Comprendre les conditions requises pour les sous-traitants Microsoft

  • 5 minutes

Microsoft traite de nombreux types de données dans le cadre de la fourniture de services Cloud à nos clients. Nous classons les données que nous traitons par catégories afin de garantir qu'elles sont traitées avec les protections appropriées en matière de sécurité et de confidentialité. Les catégories de données traitées par Microsoft sont définies dans l’addendum sur la protection des données (DPA) des produits et services Microsoft.

Lorsque Microsoft utilise un fournisseur pour fournir un aspect de nos services en ligne qui peut exiger que le fournisseur traite ces données, le fournisseur est identifié comme un « sous-traitant » (conformément à la terminologie RGPD). Tous les sous-traitants qui traitent les « données personnelles » et les « données confidentielles Microsoft » doivent adhérer au programme SSPA (Sécurité et confidentialité des fournisseurs Microsoft) avant d’être autorisés à traiter des données au nom de Microsoft.

Types de données partagées avec Microsoft

Les données personnelles sont définies comme toute information relative à une personne physique identifiée ou identifiable, également appelée personne concernée. Les données personnelles peuvent appartenir à quatre catégories de données distinctes et distinctes :

  • Les données client sont toutes les données, y compris tous les fichiers texte, audio, vidéo ou image, et les logiciels fournis à Microsoft par ou pour le compte du client par le biais de l’utilisation du service en ligne, à l’exception des données des services professionnels Microsoft.
  • Les données générées par le service incluent toutes les données « générées » ou « dérivées » par Microsoft via un service en ligne. Microsoft agrège ces données à partir de nos services en ligne et les utilise pour s’assurer que les performances, la sécurité, l’évolutivité et d’autres services ayant un impact sur l’expérience client fonctionnent aux niveaux dont nos clients ont besoin.
  • Les données de diagnostic incluent toutes les données « collectées » ou « obtenues » à partir d’applications installées localement pour une utilisation avec le service en ligne d’entreprise Microsoft. Elles sont utilisées pour aider Microsoft à vérifier que le logiciel client est sécurisé et fonctionne correctement.
  • Les données de services professionnels désignent toutes les données, y compris tous les fichiers texte, audio, vidéo, image ou logiciels, qui sont fournies à Microsoft, par ou pour le compte d’un Client (ou que le Client autorise Microsoft à obtenir à partir d’un Produit) ou autrement obtenues ou traitées par ou au nom de Microsoft par le biais d’un engagement avec Microsoft pour obtenir des Services professionnels. Les données des services professionnels incluent les données de support fournies à Microsoft pendant le support technique pour un service en ligne.
  • Les données confidentielles Microsoft font référence à toute information qui, si elle est compromise par des moyens de confidentialité ou d’intégrité, peut entraîner une perte importante de réputation ou une perte financière pour Microsoft. Cela peut inclure des informations sur le développement, le test ou la fabrication de produits Microsoft, des clés de licence et des supports marketing en préversion.
Types de données Définition
Données client Fourni par le client
Données de diagnostic Collecté ou obtenu à partir des logiciels installés par le client
Données générées par le service Généré ou dérivé par Microsoft
Données de services professionnels

Données de support		 Fourni par le client dans le cadre des services professionnels

Sous-ensemble de données de services professionnels fournies par le client dans le cadre du support technique
Données personnelles Tous les types de données définis ci-dessus qui se rapportent à une personne physique identifiée ou identifiable

Programme Microsoft Supplier Security and Privacy assurance (SSPA)

Le Programme d’assurance de la sécurité et de la confidentialité des fournisseurs de Microsoft (SSPA) est un programme d'entreprise conçu pour normaliser et renforcer les pratiques de traitement des données en fixant des exigences de confidentialité et de sécurité pour les fournisseurs de Microsoft. Le programme de la SSPA exige que les fournisseurs illustrent la conformité aux stratégies strictes de confidentialité et de sécurité de Microsoft, aux obligations légales et aux attentes des clients. Pour protéger les données confiées à ses fournisseurs, Microsoft exige que tous les sous-traitants qui traitent des données personnelles ou des données confidentielles Microsoft se conforment au programme SSPA.

Le programme de la SSPA inclut un série de contrôles de sécurité et de confidentialité qui doivent être implémentés par les sous-processus avant de traiter les données de la part de Microsoft. Nous définissons ces contrôles dans les exigences de protection des données (DPR). Tous les sous-processus inscrits au programme de la SSPA pour la SSPA doivent examiner leur conformité avec les contrôles DPR applicables avant de commencer leur travail. De plus, les sous-traitants inscrits doivent remplir une auto-attestation de conformité au DPR annuellement. Selon le niveau de risque associé aux données traitées et aux services fournis par le sous-traitant, des exigences supplémentaires peuvent être nécessaires. Nous aborderons ces exigences supplémentaires plus loin dans ce module.

Le suivi des conditions requises pour le programme de la SSPA pour la SSPA est assuré dans les outils d’achat de Microsoft. Les outils d’achat n’autorisent pas les engagements avec des sous-processus avant que toutes les conditions ne soient terminées. Le fait de ne pas respecter les exigences de la SSPA a pour effet que le sous-traitant ne soit pas en train d’accéder ou de traiter des données au nom de Microsoft.

Si vous souhaitez en savoir plus