l’indicateur de transfert. La politique exige également que l’applicabilité des contrôles du sous-traitant cloud soit enregistrée dans REG03, que le routage des transferts et des emplacements soit consigné dans REG09 le cas échéant, que les incidents cloud relatifs aux données à caractère personnel soient gérés au moyen de REG10, et que la surveillance, les exceptions, les litiges, les résultats de validation et les actions correctives soient traités au moyen de REG12. Cette approche intègre les obligations du sous-traitant cloud dans l’ensemble existant de politiques du PIMS et évite la création de registres séparés pour les contrats, les services, l’isolement des locataires, les accès, les journaux, la suppression, le support, les audits, les violations ou les sous-traitants ultérieurs. La politique définit des exigences pratiques sur l’ensemble du cycle de vie des services cloud. Elle exige des instructions documentées du client ou du sous-traitant en amont avant le début du traitement, la revue des instructions qui semblent incompatibles avec les obligations ou le champ de service approuvé, ainsi qu’une approbation avant tout traitement de données à caractère personnel de clients en dehors des instructions documentées. Elle traite également la configuration cloud et les éléments de preuve de sécurité en exigeant des périmètres de responsabilité partagée, la validation de l’isolement des locataires, un accès administratif maîtrisé, une revue trimestrielle des accès à privilèges et de la couverture de journalisation, la séparation des environnements, ainsi que l’enregistrement des emplacements de sauvegarde, de réplication, de stockage des journaux et d’accès au support. Ces exigences sont délibérément articulées avec les contrôles de sécurité existants applicables aux données à caractère personnel, sans remplacer la Politique plus large de sécurité et de contrôle d’accès aux données à caractère personnel. La gouvernance des sous-traitants ultérieurs et de la chaîne d’approvisionnement cloud constitue une obligation essentielle du sous-traitant. Le responsable des fournisseurs / des achats doit enregistrer les sous-traitants ultérieurs cloud, les fournisseurs d’infrastructure, les prestataires d’hébergement, les prestataires de services managés, les prestataires de support et les autres dépendances substantielles de services cloud avant leur utilisation. La politique exige des éléments de preuve de l’autorisation du client ou d’une base d’autorisation documentée, des obligations répercutées en matière de protection de la vie privée, de sécurité, d’assistance, d’incidents, de retour, de suppression, de support d’audit et de transferts, ainsi que des enregistrements des emplacements de service, des emplacements de support à distance, des régions d’hébergement et du routage des transferts ultérieurs. Elle exige également la notification au client des changements prévus de sous-traitants ultérieurs cloud dans le délai contractuel de préavis requis et, au minimum, une revue annuelle des enregistrements actifs relatifs aux sous-traitants ultérieurs cloud et aux dépendances cloud. La politique couvre également l’assistance au client, le support d’audit, l’interface en cas de violation, la suppression et la sortie. Les obligations d’assistance au client relatives aux demandes d’exercice des droits, à la suppression, à la rectification, à la limitation, à l’accès, à l’audit, au support DPIA et à l’assistance en cas de violation doivent être enregistrées avant l’exécution du contrat ou l’activation du service. L’assistance aux demandes d’exercice des droits sollicitées par le client doit être achevée dans le délai convenu avec le client, les demandes d’assistance à une DPIA ou à une évaluation présentant un enjeu significatif pour la vie privée doivent être examinées dans un délai de dix jours ouvrés, et les demandes d’assistance en retard ou contestées doivent être suivies. Pour la sortie, la politique exige des éléments de preuve de capacité d’export, de retour, de transfert ou de suppression avant l’intégration ou toute modification substantielle du service, l’achèvement dans les délais convenus avec le client, l’inclusion des systèmes en production, des sauvegardes, des réplicas, des journaux, des fichiers temporaires, des environnements de préproduction et des copies de support, ainsi que le traitement des non-conformités lorsque les obligations ne peuvent pas être achevées à temps. La gouvernance est renforcée par des revues trimestrielles de complétude des éléments de preuve, des revues annuelles de la politique et des sous-traitants ultérieurs, des échantillonnages d’audit, des indicateurs, des actions de mise en application et l’approbation du Top Management pour les exceptions et modifications substantielles.

Diagramme de la politique

Diagramme de flux de processus montrant la gouvernance du sous-traitant cloud de données à caractère personnel depuis l’intégration et la collecte des instructions du client, puis la validation de la responsabilité partagée et de l’isolement des locataires, l’autorisation des sous-traitants ultérieurs, le routage des transferts, l’assistance au client, l’interface de gestion des incidents, la suppression ou le retour à la sortie, et la surveillance trimestrielle avec les exceptions et actions correctives enregistrées dans les registres du PIMS.

Cliquez sur le diagramme pour l’afficher en taille complète

Contenu

Domaine d’application du traitement cloud des données à caractère personnel et enregistrements des instructions du client

Éléments de preuve relatifs à la responsabilité partagée, à l’isolement des locataires, aux accès et à la journalisation

Gouvernance des sous-traitants ultérieurs et de la chaîne d’approvisionnement cloud

Routage des emplacements, des accès à distance et des transferts internationaux

Éléments de preuve de retour, de transfert, de suppression, d’élimination et de sortie

Surveillance, exceptions, mise en application et action corrective

Conformité aux frameworks

🛡️ Normes et frameworks pris en charge

Ce produit est aligné sur les frameworks de conformité suivants, avec des mappages détaillés de clauses et de contrôles.

Framework Clauses / Contrôles couverts
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Politiques associées

Politique de gestion de la protection des données des sous-traitants, sous-traitants ultérieurs et tiers

Soutient directement la gouvernance du cycle de vie des sous-traitants ultérieurs cloud et des tiers requise par cette politique.

Politique relative aux transferts internationaux

Soutient les exigences de routage des emplacements, des accès à distance et des transferts ultérieurs pour les données à caractère personnel de clients dans le cloud.

Politique de sécurité et de contrôle d’accès

Fournit l’architecture plus large de sécurité et de contrôle d’accès aux données à caractère personnel référencée par les contrôles d’accès cloud, de journalisation et d’isolement des locataires.

Politique de gestion des incidents et des violations

Relie la détection des incidents cloud relatifs aux données à caractère personnel, la notification au client et les éléments de preuve d’assistance en cas de violation au flux de travail de gestion des incidents.

Politique de conservation, de suppression et d’élimination

Soutient les exigences relatives aux éléments de preuve de retour, de suppression, d’élimination et de sortie pour les données à caractère personnel de clients et les copies des sous-traitants ultérieurs.

Politique de gestion des informations documentées et des éléments de preuve du PIMS

Soutient les informations documentées et le traitement canonique des éléments de preuve utilisés dans REG02, REG03, REG08, REG09, REG10 et REG12.

À propos des politiques Clarysec - Politique relative au sous-traitant de données à caractère personnel dans le cloud

La Politique relative au sous-traitant de données à caractère personnel dans le cloud établit les exigences opérationnelles de protection de la vie privée applicables aux services cloud lorsque l’organisation agit en tant que sous-traitant ou sous-traitant ultérieur de données à caractère personnel. Elle relie les instructions du client, le domaine d’application du traitement cloud, les éléments de preuve relatifs à la responsabilité partagée, l’isolement des locataires, les accès, la journalisation, la gouvernance des sous-traitants ultérieurs, le routage des emplacements et des transferts, la suppression, le retour, l’assistance en cas de violation, le support d’audit et la surveillance au modèle d’éléments de preuve du PIMS de l’organisation. La politique attribue des responsabilités claires au Top Management, au responsable de la protection des données / responsable du PIMS, au délégué à la protection des données / conseiller en protection des données, au responsable de la sécurité de l’information, au responsable de processus / propriétaire de l’entreprise, au propriétaire du système / propriétaire d’application, au responsable des fournisseurs / des achats, au coordinateur de la réponse aux incidents et au réviseur d’audit interne / de conformité. Elle s’appuie sur REG02, REG03, REG08, REG09, REG10 et REG12 pour maintenir des enregistrements compatibles avec les exigences d’audit et soutenir la préparation à la certification PIMS ISO/IEC 27701:2025 pour les sous-traitants cloud et les sous-traitants ultérieurs cloud.

Traitement fondé sur les éléments de preuve

Relie les obligations du sous-traitant cloud à REG02, REG03, REG08, REG09, REG10 et REG12 pour des enregistrements compatibles avec les exigences d’audit.

Contrôle des instructions du client

Exige des instructions documentées du client ou du sous-traitant en amont avant le début du traitement des données à caractère personnel dans le cloud.

Visibilité sur la chaîne d’approvisionnement cloud

Enregistre les sous-traitants ultérieurs, les dépendances cloud, la base d’autorisation, les obligations répercutées, les emplacements et les éléments de preuve de revue.

Gestion maîtrisée de la sortie

Couvre les éléments de preuve de retour, de transfert, de suppression et d’élimination pour les systèmes en production, les sauvegardes, les journaux et les copies de support.

Foire aux questions

Conçu pour les dirigeants, par des dirigeants

Cette politique a été rédigée par un responsable de la sécurité disposant de plus de 25 ans d’expérience dans le déploiement et l’audit de cadres ISMS pour des entreprises mondiales. Elle est conçue non seulement comme un document, mais comme un cadre défendable résistant à l’examen des auditeurs.

Rédigé par un expert titulaire de :

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Couverture & Sujets

🏢 Départements cibles

Protection des données Juridique Conformité Sécurité informatique Achats

🏷️ Couverture thématique

Système de management des informations relatives à la vie privée traitement des données à caractère personnel responsabilités du responsable du traitement et du sous-traitant gestion des tiers transferts internationaux de données conservation et élimination des données gestion des violations
€59

Achat unique

Téléchargement instantané
Mises à jour à vie

Cette politique est 1 sur 25 dans le Pack PIMS ISO/IEC 27701 complet

Économisez 52%

Obtenez les 25 politiques PIMS, l'ensemble complet des registres et un plan de mise en œuvre détaillé pour €799, au lieu de €1 675 à l'unité.

Voir le Pack 27701 complet →
Cloud PII Processor Policy

Détails du produit

Type : policy
Catégorie : ISO 27701 PIMS Policy Pack
Normes : 9