ISO/IEC 27555:2021
(Main)Information security, cybersecurity and privacy protection — Guidelines on personally identifiable information deletion
Information security, cybersecurity and privacy protection — Guidelines on personally identifiable information deletion
This document contains guidelines for developing and establishing policies and procedures for deletion of personally identifiable information (PII) in organizations by specifying: — a harmonized terminology for PII deletion; — an approach for defining deletion rules in an efficient way; — a description of required documentation; — a broad definition of roles, responsibilities and processes. This document is intended to be used by organizations where PII is stored or processed. This document does not address: — specific legal provision, as given by national law or specified in contracts; — specific deletion rules for particular clusters of PII that are defined by PII controllers for processing PII; — deletion mechanisms; — reliability, security and suitability of deletion mechanisms; — specific techniques for de-identification of data.
Sécurité de l’information, cybersécurité et protection de la vie privée — Lignes directrices relatives à la suppression des données à caractère personnel
Le présent document contient des lignes directrices pour l’élaboration et l’établissement de politiques et de procédures de suppression des données à caractère personnel (DCP) dans les organisations en spécifiant : — une terminologie harmonisée en matière de suppression de DCP ; — une approche efficace en termes de définition des règles de suppression ; — une description des documents exigés ; — une définition au sens large des rôles, des responsabilités et des processus. Le présent document s’adresse aux organisations dans lesquelles sont stockées ou traitées des DCP. Le présent document ne traite pas : — les dispositions légales particulières, énoncées par une législation nationale ou spécifiées dans des contrats ; — les règles de suppression spécifiques concernant des clusters particuliers de DCP, définies par les responsables de traitement de DCP pour traiter les DCP ; — les mécanismes de suppression ; — la fiabilité, la sécurité et l’adéquation des mécanismes de suppression ; — les techniques spécifiques de désidentification des données.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27555
First edition
2021-10
Information security, cybersecurity
and privacy protection — Guidelines
on personally identifiable information
deletion
Sécurité de l’information, cybersécurité et protection de la
vie privée — Lignes directrices relatives à la suppression des
informations personnellement identifiables
Reference number
© ISO/IEC 2021
© ISO/IEC 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2021 – All rights reserved
Contents Page
Foreword .v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Symbols and abbreviated terms.3
5 Framework for deletion . 3
5.1 General . 3
5.2 Constraints. 4
5.3 Clusters of PII . 4
5.4 Retention period and regular deletion period . 5
5.4.1 Retention period . 5
5.4.2 Regular deletion period . 5
5.4.3 Allocation of clusters of PII . 6
5.5 Archives and backup copies . . 6
5.6 Standard deletion periods, starting points, deletion rules and deletion classes . 7
5.7 Special situations . 7
5.8 Documentation of policies and procedures . 8
6 Clusters of PII . 8
6.1 General . 8
6.2 Identification . 9
6.3 Documentation . 10
7 Specification of deletion periods .10
7.1 Standard and regular deletion periods . 10
7.2 Regular deletion period specifications . 11
7.3 Standard deletion period identification . 11
7.4 Deletion period specifications for special situations .12
7.4.1 General .12
7.4.2 Modification of data objects .12
7.4.3 Need to extend period of active use . 13
7.4.4 Suspension of the deletion . 13
7.4.5 Backup copies . 13
8 Deletion classes .14
8.1 Abstract starting points — abstract deletion rules . 14
8.2 Matrix of deletion classes.15
8.3 Allocation of deletion classes and definition of deletion rules . 16
9 Requirements for implementation .16
9.1 General . 16
9.2 Conditions for starting points outside IT systems . 18
9.3 Requirements for implementation for organization-wide aspects . 18
9.3.1 General . 18
9.3.2 Backup . 18
9.3.3 Logs . 19
9.3.4 Transmission systems . 19
9.3.5 Repair, dismantling and disposal of systems and components . 19
9.3.6 Everyday business life . 19
9.4 Requirements for implementation for individual IT systems . 20
9.5 Deletion in regular manual processes . 21
9.6 Requirements for implementation for PII processor . 21
9.7 Control deletion in special cases . 21
9.7.1 Exception management . 21
iii
© ISO/IEC 2021 – All rights reserved
9.7.2 Further sets of PII . 22
10 Responsibilities . .22
10.1 General .22
10.2 Documentation .23
10.3 Implementation . . 24
Bibliography .25
iv
© ISO/IEC 2021 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work.
The procedures used to develop this document and those intended for its further maintenance
are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria
needed for the different types of document should be noted. This document was drafted in
accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or
www.iec.ch/members_experts/refdocs).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents) or the IEC
list of patent declarations received (see patents.iec.ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html. In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
v
© ISO/IEC 2021 – All rights reserved
Introduction
Many functional processes and IT applications use personally identifiable information (PII), which is
subject to various compliance provisions relating to privacy. Thus, organizations need to ensure that
PII is not retained for longer than is necessary and that it is deleted at the appropriate time. This can
require organizations to fulfil the rights of PII principals, such as the right to obtain erasure (to be
forgotten). ISO/IEC 29100 defines principles of “data minimization” and “use, retention and disclosure
limitation” for PII, which can be enforced using deletion as a security control.
PII deletion requires a set of carefully designed, clear and easily understood deletion rules, embodying
appropriate retention periods that satisfy the demands of multiple stakeholders. These rules should
also conform with requirements originating from codes of practice and other standards. Mechanisms
are to be correctly implemented and appropriately operated. In order to ensure the legally compliant
deletion of PII, the PII controller needs to develop policies and procedures for deletion that include a set
of rules and responsibilities for the processes involved. The chances of success for the development and
implementation of these policies and processes can be improved if the PII controller uses a recognized
approach to their design and implementation.
This document provides a framework for developing and establishing policies and procedures for PII
deletion that can be implemented by an organization. This framework allows for consistent deletion of
PII throughout an organization.
vi
© ISO/IEC 2021 – All rights reserved
INTERNATIONAL STANDARD ISO/IEC 27555:2021(E)
Information security, cybersecurity and privacy
protection — Guidelines on personally identifiable
information deletion
1 Scope
This document contains guidelines for developing and establishing policies and procedures for deletion
of personally identifiable information (PII) in organizations by specifying:
— a harmonized terminology for PII deletion;
— an approach for defining deletion rules in an efficient way;
— a description of required documentation;
— a broad definition of roles, responsibilities and processes.
This document is intended to be used by organizations where PII is stored or processed.
This document does not address:
— specific legal provision, as given by national law or specified in contracts;
— specific deletion rules for particular clusters of PII that are defined by PII controllers for processing
PII;
— deletion mechanisms;
— reliability, security and suitability of deletion mechanisms;
— specific techniques for de-identification of data.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 29100:2011, Information technology — Security techniques — Privacy framework
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 29100 and the following
apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
© ISO/IEC 2021 – All rights reserved
3.1
cluster of personally identifiable information
cluster of PII
personally identifiable information which is processed for a consistent functional purpose
Note 1 to entry: Clusters of PII are described independently of the technical representation of data objects. On a
regular basis, the clusters of PII also include PII which is not stored electronically.
3.2
data object
element which contains personally identifiable information (PII)
EXAMPLE Examples of elements include files, documents, records or attributes. Concrete data objects
include, for example, invoices, contracts, personal files, visitor lists, personnel planning sheets, photos, voice
recordings, user accounts, log entries and consent documents.
Note 1 to entry: In the context of this document, data objects usually contain PII and can be combined with other
data objects in a cluster of PII (3.1). The individual data object can be of varying complexity.
3.3
deletion
process by which personally identifiable information (PII) is changed so that it is no longer present or
recognizable and usable and can only be reconstructed with excessive effort
Note 1 to entry: In this document the term deletion has the following synonyms: disposition mechanism, erasure,
destruction, destruction of data storage media.
Note 2 to entry: In this document the term deletion refers to the elimination of the bit patterns or comparable
practices, not simply marking or moving the data to be hidden. As a result, excessive effort for PII reconstruction
is required, considering all the means likely to be used, e.g. available state-of-the-art technology, human and
technical resources, costs and time.
Note 3 to entry: For selecting the methods for deletion, a risk-based approach should be taken into account,
including sensitivity of PII and potential use of forensic tools. Required measures can change over time depending
on the state of the art of technology and other factors.
Note 4 to entry: PII can be also changed by applying an irreversible de-identification technique. Such data often
fall out of the scope of privacy legislation. Further guidance on a de-identification technique can be found in ISO/
IEC 20889:2018, Clause 11.
3.4
deletion class
combination of a standard deletion period (3.7) and an abstract starting point for the period run
Note 1 to entry: All clusters of personally identifiable information (PII) which are subject to the same deletion
period (3.6) and the same abstract starting point are combined in a deletion class. As opposed to the (specific)
deletion rule (3.5) for a cluster of PII (3.1), the (abstract) deletion class relates only to the abstract starting point
and not to a specific condition for the start of the period run (see also Clause 8).
3.5
deletion rule
combination of deletion period (3.6) and specific condition for the starting point of the period run
3.6
deletion period
time period after which a specific cluster of personally identifiable information (PII) (3.1) should be
deleted
Note 1 to entry: As a generic term, the deletion period comprises all deletion periods. This includes the standard
deletion periods (3.7) and the regular deletion periods (3.8), which form special groups. However, the term also
includes, for instance, the specific deletion periods for some clusters of PII or deletion periods in special cases.
For details, see Clause 7.
© ISO/IEC 2021 – All rights reserved
Note 2 to entry: The deletion period for a cluster of PII extends beyond the end of the retention period (3.9), by at
least an amount commensurate with the time required to achieve deletion of the relevant data objects (3.2).
3.7
standard deletion period
unified deletion period for the personally identifiable information (PII) controller
Note 1 to entry: A standard deletion period is a deletion period (3.6) used for several clusters of PII (3.1) to
standardize several deletion periods lying close to one another (see 7.1).
3.8
regular deletion period
maximum time period after which the data objects (3.2) of a cluster of personally identifiable information
(PII) (3.1) should be deleted if used in regular processing in the processes of the PII controller
Note 1 to entry: For the boundary conditions of period specifications, see 5.4.
3.9
retention period
time period within which the data objects (3.2) of the cluster of personally identifiable information (PII)
(3.1) are required to be available in the PII controller’s organization because of functional use or legal
retention obligations
Note 1 to entry: A specific cluster of PII typically has the same retention period.
Note 2 to entry: For the boundary conditions of period specifications, see 5.4 and Clause 7.
3.10
legal retention period
time period within which the data objects (3.2) of a cluster of personally identifiable information (PII)
(3.1) are available in the PII controller’s organization as required by legal provisions
4 Symbols and abbreviated terms
CD compact disc
DVD digital versatile disc
IT information technology
PII personally identifiable information
PDF portable document format
SD secure digital
USB universal serial bus
5 Framework for deletion
5.1 General
This document describes how an organization acting as PII controller can establish policies and
procedures for deletion of PII. For this, the PII controller should specify:
— which deletion rules apply to which PII;
— how the deletion is implemented using the deletion rules;
— how the deletion rules and the deletion measures are documented;
© ISO/IEC 2021 – All rights reserved
— who is responsible for the deletion rules, deletion processes and their documentation.
To establish deletion policies and procedures, the following steps are recommended:
— select a minimum number of standard deletion periods which form the basis of deletion classes;
— base deletion classes on the standard deletion periods identified;
— allocate each cluster of PII to a deletion class;
— identify and document the deletion procedure.
The PII controller should implement deletion mechanisms for each cluster of PII based on the established
policies and procedures (see 10.3).
5.2 Constraints
The PII controller should establish policies and procedures for deletion of PII which enable the
organization to demonstrate compliance with relevant legal, regulatory and other requirements.
Where the organization is performing the role of a PII processor, they should ensure deletion rules are
implemented in accordance with the relevant PII controller instructions.
Where compliance and/or contractual requirements state that PII should be deleted when it is no longer
required for the defined purpose, the principles contained in ISO/IEC 29100 should be considered when
designing the deletion processes:
a) use, retention and disclosure limitation;
b) data minimization.
EXAMPLE The deletion rule for the cluster of PII named “Accounting data” can be 10 years after the end of
the financial year in which the accounting entry was made in the balance sheet.
Compliance and/or contractual requirements can require special measures, particularly where clusters
of PII are retained only to fulfil retention obligations. In such cases, restricting the processing of the
clusters of PII concerned can be required.
5.3 Clusters of PII
Clusters of PII should be named individually and unambiguously and according to their functional
purposes. Each cluster of PII should be allocated one deletion rule (see 6.2).
EXAMPLE For a telecommunications provider, customer data, location data, traffic data, billing data and
itemized bill data are possible names of clusters of PII.
The same PII can be part of more than one cluster of PII because of two cases:
— clusters of PII contain one or more data objects;
NOTE Some attributes, such as name or address, can occur in several data objects in the same or different
clusters of PII, e.g. in the customer master data, an invoice and a letter to the customer. Deletion is usually applied
on the data object as a whole (and not on single attributes within the data object).
— copies of a data object can be part of different clusters of PII.
EXAMPLE Assume an invoice documents materials and actions performed to repair an engine. Functional
processes can require that three copies of the document are stored in different clusters of PII: “bookkeeping data”
(deleted 11 years after payment), “engine documentation file” to document the history and parts of the engine
(deleted 5 years after destruction of the engine) and “supplier file” to document the history of the relationship
and operations with the supplier (deleted 15 years after receiving the data object).
PII should not be deleted upon individual case decisions only, but in accordance with appropriate
deletion rules wherever possible. Therefore, the PII controller should develop deletion rules in
© ISO/IEC 2021 – All rights reserved
accordance with their deletion policy. Every deletion rule should include a definition of the deletion
period and when the deletion period begins (starting point).
5.4 Retention period and regular deletion period
5.4.1 Retention period
The period of time for which a cluster of PII is retained, based on its functional purposes (which
can include retention period complying with business requirements as well as legal and statutory
obligations), is its retention period. This time period includes the time period in which a cluster of PII is
actively used in functional processes, in accordance with compliance and/or contractual purposes and
in accordance with the organization's long-term storage requirements.
EXAMPLE The legal retention obligations for clusters of PII include, for example, the provisions of tax laws
for trade letters and accounting documents. Functional purposes include, for example, guarantee commitments
and potential equipment recall actions.
5.4.2 Regular deletion period
Clusters of PII should not be deleted until the end of their defined retention period, unless specific
approvals have been obtained.
Legal obligations can allow for time flexibility to perform deletion after the retention period has been
reached. This flexibility can be used to apply a process and mechanisms for deletion which may take
into account the availability of technical solutions as well as the general organizational requirements.
The combination of the retention period and the maximum time period for the deletion process is
defined as the regular deletion period. The PII controller should estimate the maximum time period
that is acceptable for the deletion process.
Each deletion rule should be applied by deleting data objects within a cluster of PII in all systems and
all storage places. This should include the deletion of data objects stored in physical documents. Also
included is the deletion of clusters of PII processed by PII processors contracted by the PII controller.
Figure 1 shows an example of how to derive a regular deletion period based on the life cycle of an order.
The retention period and regular deletion period for the order starts with the formation of the contract.
The active use of the contract ends with the receipt of payment. After that, the contract is still retained
for possible warranty cases and as a trade letter.
© ISO/IEC 2021 – All rights reserved
Figure 1 — Example of regular deletion period for an order
NOTE In the example in Figure 1, the retention period for the order is shorter than the regular deletion
period. Depending on which cluster of PII is involved and its defined deletion period, the retention period and the
regular deletion period sometimes have nearly the same duration. The invoice and the booking of the payment
received are categorized as separate clusters of PII and, therefore, have different deletion rules.
5.4.3 Allocation of clusters of PII
The allocation of clusters of PII to specific standard deletion periods should be based on compliance
and/or contractual requirements in alignment with business needs. The number of standard deletion
periods should be as low as possible and should be the minimum required in order to meet these
requirements and business needs. For further information on standard deletion periods, see 7.1.
The PII controller should consider relevant legal, regulatory and/or contractual business requirements
giving specific deletion provisions when defining regular deletion periods. These provisions can also
include guidelines for the design of the deletion processes.
EXAMPLE In the area of telecommunications, the retention of traffic data required for calculating usage
charges is sometimes limited by law.
Further guidance for the allocation of regular deletion periods to clusters of PII can be found in Clause 7
and 8.3.
5.5 Archives and backup copies
Archives serve the purpose of keeping data available for extended periods of time. Data are transferred
into archives when they are no longer expected to be actively used but are still required to be retained
for permissible reasons. An archive can contain different clusters of PII with different deletion periods.
The relevant compliance and/or contractual requirements can require restriction of processing for
archived data.
The primary purpose of backup copies is the recovery of IT systems. Backup copies should not be used
as archives.
© ISO/IEC 2021 – All rights reserved
The organization should clearly distinguish between backup copies and archives. PII contained in
archives should be subject to the same deletion rules of the respective clusters of PII and these rules
should be implemented in the archives concerned.
It is often impractical (or even impossible) to delete individual data objects within a backup copy, as
it would contradict the purpose of a backup. To fulfil their purpose, backup copies are required to be
available for only short periods of time. Using short deletion periods for the backup copies is a means of
conforming with the deletion provisions.
For the deletion of backup copies, individual time periods should be specified in the backup strategy
(see 9.3). These time periods should be in acceptable proportion to the regular deletion periods of the
various clusters of PII contained in the specific copy (see 7.4).
During recovery of a system, PII which has exceeded the regular deletion period can be restored.
Therefore, restore processes should consider this possibility and describe how to delete such restored
PII (see 9.1 and 9.4).
5.6 Standard deletion periods, starting points, deletion rules and deletion classes
Before deletion rules can be defined for individual clusters of PII, considerable effort can be required for
analysis. It is appropriate to involve the person responsible for privacy matters within the organization
in the assessment of the standard deletion periods, starting points, deletion rules and deletion classes.
The PII controller should define and use standard deletion periods.
The starting points for the deletion periods may also be grouped (see 8.1).
EXAMPLE One such abstract starting point is the “collection of the data”; another is the “end of procedure”.
The combination of a standard deletion period and an abstract starting point forms a deletion class (see
Clause 8). Clusters of PII should be assigned to the appropriate deletion class. For example, all clusters
of PII which are subject to the same deletion period and the same starting point should be assigned to
the same deletion class.
5.7 Special situations
In some situations, deleting PII in accordance with the general deletion rules can be unfeasible for an
organization. These situations include:
— deletion of PII which was collected without proper legal permission;
— deletion of PII after a legally founded request for deletion by the PII principal;
— deletion of PII which is likely necessary for a claim or an anticipated or ongoing legal case.
NOTE 1 In some jurisdictions, compliance requirements grant the PII principal a right to have PII deleted
if certain prerequisites are met. For a specific cluster of PII, not all such requests need to be implemented, for
example because of overriding compliance retention requirements.
For these and similar special situations, deletion measures should also be determined. These can be
specified in the context of the processes and responsibilities for deletion of PII (see 9.7 and Clause 10).
Individual PII can only be deleted if the technical systems have a suitable function for deletion.
Therefore, the PII controller should ensure that such a function is required in system procurement or
system development processes if PII principals can require the deletion on a case-by-case basis. On the
other hand, there is nothing to prevent the use of available standard functions for rare individual cases
of such deletions, e.g. SQL instructions in databases.
NOTE 2 Under certain conditions, the PII controller has the option not to delete PII but to restrict the
processing of that PII.
© ISO/IEC 2021 – All rights reserved
5.8 Documentation of policies and procedures
Policies and procedures for PII deletion should be documented. These documents should include
advice from different entities within the organization, such as the person in charge in privacy matters,
functional users, developers and administrators.
Policies and procedures can be integrated into existing documentation. To prevent inconsistencies and
inefficiencies, duplication of policies and procedures should be avoided.
The deletion rules should be described without reference to the technology used for storage, control
and deletion.
EXAMPLE 1 Bookkeeping data include invoices, receipts and bank transactions. To be independent from
technical aspects, it is irrelevant on which media such data objects are stored (e.g. paper, hard disk, USB stick
or microfiche), in which location they are stored (e.g. locally on a laptop, in a central IT system database, using a
storage area network or paper file folders in an archive room) or which format is used (e.g. PDF, database record,
text file). The same applies to a set of videos or audio tracks: it is irrelevant whether they are stored digitally or
on “old media” such as celluloid, cassette, vinyl record or compact disk.
Technology-related requirements for implementation should be specified separately (see Clause 9 for
further information). Deletion rules should also be applied to manual processes such as data handled by
individuals, e.g. using paper-based documents or files in IT systems.
EXAMPLE 2 A job application is received on paper and stored in a file until the application process is
performed. The application is to be deleted following the appropriate deletion rule after a decision is taken
through a manual process. In other cases, PII in files is stored manually in the file system, e.g. invoices for special
verification or handling. Handling of such data can be regulated by documented work instructions, including the
need to delete the data manually.
6 Clusters of PII
6.1 General
Sets of PII should be categorized according to their functional purposes as clusters of PII. Different
purposes and, thus, different clusters of PII can result, in particular, if:
— the legal basis for the PII collection differs;
— the relevant legal requirements contain different provisions for the use of PII;
— PII relates to different PII principals;
— PII is only used for purposes pursued by different functional entities;
— PII is of different sensitivity.
The PII controller should define and document clusters of PII for the organization.
Additional clusters of PII can be identified:
— when specifying deletion classes and deletion rules for the clusters of PII already identified;
— when specifying or implementing requirements for implementation for specific sets of PII in specific
IT systems or other processes.
NOTE 1 In some cases, it is an option to subdivide individual clusters of PII.
NOTE 2 PII are structured differently (e.g. records in databases, files, paper documents) or are stored at
different locations (e.g. tables of a database as well as in the files from which the PII was imported).
© ISO/IEC 2021 – All rights reserved
EXAMPLE 1 Examples of clusters of PII include accounting data, contract documents or system logs. The
cluster of PII “Accounting data” can include, for instance, the data object “Accounting record” (including the
details regarding creditor/debtor, payment date and due amount) as well as invoices and payment transactions
with banks.
Sometimes, the same information may be contained in different clusters of PII and different data
objects.
EXAMPLE 2 The cluster of PII “Logs” includes all records which are created for events in an IT system for
monitoring purposes. A uniform deletion period of 42 days starting from the day of recording is adequate for
logs because they are evaluated monthly. However, the PII controller wishes to be able to comprehend the status
of the IT system at the same time and uses data objects of the cluster of PII “System status documentation” in
order to ensure that. A small set of selected log records is also transferred into the system status documentation
because it shows statuses and irregularities in system components, defects and successful repairs. An individual
deletion rule is defined for the log records of the cluster of PII “System status documentation” (e.g. 4 years after
recording), which also comprises the log records contained therein.
EXAMPLE 3 Attributes like the name and the address of a PII principal are usually part of several data objects,
for example records of customer master data, invoices, communication letters or service request tickets. These
data objects are assigned to different clusters of PII. Each of the data objects is deleted applying the specific
deletion rule. In each case, the address attributes are handled together with the whole data object.
The allocation of data objects to clusters of PII should be specific to the organization.
EXAMPLE 4 For customer relations management, PII and the data objects that are needed only during the
active customer relationship and shortly afterwards are separated from those for which retention obligations
of several years apply. This distinction is often applicable to master data: the “supplementary master data” is
used as a cluster of PII for contact data of the active customer relationship. PII and the data objects required
to create the customer account (which is required for technical reasons in order to conform with the retention
obligations) are allocated to the cluster of PII “Core master data”. In a bank, a customer’s account number is
assigned to the cluster of PII “Core master data”. On the other hand, a mail order company needs the account
number of a customer only as a bank connection, for instance for credit notes, and would therefore allocate them
to the cluster of PII “Supplementary master data”. For such a mail order company, the core master data includes
the customer’s number, name and address.
6.2 Identification
The definition of clusters of PII is typically evident from their functional contexts. Each cluster of PII
should have only one deletion rule.
The key steps for the definition of clusters of PII are:
— group data objects into individual clusters of PII to which the same legal basis applies related to the
collection, use and retention;
— divide a cluster of PII into several clusters of PII if retention provisions only apply to a subset of them
and if the regular deletion period would thereby be considerably extended.
— distinguish PII according to categories of PII principal;
EXAMPLE 1 Contact data such as contact names, telephone numbers and e-mail addresses are stored,
for instance, for customers, employees of suppliers and service engineers of service providers. It is then
generally useful to distinguish between the clusters of PII ‘Supplementary master data of customers’,
‘Supplementary master data of suppliers’ and ‘Supplementary master data of service engineers’. These three
clusters of PII would be allocated, for instance, to the deletion class ‘2 years after the end of the relationship
with the PII principal’. Other master data are stored for longer periods of time due to the obligation to
produce supporting documents. These are distinguished according to core master data of customers,
core master data of suppliers and master data of service partners. These three clusters of PII then fall into
another deletion class, for instance, ’10 years after the end of the relationship with the PII principal’.
— distinguish PII according to functional purpose;
NOTE 1 The purpose for which the PII is processed is useful in selecting a name for the cluster of PII.
© ISO/IEC 2021 – All rights reserved
EXAMPLE 2 The cluster ‘supplementary master data’ of a customer contains a customer’s master data
record as data object. If a customer requires changes, then change requests are created and supplementary
master data updated. This data object (the specific change requests) is also assigned to the cluster
‘supplementary master data’ and deleted one year after the end of the customer relationship as per the
deletion rule of ‘supplementary master data’ cluster. In some cases, the organization finds it useful for
functional purposes to maintain other change requests (e.g. IT changes, requests on user access rights)
as another cluster ‘IT change requests’ and applies another deletion rule (e.g. 3 years after the date when
change requests were processed).
— distinguish PII according to sensitivity of PII allocating PII of different sensitivity levels to different
clusters. The higher the sensitivity of the data, the shorter the acceptable delay for deletion should
be (see Figure 1).
NOTE 2 Examples of sensitive PII are given in ISO 29100:2011, 2.26 and 4.4.7. The European Union's
[3]
General Data Protection Regulation (GDPR), Arti
...
NORME ISO/IEC
INTERNATIONALE 27555
Première édition
2021-10
Sécurité de l’information,
cybersécurité et protection de la vie
privée — Lignes directrices relatives
à la suppression des données à
caractère personnel
Information security, cybersecurity and privacy protection —
Guidelines on personally identifiable information deletion
Numéro de référence
© ISO/IEC 2021
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2021 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Symboles et abréviations .3
5 Cadre pour la suppression .4
5.1 Généralités . 4
5.2 Contraintes . 4
5.3 Clusters de DCP . 5
5.4 Durée de conservation et délai de suppression normal . 5
5.4.1 Durée de conservation . 5
5.4.2 Délai de suppression normal . 5
5.4.3 Attribution de clusters de DCP . 6
5.5 Archives et copies de sauvegarde . 7
5.6 Délais de suppression normalisés, points de départ, règles de suppression et
classes de suppression . 7
5.7 Situations particulières . 7
5.8 Documentation des politiques et des procédures . 8
6 Clusters de DCP . 9
6.1 Généralités . 9
6.2 Identification . 10
6.3 Documentation . 11
7 Spécification des délais de suppression.11
7.1 Délais de suppression normalisés et normaux . 11
7.2 Spécifications de délais de suppression normaux .12
7.3 Identification des délais de suppression normalisés.12
7.4 Spécifications de délais de suppression pour des situations particulières .13
7.4.1 Généralités .13
7.4.2 Modification des objets de données . 13
7.4.3 Nécessité de prolonger la période d’utilisation active . 14
7.4.4 Interruption de la suppression . 14
7.4.5 Copies de sauvegarde . 14
8 Classes de suppression .15
8.1 Points de départ abstraits — règles de suppression abstraites .15
8.2 Matrice de classes de suppression . 16
8.3 Attribution de classes de suppression et définition de règles de suppression. 17
9 Exigences de mise en œuvre .18
9.1 Généralités . 18
9.2 Conditions des points de départ en dehors des systèmes informatiques .20
9.3 Exigences de mise en œuvre pour les aspects organisationnels . 20
9.3.1 Généralités .20
9.3.2 Sauvegarde . 20
9.3.3 Journaux . 21
9.3.4 Systèmes de transmission. 21
9.3.5 Réparation, démantèlement et mise au rebut des systèmes et des
composants . 21
9.3.6 Vie quotidienne de l’entreprise . 21
9.4 Exigences de mise en œuvre pour les systèmes informatiques individuels .22
9.5 Suppression dans des processus manuels normaux . 23
9.6 Exigences de mise en œuvre pour le sous-traitant de DCP . 23
iii
© ISO/IEC 2021 – Tous droits réservés
9.7 Contrôle de la suppression dans des cas particuliers . 23
9.7.1 Gestion des exceptions . 23
9.7.2 Autres ensembles de DCP . 24
10 Responsabilités .25
10.1 Généralités . 25
10.2 Documentation . 25
10.3 Mise en œuvre . 26
Bibliographie .27
iv
© ISO/IEC 2021 – Tous droits réservés
Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l’ISO ou de l’IEC participent au développement de Normes Internationales
par l’intermédiaire des comités techniques créés par l’organisation concernée afin de s’occuper des
domaines particuliers de l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent
dans des domaines d’intérêt commun. D’autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO et l’IEC participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour
sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des
différents critères d’approbation requis pour les différents types de documents. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
https://www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de brevet. L’ISO et l’IEC ne sauraient être tenues pour responsables de ne pas avoir identifié
tout ou partie de tels droits de brevet. Les détails concernant les références aux droits de propriété
intellectuelle ou autres droits analogues identifiés lors de l’élaboration du document sont indiqués dans
l’Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISO (voir www.iso.org/brevets)
ou dans la liste des déclarations de brevets reçues par l’IEC (voir patents.iec.ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de
l’adhésion de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les
obstacles techniques au commerce (OTC), voir www.iso.org/iso/avant-propos.html. Pour l’IEC, voir
www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l’information, sous-comité SC 27, Sécurité de l’information, cybersécurité et protection de la vie privée.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse https://www.iso.org/members.html et www.iec.ch/national-committees.
v
© ISO/IEC 2021 – Tous droits réservés
Introduction
De nombreux processus fonctionnels et applications informatiques utilisent des données à caractère
personnel (DCP) qui sont soumises à diverses dispositions de conformité liées à la protection de la vie
privée. Par conséquent, ces organisations doivent veiller à ce que ces DCP ne soient pas conservées
plus longtemps que nécessaire et qu’elles soient supprimées en temps opportun. Cela peut exiger des
organisations qu’elles respectent les droits des personnes concernées, tels que le droit à l’effacement
(droit à l’oubli). L’ISO/IEC 29100 définit les principes de « minimisation des données » et d’« utilisation,
conservation et divulgation » des DCP, qui peuvent être appliqués en utilisant la suppression comme
mesure de sécurité.
La suppression de DCP exige un ensemble de règles soigneusement conçues, claires et faciles à
comprendre, englobant les durées de conservation applicables qui répondent aux demandes de plusieurs
parties prenantes. Il convient que ces règles soient également conformes aux exigences provenant de
codes de bonne pratique et autres normes. Des mécanismes sont à mettre en œuvre correctement et
à exploiter de manière appropriée. Afin d’assurer la suppression juridiquement conforme de DCP, le
responsable de traitement de DCP doit élaborer des politiques et procédures de suppression qui incluent
un ensemble de règles et de responsabilités pour les processus impliqués. Les chances de réussite de
l’élaboration et de la mise en œuvre de ces politiques et processus peuvent augmenter si le responsable
de traitement de DCP utilise une approche reconnue pour leur conception et leur exécution.
Le présent document fournit un cadre pour l’élaboration et l’établissement des politiques et des
procédures de suppression de DCP qui peuvent être mises en œuvre par une organisation. Ce cadre
permet une suppression de DCP uniforme à tous les niveaux d’une organisation.
vi
© ISO/IEC 2021 – Tous droits réservés
NORME INTERNATIONALE ISO/IEC 27555:2021(F)
Sécurité de l’information, cybersécurité et protection de la
vie privée — Lignes directrices relatives à la suppression
des données à caractère personnel
1 Domaine d’application
Le présent document contient des lignes directrices pour l’élaboration et l’établissement de politiques
et de procédures de suppression des données à caractère personnel (DCP) dans les organisations en
spécifiant :
— une terminologie harmonisée en matière de suppression de DCP ;
— une approche efficace en termes de définition des règles de suppression ;
— une description des documents exigés ;
— une définition au sens large des rôles, des responsabilités et des processus.
Le présent document s’adresse aux organisations dans lesquelles sont stockées ou traitées des DCP.
Le présent document ne traite pas :
— les dispositions légales particulières, énoncées par une législation nationale ou spécifiées dans des
contrats ;
— les règles de suppression spécifiques concernant des clusters particuliers de DCP, définies par les
responsables de traitement de DCP pour traiter les DCP ;
— les mécanismes de suppression ;
— la fiabilité, la sécurité et l’adéquation des mécanismes de suppression ;
— les techniques spécifiques de désidentification des données.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO/IEC 29100:2011, Technologies de l’information — Techniques de sécurité — Cadre privé
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 29100, ainsi que les
suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
— ISO Online browsing platform : disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia : accessible à l’adresse https:// www .electropedia .org/
© ISO/IEC 2021 – Tous droits réservés
3.1
cluster de données à caractère personnel
cluster de DCP
données à caractère personnel traitées dans un but fonctionnel cohérent
Note 1 à l'article: Les clusters de DCP sont décrits indépendamment de la représentation technique des objets
de données. Régulièrement, les clusters de DCP incluent également des DCP qui ne sont pas stockées sous forme
électronique.
3.2
objet de données
élément qui contient des données à caractère personnel (DCP)
EXEMPLE Parmi les éléments figurent des fichiers, des documents, des enregistrements ou des attributs.
Les objets de données concrets incluent, par exemple, des factures, des contrats, des dossiers personnels, des
listes de visiteurs, des plannings de personnel, des photos, des voix enregistrées, des comptes utilisateur, des
entrées de journal et des formulaires de consentement.
Note 1 à l'article: Dans le contexte du présent document, les objets de données contiennent généralement des
DCP et peuvent être combinés avec d’autres objets de données dans un cluster de DCP (3.1). L’objet de données
individuel peut être de complexité variable.
3.3
suppression
processus par lequel des données à caractère personnel (DCP) sont modifiées de sorte qu’elles ne soient
plus présentes ou reconnaissables et utilisables et qu’elles ne puissent être reconstituées qu’au prix
d’un effort excessif
Note 1 à l'article: Dans le présent document, le terme « suppression » est synonyme de : mécanisme de sort final,
effacement, destruction, destruction des supports de stockage de données.
Note 2 à l'article: Dans le présent document, le terme « suppression » désigne l’élimination des configurations
binaires ou des pratiques comparables, pas simplement le marquage ou le déplacement des données à masquer.
Par conséquent, la reconstitution des DCP exige un effort excessif, sollicitant tous les moyens possibles, par
exemple les technologies de pointe disponibles, des ressources humaines et techniques, ainsi que des coûts et des
délais.
Note 3 à l'article: Pour sélectionner les méthodes de suppression, il convient de prendre en compte une approche
fondée sur l’analyse des risques, notamment le caractère sensible des DCP et l’utilisation potentielle d’outils
criminalistiques. Les mesures obligatoires peuvent changer au fil du temps en fonction des technologies de
pointe et d’autres facteurs.
Note 4 à l'article: Les DCP peuvent être également modifiées en appliquant une technique de désidentification
irréversible. Souvent, ces données n’entrent pas dans le cadre de la législation sur la protection de la vie privée.
D’autres recommandations relatives à la technique de désidentification se trouvent dans l’ISO/IEC 20889:2018,
Article 11.
3.4
classe de suppression
combinaison d’un délai de suppression normalisé (3.7) et d’un point de départ abstrait pour l’exécution
de ce délai
Note 1 à l'article: Tous les clusters de données à caractère personnel (DCP) soumis au même délai de suppression
(3.6) et au même point de départ abstrait sont combinés dans une classe de suppression. Par opposition à la règle
de suppression (3.5) (spécifique) d’un cluster de DCP (3.1), la classe de suppression (abstraite) porte uniquement
sur le point de départ abstrait et non sur une condition spécifique pour le début du délai d’exécution (voir aussi
Article 8).
3.5
règle de suppression
combinaison du délai de suppression (3.6) et d’une condition spécifique pour le point de départ du délai
d’exécution
© ISO/IEC 2021 – Tous droits réservés
3.6
délai de suppression
période au bout de laquelle il convient de supprimer un cluster de données à caractère personnel (DCP)
(3.1)
Note 1 à l'article: Employé comme terme générique, le délai de suppression comprend tous les délais de
suppression. Cela inclut les délais de suppression normalisés (3.7) et les délais de suppression normaux (3.8), qui
constituent des groupes particuliers. Cependant, ce terme inclut également, par exemple, les délais de suppression
spécifiques de certains clusters de DCP ou les délais de suppression correspondant à des cas particuliers. Pour
plus de détails, voir Article 7.
Note 2 à l'article: Le délai de suppression d’un cluster de DCP s’étend au-delà de la durée de conservation (3.9),
d’une durée au moins proportionnelle au temps nécessaire pour réaliser la suppression des objets de données
(3.2) concernés.
3.7
délai de suppression normalisé
délai de suppression uniformisé pour le responsable de traitement des données à caractère personnel
(DCP)
Note 1 à l'article: Un délai de suppression normalisé est un délai de suppression (3.6) utilisé pour plusieurs clusters
de DCP (3.1) afin de normaliser plusieurs délais de suppression proches les uns des autres (voir 7.1).
3.8
délai de suppression normal
période maximale au bout de laquelle il convient de supprimer les objets de données (3.2) d’un cluster de
données à caractère personnel (DCP) (3.1) s’ils sont utilisés dans le cadre d’un traitement normal dans
les processus du responsable de traitement de DCP
Note 1 à l'article: Pour les conditions limites des spécifications de délai, voir 5.4.
3.9
durée de conservation
période au cours de laquelle il est exigé que les objets de données (3.2) du cluster de données à caractère
personnel (DCP) (3.1) soient disponibles dans l’organisation du responsable de traitement de DCP en
raison d’une utilisation fonctionnelle ou d’obligations légales de conservation
Note 1 à l'article: Un cluster de DCP spécifique comporte généralement la même durée de conservation.
Note 2 à l'article: Pour les conditions limites des spécifications de durée, voir 5.4 et Article 7.
3.10
durée de conservation légale
période au cours de laquelle les objets de données (3.2) d’un cluster de données à caractère personnel (DCP)
(3.1) sont disponibles au sein de l’organisation du responsable de traitement de DCP conformément aux
exigences des dispositions légales
4 Symboles et abréviations
CD disque compact (Compact Disc)
DVD disque numérique polyvalent (Digital Versatile Disc)
TI technologies de l’information
DCP données à caractère personnel
PDF format PDF (Portable Document File)
SD carte SD (Secure Digital)
© ISO/IEC 2021 – Tous droits réservés
USB bus série universel (Universal Serial Bus)
5 Cadre pour la suppression
5.1 Généralités
Le présent document décrit comment une organisation agissant en tant que responsable de traitement
de DCP peut établir des politiques et des procédures de suppression de DCP. Pour cela, il convient que le
responsable de traitement de DCP spécifie :
— les règles de suppression applicables et les DCP concernées ;
— comment est mise en œuvre la suppression à l’aide de règles de suppression ;
— comment sont documentées les règles de suppression et les mesures de suppression ;
— qui est responsable des règles de suppression, des processus de suppression et de la documentation
correspondante.
Pour établir les politiques et procédures de suppression, les étapes suivantes sont recommandées :
— sélectionner un nombre minimal de délais de suppression normalisés pour former la base des
classes de suppression ;
— baser les classes de suppression sur les délais de suppression normalisés identifiés ;
— attribuer chaque cluster de DCP à une classe de suppression ;
— identifier et documenter la procédure de suppression.
Il convient que le responsable de traitement de DCP mette en œuvre des mécanismes de suppression
pour chaque cluster de DCP conformément aux politiques et procédures établies (voir 10.3).
5.2 Contraintes
Il convient que le responsable de traitement de DCP établisse les politiques et procédures de suppression
de DCP qui permettent à l’organisation de démontrer la conformité aux exigences légales, réglementaires
et autres. Lorsque l’organisation joue le rôle de sous-traitant de DCP, il convient qu’elle veille à ce que les
règles de suppression soient respectées conformément aux instructions du responsable de traitement
de DCP.
Lorsque les exigences de conformité et/ou contractuelles indiquent qu’il convient de supprimer
les DCP lorsqu’elles ne sont plus utiles à l’objectif défini, il convient de tenir compte des principes de
l’ISO/IEC 29100 lors de la conception des processus de suppression :
a) limitation de l’utilisation, de la conservation et de la divulgation ;
b) minimisation des données.
EXEMPLE La règle de suppression du cluster de DCP nommé « Données comptables » peut correspondre à
10 ans suivant la fin de l’année fiscale dans laquelle l’écriture comptable a été inscrite au bilan.
Les exigences de conformité et/ou contractuelles peuvent nécessiter des mesures particulières,
notamment lorsque les clusters de DCP sont conservés dans le seul but de répondre aux obligations de
conservation. Dans ce cas, il peut être exigé de restreindre le traitement des clusters de DCP concernés.
© ISO/IEC 2021 – Tous droits réservés
5.3 Clusters de DCP
Il convient de nommer les clusters de DCP individuellement et sans ambiguïté, selon leurs objectifs
fonctionnels. Il convient d’attribuer à chaque cluster de DCP une règle de suppression (voir 6.2).
EXEMPLE Pour un opérateur de télécommunications, les données des clients, les données d’emplacement,
les données de trafic, les données de facturation et les données de facture détaillée sont des noms possibles de
clusters de DCP.
Les mêmes DCP peuvent faire partie de plusieurs clusters de DCP dans les deux cas suivants :
— les clusters de DCP contiennent un ou plusieurs objets de données ;
NOTE Certains attributs, tels que le nom ou l’adresse, peuvent apparaître dans plusieurs objets de données
dans le même cluster ou dans différents clusters de DCP, par exemple dans les données principales du client,
une facture ou une lettre adressée au client. La suppression s’applique en général à l’objet de données dans son
ensemble (et pas seulement à des attributs individuels au sein de l’objet de données).
— des exemplaires de l’objet de données peuvent faire partie de différents clusters de DCP.
EXEMPLE Supposons qu’une facture documente le matériel et les actions nécessaires pour réparer un
moteur. Les processus fonctionnels peuvent exiger que trois exemplaires du document soient stockés dans
des clusters de DCP distincts : « données de comptabilité » (supprimé 11 ans après le règlement), « dossier de
documentation sur le moteur » pour documenter l’historique et les différentes pièces du moteur (supprimé 5 ans
après la destruction du moteur) et « dossier fournisseur » pour documenter l’historique des relations et des
opérations avec le fournisseur (supprimé 15 ans après réception de l’objet de données).
Dans la mesure du possible, il convient de ne pas supprimer les DCP uniquement selon des décisions
prises au cas par cas, mais conformément à des règles de suppression appropriées. Par conséquent, il
convient que le responsable de traitement de DCP élabore des règles de suppression conformément à
sa politique de suppression. Il convient que toutes les règles de suppression incluent une définition du
délai de suppression et le début de ce délai de suppression (point de départ).
5.4 Durée de conservation et délai de suppression normal
5.4.1 Durée de conservation
La période pendant laquelle un cluster de DCP est conservé, sur la base de ses objectifs fonctionnels
(qui peuvent inclure une durée de conservation conforme aux exigences métier ainsi qu’aux obligations
légales et statutaires), correspond à sa durée de conservation. Cette durée inclut la période d’utilisation
active d’un cluster de DCP dans des processus fonctionnels, conformément aux objectifs de conformité
et/ou contractuels, dans le respect des exigences de stockage à long terme de l’organisation.
EXEMPLE Parmi les obligations de conservation légale des clusters de DCP figurent, par exemple, les
dispositions de droit fiscal pour les lettres commerciales et les documents comptables. Les objectifs fonctionnels
incluent, par exemple, les engagements de garantie et les procédures éventuelles de rappel de produits.
5.4.2 Délai de suppression normal
Il convient de ne pas supprimer les clusters de DCP avant la fin de leur durée de conservation définie, à
moins d’avoir obtenu des autorisations spécifiques.
Des obligations légales peuvent permettre une certaine flexibilité pour effectuer la suppression
après la durée de conservation. Cette flexibilité peut être utilisée pour appliquer un processus et des
mécanismes de suppression qui peuvent prendre en compte la disponibilité des solutions techniques
ainsi que les exigences organisationnelles générales. La combinaison de la durée de conservation et du
délai maximal imparti au processus de suppression est définie comme le délai de suppression normal. Il
convient que le responsable de traitement de DCP estime le délai maximal acceptable pour le processus
de suppression.
© ISO/IEC 2021 – Tous droits réservés
Il convient d’appliquer chaque règle de suppression en supprimant les objets de données au sein d’un
cluster de DCP sur tous les systèmes et à tous les emplacements de stockage. Il convient d’inclure à cela
la suppression des objets de données stockés dans des documents physiques, ainsi que la suppression
des clusters de DCP traités par les sous-traitants de DCP contractés par le responsable de traitement de
DCP.
La Figure 1 donne un exemple d’adaptation d’un délai de suppression normal en fonction du cycle de
vie d’une commande. La durée de conservation et le délai de suppression normal de l’offre commencent
par l’établissement du contrat. L’utilisation active du contrat se termine dès réception du règlement.
Ensuite, le contrat est conservé en cas de problème pendant la période de garantie et en tant que lettre
commerciale.
Figure 1 — Exemple de délai de suppression normal d’une commande
NOTE Dans l’exemple de la Figure 1, la durée de conservation de la commande est plus courte que le
délai de suppression normal. En fonction du cluster de DCP concerné et de son délai de suppression prévu, la
durée de conservation et le délai de suppression normal ont parfois presque la même durée. La facture et la
comptabilisation du règlement reçu sont classées dans des clusters de DCP distincts et, par conséquent, ont des
règles de suppression différentes.
5.4.3 Attribution de clusters de DCP
Il convient de baser l’attribution des clusters de DCP à des délais de suppression normalisés spécifiques
sur les exigences de conformité et/ou contractuelles en accord avec les besoins métier. Il convient que
le nombre de délais de suppression normalisés soit le plus faible possible et corresponde au minimum
requis afin de répondre à ces exigences et aux besoins métier. Pour plus d’informations sur les délais de
suppression normalisés, voir 7.1.
Il convient que le responsable de traitement de DCP tienne compte des exigences métier légales,
réglementaires et/ou contractuelles donnant les dispositions spécifiques en matière de suppression
lors de la définition des délais de suppression normaux. Ces dispositions peuvent également inclure des
lignes directrices pour la conception des processus de suppression.
EXEMPLE Dans le domaine des télécommunications, la conservation des données de trafic nécessaires au
calcul des frais d’utilisation est parfois imposée par la loi.
© ISO/IEC 2021 – Tous droits réservés
Des recommandations supplémentaires pour l’attribution de délais de suppression normaux aux
clusters de DCP se trouvent à l’Article 7 et en 8.3.
5.5 Archives et copies de sauvegarde
Les archives ont pour but de conserver les données sur des périodes prolongées. Les données sont
transférées dans les archives où elles ne sont plus censées être utilisées activement mais où il est exigé
de les conserver pour des motifs légitimes. Une archive peut contenir différents clusters de DCP avec
différents délais de suppression. Les exigences de conformité et/ou contractuelles peuvent nécessiter
une restriction de traitement des données archivées.
Le principal objectif des copies de sauvegarde est la restauration des systèmes informatiques. Il
convient de ne pas utiliser les copies de sauvegarde en tant qu’archives.
Il convient que l’organisation distingue clairement les copies de sauvegarde des archives. Il convient
que les DCP contenues dans les archives soient soumises aux mêmes règles de suppression des clusters
de DCP respectifs et de mettre en œuvre ces règles dans les archives concernées.
Il est souvent difficile (voire impossible) de supprimer des objets de données individuels dans une
copie de sauvegarde, car cela serait contraire au but d’une sauvegarde. Pour remplir leur fonction, il est
nécessaire que les copies de sauvegarde soient disponibles pendant de courtes périodes uniquement.
L’utilisation de délais de suppression courts pour les copies de sauvegarde est un moyen de se conformer
aux dispositions en matière de suppression.
Dans le cadre de la suppression des copies de sauvegarde, il convient de spécifier des délais individuels
dans la stratégie de sauvegarde (voir 9.3). Il convient que ces délais soient dans des proportions
acceptables par rapport aux délais de suppression normaux des différents clusters de DCP figurant
dans la copie concernée (voir 7.4).
Lors de la restauration d’un système, les DCP qui ont dépassé le délai de suppression normal peuvent
être restaurées. Par conséquent, il convient que les processus de restauration tiennent compte de cette
possibilité et décrivent comment supprimer ces DCP restaurées (voir 9.1 et 9.4).
5.6 Délais de suppression normalisés, points de départ, règles de suppression et
classes de suppression
Avant de pouvoir définir des règles de suppression pour des clusters de DCP individuels, un effort
d’analyse considérable peut s’avérer nécessaire. Il est opportun d’impliquer la personne responsable des
questions de vie privée au sein de l’organisation dans l’évaluation des délais de suppression normalisés,
des points de départ, des règles de suppression et des classes de suppression.
Il convient que le responsable de traitement de DCP définisse et utilise des délais de suppression
normalisés.
Les points de départ des délais de suppression peuvent également être regroupés (voir 8.1).
EXEMPLE L’un de ces points de départ abstraits est la « collecte des données » ; un autre est la « fin de la
procédure ».
La combinaison d’un délai de suppression normalisé et d’un point de départ abstrait constitue
une « classe de suppression » (voir Article 8). Il convient d’affecter les clusters de DCP à la classe de
suppression appropriée. Par exemple, il convient que tous les clusters de DCP soumis au même délai de
suppression et au même point de départ soient affectés à la même classe de suppression.
5.7 Situations particulières
Dans certaines situations, la suppression des DCP conformément aux règles de suppression générales
peut s’avérer impossible pour une organisation. Ces situations incluent :
— la suppression de DCP qui ont été collectées sans autorisation légale ;
© ISO/IEC 2021 – Tous droits réservés
— la suppression de DCP après une demande de suppression légitime de la personne concernée ;
— la suppression de DCP qui est probablement nécessaire en cas de réclamation ou dans le cadre d’une
procédure judiciaire anticipée ou en cours.
NOTE 1 Dans certaines juridictions, les exigences de conformité confèrent le droit à la personne concernée
de supprimer des DCP si certaines conditions préalables sont remplies. Pour un cluster de DCP particulier, il
n’est pas nécessaire de mettre en œuvre toutes les demandes, du fait par exemple d’exigences impératives de
conservation.
Dans ce cas ou d’autres situations similaires, il convient également de déterminer des mesures de
suppression. Celles-ci peuvent être spécifiées dans le cadre des processus et des responsabilités pour la
suppression de DCP (voir 9.7 et Article 10).
Des DCP individuelles peuvent être supprimées uniquement si les systèmes techniques ont une fonction
de suppression adéquate. Par conséquent, il convient que le responsable de traitement de DCP veille
à ce que cette fonction soit exigée dans les processus d’approvisionnement ou de développement de
systèmes si les personnes concernées peuvent exiger la suppression au cas par cas. En revanche, rien
n’empêche l’utilisation des fonctions standard disponibles dans les rares cas de suppression de ce type,
par exemple des instructions SQL dans les bases de données.
NOTE 2 Dans certaines conditions, le responsable de traitement de DCP a la possibilité de ne pas supprimer les
DCP mais d’en restreindre le traitement.
5.8 Documentation des politiques et des procédures
Il convient de documenter les politiques et procédures relatives à la suppression des DCP. Il convient que
ces documents incluent les avis de différentes entités au sein de l’organisation, telles que la personne
responsable des questions de vie privée, les utilisateurs, les développeurs et les administrateurs
fonctionnels.
Les politiques et procédures peuvent être intégrées à la documentation existante. Pour éviter des
incohérences et des lacunes en termes d’efficacité, il convient d’éviter la duplication des politiques et
procédures.
Il convient de décrire les règles de suppression sans référence à la technologie utilisée pour le stockage,
le contrôle et la suppression.
EXEMPLE 1 Les données de comptabilité incluent des factures, des reçus et des transactions bancaires. Pour
laisser de côté les aspects techniques, il importe peu de connaître le support sur lequel les objets de données sont
stockés (par exemple, papier, disque dur, clé USB ou microfiche), leur emplacement de stockage (par exemple,
localement sur un ordinateur portable, dans une base de données centralisée d’un système informatique, en
utilisant un réseau de stockage ou des dossiers imprimés dans une salle des archives) ou le format utilisé (par
exemple, PDF, enregistrement de base de données, fichier texte). Cela s’applique également à une série de vidéos
ou de pistes audio : Peu importe qu’elles soient stockées sous forme numérique ou sur « un vieux support » tel que
du celluloïd, une cassette, un disque vinyle ou un disque compact.
Il convient de spécifier séparément les exigences liées à la technologie utilisée pour la mise en œuvre
(voir Article 9 pour plus d’informations). Il convient d’appliquer également des règles de suppression
aux processus manuels tels que les données traitées par des personnes, par exemple l’utilisation de
documents imprimés ou de fichiers dans les systèmes informatiques.
EXEMPLE 2 Une demande d’emploi est reçue au format papier et stockée dans un dossier jusqu’à ce que la
candidature soit traitée. La candidature doit être supprimée suivant la règle de suppression applicable après une
décision prise dans le cadre d’un processus manuel. Dans d’autres cas, les DCP dans des dossiers sont stockées
manuellement dans le système de fichiers, par exemple les factures à des fins de vérification ou de traitement
particulier. Le traitement de ces données peut être réglementé selon des instructions de travail documentées,
notamment la nécessité de supprimer ces données manuellement.
© ISO/IEC 2021 – Tous droits réservés
6 Clusters de DCP
6.1 Généralités
Il convient de classer les ensembles de DCP en fonction de leurs objectifs fonctionnels en tant que clusters
de DCP. Différents objectifs, et donc différents clusters de DCP peuvent en résulter, en particulier, si :
— le cadre juridique de la collecte de DCP est différent ;
— les exigences légales pertinentes contiennent différentes dispositions concernant l’utilisation des
DCP ;
— les DCP sont liées à des personnes concernées différentes ;
— les DCP sont utilisées uniquement à des fins poursuivies par différentes entités fonctionnelles ;
— Les DCP sont de sensibilité différente.
Il convient que le responsable de traitement de DCP définisse et documente les clusters de DCP pour
l’organisation.
D’autres clusters de DCP peuvent être identifiés :
— lors de la spécification des classes de suppression et des règles de suppression des clusters de DCP
déjà identifiés ;
— lors de la spécification ou de l’application des exigences de mise en œuvre pour des ensembles
spécifiques de DCP dans des systèmes informatiques ou d’autres processus spécifiques.
NOTE 1 Dans certains cas, la subdivision des clusters individuels de DCP est une option.
NOTE 2 Les DCP sont structurées différemment (par exemple, enregistrements de bases de données, fichiers,
documents imprimés) ou stockées à différents emplacements (par exemple, des tables de base de données, ainsi
que dans les fichiers à partir desquels les DCP ont été importées).
EXEMPLE 1 Parmi les exemples de clusters de DCP figurent les données comptables, les documents
contractuels ou les journaux système. Le cluster de DCP « Données comptables » peut inclure, par exemple, l’objet
de données « Écriture comptable » (y compris les détails des créditeurs/débiteurs, la date du règlement et le
solde dû), ainsi
...
Date : 2021 Style Definition
...
Formatted: Left: 1.9 cm, Right: 1.9 cm, Top: 1.4 cm,
Bottom: 1 cm, Gutter: 0 cm, Section start: New page, Header
ISO/IEC 27555:2021(F)
distance from edge: 1.27 cm, Footer distance from edge:
1.27 cm
ISO/IEC JTC 1/SC 27/WG 5
Formatted: French (Switzerland)
Formatted: zzCover large
Secrétariat : DIN
Formatted: French (Switzerland)
Première édition
2021-10
Date:
Formatted: French (Switzerland)
Sécurité de l’information, cybersécurité et protection de la vie
Formatted: Cover Title_A1
privée — Lignes directrices relatives à la suppression des
Formatted: French (Switzerland)
données à caractère personnel
Information security, cybersecurity and privacy protection — Guidelines on personally identifiable Formatted
...
information deletion
Formatted: Left
© ISO/IEC 2021 Formatted: French (Switzerland)
Formatted: zzCopyright, Border: Top: (No border), Bottom:
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvreoeuvre, aucune
(No border), Left: (No border), Right: (No border)
partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,
Formatted: French (Switzerland)
électronique ou mécanique, y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans
Formatted: French (Switzerland)
autorisation écrite préalable. Une autorisation peut être demandée à l’ISO à l’adresse ci-après ou au comité membre
de l’ISO dans le pays du demandeur.
ISO copyright office
Case PostaleCP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, GenèveGeneva
Tél. Phone: + 41 22 749 01 11
Formatted: French (Switzerland)
E-mail : copyright@iso.org
Formatted: French (Switzerland)
Web Website: www.iso.org
Formatted: French (Switzerland)
Field Code Changed
Publié en Suisse
Formatted: Hyperlink, No underline, Font color: Auto, French
(Switzerland)
Formatted: French (Switzerland)
ii © ISO/IEC 2021 – Tous droits réservés
ii © ISO/IEC 2021 – Tous droits réservés
ISO/IEC 27555:2021(F) Formatted: Font: Bold
Formatted: Left
Formatted: Font: Bold
Sommaire Page Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers, Tab stops: Not at
0.71 cm + 16.25 cm
Avant-propos . vii
Formatted: Font: 14 pt
Introduction . viii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles et abréviations . 4
5 Cadre pour la suppression . 4
5.1 Généralités . 4
5.2 Contraintes . 5
5.3 Clusters de DCP . 5
5.4 Durée de conservation et délai de suppression normal . 6
5.4.1 Durée de conservation . 6
5.4.2 Délai de suppression normal . 6
5.4.3 Attribution de clusters de DCP . 8
5.5 Archives et copies de sauvegarde . 8
5.6 Délais de suppression normalisés, points de départ, règles de suppression et classes de
suppression . 8
5.7 Situations particulières . 9
5.8 Documentation des politiques et des procédures . 9
6 Clusters de DCP . 10
6.1 Généralités . 10
6.2 Identification . 11
6.3 Documentation . 12
7 Spécification des délais de suppression . 12
7.1 Délais de suppression normalisés et normaux . 12
7.2 Spécifications de délais de suppression normaux . 13
7.3 Identification des délais de suppression normalisés . 14
7.4 Spécifications de délais de suppression pour des situations particulières . 16
7.4.1 Généralités . 16
7.4.2 Modification des objets de données . 16
7.4.3 Nécessité de prolonger la période d’utilisation active . 16
7.4.4 Interruption de la suppression . 16
7.4.5 Copies de sauvegarde . 17
8 Classes de suppression . 18
8.1 Points de départ abstraits — règles de suppression abstraites . 18
8.2 Matrice de classes de suppression . 18
© ISO/IEC 2021 – Tous droits réservés iii
© ISO/IEC 2021 – Tous droits réservés iii
8.3 Attribution de classes de suppression et définition de règles de suppression . 20
9 Exigences de mise en œuvre . 20
9.1 Généralités . 20
9.2 Conditions des points de départ en dehors des systèmes informatiques . 23
9.3 Exigences de mise en œuvre pour les aspects organisationnels . 23
9.3.1 Généralités . 23
9.3.2 Sauvegarde . 23
9.3.3 Journaux . 24
9.3.4 Systèmes de transmission . 24
9.3.5 Réparation, démantèlement et mise au rebut des systèmes et des composants . 24
9.3.6 Vie quotidienne de l’entreprise . 25
9.4 Exigences de mise en œuvre pour les systèmes informatiques individuels . 25
9.5 Suppression dans des processus manuels normaux . 26
9.6 Exigences de mise en œuvre pour le sous-traitant de DCP . 26
9.7 Contrôle de la suppression dans des cas particuliers . 27
9.7.1 Gestion des exceptions . 27
9.7.2 Autres ensembles de DCP . 27
10 Responsabilités . 28
10.1 Généralités . 28
10.2 Documentation . 29
10.3 Mise en œuvre . 30
Bibliographie . 31
Avant-propos v
Introduction vi
1 Domaine d’application 1
2 Références normatives 1
3 Termes et définitions 2
4 Symboles et abréviations 4
5 Cadre pour la suppression 4
5.1 Généralités 4
5.2 Contraintes 5
5.3 Clusters de DCP 5
5.4 Durée de conservation et délai de suppression normal 6
5.4.1 Durée de conservation 6
5.4.2 Délai de suppression normal 6
5.4.3 Attribution de clusters de DCP 7
iv © ISO/IEC 2021 – Tous droits réservés
iv © ISO/IEC 2021 – Tous droits réservés
ISO/IEC 27555:2021(F) Formatted: Left
Formatted: Font: Bold
Formatted: Font: Bold
5.5 Archives et copies de sauvegarde 7
5.6 Délais de suppression normalisés, points de départ, règles de suppression et classes de
suppression 8
5.7 Situations particulières 8
5.8 Documentation des politiques et des procédures 9
6 Clusters de DCP 10
6.1 Généralités 10
6.2 Identification 11
6.3 Documentation 12
7 Spécification des délais de suppression 12
7.1 Délais de suppression normalisés et normaux 12
7.2 Spécifications de délais de suppression normaux 13
7.3 Identification des délais de suppression normalisés 13
7.4 Spécifications de délais de suppression pour des situations particulières 15
7.4.1 Généralités 15
7.4.2 Modification des objets de données 15
7.4.3 Nécessité de prolonger la période d’utilisation active 15
7.4.4 Interruption de la suppression 15
7.4.5 Copies de sauvegarde 16
8 Classes de suppression 17
8.1 Points de départ abstraits — règles de suppression abstraites 17
8.2 Matrice de classes de suppression 17
8.3 Attribution de classes de suppression et définition de règles de suppression 18
9 Exigences de mise en œuvre 19
9.1 Généralités 19
9.2 Conditions des points de départ en dehors des systèmes informatiques 21
9.3 Exigences de mise en œuvre pour les aspects organisationnels 22
9.3.1 Généralités 22
9.3.2 Sauvegarde 22
9.3.3 Journaux 22
9.3.4 Systèmes de transmission 22
9.3.5 Réparation, démantèlement et mise au rebut des systèmes et des composants 23
9.3.6 Vie quotidienne de l’entreprise 23
9.4 Exigences de mise en œuvre pour les systèmes informatiques individuels 23
9.5 Suppression dans des processus manuels normaux 24
9.6 Exigences de mise en œuvre pour le sous-traitant de DCP 25
9.7 Contrôle de la suppression dans des cas particuliers 25
9.7.1 Gestion des exceptions 25
© ISO/IEC 2021 – Tous droits réservés v
© ISO/IEC 2021 – Tous droits réservés v
9.7.2 Autres ensembles de DCP 26
10 Responsabilités 27
10.1 Généralités 27
10.2 Documentation 27
10.3 Mise en œuvre 28
Bibliographie 29
vi © ISO/IEC 2021 – Tous droits réservés
vi © ISO/IEC 2021 – Tous droits réservés
ISO/IEC 27555:2021(F) Formatted: Font: Bold
Formatted: Left
Formatted: Font: Bold
Avant-propos
Formatted: French (Switzerland)
Formatted: Adjust space between Latin and Asian text, Adjust
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique space between Asian text and numbers
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de l’IEC participent au développement de Normes Internationales par
l’intermédiaire des comités techniques créés par l’organisation concernée afin de s’occuper des domaines
particuliers de l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO et l’IEC participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
Formatted: French (Switzerland)
https://www.iso.org/directiveshttps://www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
Formatted: French (Switzerland)
Formatted: French (Switzerland)
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
Field Code Changed
droits de brevet. L’ISO et l’IEC ne sauraient être tenues pour responsables de ne pas avoir identifié tout
ou partie de tels droits de brevet. Les détails concernant les références aux droits de propriété
intellectuelle ou autres droits analogues identifiés lors de l’élaboration du document sont indiqués dans
l’Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISO (voir
www.iso.org/brevetswww.iso.org/brevets) ou dans la liste des déclarations de brevets reçues par l’IEC Formatted: French (Switzerland)
(voir patents.iec.chpatents.iec.ch).
Formatted: French (Switzerland)
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/iso/avant-propos.htmlwww.iso.org/iso/avant-
propos.html. Pour l’IEC, voir www.iec.ch/understanding-standardswww.iec.ch/understanding- Formatted: French (Switzerland)
standards.
Formatted: French (Switzerland)
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l’information, sous-comité SC 27, Sécurité de l’information, cybersécurité et protection de la vie privée.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse https://www.iso.org/members.htmlhttps://www.iso.org/members.html et Formatted: French (Switzerland)
www.iec.ch/national-committees.
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Field Code Changed
© ISO/IEC 2021 – Tous droits réservés vii
© ISO/IEC 2021 – Tous droits réservés vii
Formatted: French (Switzerland)
Introduction
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
De nombreux processus fonctionnels et applications informatiques utilisent des données à caractère
personnel (DCP) qui sont soumises à diverses dispositions de conformité liées à la protection de la vie
privée. Par conséquent, ces organisations doivent veiller à ce que ces DCP ne soient pas conservées plus
longtemps que nécessaire et qu’elles soient supprimées en temps opportun. Cela peut exiger des
organisations qu’elles respectent les droits des personnes concernées, tels que le droit à l’effacement
(droit à l’oubli). L’ISO/IEC 29100 définit les principes de « minimisation des données » et d’« utilisation, Formatted: Default Paragraph Font, French (Switzerland)
conservation et divulgation » des DCP, qui peuvent être appliqués en utilisant la suppression comme
Formatted: French (Switzerland)
mesure de sécurité.
Formatted: Default Paragraph Font, French (Switzerland)
La suppression de DCP exige un ensemble de règles soigneusement conçues, claires et faciles à Formatted: French (Switzerland)
comprendre, englobant les durées de conservation applicables qui répondent aux demandes de plusieurs
parties prenantes. Il convient que ces règles soient également conformes aux exigences provenant de
codes de bonne pratique et autres normes. Des mécanismes sont à mettre en œuvre correctement et à
exploiter de manière appropriée. Afin d’assurer la suppression juridiquement conforme de DCP, le
responsable de traitement de DCP doit élaborer des politiques et procédures de suppression qui incluent
un ensemble de règles et de responsabilités pour les processus impliqués. Les chances de réussite de
l’élaboration et de la mise en œuvre de ces politiques et processus peuvent augmenter si le responsable
de traitement de DCP utilise une approche reconnue pour leur conception et leur exécution.
Le présent document fournit un cadre pour l’élaboration et l’établissement des politiques et des
procédures de suppression de DCP qui peuvent être mises en œuvre par une organisation. Ce cadre
permet une suppression de DCP uniforme à tous les niveaux d’une organisation.
viii © ISO/IEC 2021 – Tous droits réservés
viii © ISO/IEC 2021 – Tous droits réservés
NORME INTERNATIONALE ISO/IEC 27555:2021(F)
Formatted: French (Switzerland)
Sécurité de l’information, cybersécurité et protection de la vie
Formatted: Main Title 1, Adjust space between Latin and
privée — Lignes directrices relatives à la suppression des données
Asian text, Adjust space between Asian text and numbers
Formatted: French (Switzerland)
à caractère personnel
Formatted: French (Switzerland)
1 Domaine d’application
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers, Tab stops: Not at 0.7
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
Le présent document contient des lignes directrices pour l’élaboration et l’établissement de politiques et
cm + 5.6 cm + 6.3 cm + 7 cm
de procédures de suppression des données à caractère personnel (DCP) dans les organisations en
Formatted: French (Switzerland)
spécifiant :
Formatted: French (Switzerland)
— — une terminologie harmonisée en matière de suppression de DCP ;
Formatted: French (Switzerland)
Formatted: French (Switzerland)
— — une approche efficace en termes de définition des règles de suppression ;
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
— — une description des documents exigés ;
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers, Tab stops: Not at 0.7
— — une définition au sens large des rôles, des responsabilités et des processus.
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
cm + 5.6 cm + 6.3 cm + 7 cm
Le présent document s’adresse aux organisations dans lesquelles sont stockées ou traitées des DCP.
Formatted: French (Switzerland)
Le présent document ne traite pas :
Formatted: French (Switzerland)
Formatted: French (Switzerland)
— — les dispositions légales particulières, énoncées par une législation nationale ou spécifiées dans
des contrats ;
Formatted: French (Switzerland)
Formatted: Adjust space between Latin and Asian text, Adjust
— — les règles de suppression spécifiques concernant des clusters particuliers de DCP, définies par les
space between Asian text and numbers
responsables de traitement de DCP pour traiter les DCP ;
Formatted: French (Switzerland)
Formatted: Default Paragraph Font, French (Switzerland)
— — les mécanismes de suppression ;
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers, Tab stops: Not at 0.7
— — la fiabilité, la sécurité et l’adéquation des mécanismes de suppression ;
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
cm + 5.6 cm + 6.3 cm + 7 cm
— — les techniques spécifiques de désidentification des données.
Formatted: French (Switzerland)
Formatted: Default Paragraph Font, French (Switzerland)
2 Références normatives
Formatted: French (Switzerland)
Formatted: Default Paragraph Font, French (Switzerland)
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
Formatted: French (Switzerland)
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les Formatted: Default Paragraph Font, Font: Italic, French
(Switzerland)
éventuels amendements).
Formatted: French (Switzerland)
ISO/IEC 29100:2011, Technologies de l’information — Techniques de sécurité — Cadre privé
Formatted
...
Formatted: French (Switzerland)
3 Termes et définitions
Formatted: Default Paragraph Font, French (Switzerland)
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 29100, ainsi que les
Formatted: French (Switzerland)
suivants s’appliquent.
Formatted: Default Paragraph Font, French (Switzerland)
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en Formatted: French (Switzerland)
normalisation, consultables aux adresses suivantes :
Formatted: Font: Cambria, 11 pt, French (Switzerland)
Formatted: Left
© ISO/IEC 2021 – Tous droits réservés 1
— — ISO Online browsing platform : disponible à l’adresse Formatted: French (Switzerland)
https://www.iso.org/obphttps://www.iso.org/obp
Formatted: French (Switzerland)
— — IEC Electropedia : accessible à l’adresse Formatted: French (Switzerland)
http://www.electropedia.org/https://www.electropedia.org/
Formatted: French (Switzerland)
3.1 Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
cluster de données à caractère personnel
cluster de DCP
données à caractère personnel traitées dans un but fonctionnel cohérent
Note 1 à l’article : à l'article: Les clusters de DCP sont décrits indépendamment de la représentation technique des Formatted: French (Switzerland)
objets de données. Régulièrement, les clusters de DCP incluent également des DCP qui ne sont pas stockées sous
Formatted: Adjust space between Latin and Asian text, Adjust
forme électronique.
space between Asian text and numbers, Tab stops: Not at 0.7
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
cm + 5.6 cm + 6.3 cm + 7 cm
3.2
Formatted: Adjust space between Latin and Asian text, Adjust
objet de données
space between Asian text and numbers
élément qui contient des données à caractère personnel (DCP)
EXEMPLE Parmi les éléments figurent des fichiers, des documents, des enregistrements ou des attributs. Les
objets de données concrets incluent, par exemple, des factures, des contrats, des dossiers personnels, des listes de
visiteurs, des plannings de personnel, des photos, des voix enregistrées, des comptes utilisateur, des entrées de
journal et des formulaires de consentement.
Note 1 à l’article : à l'article: Dans le contexte du présent document, les objets de données contiennent Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers, Tab stops: Not at 0.7
généralement des DCP et peuvent être combinés avec d’autres objets de données dans un cluster de DCP (3.1).(3.1).
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
L’objet de données individuel peut être de complexité variable.
cm + 5.6 cm + 6.3 cm + 7 cm
Formatted: French (Switzerland)
3.3
Formatted: French (Switzerland)
suppression
processus par lequel des données à caractère personnel (DCP) sont modifiées de sorte qu’elles ne soient Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
plus présentes ou reconnaissables et utilisables et qu’elles ne puissent être reconstituées qu’au prix d’un
Formatted: Adjust space between Latin and Asian text, Adjust
effort excessif
space between Asian text and numbers, Tab stops: Not at 0.7
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
Note 1 à l’article : l'article: Dans le présent document, le terme « suppression » est synonyme de : mécanisme de
cm + 5.6 cm + 6.3 cm + 7 cm
sort final, effacement, destruction, destruction des supports de stockage de données.
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Note 2 à l’article : l'article: Dans le présent document, le terme « suppression » désigne l’élimination des
configurations binaires ou des pratiques comparables, pas simplement le marquage ou le déplacement des données
Formatted: French (Switzerland)
à masquer. Par conséquent, la reconstitution des DCP exige un effort excessif, sollicitant tous les moyens possibles,
Formatted: French (Switzerland)
par exemple les technologies de pointe disponibles, des ressources humaines et techniques, ainsi que des coûts et
Formatted: French (Switzerland)
des délais.
Formatted: French (Switzerland)
Note 3 à l’article : l'article: Pour sélectionner les méthodes de suppression, il convient de prendre en compte une
Formatted: French (Switzerland)
approche fondée sur l’analyse des risques, notamment le caractère sensible des DCP et l’utilisation potentielle
Formatted: French (Switzerland)
d’outils criminalistiques. Les mesures obligatoires peuvent changer au fil du temps en fonction des technologies de
Formatted: Default Paragraph Font, French (Switzerland)
pointe et d’autres facteurs.
Formatted: French (Switzerland)
Note 4 à l’article : l'article: Les DCP peuvent être également modifiées en appliquant une technique de
Formatted: Default Paragraph Font, French (Switzerland)
désidentification irréversible. Souvent, ces données n’entrent pas dans le cadre de la législation sur la protection de
Formatted: French (Switzerland)
la vie privée. D’autres recommandations relatives à la technique de désidentification se trouvent dans
l’ISO/IEC 20889:2018, Article 11. Formatted: Default Paragraph Font, French (Switzerland)
Formatted: French (Switzerland)
Formatted: Default Paragraph Font, French (Switzerland)
Formatted: French (Switzerland)
2 © ISO/IEC 2021 – Tous droits réservés
2 © ISO/IEC 2021 – Tous droits réservés
3.4 Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
classe de suppression
combinaison d’un délai de suppression normalisé (3.7)(3.7) et d’un point de départ abstrait pour Formatted: French (Switzerland)
l’exécution de ce délai
Formatted: Adjust space between Latin and Asian text, Adjust
Note 1 à l’article : l'article: Tous les clusters de données à caractère personnel (DCP) soumis au même délai de space between Asian text and numbers, Tab stops: Not at 0.7
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
suppression (3.6)(3.6) et au même point de départ abstrait sont combinés dans une classe de suppression. Par
cm + 5.6 cm + 6.3 cm + 7 cm
opposition à la règle de suppression (3.5)(3.5) (spécifique) d’un cluster de DCP (3.1),(3.1), la classe de suppression
(abstraite) porte uniquement sur le point de départ abstrait et non sur une condition spécifique pour le début du Formatted: French (Switzerland)
délai d’exécution (voir aussi Article 8).Article 8).
Formatted: French (Switzerland)
Formatted: French (Switzerland)
3.5
Formatted: French (Switzerland)
règle de suppression
Formatted: French (Switzerland)
combinaison du délai de suppression (3.6)(3.6) et d’une condition spécifique pour le point de départ du
délai d’exécution Formatted: French (Switzerland)
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
3.6
délai de suppression
Formatted: French (Switzerland)
période au bout de laquelle il convient de supprimer un cluster de données à caractère personnel (DCP)
Formatted: French (Switzerland)
(3.1)(3.1)
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers, Tab stops: Not at 0.7
Note 1 à l’article : l'article: Employé comme terme générique, le délai de suppression comprend tous les délais de
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
cm + 5.6 cm + 6.3 cm + 7 cm
suppression. Cela inclut les délais de suppression normalisés (3.7)(3.7) et les délais de suppression normaux
(3.8),(3.8), qui constituent des groupes particuliers. Cependant, ce terme inclut également, par exemple, les délais
Formatted: French (Switzerland)
de suppression spécifiques de certains clusters de DCP ou les délais de suppression correspondant à des cas
Formatted: French (Switzerland)
particuliers. Pour plus de détails, voir Article 7.Article 7.
Formatted: French (Switzerland)
Note 2 à l’article : l'article: Le délai de suppression d’un cluster de DCP s’étend au-delà de la durée de conservation Formatted: French (Switzerland)
(3.9),(3.9), d’une durée au moins proportionnelle au temps nécessaire pour réaliser la suppression des objets de
Formatted: French (Switzerland)
données (3.2)(3.2) concernés.
Formatted: French (Switzerland)
Formatted: French (Switzerland)
3.7
délai de suppression normalisé Formatted: French (Switzerland)
délai de suppression uniformisé pour le responsable de traitement des données à caractère personnel
Formatted: French (Switzerland)
(DCP)
Formatted
...
Formatted
...
Note 1 à l’article : l'article: Un délai de suppression normalisé est un délai de suppression (3.6)(3.6) utilisé pour
plusieurs clusters de DCP (3.1)(3.1) afin de normaliser plusieurs délais de suppression proches les uns des autres Formatted: French (Switzerland)
(voir 7.1).7.1).
Formatted: French (Switzerland)
Formatted: French (Switzerland)
3.8
Formatted: French (Switzerland)
délai de suppression normal
Formatted: French (Switzerland)
période maximale au bout de laquelle il convient de supprimer les objets de données (3.2)(3.2) d’un cluster
de données à caractère personnel (DCP) (3.1)(3.1) s’ils sont utilisés dans le cadre d’un traitement normal Formatted
...
dans les processus du responsable de traitement de DCP
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Note 1 à l’article : l'article: Pour les conditions limites des spécifications de délai, voir 5.4.5.4.
Formatted
...
Formatted: French (Switzerland)
3.9
durée de conservation
Formatted: French (Switzerland)
période au cours de laquelle il est exigé que les objets de données (3.2)(3.2) du cluster de données à
Formatted: French (Switzerland)
caractère personnel (DCP) (3.1)(3.1) soient disponibles dans l’organisation du responsable de traitement
Formatted
...
de DCP en raison d’une utilisation fonctionnelle ou d’obligations légales de conservation
Formatted: French (Switzerland)
Formatted: French (Switzerland)
© ISO/IEC 2021 – Tous droits réservés 3
© ISO/IEC 2021 – Tous droits réservés 3
Note 1 à l’article : l'article: Un cluster de DCP spécifique comporte généralement la même durée de conservation.
Formatted: French (Switzerland)
Formatted: Adjust space between Latin and Asian text, Adjust
Note 2 à l’article : l'article: Pour les conditions limites des spécifications de durée, voir 5.45.4 et Article 7.Article 7.
space between Asian text and numbers, Tab stops: Not at 0.7
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
cm + 5.6 cm + 6.3 cm + 7 cm
3.10
Formatted: French (Switzerland)
durée de conservation légale
période au cours de laquelle les objets de données (3.2)(3.2) d’un cluster de données à caractère personnel
Formatted: French (Switzerland)
(DCP) (3.1)(3.1) sont disponibles au sein de l’organisation du responsable de traitement de DCP
Formatted: French (Switzerland)
conformément aux exigences des dispositions légales
Formatted: French (Switzerland)
Formatted: French (Switzerland)
4 Symboles et abréviations
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
CD disque compact (Compact Disc)
Formatted: French (Switzerland)
DVD disque numérique polyvalent (Digital Versatile Disc)
Formatted: French (Switzerland)
Formatted Table
TI technologies de l’information
Formatted: Table body (+), Adjust space between Latin and
DCP données à caractère personnel
Asian text, Adjust space between Asian text and numbers
PDF format PDF (Portable Document File) Formatted: French (Switzerland)
Formatted: Table body (+), Adjust space between Latin and
SD carte SD (Secure Digital)
Asian text, Adjust space between Asian text and numbers
USB bus série universel (Universal Serial Bus)
Formatted: Table body (+), Adjust space between Latin and
Asian text, Adjust space between Asian text and numbers
Formatted: Table body (+), Adjust space between Latin and
5 Cadre pour la suppression
Asian text, Adjust space between Asian text and numbers
Formatted: French (Switzerland)
5.1 Généralités
Formatted: Table body (+), Adjust space between Latin and
Asian text, Adjust space between Asian text and numbers
Le présent document décrit comment une organisation agissant en tant que responsable de traitement
Formatted: Table body (+), Adjust space between Latin and
de DCP peut établir des politiques et des procédures de suppression de DCP. Pour cela, il convient que le
Asian text, Adjust space between Asian text and numbers
responsable de traitement de DCP spécifie :
Formatted: Adjust space between Latin and Asian text, Adjust
— — les règles de suppression applicables et les DCP concernées ;
space between Asian text and numbers
Formatted
...
— — comment est mise en œuvre la suppression à l’aide de règles de suppression ;
Formatted: French (Switzerland)
Formatted
...
— — comment sont documentées les règles de suppression et les mesures de suppression ;
Formatted
...
— — qui est responsable des règles de suppression, des processus de suppression et de la
Formatted: French (Switzerland)
documentation correspondante.
Formatted: French (Switzerland)
Formatted: French (Switzerland)
Pour établir les politiques et procédures de suppression, les étapes suivantes sont recommandées :
Formatted: French (Switzerland)
— — sélectionner un nombre minimal de délais de suppression normalisés pour former la base des
Formatted
...
classes de suppression ;
Formatted: French (Switzerland)
Formatted
— — baser les classes de suppression sur les délais de suppression normalisés identifiés ; .
Formatted: French (Switzerland)
— — attribuer chaque cluster de DCP à une classe de suppression ;
Formatted: French (Switzerland)
— — identifier et documenter la procédure de suppression. Formatted: French (Switzerland)
Il convient que le responsable de traitement de DCP mette en œuvre des mécanismes de suppression Formatted
...
pour chaque cluster de DCP conformément aux politiques et procédures établies (voir 10.3).10.3).
Formatted: French (Switzerland)
4 © ISO/IEC 2021 – Tous droits réservés
4 © ISO/IEC 2021 – Tous droits réservés
5.2 Contraintes Formatted: Don't keep lines together, Adjust space between
Latin and Asian text, Adjust space between Asian text and
numbers, Tab stops: Not at 0.71 cm
Il convient que le responsable de traitement de DCP établisse les politiques et procédures de suppression
Formatted: French (Switzerland)
de DCP qui permettent à l’organisation de démontrer la conformité aux exigences légales, réglementaires
Formatted: Don't keep with next, Don't keep lines together,
et autres. Lorsque l’organisation joue le rôle de sous-traitant de DCP, il convient qu’elle veille à ce que les
Adjust space between Latin and Asian text, Adjust space
règles de suppression soient respectées conformément aux instructions du responsable de traitement de
between Asian text and numbers
DCP.
Lorsque les exigences de conformité et/ou contractuelles indiquent qu’il convient de supprimer les DCP Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
lorsqu’elles ne sont plus utiles à l’objectif défini, il convient de tenir compte des principes de
l’ISO/IEC 29100 lors de la conception des processus de suppression : Formatted: Default Paragraph Font, French (Switzerland)
Formatted: French (Switzerland)
a) a) limitation de l’utilisation, de la conservation et de la divulgation ;
Formatted: Default Paragraph Font, French (Switzerland)
b) b) minimisation des données.
Formatted: French (Switzerland)
Formatted: Numbered + Level: 1 + Numbering Style: a, b, c,
EXEMPLE La règle de suppression du cluster de DCP nommé « Données comptables » peut correspondre à
… + Start at: 1 + Alignment: Left + Aligned at: 0 cm + Indent
10 ans suivant la fin de l’année fiscale dans laquelle l’écriture comptable a été inscrite au bilan. at: 0 cm, Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers, Tab stops: Not at 0.7
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
Les exigences de conformité et/ou contractuelles peuvent nécessiter des mesures particulières,
cm + 5.6 cm + 6.3 cm + 7 cm
notamment lorsque les clusters de DCP sont conservés dans le seul but de répondre aux obligations de
Formatted: French (Switzerland)
conservation. Dans ce cas, il peut être exigé de restreindre le traitement des clusters de DCP concernés.
Formatted: French (Switzerland)
5.3 Clusters de DCP
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
Il convient de nommer les clusters de DCP individuellement et sans ambiguïté, selon leurs objectifs
Formatted: Adjust space between Latin and Asian text, Adjust
fonctionnels. Il convient d’attribuer à chaque cluster de DCP une règle de suppression (voir 6.2).6.2).
space between Asian text and numbers, Tab stops: Not at
0.71 cm
EXEMPLE Pour un opérateur de télécommunications, les données des clients, les données d’emplacement, les
Formatted: French (Switzerland)
données de trafic, les données de facturation et les données de facture détaillée sont des noms possibles de clusters
de DCP. Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
Les mêmes DCP peuvent faire partie de plusieurs clusters de DCP dans les deux cas suivants : Formatted: French (Switzerland)
Formatted: Adjust space between Latin and Asian text, Adjust
— — les clusters de DCP contiennent un ou plusieurs objets de données ;
space between Asian text and numbers, Tab stops: Not at 0.7
cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
NOTE Certains attributs, tels que le nom ou l’adresse, peuvent apparaître dans plusieurs objets de données
cm + 5.6 cm + 6.3 cm + 7 cm
dans le même cluster ou dans différents clusters de DCP, par exemple dans les données principales du client, une
Formatted: Adjust space between Latin and Asian text, Adjust
facture ou une lettre adressée au client. La suppression s’applique en général à l’objet de données dans son ensemble
space between Asian text and numbers
(et pas seulement à des attributs individuels au sein de l’objet de données).
Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers, Tab stops: Not at 0.7
— — des exemplaires de l’objet de données peuvent faire partie de différents clusters de DCP. cm + 1.4 cm + 2.1 cm + 2.8 cm + 3.5 cm + 4.2 cm + 4.9
cm + 5.6 cm + 6.3 cm + 7 cm
EXEMPLE Supposons qu’une facture documente le matériel et les actions nécessaires pour réparer un moteur.
Formatted: French (Switzerland)
Les processus fonctionnels peuvent exiger que trois exemplaires du document soient stockés dans des clusters de
Formatted: French (Switzerland)
DCP distincts : « données de comptabilité » (supprimé 11 ans après le règlement), « dossier de documentation sur
le moteur » pour documenter l’historique et les différentes pièces du moteur (supprimé 5 ans après la destruction
du moteur) et « dossier fournisseur » pour documenter l’historique des relations et des opérations avec le
fournisseur (supprimé 15 ans après réception de l’objet de données).
Dans la mesure du possible, il convient de ne pas supprimer les DCP uniquement selon des décisions Formatted: Adjust space between Latin and Asian text, Adjust
space between Asian text and numbers
prises au cas par cas, mais conformément à des règles de suppression appropriées. Par conséquent, il
convient que le responsable de traitement de DCP élabore des règles de suppression conformément à sa
politique de suppression. Il convient qu
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...