Windows 365 demandes des personnes concernées pour le RGPD et le CCPA

Le Règlement général sur la protection des données (RGPD) de l’Union européenne accorde le droit aux individus (appelés, dans le règlement, personnes concernées) de gérer les données personnelles qui ont été collectées par un employeur ou tout autre type d’agence ou d’organisation (également appelé responsable du traitement des données ou responsable du traitement). Dans le RGPD, les données personnelles sont définies de façon générale comme toute donnée relative à une personne physique identifiée ou identifiable. Le RGPD confère aux personnes concernées des droits précis sur leurs données personnelles ; ces droits vous donnent la possibilité d’obtenir des copies de ces données personnelles, de les modifier, d’en limiter le traitement, de les supprimer ou de les recevoir dans un format électronique afin de pouvoir les transférer à un autre responsable du traitement. Une demande officielle d’une personne concernée à un responsable du traitement pour effectuer une action sur ses données personnelles est appelée demande de droits de la personne concernée ou DPC dans le présent document.

De même, le CCPA (California Consumer Privacy Act) prévoit des droits de confidentialité et des obligations pour les consommateurs de la Californie, y compris des droits similaires aux droits des personnes concernées en vertu du RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles. Le CCPA prévoit également des publications d’informations, des protections contre la discrimination des personnes faisant usage de leurs droits et la possibilité d’opter pour ou contre certains transferts de données classés en tant que « ventes ». Les ventes sont largement définies pour inclure le partage de données à des fins importantes. Pour plus d’informations sur le CCPA, voir le California Consumer Privacy Act et le Forum aux questions California Consumer Privacy Act.

Le guide explique comment utiliser les produits, services et outils d’administration Microsoft pour aider les clients de notre entité de contrôle à rechercher des données personnelles et à prendre des mesures pour répondre aux DPC. Plus précisément, ces instructions expliquent comment rechercher des données ou des informations personnelles qui sont stockées dans le cloud Microsoft, comment y accéder et comment entreprendre une action sur ces données. Voici un aperçu rapide des processus présentés dans ce guide :

• Découvrir : utilisez les outils de recherche et de détection pour rechercher plus facilement les données du client qui peuvent faire l’objet d’une demande DPC. Une fois que vous avez collecté les documents susceptibles de répondre à la demande, vous pouvez effectuer une ou plusieurs des actions DPC décrites ci-après. Vous pouvez également décider que la demande ne satisfait pas aux directives de votre organisation en termes de réponse à une demande DPC.
• Accéder : récupérez des données à caractère personnel qui résident dans le cloud Microsoft et, si nécessaire, effectuez-en une copie pour la personne concernée.
• Rectifier : modifiez ou mettez en œuvre d’autres actions demandées sur les données à caractère personnel, le cas échéant.
• Limiter : limiter le traitement des données personnelles en supprimant les licences de différents services Azure ou en désactivant les services souhaités lorsque c’est possible. Vous pouvez également supprimer les données du cloud Microsoft et les conserver localement ou à un autre emplacement.
• Supprimer : supprimez définitivement des données à caractère personnel qui résidaient dans le cloud Microsoft.
• Exporter/Recevoir (Portabilité) : fournit une copie électronique (dans un format lisible par un ordinateur) des données ou des informations personnelles à la personne concernée. Les informations à caractère personnel sous CCPA englobent toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Le terme défini « informations personnelles » est à peu près aligné sur celui de « données personnelles » dans le RGPD. Toutefois, le CCPA inclut également les données relatives à la famille et au foyer. Pour plus d’informations sur le CCPA, voir le California Consumer Privacy Act et le Forum aux questions California Consumer Privacy Act.

Chaque section de ce guide décrit les procédures techniques qu’une organisation étant une entité de contrôle des données peut suivre pour répondre à une DPC pour des données personnelles dans le cloud Microsoft.

Terminologie

Vous trouverez ci-dessous la liste des définitions de termes utilisés dans ce guide.

• Responsable du traitement des données : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par la législation de l’Union ou des États membres, le responsable du traitement peut être désigné, ou les critères spécifiques relatifs à sa nomination être définis, par la législation de l’Union ou des États membres.
• Données personnelles et personne concernée par le traitement des données : informations relatives à une personne physique identifiée ou identifiable (« la personne concernée par le traitement des données ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identificateur par exemple, un nom, un numéro d’identification, des données de localisation, un identificateur en ligne, ou un ou plusieurs facteurs spécifiques de l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
• Sous-traitant de données : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
• Données client : toutes les données, y compris tous les fichiers texte, son, vidéo ou image et les logiciels qui ont été fournis à Microsoft par le client ou pour son compte dans le cadre du service d’entreprise. Les données client incluent à la fois (1) les informations d’identification des utilisateurs finaux (par exemple, les noms d’utilisateur et les informations de contact dans Microsoft Entra ID) et le contenu client qu’un client charge ou crée dans des services spécifiques (par exemple, le contenu client dans un compte de stockage Azure, le contenu client d’une base de données Azure SQL ou l’image de machine virtuelle d’un client dans Azure Machines Virtuelles).
• Journaux générés par le système : journaux et données associées générés par Microsoft qui permettent à Microsoft de fournir des services d’entreprise aux utilisateurs. Les journaux générés par le système contiennent essentiellement des données pseudonymes, généralement un numéro généré par le système qui ne permet pas, en soi, d’identifier une personne individuelle, mais qui est utilisé pour fournir les services d’entreprise aux utilisateurs. Les journaux générés par le système peuvent également contenir des informations d’identification personnelle sur les utilisateurs finaux, telles qu’un nom d’utilisateur.

Comment utiliser ce guide

Ce guide est composé de deux parties :

• Partie 1 : Répondre aux demandes des personnes concernées pour des données client : la première partie de ce guide explique comment rectifier, limiter, supprimer et exporter des données dans des applications dans lesquelles vous avez créé des données, et comment y accéder. Cette section explique en détail comment exécuter des DPC par rapport à un contenu client et des informations d’identification personnelle d’utilisateurs finaux.
• Partie 2 : répondre aux demandes de personnes concernées pour les journaux générés par le système : lorsque vous utilisez les services d’entreprise de Microsoft, Microsoft génère des informations appelées Journaux générés par le système, pour fournir le service. La deuxième partie de ce guide explique comment supprimer et exporter ces informations pour Azure, et comment y accéder.

Présentation des DSR pour l’ID Microsoft Entra et Microsoft Windows 365

Lorsque vous envisagez les services fournis aux clients d’entreprise, l’exécution des DSR doit toujours être comprise dans le contexte d’un locataire Microsoft Entra spécifique. En particulier, les DSR sont toujours exécutées au sein d’un locataire Microsoft Entra donné. Si un utilisateur participe à plusieurs locataires, il est important de souligner qu’une DSR donnée est exécutée uniquement dans le contexte du locataire spécifique dans lequel la demande a été reçue. Ce contexte est essentiel à comprendre, car il signifie que l’exécution d’une DSR par un client d’entreprise n’aura pas d’impact sur les données d’un client d’entreprise adjacent.

Il en va de même pour Microsoft Windows 365 fournie à un client d’entreprise : l’exécution d’une DSR sur un compte Windows 365 associé à un locataire Microsoft Entraconcerne uniquement les données au sein du locataire. En outre, il est important de comprendre ce qui suit lors de la gestion des comptes Windows 365 au sein d’un locataire :

• Si un utilisateur Windows 365 crée un abonnement Azure, l’abonnement est géré comme s’il s’agissait d’un locataire Microsoft Entra. Par conséquent, les DSR sont délimitées au sein du locataire, comme décrit précédemment.
• Si un abonnement Azure créé via un compte Windows 365 est supprimé, cela n’affecte pas le compte Windows 365 réel. Là encore, comme indiqué précédemment, les DSR exécutées dans l’abonnement Azure sont limitées à l’étendue du locataire lui-même.

Partie 1 : Guide des DSR pour les données client

Exécution des DPC par rapport aux données client

Microsoft offre la possibilité d’accéder à, de supprimer et d’exporter certaines données client via le Portail Azure, ainsi que directement via des interfaces de programmation d’applications (API) ou des interfaces utilisateur (UI) préexistantes pour des services spécifiques (également appelés expériences intégrées au produit). Vous trouverez des informations sur ces expériences intégrées au produit dans la documentation de référence des services respectifs.

Importante

Les services qui prennent en charge les DSRs du service nécessitent l’utilisation directe de l’interface de programmation d’application (API) ou de l’interface utilisateur (UI) du service, qui décrit les opérations de CRUD (Create, Read, Update, Delete) appropriées. Windows 365 ne peut pas prendre entièrement en charge l’utilisation directe des interfaces de programmation d’application (API) pour les DSR, les demandes doivent donc être envoyées en ouvrant un cas de support (voir les instructions ci-dessous). Par conséquent, l’exécution de DSRs au sein d’un service donné doit être effectuée en plus de l’exécution d’un DSR dans le portail Azure afin de remplir une demande complète pour une personne donnée. Pour plus d’informations, consultez la documentation de référence des services spécifiques.

Étape 1 : Découvrir

La première étape pour répondre à un DPC consiste à trouver les données personnelles faisant l’objet de la demande. Cette première étape , la recherche et l’examen des données personnelles en question, vous aidera à déterminer si une DSR répond aux exigences de votre organization pour respecter ou refuser une DSR. Par exemple, après avoir trouvé et consulté les données personnelles en cause, vous pouvez déterminer si la demande ne respecte pas les exigences de votre organisation, car cela peut nuire aux droits et libertés d’autres personnes.

Pour les demandes de la personne concernée spécifiques à Windows 365 données utilisateur, les administrateurs clients doivent ouvrir une demande de support Microsoft pour obtenir de l’aide pour trouver les données personnelles faisant l’objet du DSR. Nous vous recommandons de suivre les instructions relatives à votre niveau d’abonnement Windows 365.

Windows 365 Business

L’accès à l’aide et au support est fourni via le Centre Administration Microsoft. Pour ouvrir une demande de support pour une DSR :

• Cliquez sur l’icône Aide dans la bannière du Centre Administration Microsoft ou sélectionnez Aide & support en bas à droite de la page du Centre Administration Microsoft.
• Dans le champ de recherche, tapez « Demande de la personne concernée » ou « DSR », puis cliquez sur le bouton Contacter le support technique.
• Renseignez les informations requises dans la demande de service en ligne, puis sélectionnez Me contacter.

Pour obtenir des instructions sur la façon d’obtenir de l’aide et d’ouvrir un ticket de support, consultez Obtenir du support pour Microsoft 365 pour les entreprises. Le support est inclus dans votre abonnement Windows 365.

Windows 365 Entreprise

L’accès à l’aide et au support est fourni via Microsoft Endpoint Manager. Pour ouvrir une demande de support pour une DSR :

• Accédez à Résolution des problèmes + support sur un autre nœud du Centre d’administration, puis sélectionnez Aide et support pour ouvrir une expérience plein écran d’Aide et de support.
• Sélectionnez Windows 365.
• Dans le champ de recherche, tapez « Demande de la personne concernée » ou « DSR », puis cliquez sur le bouton Contacter le support technique.
• Renseignez les informations requises dans la demande de service en ligne, puis cliquez sur Me contacter.

Pour obtenir des instructions sur la façon d’obtenir de l’aide et d’ouvrir un ticket de support, consultez Comment obtenir du support dans Microsoft Endpoint Manager. Le support est inclus dans votre abonnement Windows 365.

Étape 2 : Accéder

Une fois que vous avez trouvé les données client contenant des données personnelles susceptibles de répondre à un DSR, il vous incombe, et à votre organisation, de choisir les données à fournir à la personne concernée. Vous pouvez fournir une copie du document réel, une version biffée appropriée ou une capture d’écran des parties que vous avez jugées appropriées. Pour chacune de ces réponses à une demande d’accès, vous devez récupérer une copie du document ou d’un autre élément contenant les données réactives.

Lorsque vous fournissez une copie à la personne concernée, vous devrez peut-être supprimer ou modifier des informations personnelles sur d’autres personnes concernées et des informations confidentielles.

Étape 3 : Rectifier

Si un objet de données vous a demandé de rectifier les données personnelles qui résident dans les données de votre organisation, vous et votre organisation devez déterminer s’il est approprié d’honorer la demande. La rectification des données peut inclure la prise d’actions telles que la modification, rédaction ou la suppression de données personnelles d’un document ou d’un autre type ou élément.

En tant que processeur de données, Microsoft n’offre pas la possibilité de corriger les journaux générés par le système, car il reflète des activités factuelles et constitue un enregistrement historique des événements au sein des services Microsoft. En ce qui concerne les Windows 365, les administrateurs ne peuvent pas mettre à jour les informations spécifiques à l’appareil ou à l’application. Si un utilisateur final souhaite corriger des données personnelles (par exemple le nom de l’appareil), il doit le faire directement sur son appareil. Ces modifications sont synchronisées la prochaine fois qu’elles se connectent à Windows 365.

Étape 4 : Restreindre

Les personnes concernées peuvent vous demander de restreindre le traitement de leurs données à caractère personnel. Nous fournissons le portail Azure et les interfaces de programmation d’applications (API) ou interfaces utilisateur (UI) préexistantes. Ces expériences permettent à l’administrateur client de l’entreprise cliente de gérer ces DPC via une combinaison d’exportation et de suppression de données.

Étape 5 : Supprimer

Le « droit à l’effacement » moyennant la suppression des données personnelles des données client d’une organisation est une protection essentielle du RGPD. La suppression des données personnelles inclut la suppression de toutes les données personnelles et journaux générés par le système, à l’exception des informations du journal d’audit. Windows 365 utilise par défaut la pratique standard de Microsoft Endpoint Manager pour auditer, exporter ou supprimer des données personnelles.

Partie 2 : Journaux générés par le système

Les journaux d’audit fournissent aux administrateurs de locataires un enregistrement des activités qui génèrent une modification dans Microsoft Windows 365. Ces journaux sont disponibles pour de nombreuses activités de gestion et généralement pour les actions de création, de mise à jour (modification), de suppression et d’affectation. Les tâches à distance qui génèrent des événements d’audit peuvent également être examinées. Ces journaux d’audit peuvent contenir des données personnelles. Les administrateurs ne peuvent pas supprimer les journaux d’audit. Pour plus d’informations, consultez Auditer les données personnelles.

Si vous avez besoin d’aide pour exécuter un journal d’audit, suivez les instructions décrites dans la partie 1 ci-dessus.

En savoir plus

• Centre de gestion de la confidentialité Microsoft
• Confidentialité et données dans Windows 365