Partager via


Liste de vérification de préparation sur la responsabilité du Support Microsoft et des services professionnels concernant le RGPD

1. Introduction

Cette liste de contrôle de préparation de la responsabilité fournit un moyen pratique d’accéder aux informations dont vous pouvez avoir besoin pour prendre en charge le RGPD lors de l’utilisation des services professionnels et des services de support Microsoft. La liste de contrôle est organisée à l’aide des titres et du numéro de référence (entre parenthèses pour chaque article de la liste de contrôle) d’un ensemble de contrôles de confidentialité et de sécurité pour les processeurs de données personnelles tirés de :

  • ISO/IEC 27701 pour les exigences de gestion de la confidentialité.
  • ISO/IEC 27001 pour les exigences techniques en matière de sécurité.

Cette structure de contrôle est également utilisée pour organiser la présentation des contrôles internes implémentés par les services professionnels Microsoft pour se conformer au RGPD, que vous pouvez télécharger à partir du Portail de confidentialité du service.

2. Conditions de collecte et de traitement

Catégorie Considération à prendre en compte Documentation Microsoft complémentaire Articles du RGPD pertinents
Identifier et documenter l’objectif (7.2.1) Il est recommandé au client de documenter l’objectif du traitement des données personnelles. Description du traitement que Microsoft effectue pour vous, et des objectifs de ce traitement, qui peut être incluse dans la documentation sur la responsabilité.
- Addendum sur la protection des données des produits et services Microsoft [1]
(5)(1)(b), (32)(4)
Identifier la base légale (7.2.2) Le client doit comprendre les exigences liées à la base légale du traitement, par exemple, le consentement doit être donné avant toute chose. Description du traitement de données personnelles réalisé par les services Microsoft à inclure dans la documentation sur la responsabilité.
- Informations clés des services professionnels Microsoft pour les évaluations d’impact sur la protection des données des services professionnels [9]
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
Déterminer à quel moment le consentement doit être obtenu (7.2.3) Le client doit comprendre les exigences légales ou réglementaires pour obtenir le consentement des personnes avant de traiter les données personnelles (lorsque cela est nécessaire, si le type de traitement est exclu de l’exigence, etc.), y compris la façon dont le consentement est collecté. Les services professionnels Microsoft ne fournissent pas de support direct pour obtenir le consentement de l’utilisateur. (6)(1)(a), (8)(1), (8)(2)
Obtenir et enregistrer le consentement (7.2.4) Lorsqu’il est déterminé qu’il est nécessaire, le client doit obtenir le consentement approprié. Le client doit également connaître toutes les exigences relatives à la façon dont une demande de consentement est présentée et collectée. Les services professionnels Microsoft ne fournissent pas de support direct pour obtenir le consentement de l’utilisateur. (7)(1), (7)(2), (9)(2)(a)
Analyse d’impact de confidentialité (7.2.5) Le client doit connaître les exigences selon lesquelles les analyses d’impact de confidentialité doivent être exécutées (le moment opportun pour les effectuer, les catégories de données pouvant faire l’objet d’une analyse et le délai de réalisation de l’analyse). Les services professionnels de Microsoft fournissent des conseils concernant le moment opportun pour effectuer une DPIA, ainsi qu’une vue d’ensemble du programme de DPIA chez Microsoft, notamment l’implication du délégué à la protection des données, qui sont fournies sur la page Analyse d’impact sur la protection des données (DPIA) du portail d’approbation de services.

Pour obtenir une assistance concernant vos DPIA, reportez-vous à :
- Informations clés des services professionnels Microsoft pour les évaluations d’impact sur la protection des données des services professionnels [9]

Article (35)
Contrats avec des responsables du traitement des données personnelles (7.2.6) Le client doit s’assurer que ses contrats avec des responsables de traitement incluent des exigences destinées à fournir de l’aide concernant les obligations légales ou réglementaires pertinentes dans le cadre du traitement et de la protection des données personnelles. Contrats Microsoft qui requièrent notre aide par rapport à vos obligations dans le cadre du RGPD, y compris la prise en charge des droits de la personne concernée par le traitement des données.
- Addendum sur la protection des données des produits et services Microsoft [1]
(5)(2), (28)(3)(e), (28)(9)
Enregistrements liés au traitement des données personnelles (7.2.7) Le client doit conserver tous les enregistrements nécessaires et obligatoires liés au traitement des données à caractère personnel (par exemple, objectif, mesures de sécurité, etc.). Lorsque certains de ces enregistrements doivent être fournis par un sous-traitant, le client doit s’assurer qu’il est en mesure d’obtenir lesdits enregistrements. Les services professionnels Microsoft conservent des enregistrements pour prouver la conformité et la prise en charge de la responsabilisation dans le cadre du RGPD. Voir à la documentation sur la sécurité des services professionnels Microsoft [2] (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)

3. Droits des personnes concernées

Catégorie Considération à prendre en compte Documentation Microsoft complémentaire Articles du RGPD pertinents
Déterminer les droits des propriétaires des données personnelles et permettre l’exercice de ces droits (7.3.1) Le client doit comprendre les exigences relatives aux droits des individus liés au traitement de leurs données à caractère personnel. Ces droits peuvent inclure des éléments tels que la consultation, la correction et l’effacement de données. Lorsque le client utilise un système tiers, il doit identifier, le cas échéant, les parties du système qui fournissent des outils permettant aux individus d’exercer leurs droits (par exemple, pour accéder à leurs données). Lorsque le système propose des fonctionnalités de ce type, le client doit les utiliser, le cas échéant. Fonctionnalités fournies par Microsoft pour vous aider à prendre en charge les droits des personnes concernées par les données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
(12)(2)
Déterminer les informations des propriétaires des données personnelles (personnes concernées par le traitement des données) (7.3.2) Le client doit comprendre les exigences relatives aux types d’informations sur le traitement des données personnelles qui doivent être disponibles pour être fournies à l’individu. Cela peut inclure des éléments tels que :
• coordonnées du contrôleur ou de son représentant ;
• informations sur le traitement (objectifs, transfert international et les garanties associées, période de rétention, etc.) ;
• informations sur la façon dont la personne peut consulter ou corriger ses données personnelles ; en demandant l’effacement ou la restriction du traitement ; en recevant une copie de ses données personnelles, et la portabilité de ses données personnelles ;
• comment et à partir de quel emplacement les données personnelles ont été obtenues (si non elles n’ont pas été communiquées directement par la personne) ;
• informations relatives au droit de déposer une plainte et auprès de qui ;
• informations relatives aux corrections apportées aux données personnelles ;
• notification indiquant que l’organisation n’est plus en mesure d’identifier la personne associée aux données (propriétaire des données personnelles), dans les cas où le traitement ne requiert plus l’identification de la personne associée aux données ;
• transferts et/ou divulgations de données personnelles ;
• existence d’un processus de décision automatisé basé uniquement sur le traitement automatisé des données personnelles ;
• informations relatives à la fréquence de mise à jour et de remise des informations à la personne concernée par le traitement des données (par exemple, la notification « juste à temps », la fréquence définie par l’organisation, etc.)
Lorsque le client fait appel à des systèmes ou à des responsables de traitement tiers, il doit identifier, le cas échéant, les informations que ces derniers doivent fournir, et s’assurer qu’il peut obtenir les informations requises auprès du tiers.
Informations relatives aux services Microsoft que vous pouvez inclure dans les données fournies aux personnes associées aux données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
Fourniture d’informations aux propriétaires des données personnelles (7.3.3) Le client doit respecter les exigences relatives à la présentation, au délai et au format de remise des informations requises à un individu en lien avec le traitement de ses données à caractère personnel. Dans les cas où un tiers fournit les informations requises, le client doit s’assurer que celles-ci sont conformes aux paramètres imposés par le RGPD. Modèles d’informations concernant les services professionnels Microsoft que vous pouvez inclure dans les données fournies aux personnes concernées.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
Fournir un processus pour modifier ou retirer son consentement (7.3.4) Le client doit comprendre les exigences relatives à l’information des utilisateurs sur leur droit d’accès, de correction et/ou d’effacement de leurs données personnelles et de fournir un mécanisme pour lequel ils le font. Si un système tiers est utilisé et fournit ce mécanisme dans le cadre de ses fonctionnalités, le client doit utiliser cette fonctionnalité si nécessaire. Informations relatives aux fonctionnalités des services Microsoft que vous pouvez utiliser au moment de définir les informations fournies aux personnes associées aux données lors de la demande de consentement.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
Fournir un processus pour s’opposer au traitement (7.3.5) Le client doit comprendre les exigences relatives aux droits des personnes concernées. Lorsqu’une personne a le droit de s’opposer au traitement, le client doit l’informer et disposer d’un moyen pour l’individu d’enregistrer son opposition. Informations relatives aux services Microsoft en lien avec l’objection au traitement que vous pouvez inclure dans les données fournies aux personnes associées aux données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
Partage de l’exercice des droits des propriétaires des données personnelles (7.3.6) Le client doit comprendre les exigences selon lesquelles des tiers avec lesquels des données à caractère personnel ont été partagées doivent être informés des modifications apportées aux données en vertu de l’exercice de droits individuels (par exemple, une personne faisant une demande d’effacement ou de modification, etc.). Informations relatives aux fonctionnalités des services Microsoft qui vous permettent de découvrir des données personnelles que vous avez partagées avec des tiers.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(19)
Correction ou effacement (7.3.7) Le client doit comprendre les exigences relatives à l’information des utilisateurs sur leur droit d’accès, de correction et/ou d’effacement de leurs données personnelles et de fournir un mécanisme pour lequel ils le font. Si un système tiers est utilisé et fournit ce mécanisme dans le cadre de ses fonctionnalités, le client doit utiliser cette fonctionnalité si nécessaire. Informations relatives aux services Microsoft en rapport avec les fonctionnalités d’accès aux données personnelles, de correction ou d’effacement que vous pouvez inclure dans les données fournies aux personnes concernées par le traitement des données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
Fourniture d’une copie des données personnelles traitées (7.3.8) Le client doit comprendre les exigences de fourniture à la personne concernée d’une copie de ses données à caractère personnel en cours de traitement. Il peut s’agir d’exigences relatives au format de la copie (c’est-à-dire qu’elle est lisible par l’ordinateur), au transfert de la copie, etc. Lorsque le client utilise un système tiers qui fournit la fonctionnalité pour fournir des copies, il doit utiliser cette fonctionnalité si nécessaire. Informations sur les fonctionnalités des services Microsoft qui vous permettent d’obtenir une copie des données personnelles que vous pouvez inclure dans les données fournies aux personnes concernées.- Demandes des personnes concernées des services professionnels de Microsoft concernant les RGPD et CCPA [7] (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
Gestion des demandes (7.3.9) Le client doit comprendre les exigences d’acceptation et de réponse aux demandes légitimes des personnes liées au traitement de leurs données personnelles. Lorsque le client utilise un système tiers, il doit savoir si ce système fournit les fonctionnalités de gestion des demandes. Si c’est le cas, le client doit utiliser ces mécanismes pour gérer les demandes, si nécessaire. Informations relatives aux fonctionnalités des services Microsoft que vous pouvez utiliser au moment de définir les informations fournies aux personnes concernées lorsque vous traitez des demandes de ces dernières.- Demandes des personnes concernées des services professionnels de Microsoft concernant les RGPD et CCPA [7] (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h)
Processus de décision automatique (7.3.10) Le client doit comprendre les exigences relatives au traitement automatisé des données personnelles et les décisions prises par cette automatisation. Il peut s’agir de fournir à un individu des informations relatives au traitement, de s’opposer au traitement en question ou d’obtenir une intervention humaine. Lorsque ces fonctionnalités sont fournies par un système tiers, le client doit s’assurer que le tiers fournit les informations ou l’assistance requises. Informations relatives aux fonctionnalités des services Microsoft pouvant prendre en charge les prises de décision automatiques que vous pouvez utiliser dans la documentation sur la responsabilité et informations formatées relatives à ces fonctionnalités fournies aux personnes associées aux données.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)

4. Confidentialité liée à la conception et par défaut

Catégorie Considération à prendre en compte Documentation Microsoft complémentaire Articles du RGPD pertinents
Limiter la collecte (7.4.1) Le client doit comprendre les exigences relatives aux restrictions de la collecte de données personnelles (par exemple, que la collecte doit être limitée à ce qui est nécessaire aux fins déterminées). Description des données collectées par les services Microsoft.
- Addendum sur la protection des données des produits et services Microsoft [1]
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client [9]]
(5)(1)(b), (5)(1)(c)
Limiter le traitement (7.4.2) Il incombe au client de limiter le traitement des données personnelles afin qu’il soit limité à ce qui est approprié pour l’objectif identifié. Description des données collectées par les services Microsoft.
- Addendum sur la protection des données des produits et services Microsoft [1]
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(25)(2)
Définir et documenter la réduction des données personnelles et les objectifs d’anonymisation (7.4.3) Le client doit comprendre les exigences relatives à l’anonymisation des données personnelles pouvant inclure, lorsqu’elle doit être utilisée, l’étendue de l’anonymisation, et les cas où elle ne peut pas être utilisée. Le client est responsable de la désidentification avant de transférer les données à Microsoft. Microsoft applique l’anonymisation et la pseudonymisation en interne, le cas échéant, pour fournir d’autres dispositifs de protection de la confidentialité pour les données personnelles. (5)(1)(c)
Respecter les niveaux d’identification (7.4.4) Le client doit utiliser et respecter les objectifs et les méthodes d’anonymisation définis par son organisation. Le client est responsable de la désidentification avant de transférer les données à Microsoft. Microsoft applique l’anonymisation et la pseudonymisation en interne, le cas échéant, pour fournir d’autres dispositifs de protection de la confidentialité pour les données personnelles. (5)(1)(c)
Anonymisation et suppression des données personnelles (7.4.5) Le client doit comprendre les exigences relatives à la conservation des données personnelles après leur utilisation aux fins identifiées. Lorsque le système fournit des outils, le client doit utiliser ces outils pour effacer ou supprimer si nécessaire. Fonctionnalités proposées par les services Microsoft pour prendre en charge les stratégies de rétention de vos données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
Fichiers temporaires (7.4.6) Le client doit être conscient de l’existence de fichiers temporaires pouvant être envoyés à Microsoft et pouvant être à l’origine d’une non-conformité concernant les politiques de traitement des données à caractère personnel (par exemple, les données à caractère personnel peuvent conservées dans un fichier temporaire plus longtemps que nécessaire). Description des fonctionnalités proposées par le service pour identifier les données personnelles afin de prendre en charge les stratégies liées aux fichiers temporaires.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(5)(1)(c)
Rétention (7.4.7) Le client doit déterminer le délai de rétention des données personnelles en tenant compte des objectifs définis. Informations relatives à la rétention des données personnelles par les services Microsoft que vous pouvez inclure dans la documentation fournie aux personnes associées aux données.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
(13)(2)(a), (14)(2)(a)
Élimination (7.4.8) Le client doit utiliser tous les processus de suppression ou d’élimination fournis par le système afin de supprimer des données personnelles. Fonctionnalités proposées par les services Microsoft pour prendre en charge les stratégies de suppression de vos données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(5)(1)(f)
Procédures de collecte (7.4.9) Le client doit connaître les exigences relatives à la précision des données personnelles (par exemple, précision lors de la collecte, tenue à jour des données, etc.) et utiliser les processus fournis par le système pour respecter ces exigences. Informations expliquant comment les services Microsoft prennent en charge la précision des données personnelles et les fonctionnalités qu’ils fournissent pour prendre en charge votre stratégie de précision des données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(5)(1)(d)
Contrôles de transmission (7.4.10) Le client doit comprendre les exigences selon lesquelles la transmission des données personnelles doit être protégée, y compris les personnes ayant accès aux processus de transmission, aux enregistrements de transmission, etc. Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(15)(2), (30)(1)(e), (5)(1)(f)
Identifier la base du transfert d’informations personnelles (7.5.1) Le client doit connaître les exigences relatives au transfert des données personnelles vers un autre emplacement géographique, et documenter les mesures mises en place pour respecter lesdites exigences. Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
Articles (44), (45), (46), (47), (48) et (49)
Pays, régions et organisations vers lesquels des données personnelles peuvent être transférées (7.5.2) Le client doit comprendre et être en mesure de fournir à l’individu les pays vers lesquels les données personnelles sont ou peuvent être transférées. Lorsqu’un tiers/processeur peut effectuer ce transfert, le client doit obtenir ces informations auprès du sous-traitant. Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(30)(1)(e)
Enregistrements des transferts de données personnelles (7.5.3) Le client doit conserver tous les enregistrements nécessaires et requis relatifs aux transferts de données personnelles. Lorsqu’un tiers/sous-traitant effectue le transfert, le client doit s’assurer qu’il conserve les enregistrements appropriés et les obtenir si nécessaire. Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(30)(1)(e)
Enregistrements de divulgation de données personnelles à des tiers (7.5.4) Le client doit comprendre les exigences relatives à l’enregistrement des personnes à qui les données personnelles ont été divulguées. Cela peut inclure des divulgations aux forces de l’ordre, etc. Lorsqu’un tiers/sous-traitant divulgue les données, le client doit s’assurer qu’il conserve les enregistrements appropriés et les obtenir si nécessaire. Documentation fournie relative aux catégories de bénéficiaires des divulgations des informations personnelles, dont les enregistrements de divulgation disponibles.
- Qui peut accéder à vos données et dans quelles conditions [6]
(30)(1)(d)
Co-responsable du traitement (7.5.5) Le client doit déterminer s’il est co-responsable du traitement avec une autre organisation, et documenter et définir correctement les responsabilités. Microsoft n’est pas un contrôleur conjoint des informations personnelles fournies dans le cadre des données de support et de services professionnels. (26)(1), (26)(2), (26)(3)

5. Protection des données et sécurité

Catégorie Considération à prendre en compte Documentation Microsoft complémentaire Articles du RGPD pertinents
Compréhension de l’organisation et de son contexte (5.2.1) Les clients doivent déterminer leur rôle dans le traitement des données personnelles (par exemple, contrôleur, responsable de traitement, co-contrôleur) afin d’identifier les exigences appropriées (réglementaires, etc.) pour le traitement des données personnelles. Informations expliquant comment Microsoft considère chaque service comme un responsable de traitement ou un contrôleur lors du traitement des données personnelles.
- Addendum sur la protection des données des produits et services Microsoft [1]
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
Comprendre les besoins et les attentes des parties concernées (5.2.2) Les clients doivent identifier les parties pouvant jouer un rôle dans le traitement des données personnelles ou être concernées par celui-ci (par exemple, régulateurs, auditeurs, personnes associées aux données, responsables de traitement engagés par les personnes associées aux données), et doivent connaître les exigences selon lesquelles lesdites parties sont concernées, le cas échéant. Informations expliquant comment Microsoft intègre au traitement des données personnelles les consultations de toutes les parties prenantes en tenant compte des risques.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)
Déterminer l’étendue du système de gestion de la sécurité des informations (5.2.3, 5.2.4) Dans le cadre d’un programme général de sécurité ou de confidentialité mis en place par le client, ce dernier doit y inclure le traitement des données personnelles et les exigences relatives à celui-ci. Informations expliquant comment les services Microsoft incluent le traitement des données personnelles dans les programmes de protection de la vie privée et de gestion de la sécurité des informations.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Rapport d’audit ISO 27001 [10]
(32)(2)
Planification (5.3) Les clients doivent tenir compte du traitement des données personnelles dans le cadre de toute évaluation des risques effectuée, et mettre en place les contrôles qu’ils estiment nécessaires pour atténuer les risques liés aux données personnelles qu’ils contrôlent. Informations expliquant comment les services Microsoft tiennent compte des risques spécifiques du traitement des données personnelles dans le cadre de leur programme général de confidentialité et de sécurité.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
(32)(1)(b), (32)(2)
6.2 Stratégies de sécurité des informations Le client doit renforcer les stratégies de sécurité des informations existantes afin d’inclure la protection des données personnelles, notamment les stratégies nécessaires pour respecter la législation applicable. Stratégies de Microsoft concernant la sécurité des informations et les mesures spécifiques pour la protection des informations personnelles.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Rapport d’audit ISO 27001 [10]
24(2)
6.3 Considération à prendre en compte relative à l’organisation de la sécurité des informations Au sein de son organisation, le client doit définir des responsabilités en matière de sécurité et de protection des données à caractère personnel. Il peut s’agir de l’établissement de rôles spécifiques pour superviser des éléments relatifs à la confidentialité, y compris une DPO. Un support de formation et de gestion approprié doit être fourni pour prendre en charge ces rôles. Microsoft a publié des informations sur le délégué à la protection des données de Microsoft, la nature de ses devoirs, la structure de création de rapports et ses coordonnées.
- Informations relatives au délégué à la protection des données de Microsoft [13]
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
6.4 Sécurité des ressources humaines Le client doit déterminer et attribuer des responsabilités afin de fournir une formation pertinente liée à la protection des données personnelles. Vue d’ensemble du rôle du délégué à la protection des données de Microsoft, de la nature de ses fonctions, de la structure de rapports et des informations de contact.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Formation et description du programme d’information [3]
(39)(1)(b)
6.5.1 Classification des informations Le client doit explicitement tenir compte des données personnelles dans le cadre du modèle de classification des données. Informations expliquant comment Microsoft tient compte des données personnelles dans la classification des données, en marquant et en assurant le suivi des informations.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(39)(1)(b)
Gestion des médias amovibles (6.5.2) Le client doit déterminer des stratégies internes liées à l’utilisation de supports amovibles, dans la mesure où elles concernent la protection des données à caractère personnel (par exemple, le chiffrement d’appareils). Informations expliquant comment les services Microsoft protègent la sécurité des informations personnelles sur les médias amovibles.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(32)(1)(a), (5)(1)(f)
Transfert de médias physiques (6.5.3) Le client doit déterminer les stratégies internes liées à la protection des données personnelles lors du transfert de médias physiques (par exemple, chiffrement). Comment les services Microsoft protègent les informations personnelles lors du transfert de médias physiques.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(32)(1)(a), (5)(1)(f)
Gestion de l’accès utilisateur (6.6.1) Le client doit connaître les responsabilités qu’il lui incombe concernant le contrôle de l’accès au sein du service qu’il utilise, et gérer correctement ces responsabilités en utilisant les outils disponibles. Outils fournis par les services Microsoft pour vous aider à renforcer le contrôle d’accès.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Enregistrement et annulation de l’enregistrement d’un utilisateur (6.6.2) Le client doit gérer l’enregistrement et l’annulation de l’enregistrement d’un utilisateur au sein du service qu’il utilise à l’aide des outils mis à sa disposition. Outils fournis par les services Microsoft pour vous aider à renforcer le contrôle d’accès.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Approvisionnement de l’accès utilisateur (6.6.3) Le client doit gérer les profils utilisateur, en particulier pour l’accès autorisé aux données personnelles, au sein du service qu’il utilise à l’aide des outils mis à sa disposition. Informations expliquant comment les services Microsoft prennent en charge le contrôle d’accès formel aux données personnelles, notamment les ID d’utilisateur, les rôles et l’enregistrement et l’annulation de l’enregistrement des utilisateurs.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Gestion de l’accès privilégié (6.6.4) Le client doit gérer les ID d’utilisateur pour faciliter le suivi de l’accès (en particulier aux données personnelles), au sein du service qu’il utilise à l’aide des outils mis à sa disposition. Informations expliquant comment les services Microsoft prennent en charge le contrôle d’accès formel aux données personnelles, notamment les ID d’utilisateur, les rôles et l’enregistrement et l’annulation de l’enregistrement des utilisateurs.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Sécuriser les procédures de connexion (6.6.5) Le client doit utiliser les processus fournis par le service pour assurer la protection des fonctionnalités de connexion pour ses utilisateurs, le cas échéant. Informations expliquant comment les services Microsoft prennent en charge les stratégies de contrôle d’accès interne liées aux données personnelles.
- Qui peut accéder à vos données et dans quelles conditions [6]
(5)(1)(f)
Chiffrement (6.7) Le client doit déterminer quelles données peuvent avoir besoin d’être chiffrées et si le service qu’il utilise offre cette fonctionnalité. Le client doit utiliser le chiffrement en fonction des besoins, à l’aide des outils à sa disposition. Informations expliquant comment les services Microsoft prennent en charge le chiffrement et la pseudonymisation afin de réduire le risque de traitement des données personnelles.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(32)(1)(a)
Élimination ou réutilisation sécurisées du matériel (6.8.1) Lorsque le client utilise des services de cloud computing (PaaS, SaaS et IaaS), il doit comprendre comment le fournisseur de cloud garantit la suppression des données personnelles de l’espace de stockage avant d’attribuer l’espace en question à un autre client. Manière dont les services professionnels de Microsoft garantissent que les données personnelles sont supprimées de tout équipement de stockage avant le transfert de ce dernier ou sa réutilisation, lors de l’utilisation des services de cloud computing Microsoft Azure dans le cadre de services professionnels.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Stratégie liée au nettoyage du bureau et de l’écran (6.8.2) Le client doit prendre en compte les risques autour de documents papier qui affichent des données à caractère personnel, et éventuellement restreindre la création de tels éléments. Lorsque le système utilisé permet de restreindre cela (par exemple, paramètres pour empêcher l’impression ou le copier / coller de données sensibles), le client doit envisager d’utiliser ces fonctionnalités. Mesures mises en place par Microsoft pour gérer les copies papier.
- Microsoft effectue ces contrôles en interne, consultez la page Services professionnels de Microsoft ISO/IEC 27001:2013 ISMS Détermination du domaine d’application [11]
- Ensemble de contrôles pour les Services professionnels Microsoft dans le cadre du RGPD4
(5)(1)(f)
Séparation des environnements de développement, de test et d’exploitation (6.9.1) Le client doit étudier les conséquences de l’utilisation des données personnelles dans les environnements de développement et de test au sein de son organisation. Informations expliquant comment Microsoft garantit la protection des données personnelles dans les environnements de test et de développement.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f)
Sauvegarde des informations (6.9.2) Le client doit s’assurer qu’il utilise les fonctionnalités fournies par le système pour créer des redondances dans ses données, et les tester, le cas échéant. Informations expliquant comment Microsoft garantit la disponibilité des données pouvant inclure des données personnelles, détaillant la manière dont la précision des données restaurées est assurée, et précisant les outils et les services Microsoft fournis pour vous permettre de sauvegarder et de restaurer des données.
- Documentation de gestion de la continuité d’entreprise de Microsoft Entreprise[5]
(32)(1)(c), (5)(1)(f)
Journalisation des événements (6.9.3) Le client doit comprendre les fonctionnalités de journalisation fournies par le système et utiliser ces fonctionnalités pour s’assurer qu’il peut journaliser des actions associées à des données personnelles qu’il estime nécessaires. Données que le service Microsoft enregistre pour vous, notamment les activités des utilisateurs, les exceptions, les erreurs et les événements de sécurité des informations, et comment vous pouvez accéder à ces journaux pour les utiliser dans le cadre de la conservation de données.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f)
Protection des informations de journal (6.9.4) Le client doit prendre en compte les exigences de protection des informations de journal qui peuvent contenir des données personnelles ou qui peuvent contenir des enregistrements liés au traitement des données personnelles. Lorsque le système en cours d’utilisation fournit des fonctionnalités pour protéger les journaux, le client doit utiliser ces fonctionnalités si nécessaire. Informations expliquant comment Microsoft protège les journaux pouvant contenir des données personnelles.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f)
Stratégies et procédures de transfert des informations (6.10) Le client doit avoir des procédures pour les cas où des données personnelles peuvent être transférées sur un support physique (par exemple, un disque dur déplacé entre des serveurs ou des installations). Il peut s’agir de journaux, d’autorisations et de suivi. Lorsqu’un tiers ou un autre sous-traitant peut transférer des supports physiques, le client doit s’assurer que organization dispose de procédures pour garantir la sécurité des données personnelles. Informations expliquant comment les services Microsoft transfèrent des médias physiques pouvant contenir des données personnelles, y compris les circonstances du transfert, et mesures de protection prises pour protéger les données.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f)
Accords de confidentialité ou de non-divulgation (6.10.2) Le client doit déterminer la nécessité d’accords de confidentialité ou d’accords équivalents pour les individus ayant accès aux données personnelles ou ayant des responsabilités liées à ces dernières. Informations expliquant comment les services Microsoft s’assurent que les individus autorisés à accéder aux données personnelles sont engagés au respect de la confidentialité.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f), (28)(3)(b), (38)(5)
Sécuriser les services d’application sur les réseaux publics (6.11.1) Le client doit comprendre les exigences en matière de chiffrement des données personnelles, en particulier lorsqu’elles sont envoyées sur des réseaux publics. Lorsque le système fournit des mécanismes pour chiffrer les données, le client doit utiliser ces mécanismes si nécessaire. Description des mesures prises par les services Microsoft pour protéger les données en transit, dont le chiffrement, et de la manière dont les services Microsoft protègent les données susceptibles de contenir des données à caractère personnel lorsqu celles-ci transitent sur des réseaux de données publics, dont les mesures de chiffrement.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f), (32)(1)(a)
Principes d’ingénierie du système de sécurisation (6.11.2) Le client doit comprendre comment les systèmes sont conçus et créés pour prendre en compte la protection des données personnelles. Lorsqu’un client utilise un système conçu par un tiers, il est chargé de s’assurer que ces protections ont été prises en considération. Informations expliquant comment les services Microsoft incluent les principes de protection des données personnelles dans le cadre des principes d’ingénierie/de conception de sécurisation.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Définition du Security Development Lifecycle
(25)(1)
Relations avec les fournisseurs (6.12) Le client doit s’assurer que toutes les exigences relatives à la sécurité des informations et à la protection des données à caractère personnel, ainsi que les responsabilités des tiers sont abordées dans les informations contractuelles ou d’autres accords. Les accords doivent aussi définir les instructions de traitement. Comment les services Microsoft définissent la sécurité et la protection des données dans nos accords avec les fournisseurs, et comment nous veillons à ce que ces accords soient réellement mis en œuvre.
- Qui peut accéder à vos données et dans quelles conditions [6]
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h), (30)(2)(d), (32)(1)(b)
Gestion des améliorations et des incidents liés à la sécurité des informations (6.13.1) Le client doit mettre en place des processus afin de déterminer quand une violation des données personnelles est survenue. Informations expliquant comment les services Microsoft déterminent si un incident de sécurité est une violation des données personnelles, et comment nous vous informons de la violation.
- Services professionnels Microsoft et notification des violations dans le cadre du RGPD[8]
(33)(2)
Responsabilités et procédures (lors des incidents de sécurité des informations) (6.13.2) Le client doit comprendre et documenter ses responsabilités lors d’une violation de données ou d’un incident de sécurité impliquant des données personnelles. Les responsabilités peuvent inclure la notification des parties requises, les communications avec les sous-traitants ou d’autres tiers et les responsabilités au sein de la organization du client. Informations expliquant comment informer les services Microsoft si vous détectez un incident de sécurité ou une violation des données personnelles.
- Services professionnels Microsoft et notification des violations dans le cadre du RGPD[8]
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
Réponse aux incidents de sécurité des informations (6.13.3) Le client doit mettre en place des processus afin de déterminer quand une violation des données personnelles est survenue. Description des informations fournies par les services Microsoft pour vous aider à déterminer si une violation de données à caractère personnel a eu lieu.
- Services professionnels Microsoft et notification des violations dans le cadre du RGPD[8]
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)
Protection des enregistrements (6.15.1) Le client doit comprendre les exigences relatives aux enregistrements liés au traitement des données personnelles qui doivent être conservées. Informations expliquant comment les services Microsoft stockent les enregistrements liés au traitement des données personnelles.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(2), (24)(2)
Analyse indépendante de la sécurité des informations (6.15.2) Le client doit connaître les conditions requises pour évaluer la sécurité du traitement des données personnelles. Il peut s’agir d’audits internes ou externes ou d’autres mesures pour évaluer la sécurité du traitement. Lorsque le client dépend d’une autre organisation tierce pour tout ou partie du traitement, il doit recueillir des informations sur les évaluations effectuées par eux. Informations expliquant comment les services Microsoft testent et évaluent l’efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement, notamment les audits effectués par des tiers.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
(32)(1)(d), (32)(2)
Vérification de conformité technique (6.15.3) Le client doit comprendre les conditions requises pour tester et évaluer la sécurité du traitement des données personnelles. Cela peut inclure des tests techniques, tels que le test de pénétration. Lorsque le client utilise un système ou un processeur tiers, il doit comprendre les responsabilités qu’il possède pour sécuriser et tester la sécurité (par exemple, gérer les configurations pour sécuriser les données, puis tester ces paramètres de configuration). Dans le cas où le tiers est responsable de la totalité ou d’une partie de la sécurité de traitement, le client doit comprendre les tests ou évaluations effectués par le tiers pour assurer la sécurité du traitement. Informations expliquant comment les services Microsoft testent la sécurité en fonction des risques identifiés, notamment les tests effectués par des tiers, et les types de tests techniques.
- Pour obtenir la liste des certifications externes, consultez Offres de conformité du Centre de gestion de la confidentialité Microsoft [12]
- Pour plus d’informations sur les tests de vulnérabilité de vos applications, voir la documentation concernant la sécurité des Services professionnels Microsoft [2]
(32)(1)(d), (32)(2)
ID Description/Liens Notes
1 Addendum sur la protection des données des produits et services Microsoft
2 Documentation sur la sécurité concernant les services professionnels de Microsoft 2
3 Description du programme de formation et d’information Disponible sur demande auprès de l’équipe chargée de la gestion du compte du client.
4 Ensemble de contrôles pour les Services professionnels Microsoft dans le cadre du RGPD
5 Documentation de gestion de la continuité d’entreprise de Microsoft Entreprise Disponible sur demande auprès de l’équipe chargée de la gestion du compte du client.
6 Qui peut accéder à vos données et dans quelles conditions
7 Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA
8 Services professionnels Microsoft et notification des violations dans le cadre du RGPD
9 Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client
10 Rapport d’audit ISO 27001
11 Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application SOA sur demande auprès de l’équipe chargée de la gestion du compte du client.
12 Offres de conformité du Centre de gestion de la confidentialité Microsoft
13 Informations relatives au délégué à la protection des données de Microsoft

En savoir plus