Analyses d’impact sur la protection des données: Conseils pour les contrôleurs de données qui utilisent Microsoft Professional Services
Présentation des services professionnels Microsoft
Les services professionnels Microsoft regroupent des architectes techniques, des ingénieurs, des consultants et des professionnels du support qui mettent tout en œuvre pour permettre à Microsoft d’accomplir sa mission, à savoir donner aux clients les moyens de gagner en efficacité. Suivez ce lien pour en savoir plus sur les Services professionnels Microsoft ou visitez la page Confidentialité des services professionnels Microsoft.
Le Support Microsoft et les Services professionnels Microsoft prennent au sérieux les obligations imposées par le Règlement général sur la protection des données (RGPD). Les informations contenues dans ce document sont conçues pour fournir des informations sur la façon dont les offres de support et de conseil de Microsoft peuvent être utilisées par les clients lors de la préparation des analyses d’impact sur la protection des données (DPIAs) dans le cadre du RGPD.
Présentation des DPIAs
En vertu du Règlement général sur la protection des données (RGPD), les contrôleurs de données sont tenus de préparer une DPIA pour les opérations de traitement qui sont « susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques ». Il n’y a rien d’inhérent aux services professionnels Microsoft qui nécessiterait nécessairement la création d’un DPIA par un contrôleur de données qui l’utilise. La nécessité ou non d’une DPIA dépend des détails et du contexte du type de services et de la façon dont le contrôleur de données utilise les services professionnels.
Ce document vise à fournir les informations sur Microsoft Azure qui permettront aux contrôleurs de données de déterminer si une analyse d’impact sur la protection des données est nécessaire et, le cas échéant, les informations à inclure.
Partie 1 : déterminer si une analyse d’impact sur la protection des données est nécessaire
L’article 35 du RGPD exige qu’un responsable du traitement des données crée une analyse d’impact sur la protection des données « [ici] un type de traitement utilisant notamment de nouvelles technologies, et tenant compte de la nature, de l’étendue, du contexte et des objectifs du traitement, est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques ». Il présente en outre des facteurs particuliers qui indiqueraient un tel risque élevé, qui est abordé dans le tableau suivant : Pour déterminer si une DPIA est nécessaire, un contrôleur de données doit prendre en compte ces facteurs, ainsi que d’autres facteurs pertinents, à la lumière de la ou des implémentations spécifiques du contrôleur de données et de l’utilisation des services professionnels.
Facteur de risque | Informations pertinentes concernant les Services professionnels |
---|---|
Évaluation systématique et approfondie d’aspects personnels relatifs aux personnes physiques, basée sur un traitement automatisé incluant un profilage, sur laquelle se basent des décisions qui produisent des effets juridiques concernant la personne physique ou qui l’affectent de manière considérable. | Les Services professionnels effectuent une routine ou un traitement automatisé de données, telle qu’une prise en charge de rupture/correction (par exemple, assistance des clients en cas de panne de leur ordinateur), un compte de migration et une analyse des vulnérabilités du système. Les solutions de services professionnels, à l’exception du développement de clients couverts par la note plus loin dans ce tableau, ne sont pas destinées à effectuer le traitement sur lequel reposent les décisions qui produisent des effets juridiques ou tout aussi significatifs sur les individus. |
Traitement à grande échelle1 de catégories spéciales de données (données à caractère personnel révélant l’origine ethnique ou raciale d’un individu, ses opinions politiques, ses convictions religieuses ou philosophiques, ou son appartenance à un syndicat, ainsi que le traitement de données génétiques et biométriques dans l’unique but d’identifier une personne physique, de données sur la santé ou la vie sexuelle d’une personne physique, ou son orientation sexuelle), ou de données à caractère personnel relatives à des condamnations pénales et infractions ; | Les Services professionnels ne sont pas destinés à ne plus être utilisé lors du travail nécessaire au traitement des catégories spéciales de données personnelles, à l’exception de développement client couvert par la note plus loin dans ce tableau. Toutefois, un contrôleur de données peut utiliser des solutions de conseil des services professionnels pour traiter les catégories spéciales de données énumérées. Par exemple, les services professionnels proposent le développement de bases de données du secteur de la santé qui peuvent être utilisées par un contrôleur de données pour traiter des données personnelles associées à un problème de santé. Il incombe au contrôleur d’évaluer et de restreindre ou de documenter cette utilisation le cas échéant. |
Surveillance systématique d’une zone publiquement accessible à grande échelle | Les services professionnels ne sont pas destinés à être utilisés dans des travaux qui nécessitent ou facilitent une telle surveillance, à l’exception du développement client couvert par la note plus loin dans ce tableau. Si un responsable du traitement de données utilise des Services professionnels pour développer ce type de système, ou systèmes informatiques pour traiter les données collectées par le biais d’une telle surveillance, cela relève de la responsabilité du responsable du traitement de données, comme décrit plus loin dans ce tableau. |
Remarque
1 En ce qui concerne les critères selon lesquels le traitement doit être « à grande échelle », le point 91 du RGPD précise que : « Le traitement des données à caractère personnel ne doit pas être considéré comme un traitement à grande échelle s'il concerne des données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat. Dans ce cas, une évaluation de l’impact de la protection des données ne doit pas être obligatoire ».
[Note de développement personnalisée] Les services professionnels offrent une grande variété de solutions de conseil. Un contrôleur de données peut éventuellement demander une solution qui, conformément aux critères ci-dessus, serait une solution à haut risque. Par exemple, un contrôleur de données peut demander aux services professionnels de créer une solution pour développer un moteur décisionnel pour les décisions d’emploi ou les applications de crédit, ou une solution qui implique le suivi des utilisateurs, l’utilisation spécialisée de l’intelligence artificielle (IA)/Analytique ou le traitement de catégories spéciales de données personnelles.
Au début d’un engagement, les Services professionnels disposent de processus pour évaluer et aborder des solutions à haut risque sur lesquelles ils peuvent être appelés à travailler. Dans ce cadre, les Services professionnels peuvent exiger du responsable du traitement de données des garanties concernant la conformité avec le RGPD (par exemple, termes contractuels), un plan de développement d’analyse d’impact sur la protection des données (DPIA), ou d’autres critères (par exemple, des instructions d’exploitation convenues) imposés au sous-traitant de données en vertu du RGPD. Toutefois, quelles que soient les actions de Microsoft, il incombe au contrôleur de données de développer la DPIA avec l’entrée, le cas échéant, du sous-traitant des données du client.
Partie 2 : contenu d’une analyse d’impact sur la protection des données (DPIA)
L’article 35 (7) établit qu’une analyse d’impact sur la protection des données spécifie la finalité du traitement et une description systématique du traitement envisagé. La description systématique d’une DPIA complète peut inclure des facteurs tels que les types de données traitées, la durée de conservation des données, l’emplacement où les données sont situées et transférées, et les services tiers pouvant accéder aux données. De plus, la DPIA doit inclure ce qui suit :
- une évaluation du besoin et de la proportionnalité des opérations de traitement par rapport aux finalités prévues ;
- une évaluation des risques concernant les droits et les libertés des personnes physiques ; et
- les mesures envisagées pour éliminer les risques, y compris les dispositifs de protection, les mécanismes et les mesures de sécurité visant à garantir la protection des données à caractère personnel et à démontrer la conformité au présent règlement en tenant compte des droits et des intérêts légitimes des personnes concernées par le traitement des données.
Le tableau suivant contient des informations sur les services professionnels qui sont pertinentes pour chacun de ces éléments. Comme dans la partie 1, les contrôleurs de données doivent tenir compte des détails fournis dans le tableau, ainsi que de tout autre facteur pertinent, dans le contexte de la ou des implémentations spécifiques du responsable du traitement et de l’utilisation des services professionnels.
Élément d’une DPIA | Informations pertinentes relatives aux Services professionnels |
---|---|
Finalité(s) de traitement | La finalité des traitements de données avec les Services Professionnels est déterminée par le contrôleur qui implémente, configure et utilise le logiciel. Comme spécifié par l’Addendum sur la protection des données des services professionnels Microsoft (MPSDPA), Microsoft, en tant que responsable du traitement des données, traite les données de support et de conseil uniquement pour fournir les services demandés à notre client, le contrôleur de données. Microsoft n’utilisera pas les données de support et de conseil ou les informations dérivées de celles-ci à des fins publicitaires ou commerciales similaires. |
La finalité des traitements de données avec les Services Professionnels est déterminée par le contrôleur qui implémente, configure et utilise le logiciel. | Comme spécifié par l’Addendum sur la protection des données des services professionnels Microsoft (MPSDPA), Microsoft, en tant que responsable du traitement des données, traite les données de support et de conseil uniquement pour fournir les services demandés à notre client, le contrôleur de données. Microsoft n’utilisera pas les données de support et de conseil ou les informations dérivées de celles-ci à des fins publicitaires ou commerciales similaires. |
Catégories de données personnelles traitées | Les données de support et de conseil désignent toutes les données, y compris tous les fichiers texte, audio, vidéo, image ou logiciels, qui sont fournies à Microsoft par ou pour le compte du client (ou que le client autorise Microsoft à obtenir à partir d’un service en ligne) par le biais d’un engagement avec Microsoft pour obtenir des services professionnels ou un support. Il peut s’agir d’informations collectées par téléphone, chat, e-mail ou formulaire web. Il peut s’agir d’une description des problèmes, de fichiers transférés à Microsoft pour résoudre les problèmes de support, d’utilitaires de résolution des problèmes automatisés ou d’accès à distance aux systèmes des clients avec l’autorisation du client. Les données client et les données de support n’incluent pas de données de contact client ou de facturation, telles que les informations d’abonnement et les données de paiement, que Microsoft collecte et traite en sa capacité de contrôleur de données et qui sont en dehors du cadre de ce document. |
Rétention des données | Microsoft conserve les données de support et de conseil pendant la durée de l’engagement du client, prolongée par une période de rétention après expiration de l’engagement si nécessaire pour garantir la qualité et la continuité du service. Par exemple, une fois qu’un cas de support est clos, les données sont normalement conservées pendant une certains période afin de garantir la possibilité de s’y référer si le problème se répète et si le cas est rouvert. Lorsque les services professionnels fournissent du support, la durée de l’engagement est définie lorsque le cas de support est fermé. Lorsque les Services professionnels fournissent des services de conseil, la durée de l’engagement est souvent définie par l’ordre de travail. Dans d’autres cas, la durée de l’engagement est définie par la maintenance de la relation commerciale. Dans tous les cas, les données de support et de conseil sont supprimées ou retournées sur demande ou conformément aux instructions du client sans délai excessif à l’aide des fonctionnalités décrites dans le Guide des droits des personnes concernées des données des services professionnels. |
Emplacement et transferts de données personnelles | En raison de la nature des services professionnels, notamment de la nécessité de fournir un support 24 heures sur 24, les données peuvent être transférées dans le monde entier. Une liste des emplacements dans lesquels Microsoft opère est disponible sur demande. Pour les services de conseil, les données peuvent être conservées dans le pays si elles sont acceptées dans le cadre de l’ordre de travail. Pour les données personnelles provenant de l’Espace économique européen, de la Suisse et du Royaume-Uni, Microsoft veille à ce que les transferts de données personnelles vers un pays tiers ou une organisation internationale soient soumis à des garanties appropriées, comme décrit à l’article 46 du RGPD. Outre les engagement de Microsoft sous les Clauses contractuelles standard pour les processeurs et d’autres contrats types, Microsoft continue de se conformer aux termes du bouclier de protection des données, mais n’y aura plus recours en tant que base pour le transfert de données personnelles de l’UE/EEA vers les États-Unis. |
Partage de données avec des tiers | Microsoft partage des données avec des tiers agissant en tant que sous-traitants ultérieurs de nos services pour prendre en charge des fonctions telles que le support technique et le service d’assistance clientèle, la maintenance de service et d’autres opérations. Tous les sous-traitants auxquels Microsoft transfère des données de support et de conseil auront conclu avec Microsoft des contrats écrits qui ne sont pas moins protecteurs que les conditions de protection des données du MPSDPA. Tous les sous-traitants tiers avec lesquels les données de support et de conseil sont partagées sous le MPSDPA sont inclus dans la liste des sous-traitants de support commercial Microsoft. Microsoft ne divulguera pas les données de support et de conseil aux forces de l’ordre, sauf si la loi l’exige. Si l’application de la loi contacte Microsoft avec une demande de données de support et de conseil, Microsoft tente de rediriger l’agence d’application de la loi pour demander les données directement au client. S’il est contraint de divulguer des données de support et de conseil aux forces de l’ordre, Microsoft en informera rapidement le client et fournira une copie de la demande, sauf si la loi l’interdit. À la réception de toute autre demande tierce de données de support et de conseil, Microsoft en informera rapidement le client, sauf si la loi l’interdit. Microsoft rejette la demande, sauf si la loi l’exige pour se conformer. Si la demande est valide, Microsoft tente de rediriger le tiers pour demander les données directement au client. |
Droits des personnes concernées | Lorsqu’il fonctionne en tant que sous-traitant, Microsoft met à la disposition du client (contrôleurs de données) les données personnelles de ses personnes concernées et la possibilité de répondre aux demandes des personnes concernées lorsqu’elles exercent leurs droits en vertu du RGPD. Nous procédons ainsi de façon cohérente avec les fonctionnalités du produit et notre rôle de processeur. Si nous recevons une demande de la part de la personne concernée du client pour exercer un ou plusieurs de ses droits en vertu du RGPD, nous redirigeons la personne concernée pour qu’elle fasse sa demande directement au responsable du traitement des données. La Documentation relative aux Requêtes de Données concernant les Services Professionnels RGPD fournit une description de la manière dont le client résout ses obligations de droits relatives aux données dans les Services professionnels. |
Évaluation du besoin et de la proportionnalité des opérations de traitement par rapport aux finalités prévues | Une telle évaluation dépend des besoins et des objectifs du traitement du contrôleur. Les traitements réalisés par Microsoft doivent être nécessaires et proportionnels par rapport à la finalité, qui consiste à fournir les services au contrôleur de données. Microsoft s’y engage dans les conditions d’utilisation des services en ligne. Microsoft s’y engage dans le MPSDPA. |
Évaluation des risques concernant les droits et les libertés des personnes concernées par les données | Les principaux risques pour les droits et libertés des personnes concernées par l’utilisation des services professionnels dépendent de la façon dont et dans quel contexte le contrôleur de données implémente, configure et utilise les services professionnels et toutes les solutions fournies par les services professionnels. Toutefois, comme pour n’importe quel service, les données personnelles stockées dans le service peuvent être exposées au risque d’un accès non autorisé ou d’une divulgation accidentelle. Les mesures prises par Microsoft pour faire face à ces risques sont décrites plus loin dans cet article. |
Mesures envisagées pour éliminer les risques, y compris les dispositifs de protection, les mesures de sécurité et les mécanismes visant à garantir la protection des données à caractère personnel et à démontrer la conformité au RGPD à la lumière des droits et intérêts légitimes des personnes concernées par le traitement des données. | Microsoft s’engage à contribuer à la protection de la sécurité des informations du client. Conformément aux dispositions de l’article 32 du RGPD, Microsoft a implémenté, actualisera et suivra des mesures techniques et organisationnelles appropriées dans le but de protéger les données de support et de conseil contre tout accès, divulgation, modification ou destruction accidentels, non autorisés ou illicites. De plus, Microsoft respecte toutes les autres obligations établies dans le RGPD, qui s’appliquent aux processeurs de données, y compris, mais sans s’y limiter, les obligations concernant l’exécution d’analyses d’impact sur la protection des données et la conservation d’un enregistrement précis. |