Liste de vérification de préparation sur la responsabilité pour Microsoft 365
1. Introduction
Cette liste de vérification de préparation sur la responsabilité permet d’accéder en toute simplicité aux informations dont vous pouvez avoir besoin pour prendre en charge le RGPD lorsque vous utilisez Microsoft Office 365.
Vous pouvez gérer les éléments de cette liste de vérification à l’aide du Gestionnaire de conformité en indiquant l’ID de contrôle et le titre de contrôle sous Contrôles gérés par le client dans la vignette RGPD.
En outre, les éléments de cette liste de contrôle sous 5.Protection des données & Sécurité fournissent des références aux contrôles répertoriés sous Contrôles managés Microsoft dans la vignette RGPD du Gestionnaire de conformité. L’examen des détails de l’implémentation de Microsoft pour ces contrôles fournit une explication supplémentaire de l’approche de Microsoft pour répondre aux considérations du client dans l’élément de liste de vérification.
La liste de contrôle et le Gestionnaire de conformité sont organisés à l’aide des titres et numéros de référence (entre parenthèses pour chaque rubrique) d’un ensemble de contrôles de confidentialité et de sécurité incombant aux sous-traitants de données à caractère personnel en vertu des normes suivantes :
- ISO/IEC 27701 pour les exigences de gestion de la confidentialité.
- ISO/IEC 27001 pour les exigences techniques en matière de sécurité.
Cette structure de contrôle est également utilisée pour organiser la présentation des contrôles internes implémentés par Microsoft Office 365 pour se conformer au RGPD, que vous pouvez télécharger à partir du Centre de confidentialité du service.
2. Conditions de collecte et de traitement
Catégorie | Considération à prendre en compte | Documentation Microsoft complémentaire | Articles du RGPD pertinents |
---|---|---|---|
Déterminer à quel moment le consentement doit être obtenu (7.2.3) | Le client doit comprendre les exigences légales ou réglementaires selon lesquelles le consentement des individus doit être obtenu avant de traiter des données personnelles (lorsqu’il est obligatoire, si le type de traitement est exempté de l’obligation, etc.), notamment la façon dont recueillir le consentement. | Office 365 ne fournit pas de support direct pour obtenir de consentement de l’utilisateur. | (6)(1)(a), (8)(1), (8)(2) |
Identifier et documenter l’objectif (7.2.1) | Il est recommandé au client de documenter l’objectif du traitement des données personnelles. | Description du traitement que Microsoft effectue pour vous, et des objectifs de ce traitement, qui peut être incluse dans la documentation sur les obligations. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Traitement des données personnelles ; RGPD [1] |
(5)(1)(b), (32)(4) |
Identifier la base légale (7.2.2) | Le client doit comprendre les exigences liées à la base légale du traitement, par exemple, le consentement doit être donné avant toute chose. | Description du traitement de données personnelles réalisé par les services Microsoft à inclure dans la documentation sur la responsabilité. - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(5) (1) (a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9) (2) (h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c)), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
Déterminer à quel moment le consentement doit être obtenu (7.2.3) | Le client doit comprendre les exigences légales ou réglementaires selon lesquelles le consentement des individus doit être obtenu avant de traiter des données personnelles (lorsqu’il est obligatoire, si le type de traitement est exempté de l’obligation, etc.), notamment la façon dont recueillir le consentement. | Office 365 ne fournit pas de support direct pour obtenir de consentement de l’utilisateur. | (6)(1)(a), (8)(1), (8)(2) |
Obtenir et enregistrer le consentement (7.2.4) | Lorsqu’il est déterminé qu’il est nécessaire, le client doit obtenir le consentement approprié. Le client doit également connaître toutes les exigences relatives à la façon dont une demande de consentement est présentée et collectée. | Office 365 ne fournit pas de support direct pour obtenir de consentement de l’utilisateur. | (7)(1), (7)(2), (9)(2)(a) |
Analyse d’impact de confidentialité (7.2.5) | Le client doit connaître les exigences selon lesquelles les analyses d’impact de confidentialité doivent être exécutées (le moment opportun pour les effectuer, les catégories de données pouvant faire l’objet d’une analyse et le délai de réalisation de l’analyse). | La façon dont les services Microsoft déterminent quand effectuer une DPIA, ainsi qu’une vue d’ensemble du programme DPIA chez Microsoft, y compris l’implication du DPO, sont fournies sur la page DPIAs (Service Trust Portal Data Protection Impact Assessments). Pour obtenir une assistance concernant vos DPIA, reportez-vous à : - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(35) |
Contrats avec des responsables du traitement des données personnelles (7.2.6) | Le client doit s’assurer que ses contrats avec des responsables de traitement incluent des exigences destinées à fournir de l’aide concernant les obligations légales ou réglementaires pertinentes dans le cadre du traitement et de la protection des données personnelles. | Contrats Microsoft qui requièrent notre aide par rapport à vos obligations dans le cadre du RGPD, y compris la prise en charge des droits de la personne concernée par le traitement des données. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Traitement des données personnelles ; RGPD [1] |
(5)(2), (28)(3)(e), (28)(9) |
Enregistrements liés au traitement des données personnelles (7.2.7) | Le client doit conserver tous les enregistrements nécessaires et requis liés au traitement des données personnelles (c’est-à-dire, objectif, mesures de sécurité, etc.). Lorsque certains de ces enregistrements doivent être fournis par un sous-traitant, le client doit s’assurer qu’il est en mesure d’obtenir lesdits enregistrements. | Outils fournis par les services Microsoft pour vous aider à tenir à jour les enregistrements nécessaires pour démontrer la conformité et prendre en charge la responsabilité dans le cadre du RGPD. - Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et de conformité Office 365 [16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Droits des personnes concernées
Catégorie | Considération à prendre en compte | Documentation Microsoft complémentaire | Articles du RGPD pertinents |
---|---|---|---|
Déterminer les droits des propriétaires des données personnelles et permettre l’exercice de ces droits (7.3.1) | Le client doit comprendre les exigences relatives aux droits des individus liés au traitement de leurs données à caractère personnel. Ces droits peuvent inclure des éléments tels que la consultation, la correction et l’effacement de données. Lorsque le client utilise un système tiers, il doit identifier, le cas échéant, les parties du système qui fournissent des outils permettant aux individus d’exercer leurs droits (par exemple, pour accéder à leurs données). Lorsque le système propose des fonctionnalités de ce type, le client doit les utiliser, le cas échéant. | Fonctionnalités fournies par Microsoft pour vous aider à prendre en charge les droits des personnes concernées par les données. - Demandes des personnes concernées office 365 pour le RGPD [8] - Déclaration d’applicabilité de Microsoft Office 365 ISO/IEC 27001:2013 ISMS [12] voir ISO, IEC 27018, 2014 contrôle A.1.1 |
(12)(2) |
Déterminer les informations des propriétaires des données personnelles (personnes concernées par le traitement des données) (7.3.2) | Le client doit comprendre les exigences relatives aux types d’informations sur le traitement des données personnelles qui doivent être disponibles pour être fournies à l’individu. Cela peut inclure des éléments tels que : - coordonnées du contrôleur ou de son représentant ; - informations relatives au traitement (objectifs, transfert international et dispositifs de protection, période de rétention, etc.) ; - informations sur la façon dont la personne peut consulter ou corriger ses données personnelles ; en demandant l’effacement ou la restriction du traitement ; en recevant une copie de ses données personnelles, et la portabilité de ses données personnelles ; - comment les données personnelles ont été obtenues et à partir de quel emplacement (si elles n’ont pas été communiquées directement par la personne) ; - informations relatives au droit de déposer une plainte et auprès de qui ; - informations relatives aux corrections apportées aux données personnelles ; - notification indiquant que l’organisation n’est plus en mesure d’identifier la personne associée aux données (propriétaire des données personnelles), dans les cas où le traitement ne requiert plus l’identification de la personne associée aux données ; - transferts et/ou divulgations de données personnelles ; - existence d’un processus de décision automatisé basé uniquement sur le traitement automatisé des données personnelles ; - informations relatives à la fréquence de mise à jour et de remise des informations à la personne associée aux données (par exemple, la notification « juste à temps », la fréquence définie par l’organisation, etc.). Lorsque le client fait appel à des systèmes ou à des responsables de traitement tiers, il doit identifier, le cas échéant, les informations que ces derniers doivent fournir, et s’assurer qu’il peut obtenir les informations requises auprès du tiers. |
Informations relatives aux services Microsoft que vous pouvez inclure dans les données fournies aux personnes associées aux données. - Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8] - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
Fourniture d’informations aux propriétaires des données personnelles (7.3.3) | Le client doit respecter les exigences relatives à la présentation, au délai et au format de remise des informations requises à un individu en lien avec le traitement de ses données à caractère personnel. Dans les cas où un tiers fournit les informations requises, le client doit s’assurer que celles-ci sont conformes aux paramètres imposés par le RGPD. | Modèles d’informations concernant les services Microsoft que vous pouvez inclure dans les données fournies aux personnes associées aux données. - Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8] - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
Fournir un processus pour modifier ou retirer son consentement (7.3.4) | Le client doit comprendre les exigences relatives à l’information des utilisateurs sur leur droit d’accès, de correction et/ou d’effacement de leurs données personnelles et de fournir un mécanisme pour lequel ils le font. Si un système tiers est utilisé et fournit ce mécanisme dans le cadre de ses fonctionnalités, le client doit utiliser cette fonctionnalité si nécessaire. | Informations relatives aux fonctionnalités des services Microsoft que vous pouvez utiliser au moment de définir les informations fournies aux personnes associées aux données lors de la demande de consentement. - Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
Fournir un processus pour s’opposer au traitement (7.3.5) | Le client doit comprendre les exigences relatives aux droits des personnes concernées. Lorsqu’une personne a le droit de s’opposer au traitement, le client doit l’informer et disposer d’un moyen pour l’individu d’enregistrer son opposition. | Informations relatives aux services Microsoft en lien avec l’objection au traitement que vous pouvez inclure dans les données fournies aux personnes associées aux données. - Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8], consultez Étape 4 : Limiter |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
Partage de l’exercice des droits des propriétaires des données personnelles (7.3.6) | Le client doit comprendre les exigences selon lesquelles des tiers avec lesquels des données à caractère personnel ont été partagées doivent être informés des modifications apportées aux données en vertu de l’exercice de droits individuels (par exemple, une personne faisant une demande d’effacement ou de modification, etc.). | Informations relatives aux fonctionnalités des services Microsoft qui vous permettent de découvrir des données personnelles que vous avez partagées avec des tiers. - Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8] |
(19) |
Correction ou effacement (7.3.7) | Le client doit comprendre les exigences relatives à l’information des utilisateurs sur leur droit d’accès, de correction et/ou d’effacement de leurs données personnelles et de fournir un mécanisme pour lequel ils le font. Si un système tiers est utilisé et fournit ce mécanisme dans le cadre de ses fonctionnalités, le client doit utiliser cette fonctionnalité si nécessaire. | Modèles d’informations concernant les services Microsoft en lien avec les fonctionnalités d’accès aux données personnelles, de correction ou d’effacement que vous pouvez inclure dans les données fournies aux personnes concernées par le traitement des données. - Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8], consultez Étape 5 : Supprimer |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
Fourniture d’une copie des données personnelles traitées (7.3.8) | Le client doit comprendre les exigences de fourniture à la personne concernée d’une copie de ses données à caractère personnel en cours de traitement. Il peut s’agir d’exigences relatives au format de la copie (c’est-à-dire, lisible par un ordinateur), du transfert de la copie, etc. Lorsque le client utilise un système tiers qui fournit des fonctionnalités permettant de remettre des copies, il doit utiliser ces fonctionnalités, le cas échéant. | Informations sur les fonctionnalités des services Microsoft qui vous permettent d’obtenir une copie des données personnelles que vous pouvez inclure dans les données fournies aux personnes concernées par le traitement des données. - Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8], consultez Étape 6 : Exporter |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
Gestion des demandes (7.3.9) | Le client doit comprendre les exigences d’acceptation et de réponse aux demandes légitimes des personnes liées au traitement de leurs données personnelles. Lorsque le client utilise un système tiers, il doit savoir si ce système fournit les fonctionnalités de gestion des demandes. Si c’est le cas, le client doit utiliser ces mécanismes pour gérer les demandes si nécessaire. | Informations relatives aux fonctionnalités des services Microsoft que vous pouvez utiliser au moment de définir les informations fournies aux personnes associées aux données lorsque vous traitez des demandes des personnes concernées par le traitement des données. - Demandes de personnes concernées pour Office 365 en lien avec le RGPD [8]. Le client doit comprendre les exigences relatives au traitement automatique des données à caractère personnel et savoir quand des décisions sont prises automatiquement. Il peut s’agir de fournir à un individu des informations relatives au traitement, de s’opposer au traitement en question ou d’obtenir une intervention humaine. Lorsque ces fonctionnalités sont fournies par un système tiers, le client doit s’assurer que le tiers fournit les informations ou l’assistance requises. Informations relatives aux fonctionnalités des services Microsoft pouvant prendre en charge les prises de décision automatiques que vous pouvez utiliser dans la documentation sur la responsabilité et informations formatées relatives à ces fonctionnalités fournies aux personnes associées aux données. |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Confidentialité liée à la conception et par défaut
Catégorie | Considération à prendre en compte | Documentation Microsoft complémentaire | Articles du RGPD pertinents |
---|---|---|---|
Limiter la collecte (7.4.1) | Le client doit comprendre les exigences relatives aux restrictions de la collecte de données personnelles (par exemple, que la collecte doit être limitée à ce qui est nécessaire aux fins déterminées). | Description des données collectées par les services Microsoft. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Traitement des données personnelles ; RGPD [1] - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(5)(1)(b), (5)(1)(c) |
Limiter le traitement (7.4.2) | Le client est responsable de la limitation du traitement des données personnelles afin qu’il se limite aux données appropriées aux fins déterminées. | Description des données collectées par les services Microsoft. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Traitement des données personnelles ; RGPD [1] - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(25)(2) |
Définir et documenter la réduction des données personnelles et les objectifs d’anonymisation (7.4.3) | Le client doit comprendre les exigences relatives à l’anonymisation des données personnelles pouvant inclure, lorsqu’elle doit être utilisée, l’étendue de l’anonymisation, et les cas où elle ne peut pas être utilisée. | Microsoft applique l’anonymisation et la pseudonymisation en interne, le cas échéant, pour fournir d’autres dispositifs de protection de la confidentialité pour les données personnelles. | (5)(1)(c) |
Respecter les niveaux d’identification (7.4.4) | Le client doit utiliser et respecter les objectifs et les méthodes d’anonymisation définis par son organisation. | Microsoft applique l’anonymisation et la pseudonymisation en interne, le cas échéant, pour fournir d’autres dispositifs de protection de la confidentialité pour les données personnelles. | (5)(1)(c) |
Anonymisation et suppression des données personnelles (7.4.5) | Le client doit comprendre les exigences relatives à la conservation des données personnelles après leur utilisation aux fins identifiées. Lorsque le système fournit des outils, le client doit utiliser ces outils pour effacer ou supprimer si nécessaire. | Fonctionnalités proposées par les services cloud Microsoft pour prendre en charge les stratégies de rétention de vos données. - Demandes des personnes concernées pour Office 365 en lien avec le RGPD [8], voir Étape 5 : Supprimer |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
Fichiers temporaires (7.4.6) | Le client doit être conscient de l’existence de fichiers temporaires pouvant être créés par le système et entraînant parfois le non-respect des stratégies relatives au traitement des données à caractère personnel (par exemple, des données à caractère personnel conservées dans un fichier temporaire plus longtemps que ce qui est recommandé ou autorisé). Lorsque le système fournit des outils permettant de supprimer ou de vérifier les fichiers temporaires, le client doit se servir des ces outils pour respecter les exigences. | Description des fonctionnalités proposées par le service pour identifier les données personnelles afin de prendre en charge les stratégies liées aux fichiers temporaires. - Demandes des personnes concernées pour Office 365 en lien avec le RGPD [8], voir Étape 1 : Découvrir |
(5)(1)(c) |
Rétention (7.4.7) | Le client doit déterminer le délai de rétention des données personnelles en tenant compte des objectifs définis. | Informations relatives à la rétention des données personnelles par les services Microsoft que vous pouvez inclure dans la documentation fournie aux personnes associées aux données. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Sécurité des données, Rétention [1] |
(13)(2)(a), (14)(2)(a) |
Élimination (7.4.8) | Le client doit utiliser tous les processus de suppression ou d’élimination fournis par le système afin de supprimer des données personnelles. | Fonctionnalités fournies par les services de cloud computing Microsoft pour prendre en charge vos stratégies de suppression de données. -* Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8], consultez Étape 5 : Supprimer |
(5)(1)(f) |
Procédures de collecte (7.4.9) | Le client doit connaître les exigences relatives à la précision des données personnelles (par exemple, précision lors de la collecte, tenue à jour des données, etc.) et utiliser les processus fournis par le système pour respecter ces exigences. | Informations expliquant comment les services Microsoft prennent en charge la précision des données personnelles et les fonctionnalités qu’ils fournissent pour prendre en charge votre stratégie de précision des données. - Demandes des personnes associées aux données pour Office 365 concernant le RGPD [8], consultez Étape 3 : Rectifier |
(5)(1)(d) |
Contrôles de transmission (7.4.10) | Le client doit comprendre les exigences selon lesquelles la transmission des données personnelles doit être protégée, y compris les personnes ayant accès aux processus de transmission, aux enregistrements de transmission, etc. | Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert. - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
Identifier la base du transfert d’informations personnelles (7.5.1) | Le client doit connaître les exigences relatives au transfert des données personnelles vers un autre emplacement géographique, et documenter les mesures mises en place pour respecter lesdites exigences. | Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert. - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
Articles (44), (45), (46), (47), (48) et (49) |
Pays, régions et organisations vers lesquels des données personnelles peuvent être transférées (7.5.2) | Le client doit comprendre, et être en mesure de fournir à l’individu, les pays vers lesquels les données personnelles sont ou peuvent être transférées. Lorsqu’un tiers/processeur peut effectuer ce transfert, le client doit obtenir ces informations auprès du sous-traitant. | Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert. - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(30)(1)(e) |
Enregistrements des transferts de données personnelles (7.5.3) | Le client doit conserver tous les enregistrements nécessaires et requis relatifs aux transferts de données personnelles. Lorsqu’un tiers/sous-traitant effectue le transfert, le client doit s’assurer qu’il conserve les enregistrements appropriés et les obtenir si nécessaire. | Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert. - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] |
(30)(1)(e) |
Enregistrements de divulgation de données personnelles à des tiers (7.5.4) | Le client doit comprendre les exigences relatives à l’enregistrement des personnes à qui les données personnelles ont été divulguées. Cela peut inclure des divulgations aux forces de l’ordre, etc. Lorsqu’un tiers/sous-traitant divulgue les données, le client doit s’assurer qu’il conserve les enregistrements appropriés et les obtenir si nécessaire. | Documentation fournie relative aux catégories de bénéficiaires des divulgations des informations personnelles, dont les enregistrements de divulgation disponibles. - Qui peut accéder à vos données et dans quelles conditions [6] |
(30)(1)(d) |
Co-responsable du traitement (7.5.5) | Le client doit déterminer s’il est co-responsable du traitement avec une autre organisation, et documenter et définir correctement les responsabilités. | Documentation relative aux services Microsoft qui ont le rôle de contrôleur des informations personnelles, y compris les informations formatées qui peuvent être incluses dans la documentation fournie aux personnes associées aux données. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Traitement des données personnelles ; RGPD [1] |
5. Protection des données et sécurité
Catégorie | Considération à prendre en compte | Documentation Microsoft complémentaire | Articles du RGPD pertinents |
---|---|---|---|
Compréhension de l’organisation et de son contexte (5.2.1) | Les clients doivent déterminer leur rôle dans le traitement des données personnelles (par exemple, contrôleur, responsable de traitement, co-contrôleur) afin d’identifier les exigences appropriées (réglementaires, etc.) pour le traitement des données personnelles. | Informations expliquant comment Microsoft considère chaque service comme un responsable de traitement ou un contrôleur lors du traitement des données personnelles. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Traitement des données personnelles ; RGPD, Rôles et responsabilités du responsable de traitement et du contrôleur [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
Comprendre les besoins et les attentes des parties concernées (5.2.2) | Les clients doivent identifier les parties pouvant jouer un rôle dans le traitement des données personnelles ou être concernées par celui-ci (par exemple, régulateurs, auditeurs, personnes associées aux données, responsables de traitement engagés par les personnes associées aux données), et doivent connaître les exigences selon lesquelles lesdites parties sont concernées, le cas échéant. | Informations expliquant comment Microsoft intègre au traitement des données personnelles les consultations de toutes les parties prenantes en tenant compte des risques. - Informations clés d’Office 365 relatives aux analyses d’impact sur la protection des données client [10] - Manuel ISMS Office 365 [14], consultez 4.2 COMPRENDRE LES BESOINS ET LES ATTENTES DES PARTIES CONCERNÉES - Comprendre les besoins et les attentes des parties concernées (5.2.2) dans le Gestionnaire de conformité |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
Déterminer l’étendue du système de gestion de la sécurité des informations (5.2.3, 5.2.4) | Dans le cadre d’un programme général de sécurité ou de confidentialité mis en place par le client, ce dernier doit y inclure le traitement des données personnelles et les exigences relatives à celui-ci. | Informations expliquant comment les services Microsoft incluent le traitement des données personnelles dans les programmes de protection de la vie privée et de gestion de la sécurité des informations. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Détermination du domaine d’application [12], consultez A.19 - Rapport de vérification type 2 SOC 2 [11] - Office 365 ISMS Manual [14] voir 4. Contexte de l’organisation - 5.2.3 Déterminer l’étendue du système de gestion de la sécurité des informations dans le Gestionnaire de conformité - 5.2.4 Système de gestion de la sécurité des informations dans le Gestionnaire de conformité |
(32)(2) |
Planification (5.3) | Les clients doivent tenir compte du traitement des données personnelles dans le cadre de toute évaluation des risques effectuée, et mettre en place les contrôles qu’ils estiment nécessaires pour atténuer les risques liés aux données personnelles qu’ils contrôlent. | Informations expliquant comment les services Microsoft tiennent compte des risques spécifiques du traitement des données personnelles dans le cadre de leur programme général de confidentialité et de sécurité. - Manuel ISMS Office 365 [14], consultez 5.2 Stratégie - 5.3 Planification dans le Gestionnaire de conformité |
(32)(1)(b), (32)(2) |
6.2 Stratégies de sécurité des informations | Le client doit renforcer les stratégies de sécurité des informations existantes afin d’inclure la protection des données personnelles, notamment les stratégies nécessaires pour respecter la législation applicable. | Stratégies de Microsoft concernant la sécurité des informations et les mesures spécifiques pour la protection des informations personnelles. - Microsoft Office 365 (complet) ISO/IEC 27001:2013 ISMS Détermination du domaine d’application [12], consultez A.19 - Rapport de vérification type 2 SOC 2 [11] - 6.2 Stratégies de sécurité des informations dans le Gestionnaire de conformité |
24(2) |
6.3 Considération à prendre en compte relative à l’organisation de la sécurité des informations | Au sein de son organisation, le client doit définir des responsabilités en matière de sécurité et de protection des données à caractère personnel. Il peut s’agir de l’établissement de rôles spécifiques pour superviser des éléments relatifs à la confidentialité, y compris une DPO. Un support de formation et de gestion approprié doit être fourni pour prendre en charge ces rôles. | Vue d’ensemble du rôle du délégué à la protection des données de Microsoft, nature de ses droits, structure hiérarchique et informations de contact. - Délégué à la protection des données de Microsoft [18] - Manuel ISMS Office 365 [14], consultez 5.3 AUTORITÉS, RESPONSABILITÉS ET RÔLES ORGANISATIONNELS - 6.3 Organisation de la sécurité des informations dans le Gestionnaire de conformité |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
6.4 Sécurité des ressources humaines | Le client doit déterminer et attribuer des responsabilités afin de fournir une formation pertinente liée à la protection des données personnelles. | Vue d’ensemble du rôle du délégué à la protection des données de Microsoft, nature de ses droits, structure hiérarchique et informations de contact. - Délégué à la protection des données de Microsoft [18] - Manuel ISMS Office 365 [14], consultez 5.3 AUTORITÉS, RESPONSABILITÉS ET RÔLES ORGANISATIONNELS - 6.4 Sécurité des ressources humaines dans le Gestionnaire de conformité |
(39)(1)(b) |
6.5.1 Classification des informations | Le client doit explicitement tenir compte des données personnelles dans le cadre du modèle de classification des données. | Fonctionnalités dans Office 365 pour la prise en charge de la classification des données personnelles. - Protection des informations Office 365 pour le RGPD [5], consultez Création d’un schéma de classification pour les données personnelles - 6.5.1 Classification des informations dans le Gestionnaire de conformité |
(39)(1)(b) |
Gestion des médias amovibles (6.5.2) | Le client doit déterminer des stratégies internes liées à l’utilisation de supports amovibles, dans la mesure où elles concernent la protection des données à caractère personnel (par exemple, le chiffrement d’appareils). | Informations expliquant comment les services Microsoft protègent la sécurité des informations personnelles sur les médias amovibles. - Plan de sécurité du système FedRAMP modéré FedRAMP [3], consultez 13.10 Protection des médias (MP) - Gestion des médias amovibles dans le Gestionnaire de conformité |
(32)(1)(a), (5)(1)(f) |
Transfert de médias physiques (6.5.3) | Le client doit déterminer les stratégies internes liées à la protection des données personnelles lors du transfert de médias physiques (par exemple, chiffrement). | Comment les services Microsoft protègent les informations personnelles lors du transfert de médias physiques. - Plan de sécurité du système FedRAMP modéré FedRAMP [3], consultez 13.10 Protection des médias (MP) - 6.5.3 Transfert de médias physiques dans le Gestionnaire de conformité |
(32)(1)(a), (5)(1)(f) |
Gestion de l’accès utilisateur (6.6.1) | Le client doit connaître les responsabilités qu’il lui incombe concernant le contrôle de l’accès au sein du service qu’il utilise, et gérer correctement ces responsabilités en utilisant les outils disponibles. | Outils fournis par les services Microsoft pour vous aider à renforcer le contrôle d’accès. - Documentation sur la sécurité Office 365 [2], consultez Protéger l’accès aux données et services dans Office 365 - 6.6.1 dans le Gestionnaire de conformité |
(5)(1)(f) |
Enregistrement et annulation de l’enregistrement d’un utilisateur (6.6.2) | Le client doit gérer l’enregistrement et l’annulation de l’enregistrement d’un utilisateur au sein du service qu’il utilise à l’aide des outils mis à sa disposition. | Outils fournis par les services Microsoft pour vous aider à renforcer le contrôle d’accès. - Documentation sur la sécurité Office 365 [2], consultez Protéger l’accès aux données et services dans Office 365 - 6.6.2 Enregistrement et annulation de l’enregistrement d’un utilisateur dans le Gestionnaire de conformité |
(5)(1)(f) |
Approvisionnement de l’accès utilisateur (6.6.3) | Le client doit gérer les profils utilisateur, en particulier pour l’accès autorisé aux données personnelles, au sein du service qu’il utilise à l’aide des outils mis à sa disposition. | Informations expliquant comment les services Microsoft prennent en charge le contrôle d’accès formel aux données personnelles, notamment les ID d’utilisateur, les rôles, l’accès aux applications et l’enregistrement et l’annulation de l’enregistrement des utilisateurs. - Documentation sur la sécurité Office 365 [2], consultez Protéger l’accès aux données et services dans Office 365 - Utilisez les restrictions liées au locataire pour gérer l’accès aux applications cloud SaaS [15] - Approvisionnement de l’accès utilisateur dans le Gestionnaire de conformité |
(5)(1)(f) |
Gestion de l’accès privilégié (6.6.4) | Le client doit gérer les identifications des utilisateurs pour faciliter le suivi de l'accès (en particulier aux données personnelles), au sein du service qu'il utilise, en utilisant les outils disponibles. | Informations expliquant comment les services Microsoft prennent en charge le contrôle d’accès formel aux données personnelles, notamment les ID d’utilisateur, les rôles et l’enregistrement et l’annulation de l’enregistrement des utilisateurs. - Documentation sur la sécurité Office 365 2, voir Protéger l’accès aux données et services dans Office 365 - Utilisez les restrictions liées au locataire pour gérer l’accès aux applications cloud SaaS [15] - 6.6.4 Gestion de l’accès privilégié dans le Gestionnaire de conformité |
(5)(1)(f) |
Sécuriser les procédures de connexion (6.6.5) | Le client doit utiliser les processus fournis par le service pour assurer la protection des fonctionnalités de connexion pour ses utilisateurs, le cas échéant. | Informations expliquant comment les services Microsoft prennent en charge les stratégies de contrôle d’accès interne liées aux données personnelles. - Qui peut accéder à vos données et dans quelles conditions [6] - 6.6.5 Sécuriser les procédures de connexion dans le Gestionnaire de conformité |
(5)(1)(f) |
Chiffrement (6.7) | Le client doit déterminer quelles données peuvent avoir besoin d’être chiffrées et si le service qu’il utilise offre cette fonctionnalité. Le client doit utiliser le chiffrement en fonction des besoins, à l’aide des outils à sa disposition. | Informations expliquant comment les services Microsoft prennent en charge le chiffrement et la pseudonymisation afin de réduire le risque de traitement des données personnelles. - Plan de sécurité du système FedRAMP modéré FedRAMP (SSP), voir Cosmos p. 29 - 6.7 Chiffrement dans le Gestionnaire de conformité |
(32)(1)(a) |
Élimination ou réutilisation sécurisées du matériel (6.8.1) | Lorsque le client utilise des services de cloud computing (PaaS, SaaS et IaaS), il doit comprendre comment le fournisseur de cloud garantit la suppression des données personnelles de l’espace de stockage avant d’attribuer l’espace en question à un autre client. | Informations expliquant comment les services Microsoft assurent la suppression des données personnelles du matériel de stockage avant le transfert ou la réutilisation du matériel. - Plan de sécurité du système FedRAMP modéré FedRAMP [3], consultez 13.10 Protection des médias (MP) - 6.8.1 Sécuriser l’élimination ou la réutilisation du matériel dans le Gestionnaire de conformité ] |
(5)(1)(f) |
Stratégie liée au nettoyage du bureau et de l’écran (6.8.2) | Le client doit prendre en compte les risques autour de documents papier qui affichent des données à caractère personnel, et éventuellement restreindre la création de tels éléments. Lorsque le système utilisé permet de restreindre cela (par exemple, paramètres pour empêcher l’impression ou le copier / coller de données sensibles), le client doit envisager d’utiliser ces fonctionnalités. | Mesures mises en place par Microsoft pour gérer les copies papier. - Microsoft effectue ces contrôles en interne, consultez Microsoft Office 365 ISO/IEC 27001:2013 ISMS Détermination du domaine d’application [12] A.10.2, A.10.7 et A.4.1 - 6.8.2 Stratégie liée au nettoyage du bureau et de l’écran dans le Gestionnaire de conformité |
(5)(1)(f) |
Séparation des environnements de développement, de test et d’exploitation (6.9.1) | Le client doit étudier les conséquences de l’utilisation des données personnelles dans les environnements de développement et de test au sein de son organisation. | Informations expliquant comment Microsoft garantit la protection des données personnelles dans les environnements de test et de développement. - Microsoft Office 365 ISO/IEC 365 ISMS Détermination du domaine d’application [12], consultez A.12.1.4 - 6.9.1 Séparation des environnements de développement, de test et d’exploitation dans le Gestionnaire de conformité |
5(1)(f) |
Sauvegarde des informations (6.9.2) | Le client doit s’assurer qu’il utilise les fonctionnalités fournies par le système pour créer des redondances dans ses données, et les tester, le cas échéant. | Informations expliquant comment Microsoft garantit la disponibilité des données pouvant inclure des données personnelles, détaillant la manière dont la précision des données restaurées est assurée, et précisant les outils et les services Microsoft fournis pour vous permettre de sauvegarder et de restaurer des données. - Plan de sécurité du système FedRAMP modéré FedRAMP (SSP) [3], consultez 10.9 Disponibilité - 6.9.2 Sauvegarde des informations dans le Gestionnaire de conformité |
(32)(1)(c), (5)(1)(f) |
Journalisation des événements (6.9.3) | Le client doit comprendre les fonctionnalités de journalisation fournies par le système et utiliser ces fonctionnalités pour s’assurer qu’il peut journaliser des actions associées à des données personnelles qu’il estime nécessaires. | Données que le service Microsoft enregistre pour vous, notamment les activités des utilisateurs, les exceptions, les erreurs et les événements de sécurité des informations, et comment vous pouvez accéder à ces journaux pour les utiliser dans le cadre de la conservation de données. - Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et de conformité Office 365 [16] - 6.9.3 Journalisation des événements dans le Gestionnaire de conformité |
(5)(1)(f) |
Protection des informations de journal (6.9.4) | Le client doit prendre en compte les exigences de protection des informations de journal qui peuvent contenir des données personnelles ou qui peuvent contenir des enregistrements liés au traitement des données personnelles. Lorsque le système en cours d’utilisation fournit des fonctionnalités pour protéger les journaux, le client doit utiliser ces fonctionnalités si nécessaire. | Informations expliquant comment Microsoft protège les journaux pouvant contenir des données personnelles. - Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et de conformité Office 365 [16] - 6.9.4 Protection des informations de journal dans le Gestionnaire de conformité |
(5)(1)(f) |
Stratégies et procédures de transfert des informations (6.10.1) | Le client doit avoir des procédures pour les cas où des données personnelles peuvent être transférées sur un support physique (par exemple, un disque dur déplacé entre des serveurs ou des installations). Il peut s’agir de journaux, d’autorisations et de suivi. Lorsqu’un tiers ou un autre sous-traitant peut transférer des supports physiques, le client doit s’assurer que cette organisation a mis en place des procédures pour garantir la sécurité des données personnelles. | Informations expliquant comment les services Microsoft transfèrent des médias physiques pouvant contenir des données personnelles, y compris les circonstances du transfert, et mesures de protection prises pour protéger les données. - Plan de sécurité du système FedRAMP modéré FedRAMP [3], consultez 13.10 Protection des médias (MP) - 6.10.1 Procédures et stratégies de transfert des informations dans le Gestionnaire de conformité |
(5)(1)(f) |
Accords de confidentialité ou de non-divulgation (6.10.2) | Le client doit déterminer la nécessité d’accords de confidentialité ou d’accords équivalents pour les individus ayant accès aux données personnelles ou ayant des responsabilités liées à ces dernières. | Informations expliquant comment les services Microsoft s’assurent que les individus autorisés à accéder aux données personnelles sont engagés au respect de la confidentialité. - Rapport de vérification type 2 SOC 2 [11], consultez CC1.4 p. 33 - 6.10.2 Accords de confidentialité ou de non-divulgation dans le Gestionnaire de conformité |
(5)(1)(f), (28)(3)(b), (38)(5) |
Sécuriser les services d’application sur les réseaux publics (6.11.1) | Le client doit comprendre les exigences en matière de chiffrement des données personnelles, en particulier lorsqu’elles sont envoyées sur des réseaux publics. Lorsque le système fournit des mécanismes pour chiffrer les données, le client doit utiliser ces mécanismes si nécessaire. | Description des mesures prises par les services Microsoft pour protéger les données en transit, dont le chiffrement, et de la manière dont les services Microsoft protègent les données susceptibles de contenir des données à caractère personnel lorsque celles-ci transitent sur des réseaux de données publics, dont les mesures de chiffrement. - Chiffrement dans Microsoft Cloud [17], consultez Chiffrement des données client en cours de transfert - 6.11.1 Sécuriser les services d’application sur les réseaux publics dans le Gestionnaire de conformité |
(5)(1)(f), (32)(1)(a) |
Principes d’ingénierie du système de sécurisation (6.11.2) | Le client doit comprendre comment les systèmes sont conçus et créés pour prendre en compte la protection des données personnelles. Lorsqu’un client utilise un système conçu par un tiers, il est chargé de s’assurer que ces protections ont été prises en considération. | Comment les services Microsoft incluent les principes de protection des données à caractère personnel dans les principes impératifs de conception/d’ingénierie. - Rapport de vérification type 2 SOC 2 [11], voir Cycle de vie du développement de la sécurité p. 23, CC7.1 p. 45 - Principes d’ingénierie du système de sécurisation dans le Gestionnaire de conformité |
(25)(1) |
Relations avec les fournisseurs (6.12) | Le client doit s’assurer que toutes les exigences relatives à la sécurité des informations et à la protection des données à caractère personnel, ainsi que les responsabilités des tiers sont abordées dans les informations contractuelles ou d’autres accords. Les accords doivent aussi définir les instructions de traitement. | Informations expliquant comment les services Microsoft définissent la sécurité et la protection des données dans nos accords avec les fournisseurs, et comment nous nous assurons que ces accords sont réellement mis en œuvre. - Qui peut accéder à vos données et dans quelles conditions [6] - Contrats pour les sous-traitants : préparation du contrat avec Microsoft [7] - 6.12 Relations avec les fournisseurs dans le Gestionnaire de conformité |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h), (30)(2)(d), (32)(1)(b) |
Gestion des améliorations et des incidents liés à la sécurité des informations (6.13.1) | Le client doit mettre en place des processus afin de déterminer quand une violation des données personnelles est survenue. | Informations expliquant comment les services Microsoft déterminent si un incident de sécurité est une violation des données personnelles, et comment nous vous informons de la violation. - Office 365 et notification de violation dans le cadre du RGPD [9] - 6.13.1 Gestion des améliorations et des incidents liés à la sécurité des informations dans le Gestionnaire de conformité |
(33)(2) |
Responsabilités et procédures (lors des incidents de sécurité des informations) (6.13.2) | Le client doit comprendre et documenter ses responsabilités lors d’une violation de données ou d’un incident de sécurité impliquant des données personnelles. Les responsabilités peuvent inclure la notification des parties requises, les communications avec les sous-traitants ou d’autres tiers et les responsabilités au sein de l’organisation du client. | Informations expliquant comment informer les services Microsoft si vous détectez un incident de sécurité ou une violation des données personnelles. - Office 365 et notification de violation dans le cadre du RGPD [9] - 6.13.2 Responsabilités et procédures dans le Gestionnaire de conformité |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
Réponse aux incidents de sécurité des informations (6.13.3) | Le client doit mettre en place des processus afin de déterminer quand une violation des données personnelles est survenue. | Description des informations fournies par les services Microsoft pour vous aider à déterminer si une violation des données à caractère personnel est survenue. - Office 365 et notification de violation dans le cadre du RGPD [9] - 6.13.3 Réponse aux incidents de sécurité des informations dans le Gestionnaire de conformité |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
Protection des enregistrements (6.15.1) | Le client doit comprendre les exigences relatives aux enregistrements liés au traitement des données personnelles qui doivent être conservées. | Informations expliquant comment les services Microsoft stockent les enregistrements liés au traitement des données personnelles. - Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et de conformité Office 365 [16] - Microsoft Office 365 (complet) ISO/IEC 365 ISMS Détermination du domaine d’application [12], consultez A.18.1.3 - Manuel ISMS Office 365 [14], voir 9 Évaluation des performances |
(5)(2), (24)(2) |
Analyse indépendante de la sécurité des informations (6.15.2) | Le client doit connaître les conditions requises pour évaluer la sécurité du traitement des données personnelles. Il peut s’agir d’audits internes ou externes ou d’autres mesures pour évaluer la sécurité du traitement. Lorsque le client dépend d’une autre organisation tierce pour tout ou partie du traitement, il doit recueillir des informations sur les évaluations effectuées par eux. | Informations expliquant comment les services Microsoft testent et évaluent l’efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement, notamment les audits effectués par des tiers. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Sécurité des données, Conformité des audits [1] - Manuel ISMS Office 365 [14], consultez 9 Évaluation des performances - 6.15.2 Analyse indépendante de la sécurité des informations dans le Gestionnaire de conformité |
(32)(1)(d), (32)(2) |
Vérification de conformité technique (6.15.3) | Le client doit comprendre les conditions requises pour tester et évaluer la sécurité du traitement des données personnelles. Cela peut inclure des tests techniques, tels que le test de pénétration. Lorsque le client utilise un système ou un processeur tiers, il doit comprendre les responsabilités qu’il possède pour sécuriser et tester la sécurité (par exemple, gérer les configurations pour sécuriser les données, puis tester ces paramètres de configuration). Dans le cas où le tiers est responsable de la totalité ou d’une partie de la sécurité de traitement, le client doit comprendre les tests ou évaluations effectués par le tiers pour assurer la sécurité du traitement. | Informations expliquant comment les services Microsoft testent la sécurité en fonction des risques identifiés, notamment les tests effectués par des tiers, et les types de tests techniques et les rapports disponibles à partir de ces tests. - Conditions de Microsoft Online Services, Conditions relatives à la protection des données, consultez Sécurité des données, Conformité des audits [1] - Pour obtenir une liste de certifications externes, voir Offres de conformité du Centre de confidentialité Microsoft [13] - Pour plus d’informations sur les tests d’intrusion dans vos applications, consultez le plan de sécurité du système FedRAMP modéré FedRAMP (SSP) [3], CA-8 Test d’intrusion (M) (H) p. 204 - 6.15.3 Révision de conformité technique dans le gestionnaire |
(32)(1)(d), (32)(2) |