policy ISO 27701 PIMS Policy Pack

Politique de gestion des sous-traitants, des sous-traitants ultérieurs et des tiers en matière de protection des données

Gérez les relations avec les sous-traitants, les sous-traitants ultérieurs et les tiers relatives aux données à caractère personnel avec des éléments de preuve REG08, une diligence raisonnable, des contrats, une surveillance et des contrôles de sortie.

Aperçu

Cette politique régit les sous-traitants, les sous-traitants ultérieurs et les tiers qui traitent des données à caractère personnel. Elle utilise REG08 comme registre principal des éléments de preuve et définit les exigences relatives à la classification des rôles, à la diligence raisonnable, aux contrats, aux instructions du client, aux approbations des sous-traitants ultérieurs, à la surveillance, aux liens avec les incidents, aux enregistrements de transfert, aux éléments de preuve de sortie et aux actions correctives.

Contrôle des tiers sur l’ensemble du cycle de vie

Définit comment les sous-traitants, les sous-traitants ultérieurs et les tiers traitant des données à caractère personnel sont identifiés, approuvés, surveillés, modifiés et sortis du dispositif.

Éléments de preuve REG08 compatibles avec les exigences d’audit

Utilise REG08 comme registre principal, en reliant les relations aux enregistrements de traitement, de risque, de transfert, d’incident et d’action corrective.

Responsabilités claires des rôles

Attribue les obligations aux fonctions de protection des données, aux achats, à la sécurité, aux responsables de processus, aux propriétaires de systèmes, à la réponse aux incidents et au Top Management.

Lire l'aperçu complet (click to expand)
La politique de gestion des sous-traitants, des sous-traitants ultérieurs et des tiers en matière de protection des données définit comment une organisation gouverne les parties externes qui traitent, accèdent, reçoivent, stockent, transmettent, prennent en charge ou traitent autrement des données à caractère personnel dans le domaine d’application du système de management des informations relatives à la vie privée. Elle s’applique lorsque l’organisation agit en tant que responsable du traitement qui utilise des sous-traitants, en tant que responsable conjoint du traitement nécessitant une classification des rôles, en tant que sous-traitant qui utilise des sous-traitants ultérieurs ou des sous-contractants, et en tant que sous-traitant ultérieur recevant des instructions du client. La politique couvre également les relations avec des tiers nécessitant une diligence raisonnable en matière de protection des données, des contrôles contractuels, des instructions documentées, l’approbation des sous-traitants ultérieurs, la surveillance, l’assurance, l’interface avec les incidents, le lien avec les transferts, ainsi que des éléments de preuve de restitution, de suppression ou de sortie. Une caractéristique centrale de la politique est son recours à REG08 — registre des sous-traitants, des sous-traitants ultérieurs et du partage de données — comme élément de preuve principal pour la gestion des sous-traitants, des sous-traitants ultérieurs et des tiers en matière de protection des données. La politique exige que le responsable de la protection des données / responsable du PIMS définisse les champs REG08 minimaux et classe les relations avec un tiers en matière de protection des données comme responsable du traitement, responsable conjoint du traitement, sous-traitant, sous-traitant ultérieur ou autre relation avec un tiers avant l’approbation du contrat ou avant le début du traitement des données à caractère personnel. Elle exige également que le responsable fournisseurs / achats bloque l’intégration, le renouvellement ou l’extension tant que REG08 n’est pas complété et relié aux enregistrements tels que REG02, REG04, REG09 ou REG10 lorsque ces éléments de preuve sont déclenchés. Cela crée un lien documenté entre la gouvernance des relations, l’inventaire des traitements, les enregistrements de risques et de DPIA, les éléments de preuve relatifs aux transferts internationaux, les enregistrements d’incidents et les actions correctives. La politique fixe des exigences détaillées en matière de diligence raisonnable, d’appréciation des risques et de contrôle contractuel. La diligence raisonnable en matière de protection des données doit être réalisée avant de sélectionner, renouveler ou modifier substantiellement une relation avec un sous-traitant, un sous-traitant ultérieur ou un tiers qui traite des données à caractère personnel ou y accède. Les éléments de preuve d’assurance de sécurité doivent être revus par le responsable de la sécurité de l’information avant approbation, et les relations à haut risque avec des sous-traitants ou les modifications substantielles d’une relation avec un tiers en matière de protection des données déclenchent une appréciation des risques relatifs à la vie privée et un examen préalable à la DPIA dans REG04. Les contrôles relatifs aux contrats et aux instructions documentées sont séparés pour les contextes de responsable du traitement et de sous-traitant. Lorsqu’elle agit en tant que responsable du traitement, l’organisation doit enregistrer un contrat écrit de sous-traitance ou un accord contraignant équivalent avant qu’un sous-traitant ne traite des données à caractère personnel. Lorsqu’elle agit en tant que sous-traitant, les accords clients ou les instructions documentées des clients doivent définir le périmètre de traitement autorisé avant le traitement des données à caractère personnel des clients. La politique exige également une couverture contractuelle pour l’assistance, l’assurance de sécurité, l’interface avec les incidents via PII15, la restitution ou la suppression via PII10, le lien avec les transferts via PII13, ainsi que la coopération en matière d’audit ou d’assurance. La gouvernance des sous-traitants ultérieurs et des sous-contractants est traitée au moyen d’exigences spécifiques d’approbation, de notification, d’obligations répercutées et de surveillance. Le responsable fournisseurs / achats doit tenir à jour dans REG08 une liste des sous-traitants ultérieurs et des sous-contractants, vérifier l’autorisation du client avant l’engagement, notifier les clients des nouveaux sous-traitants ultérieurs ou des remplacements envisagés conformément à l’accord applicable, et s’assurer que les obligations répercutées en matière de protection des données, de sécurité, d’assistance, de restitution, de suppression, d’interface avec les incidents et de lien avec les transferts sont en place avant qu’un sous-traitant ultérieur ne traite des données à caractère personnel. Les notifications de changement de sous-traitant ultérieur côté responsable du traitement doivent également être suivies, avec les décisions d’approbation, d’opposition ou d’escalade enregistrées dans REG08 dans le délai contractuel d’opposition ou dans les 10 jours ouvrés suivant la réception de la notification, selon le délai le plus court. La politique complète le cycle de vie par la surveillance continue, la gestion de l’assistance, l’enregistrement des divulgations, les liens avec les incidents, les liens avec les transferts, les éléments de preuve de sortie, les exceptions, l’application et la revue. Les relations à haut risque avec des sous-traitants et des sous-traitants ultérieurs sont surveillées trimestriellement, tandis que les autres relations actives avec des sous-traitants et des sous-traitants ultérieurs traitant des données à caractère personnel sont surveillées annuellement. Les demandes d’assistance relatives aux droits de la personne concernée, aux DPIA, aux éléments de preuve de sécurité, aux audits ou à l’assurance demandée par les clients doivent être coordonnées via REG08 et reliées à REG06, REG04 ou REG12 lorsque cela s’applique. Les notifications d’incidents relatifs à la protection des données liés aux fournisseurs sont orientées vers REG10 au titre de PII15 dans un délai d’un jour ouvré, et les éléments de preuve de restitution, de suppression, d’élimination ou de transition doivent être obtenus dans les 30 jours suivant la résiliation, l’expiration, l’instruction du client ou l’événement de sortie approuvé, sauf si une période contractuelle plus courte s’applique. Les exceptions sont limitées dans le temps, exigent une évaluation de l’impact sur la vie privée et peuvent nécessiter l’approbation du Top Management lorsqu’elles affectent un traitement à haut risque, des éléments de preuve contractuels manquants, des lacunes de lien avec les transferts ou le périmètre de certification.

Diagramme de la politique

Diagramme de flux de processus montrant l’identification des relations avec des tiers traitant des données à caractère personnel dans REG08, la classification des rôles, la diligence raisonnable et l’assurance de sécurité, l’approbation du contrat ou des instructions, les contrôles des sous-traitants ultérieurs, la surveillance, les liens avec les incidents et les transferts, les éléments de preuve de sortie et les actions correctives.

Cliquez sur le diagramme pour l’afficher en taille complète

Contenu

Exigences REG08 de classification des relations et d’éléments de preuve

Diligence raisonnable en matière de protection des données et assurance de sécurité

Contrats de sous-traitance et instructions documentées du client

Approbation des sous-traitants ultérieurs, notifications et obligations répercutées

Surveillance continue, liens avec les incidents et enregistrements de transfert

Éléments de preuve de sortie, de restitution, de suppression et d’action corrective

Conformité aux frameworks

🛡️ Normes et frameworks pris en charge

Ce produit est aligné sur les frameworks de conformité suivants, avec des mappages détaillés de clauses et de contrôles.

Framework Clauses / Contrôles couverts
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Politiques associées

Politique relative à l’inventaire des traitements et à la base légale

Les enregistrements de relations REG08 doivent être reliés à l’inventaire des traitements REG02 et aux enregistrements de base légale lorsque cela s’applique.

Politique d’appréciation des risques relatifs à la vie privée et de DPIA

Les relations à haut risque avec des sous-traitants et les modifications substantielles d’une relation avec un tiers en matière de protection des données déclenchent une appréciation des risques relatifs à la vie privée et un examen préalable à la DPIA dans REG04.

Politique de conservation, suppression et élimination

Les contrats et sorties de sous-traitants et de sous-traitants ultérieurs doivent traiter les éléments de preuve de restitution, de suppression, d’élimination et de transition via PII10.

Politique relative aux transferts internationaux

Les lieux de traitement, lieux d’hébergement et indicateurs de transfert dans REG08 doivent être reliés aux éléments de preuve de transfert REG09 applicables.

Politique de sécurité et de contrôle d’accès

L’assurance de sécurité, les éléments de preuve de contrôle d’accès, les accès fournisseurs et les contrôles de départ soutiennent la gouvernance des données à caractère personnel par les tiers.

Politique de gestion des incidents et des violations

Les notifications d’incidents relatifs à la protection des données liés aux fournisseurs et les demandes d’assistance sont orientées vers REG10 au titre de PII15 avec un lien REG08.

À propos des politiques Clarysec - Politique de gestion des sous-traitants, des sous-traitants ultérieurs et des tiers en matière de protection des données

Cette politique établit une gouvernance opérationnelle de la protection des données pour les sous-traitants, les sous-traitants ultérieurs, les sous-contractants du traitement de données à caractère personnel, les fournisseurs, les prestataires de services, les fournisseurs de services cloud et les autres tiers qui traitent des données à caractère personnel ou les affectent dans le domaine d’application du PIMS. Elle définit comment les relations sont classées, évaluées, approuvées, contractualisées, instruites, surveillées, modifiées et sorties du dispositif, REG08 servant d’élément de preuve principal avec les liens requis vers l’inventaire des traitements, les enregistrements de risques, de transfert, d’incident, de communication, d’informations documentées et d’action corrective lorsque cela s’applique.

Périmètre de relation défini

Couvre les sous-traitants, les sous-traitants ultérieurs, les sous-contractants, les fournisseurs, les prestataires de services, les fournisseurs de services cloud et les autres tiers traitant des données à caractère personnel.

Diligence raisonnable avant approbation

Exige une diligence raisonnable en matière de protection des données, une assurance de sécurité et une appréciation des risques ou un examen préalable à la DPIA avant approbation lorsque cela est déclenché.

Contrôles des contrats et des instructions

Documente dans REG08 les contrats de sous-traitance, les instructions du client, les obligations répercutées et les avenants approuvés.

Surveillance et application

Fixe les fréquences de revue, la gestion des exceptions, les règles de blocage, les déclencheurs de non-conformité et les éléments de preuve d’action corrective.

Foire aux questions

Conçu pour les dirigeants, par des dirigeants

Cette politique a été rédigée par un responsable de la sécurité disposant de plus de 25 ans d’expérience dans le déploiement et l’audit de cadres ISMS pour des entreprises mondiales. Elle est conçue non seulement comme un document, mais comme un cadre défendable résistant à l’examen des auditeurs.

Rédigé par un expert titulaire de :

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Couverture & Sujets

🏢 Départements cibles

Protection des données Juridique Conformité Sécurité informatique Achats

🏷️ Couverture thématique

Gestion des tiers Responsabilités du responsable du traitement et du sous-traitant Traitement des données à caractère personnel Registres des activités de traitement Transferts internationaux de données Gestion des risques Gestion de la conformité
€89

Achat unique

Téléchargement instantané
Mises à jour à vie

Cette politique est 1 sur 25 dans le Pack PIMS ISO/IEC 27701 complet

Économisez 52%

Obtenez les 25 politiques PIMS, l'ensemble complet des registres et un plan de mise en œuvre détaillé pour €799, au lieu de €1 675 à l'unité.

Voir le Pack 27701 complet →
Processor, Subprocessor and Third-Party Privacy Management Policy

Détails du produit

Type : policy
Catégorie : ISO 27701 PIMS Policy Pack
Normes : 7