Explorer les conditions requises pour les contrôles d’accès des sous-traitants
Si un sous-traitant a « le potentiel d’accéder » à des données personnelles ou à des données confidentielles Microsoft, cela signifie-t-il qu’il peut traiter ces données quand et comme il le souhaite ? Microsoft autorise les sous-traitants à traiter les données, uniquement pour fournir les services que Microsoft les a conservés et ils ne peuvent pas utiliser les données à d’autres fins. Les données personnelles traitées par les sous-traitants sont souvent pseudonymisées ou désappritées, ce qui permet aux sous-traitants de s’acquitter de leurs responsabilités professionnelles sans accéder aux attributs identifiables. Microsoft exige que chaque type de sous-traitant utilise des contrôles d’accès appropriés pour protéger les données qu’il traite.
Types de sous-traites
Microsoft a désigné trois catégories de sous-traitants :
- Technologie: Des sous-traitants tiers qui alimentent les technologies intégrées de manière transparente à Microsoft Online Services et alimentent en partie les fonctions cloud microsoft. Si vous déployez l’un de ces services, les sous-traitants identifiés pour ce service peuvent traiter, stocker ou autrement accéder aux données client ou aux données personnelles tout en aidant à fournir ce service.
- Auxiliaires: Sous-traitants tiers qui fournissent des services d’accompagnement qui aident à prendre en charge, à exploiter et à gérer les services en ligne. Dans ce cas, il est possible que les sous-processus identifiés traitent, stockent ou enregistrent des données client limitées ou des données personnelles, tout en fournissant leurs services auxiliaires.
- Personnel contractuel : Organisations qui fournissent des employés contractuels qui travaillent côte à côte avec des employés à temps plein de Microsoft pour prendre en charge, exploiter et gérer Microsoft Online Services. Dans tous ces cas, les données client ou les données personnelles résident uniquement dans les installations de Microsoft, sur les systèmes Microsoft, et sont soumises aux stratégies et à la supervision de Microsoft.
En outre, les entités de centre de données Microsoft fournissent l’infrastructure de centre de données sur laquelle Les services en ligne Microsoft s’exécutent. Les données dans les centres de données sont chiffrées, et aucun personnel au sein des centres de données ne peut y accéder.
Contrôles d’accès aux sous-processus
Chaque type de sous-processus chez Microsoft met en place des contrôles d’accès appropriés pour protéger les données client et personnelles. Tous les sous-processus doivent garantir la sécurité et la confidentialité des données client et personnelles, et sont obligés contractuellement de respecter des exigences strictes en matière de confidentialité et de sécurité. Ces exigences sont équivalentes ou plus fortes que les engagements contractuels que Microsoft prend envers ses clients dans l’Addendum sur la protection des données des produits et services Microsoft.
Le personnel contractuel est soumis aux mêmes contrôles d’accès en place pour les employés à temps plein de Microsoft, notamment l’authentification multifacteur (MFA), l’accès permanent zéro (ZSA) et le juste-à-temps (JIT) avec just-enough-access (JEA). Par ailleurs, les sous-traitants qui travaillent dans des installations ou qui utilisent un équipement contrôlé par Microsoft sont obligés contractuellement d’appliquer nos normes de confidentialité et de subir une formation de confidentialité régulière.
Les sous-traitants technologiques et auxiliaires sont chargés de mettre en œuvre des contrôles d’accès conformément aux exigences de protection des données Microsoft (DPR). Ces exigences respectent ou dépassent les engagements contractuels pris par Microsoft envers ses clients dans nos Conditions du produit. Ces sous-traitants peuvent avoir la possibilité d’accéder à certaines données restreintes, telles que les données clientes ou personnelles, pour fournir des fonctions de support aux services en ligne Microsoft. Les contrats de sous-traitant interdisent spécifiquement l’utilisation des données personnelles à d’autres fins. En outre, les contrôles applicables de la DPR aident à protéger les données clientes et personnelles contre tout accès ou utilisation non autorisé. Dans de nombreux cas, les tâches effectuées par les sous-traitants peuvent être accomplies avec des données pseudonymes ou anonymisées.
Des sous-traitants sont également nécessaires pour respecter les exigences de confidentialité et de sécurité, notamment celles liées à la mise en place de mesures techniques et organisationnelles appropriées pour protéger les données personnelles.