Analyses d’impact des transferts cloud en 2026
Maria, RSSI d’InnovatePay, fixait la page 12 du questionnaire de diligence raisonnable.
Son entreprise, un fournisseur SaaS fintech européen en forte croissance, était sur le point de signer son plus gros client à ce jour : une grande banque aux exigences strictes en matière de résilience opérationnelle. Le questionnaire ne demandait pas seulement un certificat ISO 27001, un résumé de test d’intrusion ou un dossier de politiques de sécurité. Il demandait une analyse d’impact des transferts complète pour le principal fournisseur cloud américain d’InnovatePay, une ventilation des sous-traitants ultérieurs, les clauses contractuelles types applicables, la déclaration de transfert géographique des données et la preuve que les mesures complémentaires étaient cartographiées avec ISO/IEC 27001:2022, NIS2 et DORA.
Le service juridique disposait de l’avenant relatif au traitement des données. Les achats avaient accès au portail fournisseur. L’ingénierie maîtrisait les paramètres de région cloud. La sécurité détenait les schémas de chiffrement. L’équipe chargée de la réussite client avait promis un « hébergement dans l’UE » lors d’un appel commercial. Personne ne pouvait immédiatement démontrer si l’accès à l’assistance depuis l’Inde entrait dans le périmètre, si le module d’analyse utilisait un sous-traitant ultérieur américain, ou si les journaux d’erreurs étaient répliqués via un prestataire mondial de supervision.
C’est la réalité de 2026 pour les entreprises SaaS, les fournisseurs cloud, les fournisseurs fintech et les prestataires de services managés TIC. Une analyse d’impact des transferts, ou TIA, n’est plus une note de protection des données rédigée en fin de processus d’achat. C’est un dossier d’éléments probants de conformité transversale qui doit expliquer où vont les données à caractère personnel, qui peut y accéder, quel mécanisme juridique de transfert s’applique, quelles mesures complémentaires réduisent le risque et comment l’organisation surveille le transfert dans la durée.
Pour beaucoup d’équipes, le problème n’est pas l’absence d’effort. C’est la fragmentation. Les clauses contractuelles types (CCT) sont dans un référentiel contractuel. Les listes de sous-traitants ultérieurs se trouvent dans des portails fournisseurs. Les paramètres de localisation des données sont dans la console cloud. Les décisions de risque sont enfouies dans les courriels. Les preuves de chiffrement sont dans Confluence. Une analyse d’impact des transferts cloud robuste relie ces fragments en une chaîne d’éléments probants défendable.
Pourquoi les TIA cloud sont devenues un risque de niveau conseil d’administration
Une analyse d’impact des transferts évalue si les données à caractère personnel transférées hors de l’Espace économique européen restent effectivement protégées. L’analyse doit identifier les données, les parties, les finalités du traitement, les lieux de stockage, les lieux d’accès, les transferts ultérieurs, le mécanisme juridique de transfert, les risques liés au pays destinataire et les mesures complémentaires.
Au titre du GDPR, le point de départ est large. Les données à caractère personnel, le traitement, le responsable du traitement, le sous-traitant, la pseudonymisation et la violation de données à caractère personnel sont définis de manière extensive. La télémétrie cloud, les tickets d’assistance, les journaux d’authentification, les enregistrements de facturation, les identifiants utilisateurs, les adresses IP et les données d’analyse produit peuvent tous entrer dans le périmètre. La responsabilité prévue par le GDPR à l’Article 5 impose aux organisations de démontrer leur conformité, tandis que les obligations des sous-traitants de l’Article 28 et les règles de transfert international du Chapitre V supposent de savoir précisément quelles données circulent, où elles circulent et qui peut y accéder.
L’arrêt Schrems II a rendu la charge pratique plus explicite. Signer des clauses contractuelles types (CCT) ne suffit pas en soi. Les organisations doivent examiner si les lois et pratiques du pays de destination pourraient compromettre les protections promises dans le contrat, puis appliquer des mesures complémentaires lorsque cela est nécessaire.
Pour les activités cloud, la complexité augmente rapidement. Un produit SaaS peut utiliser un fournisseur d’infrastructure, une plateforme d’assistance distincte, un service de messagerie électronique, un outil de supervision des erreurs, un CDN, un entrepôt de données et une fonctionnalité d’analyse fondée sur l’IA. Chaque fournisseur peut avoir des sous-traitants ultérieurs. Chaque sous-traitant ultérieur peut introduire un lieu de stockage, un lieu d’accès, un chemin d’assistance opérationnelle ou un transfert ultérieur.
C’est pourquoi ISO/IEC 27001:2022, NIS2, DORA et NIST CSF 2.0 font désormais partie des discussions relatives aux TIA :
- GDPR demande s’il existe un mécanisme de transfert licite, des clauses de sous-traitance appropriées, un contrôle des sous-traitants ultérieurs et des mesures complémentaires efficaces.
- ISO/IEC 27001:2022 demande si le risque de transfert est identifié, traité, contrôlé, surveillé et inclus dans la Déclaration d’applicabilité.
- NIS2 demande si les entités essentielles et importantes gèrent le risque de cybersécurité lié aux fournisseurs et aux prestataires de services avec une supervision de la direction.
- DORA demande aux entités financières de prouver la gouvernance des tiers TIC, les clauses contractuelles, la visibilité sur la sous-traitance, la transparence des localisations, le risque de concentration et la préparation à la sortie.
- NIST CSF 2.0 aide à traduire ces exigences en résultats de gouvernance, de risque fournisseur, de protection, de réponse et de reprise.
La conclusion pratique est simple : une TIA doit vivre dans le SMSI, et non en dehors.
Utiliser le SMSI comme pivot de conformité
Gérer les TIA, GDPR, DORA et NIS2 dans des feuilles de calcul séparées crée des doublons et des lacunes d’audit. L’approche la plus évolutive consiste à utiliser ISO/IEC 27001:2022 comme système de management reliant obligations, risques, contrôles et éléments probants.
ISO/IEC 27001:2022 exige des organisations qu’elles comprennent leur contexte, les exigences des parties intéressées, ainsi que les interfaces et dépendances avec d’autres organisations. Elle impose également une appréciation des risques de sécurité de l’information reproductible, un processus de traitement des risques, une Déclaration d’applicabilité et des éléments probants montrant que les contrôles sélectionnés fonctionnent comme prévu.
Cette structure convient parfaitement à une TIA. Le risque « des données à caractère personnel de l’UE peuvent être accessibles depuis un pays tiers via un fournisseur cloud ou un sous-traitant ultérieur sans mesures de protection efficaces » doit figurer dans le registre des risques. Le traitement doit figurer dans le plan de traitement des risques. Les contrôles sélectionnés doivent figurer dans la Déclaration d’applicabilité (SoA). Les livrables justificatifs doivent figurer dans un index des éléments probants.
Le Zenith Blueprint: An Auditor’s 30-Step Roadmap de Clarysec décrit cette relation dans la phase Gestion des risques, étape 13 :
La SoA est effectivement un document passerelle : elle relie votre appréciation/traitement des risques aux contrôles réels dont vous disposez. En la complétant, vous vérifiez également si vous avez omis certains contrôles.
Cette phrase est centrale pour la préparation des TIA. La TIA n’est pas le contrôle. C’est l’analyse qui explique pourquoi des contrôles sont nécessaires et comment ils réduisent le risque résiduel de transfert. La SoA est le pont qui relie le risque à la gouvernance cloud, aux contrats fournisseurs, à la cryptographie, au contrôle d’accès, à la supervision, à la réponse aux incidents, à la continuité et à la conformité juridique.
Commencer par la cartographie des transferts, pas par les CCT
De nombreuses organisations commencent une TIA en demandant si le contrat contient des clauses contractuelles types (CCT). C’est nécessaire, mais ce n’est pas la première question. Les CCT n’ont de sens que si l’organisation sait quels transferts elles couvrent.
Une TIA cloud pratique commence par cinq questions.
| Question TIA | Source des éléments probants | Pourquoi les auditeurs s’y intéressent |
|---|---|---|
| Quelles données à caractère personnel sont transférées ? | Registre des activités de traitement, classification des données, inventaire des actifs cloud, cartographies des flux de données | La responsabilité GDPR et l’identification des risques ISO 27001 exigent des actifs et un contexte de traitement définis |
| Où les données sont-elles stockées, consultées, prises en charge ou répliquées ? | Registre des services cloud, paramètres de localisation du fournisseur, déclarations des sous-traitants ultérieurs | L’analyse des transferts internationaux dépend à la fois des lieux de stockage et des lieux d’accès |
| Qui reçoit les données ou peut y accéder ? | Registre des fournisseurs, accord de traitement des données, liste des sous-traitants ultérieurs, enregistrements d’accès à privilèges | La gouvernance des sous-traitants et des sous-traitants ultérieurs doit être opposable et surveillée |
| Quel mécanisme soutient le transfert ? | CCT, décision d’adéquation, cadre de protection des données UE–États-Unis le cas échéant, règles d’entreprise contraignantes (BCR) ou autre base documentée | Le Chapitre V du GDPR exige un mécanisme de transfert valide avec des contrôles des transferts ultérieurs |
| Quelles mesures complémentaires réduisent le risque résiduel ? | Conception du chiffrement, propriété des clés, pseudonymisation, approbations d’accès, journalisation, DLP, processus d’incident | L’analyse doit démontrer une protection effective, et pas seulement des clauses sur papier |
La Politique d’utilisation du cloud pour PME de Clarysec rend cela opérationnel en imposant un registre :
Un registre des services cloud doit être tenu par le prestataire informatique ou le directeur général. Il doit consigner :
Extrait de la section « Exigences de gouvernance », clause de politique 5.3.
La même famille de clauses inclut une exigence de localisation essentielle pour les TIA :
Le pays ou la région où les données sont stockées
Extrait de la section « Exigences de gouvernance », clause de politique 5.3.4.
Pour les environnements plus larges, la Politique d’utilisation du cloud de Clarysec relie explicitement la gouvernance cloud aux mécanismes de transfert :
Examiner les clauses contractuelles types (CCT) et les mécanismes de transfert au titre du GDPR, le cas échéant.
Extrait de la section « Rôles et responsabilités », clause de politique 4.5.2.
La même politique ajoute l’exigence transréglementaire :
Les transferts transfrontaliers de données doivent respecter le Chapitre V du GDPR et, le cas échéant, l’Article 28 de DORA.
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.6.3.
Cela change la discussion sur les TIA. La question n’est pas « avons-nous des CCT ? ». La question est : « quel service cloud, quelles données à caractère personnel, quel pays, quel chemin d’accès, quel sous-traitant ultérieur, quel mécanisme de transfert, quelles mesures complémentaires et quel risque résiduel ? »
Cartographier les TIA cloud avec les éléments probants ISO/IEC 27001:2022
ISO/IEC 27001:2022 fournit la structure permettant de prouver qu’une TIA fait partie d’un environnement de contrôle opérationnel. Les domaines d’éléments probants les plus pertinents sont la gouvernance des fournisseurs, la gouvernance cloud, les obligations légales, la vie privée, la cryptographie, le contrôle d’accès, la supervision, la réponse aux incidents et la continuité.
| Domaine d’éléments probants ISO/IEC 27001:2022 | Ce qu’il faut démontrer pour une TIA | Exemple de livrable justificatif |
|---|---|---|
| Gestion des risques fournisseurs | La diligence raisonnable fournisseur couvre le transfert international, la localisation des données et le risque lié aux sous-traitants ultérieurs | Appréciation du risque fournisseur avec section dédiée aux transferts |
| Accords fournisseurs | Les clauses de sécurité, de vie privée, d’audit, de notification de violation, de sous-traitance et de sortie sont définies | Accord de traitement des données, CCT, annexe contractuelle TIC, annexe de sécurité |
| Chaîne d’approvisionnement TIC | Les prestataires en aval et les dépendances cloud sont identifiés et contrôlés | Registre des sous-traitants ultérieurs et preuves de répercussion contractuelle |
| Surveillance des fournisseurs | Les éléments probants du fournisseur sont revus périodiquement et les changements déclenchent une réévaluation | Revue de rapport SOC, revue de certificat ISO, journal des modifications de sous-traitants ultérieurs |
| Services cloud | L’acquisition, l’utilisation, la gestion et la sortie des services cloud sont gouvernées | Registre des services cloud, matrice de responsabilité partagée, plan de sortie cloud |
| Obligations légales et relatives à la vie privée | Le Chapitre V du GDPR, les obligations des sous-traitants et les engagements clients sont documentés | Registre des obligations légales, TIA, registre des activités de traitement |
| Cryptographie et contrôle d’accès | Les mesures complémentaires sont mises en œuvre et vérifiées | Architecture de chiffrement, paramètres KMS, journaux de revue d’accès |
| Incidents et continuité | Les incidents cloud et fournisseurs sont détectés, notifiés, gérés et donnent lieu à retour d’expérience | Procédure opérationnelle d’incident, clauses de notification, enregistrements de tests de reprise |
Le Zenith Controls: The Cross-Compliance Guide de Clarysec est particulièrement utile ici. Dans Zenith Controls, la mesure ISO/IEC 27002:2022 5.23, Sécurité de l’information pour l’utilisation des services cloud, est traitée comme un contrôle préventif soutenant la confidentialité, l’intégrité et la disponibilité dans les domaines de gouvernance, d’écosystème et de protection. Elle relie l’utilisation du cloud aux relations fournisseurs, à la sécurité des terminaux, à la sécurité réseau, au transfert d’informations, au masquage des données, à la prévention des fuites de données, à l’inventaire des actifs et au cycle de vie du développement sécurisé.
Cette cartographie est importante, car une TIA se résout rarement par une seule clause juridique. Elle implique souvent des accès administrateur cloud, des interfaces de programmation (API) déplaçant des données entre régions, des consoles d’assistance, des journaux, des compartiments de stockage, des plateformes de supervision et des emplacements de sauvegarde.
Zenith Controls cartographie également 5.23 avec des normes connexes, notamment ISO/IEC 27017 pour la responsabilité partagée cloud et les pistes d’audit, ISO/IEC 27018 pour la protection des informations personnellement identifiables (PII) dans le cloud public, ISO/IEC 27701 pour les exigences d’extension relatives à la vie privée, ISO/IEC 27036-4 pour la supervision des services cloud et ISO/IEC 27005 pour l’appréciation des risques cloud.
Pour les contrats fournisseurs, Zenith Controls couvre la mesure ISO/IEC 27002:2022 5.20, Prise en compte de la sécurité de l’information dans les accords fournisseurs. Cette mesure transforme les exigences de transfert en engagements opposables. Les clauses de sous-traitance de l’Article 28 du GDPR, les contrôles des sous-traitants ultérieurs, les attentes NIS2 relatives à la chaîne d’approvisionnement et les dispositions contractuelles de l’Article 30 de DORA deviennent toutes des éléments probants contractuels.
Pour la supervision continue, la mesure ISO/IEC 27002:2022 5.22, Surveillance, revue et gestion des changements des services fournisseurs, est essentielle. Une TIA réalisée lors de l’intégration peut devenir obsolète après l’ajout d’un sous-traitant ultérieur par un fournisseur, un changement de lieux d’assistance, une modification de l’architecture de journalisation ou le lancement d’une nouvelle fonctionnalité.
Corriger le point faible des sous-traitants ultérieurs
L’échec le plus courant d’une TIA n’est pas l’absence de CCT. C’est une connaissance obsolète des sous-traitants ultérieurs.
Les fournisseurs cloud et les plateformes SaaS modifient fréquemment les régions de service, les modèles d’assistance, les pipelines de télémétrie, les CDN et les sous-traitants. Si une TIA dépend d’une liste de sous-traitants ultérieurs téléchargée une seule fois lors de l’achat, elle deviendra rapidement non fiable.
La Politique de sécurité des tiers et des fournisseurs de Clarysec traite ce point au moyen d’une exigence contractuelle :
Le recours à des sous-traitants est soumis à un consentement écrit préalable
Extrait de la section « Exigences de gouvernance », clause de politique 5.3.5.
La Politique de conformité juridique et réglementaire de Clarysec identifie les éléments probants juridiques à maintenir :
Divulgations des sous-traitants ultérieurs et déclarations de transfert géographique des données
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.3.1.2.
Cette exigence est brève, mais elle fait souvent la différence entre une TIA crédible et une TIA incomplète. Si une organisation ne peut pas produire les divulgations des sous-traitants ultérieurs et les déclarations de transfert géographique, elle ne peut pas expliquer de manière fiable les transferts ultérieurs.
Le Zenith Blueprint, phase Controls in Action, étape 23, ajoute l’attente opérationnelle :
Pour chaque fournisseur critique, identifiez s’il utilise des sous-traitants (sous-traitants ultérieurs) susceptibles d’accéder à vos données ou systèmes. Documentez la manière dont vos exigences de sécurité de l’information sont répercutées sur ces parties, soit par les clauses contractuelles de votre fournisseur, soit par vos propres clauses directes.
En pratique, cela signifie que les fournisseurs à haut risque doivent faire l’objet d’une revue annuelle des sous-traitants ultérieurs, d’un processus de notification des changements, d’un workflow d’approbation documenté et d’un déclencheur de réévaluation du risque. Pour les services pertinents au regard de DORA, les mêmes éléments probants soutiennent également l’analyse de la sous-traitance et du risque de concentration.
Rendre les mesures complémentaires spécifiques et vérifiables
Les mesures complémentaires ne doivent jamais être documentées par une simple formule telle que « nous utilisons le chiffrement ». Les auditeurs et les clients grands comptes demanderont ce qui est chiffré, où le chiffrement est appliqué, qui contrôle les clés, si le personnel du fournisseur peut accéder aux données en clair, si les journaux contiennent des données à caractère personnel et comment l’accès à privilèges est approuvé.
Un dossier solide de mesures complémentaires combine des mesures de protection techniques, contractuelles, organisationnelles et de résilience.
| Type de mesure | Exemple | Éléments probants TIA |
|---|---|---|
| Technique | Chiffrement en transit, chiffrement au repos, clés gérées par le client (CMK), pseudonymisation, tokenisation, DLP, journalisation des accès | Schéma d’architecture, configuration KMS, politique de chiffrement, échantillons de journaux |
| Contractuelle | CCT, accord de traitement des données, approbation des sous-traitants ultérieurs, notification de violation, droits d’audit, restitution et suppression des données | Accords signés, liste de contrôle des clauses, cartographie contractuelle |
| Organisationnelle | Workflow de revue des transferts, approbations d’accès, formation du personnel, cadence de revue fournisseur | Procédure TIA, enregistrements de revue d’accès, journaux de formation |
| Résilience | Sauvegarde, reprise, plan de sortie, stratégie de fournisseur alternatif, communications d’incident | Test de reprise, plan de sortie cloud, plan de communication de crise |
La Politique sur les contrôles cryptographiques pour PME de Clarysec fournit le point d’ancrage :
Le chiffrement doit être appliqué à :
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.1.1.
Pour une TIA, cette déclaration de politique doit devenir un élément probant explicite. Le chiffrement doit être décrit pour les données à caractère personnel en transit entre les systèmes de l’UE et les services cloud de pays tiers, au repos dans le stockage cloud et dans les sauvegardes. La propriété des clés doit être définie. Si des clés gérées par le client sont utilisées, la TIA doit expliquer si le fournisseur peut accéder aux données en clair, quand l’accès à l’assistance est autorisé et comment l’accès administratif est journalisé.
La Politique de sécurité des tiers et des fournisseurs pour PME de Clarysec renforce l’assurance de localisation :
Lorsque les fournisseurs sont tenus de stocker des données hors site, l’entreprise doit obtenir une assurance concernant la protection des données, la sécurité physique et le lieu géographique de stockage (par exemple, hébergement limité à l’UE lorsque requis par le GDPR).
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.2.4.
La même politique PME soutient également l’exhaustivité contractuelle :
Les contrats doivent inclure des clauses obligatoires couvrant :
Extrait de la section « Exigences de gouvernance », clause de politique 5.3.
Pour les TIA, ces clauses obligatoires doivent couvrir la confidentialité, les mesures de sécurité, la notification de violation, les sous-traitants ultérieurs, les droits d’audit, la restitution des données, la suppression, les mécanismes de transfert et les engagements de localisation.
Construire un dossier d’éléments probants TIA prêt pour l’audit
Supposons qu’un fournisseur SaaS B2B européen utilise une plateforme d’analyse basée aux États-Unis. La plateforme ingère des événements d’utilisation client, des identifiants utilisateurs, des adresses IP et des métadonnées d’assistance. Elle propose un hébergement dans l’UE et des CCT, mais le personnel d’assistance situé hors de l’EEE peut accéder aux tickets, et les journaux d’erreurs peuvent être traités par un sous-traitant ultérieur situé dans un pays tiers.
Un dossier d’éléments probants pratique peut être constitué en six étapes.
1. Créer l’enregistrement de transfert
Commencez par le registre des services cloud requis par la Politique d’utilisation du cloud pour PME. Ajoutez le responsable de service, la finalité métier, les catégories de données, les personnes concernées, le rôle, la région d’hébergement, les pays d’accès, les lieux d’assistance, les sous-traitants ultérieurs, le mécanisme de transfert, les mesures complémentaires, la notation du risque et la prochaine date de revue.
Pour la plateforme d’analyse, consignez que les événements sont hébergés dans l’UE, que l’accès à l’assistance peut avoir lieu hors de l’EEE et que la supervision des erreurs crée un transfert ultérieur.
2. Joindre les éléments probants contractuels
Joignez l’accord de traitement des données, les CCT ou autres éléments probants du mécanisme de transfert, l’annexe de sécurité, les clauses de notification d’incident et la liste des sous-traitants ultérieurs. Utilisez la clause 4.5.2 de la Politique d’utilisation du cloud pour établir la revue des CCT et des mécanismes de transfert. Utilisez la clause 5.3.5 de la Politique de sécurité des tiers et des fournisseurs pour établir l’approbation ou le consentement relatif aux sous-traitants ultérieurs.
Si vous vous appuyez sur le cadre de protection des données UE–États-Unis pour un fournisseur, consignez le périmètre, le statut de certification, la couverture du service et le mécanisme de repli. Ne présumez pas qu’il couvre tous les transferts ultérieurs.
3. Créer le scénario de risque
Ajoutez le risque au registre des risques du SMSI :
« Des données à caractère personnel de l’UE traitées via la plateforme d’analyse peuvent être accessibles depuis un pays tiers par l’assistance du fournisseur ou des sous-traitants ultérieurs, créant un risque de confidentialité, un risque juridique et un risque de conformité réglementaire. »
Attribuez le propriétaire, la vraisemblance, l’impact, la notation inhérente, le plan de traitement des risques et la notation résiduelle. Reliez-le au Chapitre V du GDPR, aux engagements clients, aux contrôles cloud et fournisseurs ISO/IEC 27001:2022, à l’Article 21 de NIS2 le cas échéant, et aux Articles 28, 29 et 30 de DORA pour les contextes du secteur financier.
La Politique de gestion des risques de Clarysec définit la discipline de traitement :
Le Responsable des risques doit s’assurer que les traitements sont réalistes, limités dans le temps et cartographiés avec les contrôles de l’Annexe A d’ISO/IEC 27001.
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.4.2.
4. Sélectionner les mesures complémentaires
Pour la plateforme d’analyse, les mesures peuvent inclure l’hébergement dans l’UE, la minimisation des charges utiles d’événements, des identifiants pseudonymes, le chiffrement en transit, le chiffrement au repos, l’accès restreint à l’assistance, l’authentification multifacteur pour les administrateurs, la journalisation des accès à privilèges, des règles DLP empêchant l’inclusion de champs sensibles dans les événements d’analyse, les obligations de notification relatives aux sous-traitants ultérieurs et une revue annuelle des éléments probants.
Cartographiez ces mesures avec les contrôles ISO/IEC 27002:2022 tels que 5.14 Transfert d’informations, 5.15 Contrôle d’accès, 5.20 Prise en compte de la sécurité de l’information dans les accords fournisseurs, 5.22 Surveillance, revue et gestion des changements des services fournisseurs, 5.23 Sécurité de l’information pour l’utilisation des services cloud, 5.31 Exigences légales, statutaires, réglementaires et contractuelles, 5.34 Vie privée et protection des PII, 8.11 Masquage des données, 8.12 Prévention des fuites de données, 8.16 Activités de surveillance et 8.24 Utilisation de la cryptographie.
5. Définir les déclencheurs de revue
Une TIA n’est complète qu’une fois les déclencheurs de revue définis. Ces déclencheurs doivent inclure un nouveau sous-traitant ultérieur, un nouveau pays d’accès, une nouvelle catégorie de données, un changement du modèle d’assistance, un incident de sécurité, un renouvellement contractuel, une nouvelle exigence client critique, une nouvelle classification DORA ou une modification significative de l’architecture cloud.
C’est ici que la mesure ISO/IEC 27002:2022 5.22 devient opérationnelle. Revoyez les rapports SOC, les certificats ISO, les résumés de tests d’intrusion, les notifications de changement de service, l’historique des incidents et les mises à jour des sous-traitants ultérieurs. Suivez les exceptions jusqu’à leur clôture.
6. Mettre à jour la SoA et l’index des éléments probants
Dans la Déclaration d’applicabilité, marquez comme applicables les contrôles cloud, fournisseurs, juridiques, vie privée, cryptographie, accès, surveillance, incidents et continuité. Ajoutez des notes de SoA telles que « soutient la TIA au titre du Chapitre V du GDPR pour la plateforme d’analyse », « soutient les éléments probants contractuels DORA relatifs aux tiers TIC » ou « soutient les éléments probants NIS2 relatifs à la sécurité de la chaîne d’approvisionnement ».
Cette dernière étape d’indexation transforme une analyse de protection des données en éléments probants de conformité prêts pour l’audit.
Cartographier les mêmes éléments probants avec GDPR, DORA, NIS2 et ISO 27001
Un dossier d’éléments probants TIA bien construit doit satisfaire plusieurs angles d’audit sans créer de documentation en double.
| Domaine de défi | Exigence GDPR | Exigence DORA | Exigence NIS2 | Éléments probants ISO/IEC 27001:2022 |
|---|---|---|---|---|
| Transfert international de données | Mécanisme de transfert du Chapitre V et TIA | Articles 28 et 30, éléments probants de localisation et contractuels | Article 21, sécurité de la chaîne d’approvisionnement | 5.23 registre cloud, 5.14 transfert d’informations, 5.31 obligations légales |
| Gestion des sous-traitants ultérieurs | Article 28(2), autorisation écrite préalable spécifique ou générale | Article 29, sous-traitance et risque de concentration | Article 21, risque lié aux fournisseurs et prestataires de services | 5.20 répercussion contractuelle, 5.21 chaîne d’approvisionnement TIC, 5.22 surveillance |
| Mesures complémentaires | Article 32, sécurité du traitement | Article 9, protection et prévention | Article 21, cryptographie, contrôle d’accès et hygiène cyber | 8.24 utilisation de la cryptographie, 5.15 contrôle d’accès, 8.16 activités de surveillance |
| Responsabilité et gouvernance | Article 5(2), démontrer la conformité | Articles 5 et 6, gouvernance et cadre de gestion des risques liés aux TIC | Article 20, supervision par la direction | Clauses 5 et 6, registre des risques, plan de traitement des risques, SoA |
| Éléments probants relatifs aux incidents et à la résilience | Articles 33 et 34, notification de violation le cas échéant | Attentes relatives au signalement des incidents, à la réponse, à la reprise et à la sortie | Article 23, signalement des incidents significatifs | Procédures opérationnelles d’incident, clauses de notification, tests de reprise, plans de sortie |
DORA est particulièrement important lorsque le client est une entité financière ou lorsque le service soutient une chaîne TIC du secteur financier. DORA s’applique depuis le 17 janvier 2025 et fixe des exigences en matière de gestion des risques liés aux TIC, de signalement des incidents, de tests de résilience, de partage d’informations et de risque lié aux tiers TIC. L’Article 8 exige l’identification et la classification des actifs TIC, des actifs informationnels et des dépendances. L’Article 28 impose la gouvernance des risques liés aux tiers TIC, des registres d’informations, des diligences raisonnables et des stratégies de sortie. L’Article 29 traite du risque de concentration TIC et du risque de sous-traitance. L’Article 30 impose des contrats écrits comprenant des descriptions de services, les lieux de traitement, la protection des données, l’accès, la reprise, la restitution des données, l’assistance en cas d’incident, la coopération avec les autorités, les droits de résiliation, les droits d’audit et les modalités de transition.
NIS2 ajoute la responsabilité de la direction. L’Article 20 impose aux organes de direction d’approuver et de superviser les mesures de gestion des risques de cybersécurité. L’Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées, notamment des politiques de risque, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’acquisition et le développement sécurisés, l’évaluation de l’efficacité des contrôles, l’hygiène cyber, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs et l’authentification multifacteur lorsque cela est approprié.
Le chevauchement est clair. Une TIA qui identifie les sous-traitants ultérieurs, les lieux de transfert, les mesures complémentaires, les obligations relatives aux incidents et la surveillance des fournisseurs constitue aussi un élément probant pour la résilience fournisseur.
Comment les auditeurs testeront votre TIA
Les auditeurs posent des questions différentes, mais les éléments probants doivent être réutilisables.
| Angle d’audit | Question d’audit probable | Éléments probants solides |
|---|---|---|
| Audit GDPR relatif à la vie privée | Pouvez-vous prouver le mécanisme de transfert, le contrôle des sous-traitants ultérieurs et les mesures complémentaires ? | TIA, CCT, accord de traitement des données, registre des sous-traitants ultérieurs, déclaration de localisation des données, éléments probants de chiffrement et d’accès |
| Audit ISO/IEC 27001:2022 | Le risque de transfert est-il identifié, traité, contrôlé et inclus dans la SoA ? | Registre des risques, plan de traitement des risques, notes de SoA, registre cloud, enregistrements de revue fournisseur |
| Audit ISO/IEC 27701 relatif à la vie privée | Les obligations des sous-traitants sont-elles opérationnelles dans les services cloud traitant des données à caractère personnel ? | Clauses de l’accord de traitement des données, support des demandes des personnes concernées, workflow de suppression, processus de notification d’incident |
| Revue de préparation NIS2 | Les risques fournisseurs et cloud sont-ils gérés par des mesures approuvées par la direction ? | Appréciation du risque fournisseur, revue de direction, politique de cryptographie, enregistrements d’incident et de continuité |
| Revue DORA des tiers TIC | Les contrats TIC, la sous-traitance, les localisations, la surveillance et les plans de sortie sont-ils contrôlés ? | Registre des contrats TIC, cartographie des clauses de l’Article 30, revue des sous-traitants, test de sortie |
| Évaluation NIST CSF 2.0 | Les risques juridiques, réglementaires, contractuels et fournisseurs sont-ils gouvernés et améliorés ? | Profils actuel et cible, plan d’écarts, criticité des fournisseurs, suivi de la réponse aux risques |
| Audit COBIT 2019 ou de type ISACA | Existe-t-il une propriété claire de la gouvernance, une performance de processus et une responsabilité des contrôles ? | RACI, propriété de la politique, indicateurs clés de performance (KPI), indicateurs clés de risque (KRI), gestion des problèmes, reporting au conseil |
Zenith Controls fournit une méthodologie d’audit pratique pour ces domaines. Pour les services cloud, les auditeurs recherchent un registre des services cloud approuvés et des éléments probants montrant que l’utilisation non autorisée du cloud est surveillée. Pour les accords fournisseurs, les auditeurs procèdent à un échantillonnage contractuel sur les fournisseurs à haut risque et valident la confidentialité, la protection des données, les délais de notification des violations, les droits d’audit, l’approbation des sous-traitants ultérieurs et la restitution ou la destruction des données. Pour la surveillance des fournisseurs, les auditeurs examinent les enregistrements de revue, les rapports KPI, les certifications fournisseurs, les rapports SOC, les résumés de tests d’intrusion, les exceptions et les actions de remédiation.
La leçon d’audit est directe : les éléments probants doivent montrer un fonctionnement dans le temps. Une TIA signée une fois puis jamais réexaminée ne satisfera pas une revue sérieuse relative au cloud, aux fournisseurs ou à la résilience.
Utiliser NIST CSF 2.0 pour expliquer le risque TIA à la direction
Les conseils d’administration veulent rarement débattre en détail des modules CCT ou des localisations de l’assistance cloud. Ils veulent savoir si le risque est gouverné, priorisé et en amélioration. NIST CSF 2.0 aide à traduire la TIA en langage de direction au moyen des fonctions GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND et RECOVER.
Pour une TIA, la fonction GOVERN est particulièrement utile. Elle inclut les exigences légales, réglementaires et contractuelles, l’appétence au risque, les rôles, les politiques, la supervision et la gestion des risques de cybersécurité des fournisseurs. Construisez un profil actuel montrant l’état du jour, par exemple un registre cloud partiel, un référentiel CCT, une revue limitée des sous-traitants ultérieurs et aucune cadence de revue TIA définie. Définissez ensuite un profil cible, par exemple un inventaire complet des transferts, des sous-traitants ultérieurs notés en fonction du risque, des mécanismes de transfert vérifiés, des clés gérées par le client pour les données à haut risque, des revues trimestrielles des fournisseurs critiques, une cartographie contractuelle prête pour DORA et des plans de sortie cloud testés.
Le plan d’écarts devient une feuille de route pratique que la direction peut financer et suivre.
La checklist Clarysec des TIA cloud pour 2026
Utilisez cette checklist pour vérifier si votre analyse d’impact des transferts est prête pour l’audit :
- Tenir un registre des services cloud avec le propriétaire, la finalité, les catégories de données, les localisations, les pays d’accès et les sous-traitants ultérieurs.
- Identifier si chaque service relève d’une relation de responsable du traitement, de sous-traitant, de sous-traitant ultérieur ou de fournisseur indépendant.
- Joindre l’accord de traitement des données, les CCT ou les autres éléments probants du mécanisme de transfert à l’enregistrement fournisseur.
- Consigner le recours au cadre de protection des données UE–États-Unis uniquement lorsque le périmètre et les transferts ultérieurs sont vérifiés.
- Maintenir les divulgations des sous-traitants ultérieurs et les déclarations de transfert géographique.
- Exiger un consentement écrit préalable ou une notification contractuelle pour les nouveaux sous-traitants ultérieurs, selon le niveau de risque.
- Cartographier les mesures complémentaires avec des contrôles techniques spécifiques, et non avec des déclarations génériques.
- Prouver le chiffrement en transit, le chiffrement au repos, la propriété de la gestion des clés et la journalisation des accès à privilèges.
- Minimiser, pseudonymiser ou masquer les données à caractère personnel avant le transfert lorsque cela est possible.
- Définir des déclencheurs de revue pour les nouveaux pays, les nouveaux sous-traitants ultérieurs, les nouvelles catégories de données, les incidents et les changements contractuels.
- Relier chaque risque TIA au registre des risques, au plan de traitement des risques et à la SoA.
- Revoir périodiquement les éléments probants fournisseurs et suivre les exceptions jusqu’à leur clôture.
- Inclure dans les contrats les obligations de notification d’incident, les droits d’audit, la restitution des données, la suppression et les obligations de sortie.
- Pour les services pertinents au regard de DORA, cartographier les contrats avec les exigences relatives aux tiers TIC, la sous-traitance, les localisations, le risque de concentration et la stratégie de sortie.
- Signaler les décisions de transfert à haut risque à la direction dans le cadre de la gouvernance du SMSI.
Transformer l’incertitude liée aux transferts en éléments probants prêts pour l’audit
InnovatePay a remporté le contrat bancaire parce que Maria a cessé de traiter la TIA comme un document juridique de dernière minute. Son équipe a construit un registre des services cloud, joint les CCT et les accords de traitement des données, documenté les sous-traitants ultérieurs, cartographié les mesures complémentaires avec les contrôles ISO/IEC 27001:2022, mis à jour le registre des risques, ajouté des notes de SoA et créé des déclencheurs de surveillance. Le résultat n’était pas seulement une meilleure réponse au questionnaire. C’était un processus reproductible de gestion des risques fournisseurs.
Votre organisation peut faire de même.
Commencez par le Zenith Blueprint: An Auditor’s 30-Step Roadmap pour relier les risques de transfert au registre des risques, au plan de traitement des risques et à la Déclaration d’applicabilité. Utilisez Zenith Controls: The Cross-Compliance Guide pour cartographier les contrôles ISO/IEC 27002:2022 relatifs au cloud, aux accords fournisseurs et à la surveillance des fournisseurs avec les attentes GDPR, NIS2, DORA, NIST et d’audit. Puis opérationnalisez les éléments probants au moyen des politiques Clarysec telles que la Politique d’utilisation du cloud, la Politique de sécurité des tiers et des fournisseurs, la Politique de conformité juridique et réglementaire, la Politique de gestion des risques, ainsi que les versions PME le cas échéant.
Une analyse d’impact des transferts cloud ne doit pas être une urgence commerciale. En 2026, elle fait partie de la gouvernance cloud, de l’assurance fournisseur, de la responsabilité en matière de vie privée et de la résilience opérationnelle. Les organisations qui gagneront la confiance seront celles qui pourront prouver rapidement où vont les données, qui y accède, ce qui les protège et comment le risque est gouverné dans la durée.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
