Demandes des personnes concernées par le traitement des données pour Dynamics 365 concernant le RGPD et le CCPA
Le Règlement général sur la protection des données (RGPD) de l’Union européenne accorde le droit aux individus (appelés, dans le règlement, personnes concernées) de gérer les données personnelles qui ont été collectées par un employeur ou tout autre type d’agence ou d’organisation (également appelé responsable du traitement des données ou responsable du traitement). Dans le RGPD, les données personnelles sont définies de façon générale comme toute donnée relative à une personne physique identifiée ou identifiable. Le RGPD accorde aux personnes concernées des droits spécifiques sur leurs données personnelles ; ces droits incluent l’obtention de copies de celui-ci, la demande de modification de celui-ci, la restriction de son traitement, sa suppression ou sa réception et sa transmission à un autre responsable du traitement. Une demande formelle d’une personne concernée à un responsable du traitement de prendre une action sur ses données personnelles est appelée dans ce document demande de droits de la personne concernée ou demande de DSR.
De même, le CCPA (California Consumer Privacy Act) prévoit des droits de confidentialité et des obligations pour les consommateurs de la Californie, y compris des droits similaires aux droits des personnes concernées en vertu du RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles. Le CCPA prévoit également certaines divulgations, des protections contre la discrimination lors de l’élection des droits d’exercice et des exigences de « refus/opt-in » pour certains transferts de données classés comme des « ventes ». Les ventes sont largement définies pour inclure le partage de données pour une considération précieuse. Pour plus d’informations sur le CCPA, voir le California Consumer Privacy Act et le Forum aux questions California Consumer Privacy Act.
Le guide décrit comment utiliser les produits, les services et les outils d’administration de Microsoft pour aider les clients de notre entité de contrôle à rechercher des données personnelles et à prendre des mesures pour répondre aux demandes DPC. Plus précisément, il explique comment rechercher des données personnelles qui résident dans Microsoft Stream, comment y accéder et comment entreprendre une action sur ces données. Voici un aperçu rapide des processus présentés dans ce guide :
- Découvrir : utilisez les outils de recherche et de détection pour rechercher plus facilement les données du client qui peuvent faire l’objet d’une demande DPC. Une fois que vous avez collecté les documents susceptibles de répondre à la demande, vous pouvez effectuer une ou plusieurs des actions DPC décrites ci-après. Vous pouvez également décider que la demande ne satisfait pas aux directives de votre organisation en termes de réponse à une demande DPC.
- Accéder : récupérez des données à caractère personnel qui résident dans le cloud Microsoft et, si nécessaire, effectuez-en une copie pour la personne concernée.
- Rectifier : modifiez ou mettez en œuvre d’autres actions demandées sur les données à caractère personnel, le cas échéant.
- Limiter : limiter le traitement des données personnelles en supprimant les licences de différents services en ligne ou en désactivant les services souhaités lorsque c’est possible.
- Supprimer : supprime définitivement des données à caractère personnel qui résidaient dans le cloud Microsoft.
- Exporter/Recevoir (Portabilité) : fournit une copie électronique (dans un format lisible par un ordinateur) des données ou des informations personnelles à la personne concernée. Par exemple, les informations personnelles en vertu du CCPA sont toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Le terme défini « informations personnelles » est à peu près aligné sur celui de « données personnelles » dans le RGPD. Toutefois, le CCPA inclut également les données relatives à la famille et au foyer. Pour plus d’informations sur le CCPA, voir le California Consumer Privacy Act et le Forum aux questions California Consumer Privacy Act.
Chaque section de ce guide décrit les procédures techniques qu’un contrôleur de données organization peut suivre pour répondre à une demande de DSR pour des données personnelles dans le cloud de Microsoft.
Terminologie RGPD
Vous trouverez ci-dessous la liste des définitions de termes utilisés dans ce guide :
- Responsable du traitement des données : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par la législation de l’Union ou des États membres, le responsable du traitement peut être désigné, ou les critères spécifiques relatifs à sa nomination être définis, par la législation de l’Union ou des États membres.
- Données personnelles et personne concernée par le traitement des données : informations relatives à une personne physique identifiée ou identifiable (« la personne concernée par le traitement des données ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identificateur par exemple, un nom, un numéro d’identification, des données de localisation, un identificateur en ligne, ou un ou plusieurs facteurs spécifiques de l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
- Sous-traitant de données : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
- Données client : toutes les données, y compris tous les fichiers texte, son, vidéo ou image et les logiciels qui ont été fournis à Microsoft par le client ou pour son compte dans le cadre du service d’entreprise. Les données client incluent à la fois (1) les informations d’identification des utilisateurs finaux (par exemple, les noms d’utilisateur et les informations de contact dans Microsoft Entra ID) et le contenu client qu’un client charge ou crée dans des services spécifiques (par exemple, le contenu client dans un compte de stockage Azure, le contenu client d’une base de données Azure SQL ou l’image de machine virtuelle d’un client dans Azure Machines Virtuelles).
- Journaux générés par le système : journaux et données associées générés par Microsoft qui permettent à Microsoft de fournir des services d’entreprise aux utilisateurs. Les journaux générés par le système contiennent principalement des données pseudonymes, telles que des identificateurs uniques, généralement un nombre généré par le système qui ne peut pas identifier une personne individuelle, mais qui est utilisé pour fournir les services d’entreprise aux utilisateurs.
Assumer vos responsabilités de contrôleur grâce à ce guide
Le guide, divisé en deux parties, explique comment utiliser les produits, services et outils d’administration Dynamics 365 pour rechercher et manipuler les données dans le cloud Microsoft en réponse aux demandes des personnes concernées qui exercent leurs droits en vertu du GDPR. La première partie traite des données à caractère personnel incluses dans les données client. Elle est suivie d’une partie traitant des autres données à caractère personnel pseudonymes, consignées dans des journaux générés par le système.
- Partie 1 : Réponse aux demandes de droits des personnes concernées (DSR) pour les données personnelles incluses dans les données client : La partie 1 de ce guide explique comment accéder, rectifier, restreindre, supprimer et exporter des données personnelles à partir d’applications Dynamics 365 (software as a service), qui sont traitées dans le cadre des données client que vous avez fournies au service en ligne.
- Partie 2 : Répondre aux demandes de droits de la personne concernée pour les données sous pseudonyme : lorsque vous utilisez les services Dynamics 365 Enterprise, Microsoft génère des informations (intitulées dans ce document journaux générés par le système) afin de fournir le service, limité à l’empreinte d’utilisation laissée par les utilisateurs finaux pour identifier leurs actions dans le système. Bien que ces données ne puissent pas être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, certaines d’entre elles peuvent être considérées comme personnelles en vertu du RGPD. La deuxième partie de ce guide explique comment consulter, supprimer et exporter des journaux générés par le système produits par Dynamics 365.
Préparation des examens de droits des personnes concernées par le traitement des données
Lorsque des personnes associées aux données exercent leurs droits et effectuent des demandes, tenez compte des points suivants :
- Identifiez correctement la personne et le rôle (par exemple, employé, client, fournisseur) en utilisant les informations que la personne concernée vous a fournies dans le cadre de sa demande. Ces informations peuvent être un nom, un ID d’employé ou un numéro de client, ou un autre identificateur.
- Enregistrez la date et l’heure de la demande. (Vous avez 1 mois pour effectuer la demande.)
- Affirmez que la demande répond aux exigences de votre organization pour honorer ou refuser la demande d’une personne concernée. Par exemple, vous devez vous assurer que l’exécution de la demande n’est pas en conflit avec d’autres obligations légales, financières ou réglementaires que vous avez, ou n’enfreint pas les droits et libertés d’autrui.
- Vérifiez que vous disposez des informations liées à la demande.
Partie 1 : Réponse aux demandes de droits des personnes concernées pour les données personnelles incluses dans les données client
Dans les articles suivants, vous trouverez des informations pour vous aider à préparer et à répondre aux demandes DSR pour les données personnelles incluses dans les données client traitées dans Dynamics 365. Il est important de noter que les données personnelles peuvent être présentes dans d’autres catégories de données traitées par Microsoft au cours du service d’un abonnement services en ligne, telles que les données d’administrateur ou les données des services professionnels. Ce document est limité à vous aider dans le processus de découverte et de gestion des demandes DSR affectant les données personnelles présentes dans les données client que vous avez fournies à Dynamics 365.
Dynamics 365 est un ensemble de services en ligne qui offre plusieurs fonctionnalités de traitement des données en tant que software-as-a-service (SaaS). Par conséquent, Dynamics 365 offre un large éventail de fonctionnalités destinées à traiter une collection variée de données, qui peuvent varier selon la nature, l’objectif ou d’autres attributs spécifiques, tels que les données de vente, les transactions, les finances, les informations rh, etc. Compte tenu de cette diversité, Dynamics 365 propose plusieurs formulaires, champs, schémas, points de terminaison et logique pour traiter les données client, ce qui se reflète également dans les multiples façons dont les demandes DSR peuvent être traitées dans chaque application. Lorsque Dynamics 365 applications offrent plusieurs façons de traiter des demandes DSR spécifiques, nous allons les noter dans ce guide en pointant vers les descriptions techniques offertes par chaque application.
Dynamics 365
Recherche de données client
La première étape pour répondre à une demande de droits de la personne concernée consiste à rechercher et identifier les données client faisant l’objet de la demande.
Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Sales & Dynamics 365 Customer Insights - Journeys sont référencés collectivement en tant que « applications d’engagement client » dans ce document et dans l’ensemble du document. La classification appropriée des données client est la pierre angulaire de l’utilisation des données personnelles dans les applications métier d’engagement client. Les applications d’engagement client offrent la flexibilité nécessaire pour créer une extension d’application autour de la classification des données. Une classification appropriée vous permet d’identifier les informations en tant que données personnelles, ce qui permet de les localiser et de les récupérer lors de la réponse aux demandes d’une personne concernée. Il peut également permettre de se conformer aux exigences législatives et réglementaires pour la collecte et la gestion des données personnelles.
Microsoft fournit des fonctionnalités qui vous aident à répondre aux demandes de droits des personnes concernées, et ainsi à accéder aux données client. Toutefois, il vous incombe de vous assurer que les données personnelles sont localisées et classifiées de manière appropriée.
Dynamics 365 applications d’engagement client (comme mentionné précédemment) fournissent plusieurs méthodes pour rechercher des données personnelles dans des enregistrements, telles que : Advanced Find Recherche et Recherche for Records. Toutes ces fonctions vous permettent d’identifier (rechercher) des données personnelles.
- Recherche avancée
- Recherche d’enregistrements dans plusieurs types d’enregistrements
Dans Dynamics 365 pour Customer Insights - Journeys, vous disposez des fonctionnalités supplémentaires suivantes :
- Générer des rapports Power BI afin de filtrer et identifier des données client.
- Utilisez les affichages Insight sur les contacts et les objets de l’exécution marketing pour identifier des points de données supplémentaires pouvant contenir des données client.
Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 ressources humaines et gestion de la chaîne logistique Dynamics 365 offrent plusieurs façons de rechercher des données client. En tant qu’administrateur client, vous pouvez rechercher des données client en effectuant les opérations suivantes :
- Organisez vos données client de façon à découvrir rapidement des données personnelles ; à cette fin, apprenez à classifier l’inventaire des données.
- Utilisez le rapport de recherche de données personnelles pour rechercher et collecter des données personnelles.
- Étendez le rapport de recherche de données personnelles en créant une entité ou en étendant une entité existante.
- Utilisez les fonctionnalités de recherche et de filtre pour rechercher des données personnelles spécifiques et les exporter à l’aide de la fonctionnalité Exporter de Microsoft Office ou imprimez ces informations dans un fichier .pdf à l’aide d’extensions de navigateur.
- Créez un formulaire personnalisé qui localise et exporte les données personnelles.
- Créez un portail externe ou un site web qui permet à un client authentifié d’afficher ses données personnelles.
Si vous utilisez les modules complémentaires Dynamics 365 Commerce e-commerce répertoriés ci-dessous, reportez-vous aux ressources suivantes pour connaître les processus DSR supplémentaires.
Dynamics 365 Business Central offre plusieurs façons de rechercher des données client. Pour plus d’informations, consultez Recherche, filtrage et tri de données.
Fournir une copie des données client
Les données client dans Dynamics 365 applications d’engagement client (comme indiqué précédemment) peuvent être exportées à l’aide des fonctionnalités d’exportation d’entités complètes. Les données client peuvent être exportées dans un fichier Excel statique pour faciliter une demande de portabilité des données. En utilisant Excel, vous pouvez alors modifier les données personnelles à inclure dans la demande de portabilité et les enregistrer ensuite dans un format courant lisible par un ordinateur comme .csv ou .xml. Dynamics 365 enregistrements d’applications d’engagement client peuvent également être exportés via l’API web Microsoft Dataverse.
En outre, pour Dynamics 365 pour parcours client - Insights, une API dédiée est fournie qui permet aux clients de créer des extensions qui récupèrent des enregistrements supplémentaires d’interactions client capturées pouvant contenir des données personnelles. L’API charge toutes les informations pertinentes à partir du système principal et les assemble dans un document portable unique.
Les données client dans Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 Ressources humaines et Dynamics 365 Supply Chain Management peuvent être exportées à l’aide des fonctionnalités d’exportation d’entités complètes. Grâce aux entités d’intégration et de gestion de données, l’administrateur client peut utiliser des entités fournies, en créer de nouvelles ou développer des entités existantes en vue de définir une exportation de données personnelles renouvelable vers Excel ou dans d’autres formats courants au moyen de tâches d’importation et d’exportation de données. De nombreuses listes peuvent aussi être exportées dans un fichier Excel statique pour faciliter une demande de portabilité des données. Une fois que les données client sont exportées dans Excel, vous pouvez modifier les données personnelles à inclure dans la demande de portabilité et enregistrer ensuite le fichier dans un format courant lisible par un ordinateur comme .csv ou .xml. Vous pouvez également envisager d’utiliser le rapport de recherche de personne pour fournir à la personne concernée des données que vous avez classifiées comme des données personnelles.
Dans Dynamics 365 Business Central, vous pouvez utiliser deux fonctionnalités pour fournir une copie des données client à une personne concernée :
Vous pouvez exporter les données client dans un fichier Excel. Dans Excel, vous pouvez ensuite modifier les données client à inclure dans la demande de portabilité et les enregistrer dans un format courant lisible par un ordinateur comme .csv ou .xml. Pour plus d’informations, consultez Exportation de vos données métier dans Excel.
Rectification des données client
Dynamics 365 applications d’engagement client vous donne les méthodes suivantes pour corriger les données client inexactes ou incomplètes, ou effacer les données client :
- Recherche pour les données client à l’aide des fonctionnalités mentionnées dans « Recherche de données client » et modifiez directement les données dans les applications d’engagement client. Les modifications peuvent être effectuées au niveau d’une ligne unique ou plusieurs lignes peuvent être modifiées directement.
- En modifiant en bloc plusieurs enregistrements d’applications d’engagement client, vous pouvez utiliser le complément Microsoft Office pour exporter des données vers Microsoft Excel, apporter vos modifications, puis importer ces données modifiées à partir d’Excel dans des applications d’engagement client.
Dans Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics Human Resources et Dynamics 365 Supply Chain Management, vous pouvez également utiliser des outils de personnalisation, mais la décision et l’implémentation vous incombent.
Dynamics 365 Business Central offre deux façons de corriger des données client inexactes ou incomplètes.
Pour modifier rapidement plusieurs enregistrements Business Central en bloc, vous pouvez exporter des listes vers Excel à l’aide du complément Excel Business Central pour corriger plusieurs enregistrements, puis publier les données modifiées à partir d’Excel dans Business Central. Pour plus d’informations, voir Exportation de vos données métiers vers Excel.
Vous pouvez modifier les données client stockées dans un champ (par exemple, les informations sur un client dans sa fiche) en modifiant manuellement l’élément de données contenant les données personnelles cibles. Pour plus d’informations, consultez Entrée de données.
Remarque sur la modification des entrées dans les transactions commerciales
Les enregistrements transactionnels, tels que les entrées générales, clientes et fiscales, sont essentiels à l’intégrité d’un système de planification des ressources d’entreprise. Les données personnelles qui font partie d’une transaction financière ou autre sont conservées « telles quelles » pour la conformité aux lois financières (par exemple, les lois fiscales), la prévention de la fraude (par exemple, la piste d’audit de sécurité) ou la conformité aux certifications du secteur. Par conséquent, Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 gestion de la chaîne logistique, Dynamics 365 ressources humaines et Dynamics 365 Business Central limitent la modification des données dans ces enregistrements.
Pour Dynamics 365 Business Central, si vous stockez des données personnelles dans des enregistrements de transactions professionnelles, la seule façon de corriger, de supprimer ou de restreindre le traitement des données personnelles pour honorer la demande d’une personne concernée consiste à utiliser les fonctionnalités de personnalisation. La décision d’honorer une demande de modification de la personne concernée et sa mise en œuvre relèvent de votre responsabilité.
Restriction du traitement des données client
Lorsque vous recevez une demande d’une personne concernée pour restreindre le traitement des données client, vous pouvez facilement extraire les données client affectées du service en ligne et les stocker dans un conteneur distinct (c’est-à-dire un stockage local ou un service web distinct avec des fonctionnalités d’isolation des données) isolé des fonctions de traitement offertes par n’importe quelle application cloud.
Un autre mécanisme, tel que le bloc de traitement des données, est proposé par Dynamics 365 Business Central, où les utilisateurs peuvent bloquer l’enregistrement d’une personne concernée spécifique. Pour plus d’informations, consultez Restreindre le traitement des données pour un sujet données. Lorsqu’un enregistrement est marqué comme bloqué, Dynamics 365 Business Central cesse de traiter les données client de cette personne concernée. Vous ne pouvez pas créer de nouvelles transactions qui utilisent un enregistrement bloqué ; Par exemple, vous ne pouvez pas créer de facture pour un client, lorsque le client ou le vendeur est bloqué.
Suppression des données client
Quand une personne concernée vous demande de supprimer ses données client, vous pouvez le faire de plusieurs façons :
- Grâce à la modification en bloc de plusieurs enregistrements Dynamics 365, vous pouvez utiliser le complément Microsoft Office pour exporter des données vers Microsoft Excel, apporter vos changements puis importer ces données modifiées d’Excel dans le service en ligne.
- Vous pouvez supprimer les données client stockées dans n’importe quel champ en localisant les données que vous souhaitez supprimer, puis en supprimant manuellement l’élément de données contenant les données client cibles, par exemple en utilisant une suppression définitive sur l’enregistrement de contact représentant la personne concernée et d’autres enregistrements qui contiennent des données personnelles.
En outre, pour Dynamics 365 Customer Insights - Journeys, la suppression d’un contact garantit que les données d’interaction marketing sortantes avec des informations personnelles sont également supprimées. Pour les entités ou les champs personnalisés, vous devez personnaliser votre système pour faire en sorte qu’il supprime toutes les données client des enregistrements connexes et/ou les dissocie de l’enregistrement de contact afin que toutes les informations personnelles soient supprimées. Les clients qui utilisent le module marketing en temps réel doivent prendre une étape supplémentaire pour supprimer les données d’interaction marketing.
Dans Dynamics 365 Commerce, Dynamics 365 Finance et Dynamics 365 Supply Chain Management, vous pouvez également utiliser des outils de personnalisation pour effacer/modifier les données client.
Dans Dynamics 365 Business Central, lorsqu’une personne concernée vous demande de supprimer ses données personnelles qui sont incluses dans vos données client, il existe plusieurs façons de répondre à cette demande :
- Pour modifier rapidement plusieurs enregistrements Business Central en bloc, vous pouvez exporter des données vers Excel à l’aide du complément Excel Business Central pour supprimer plusieurs enregistrements, puis publier ces modifications à partir d’Excel dans Business Central. Pour plus d’informations, voir Exportation de vos données métiers vers Excel.
- Vous pouvez supprimer les données client stockées dans un champ en supprimant manuellement l’élément de données contenant les données client cibles. Pour plus d’informations, consultez Entrée de données.
- Vous pouvez supprimer des données client directement, par exemple en supprimant un contact et en exécutant ensuite le traitement par lot Supprimer les écritures journal d’interaction annulées pour supprimer les interactions pour ce contact.
- Vous pouvez supprimer des documents contenant des données client (par exemple, des mémos, des ventes enregistrées et des factures d’achat).
Outre la suppression en bloc ou individuelle d’enregistrements discrets, notez que seuls les travailleurs licenciés peuvent être entièrement supprimés de Dynamics 365 pour les ressources humaines. Suivez ces étapes pour supprimer les workers licenciés.
Exportation des données client
Pour répondre à une demande de portabilité des données, les données client dans Dynamics 365 applications d’engagement client peuvent être exportées à l’aide des fonctionnalités d’exportation d’entités complètes. Les données client peuvent être exportées dans un fichier Excel statique pour faciliter une demande de portabilité des données. En utilisant Excel, vous pouvez alors modifier les données personnelles à inclure dans la demande de portabilité et les enregistrer ensuite dans un format courant lisible par un ordinateur comme .csv ou .xml.
En outre, pour Dynamics 365 pour Insights client - Parcours, une API dédiée est fournie qui permet au client de créer des extensions qui récupèrent des enregistrements supplémentaires d’interactions client capturées pouvant contenir des données personnelles. L’API charge toutes les informations pertinentes à partir du système principal et les assemble dans un document portable unique.
Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 Ressources humaines et Dynamics 365 Supply Chain Management offrent des entités de gestion des données et d’intégration qui active les entités fournies, les entités nouvellement créées ou les entités étendues pour une exportation de données personnelles reproductible vers Excel ou un certain nombre d’autres formats courants à l’aide de travaux d’importation et d’exportation de données. De nombreuses listes peuvent aussi être exportées dans un fichier Excel statique pour faciliter une demande de portabilité des données. Quand les données client sont exportées dans Excel de cette façon, vous pouvez modifier les données personnelles à inclure dans la demande de portabilité et enregistrer ensuite le fichier dans un format courant lisible par un ordinateur comme .csv ou .xml.
Les Dynamics 365 pour les finances et les opérations et les ressources humaines Dynamics 365 proposent un rapport de recherche de personnes pour fournir à la personne concernée des données que vous avez classifiées comme des données personnelles.
Dynamics 365 Business Central offre les fonctionnalités suivantes :
- Vous pouvez exporter les données client dans un fichier Excel. Dans Excel, vous pouvez ensuite modifier les données client à inclure dans la demande de portabilité et les enregistrer dans un format courant lisible par un ordinateur comme .csv ou .xml. Pour plus d’informations, consultez Exportation de vos données métier dans Excel.
- Vous pouvez exporter les données client dans un fichier Excel. Dans Excel, vous pouvez ensuite modifier les données client à inclure dans la demande de portabilité et les enregistrer dans un format courant lisible par un ordinateur comme .csv ou .xml. Pour plus d’informations, consultez Exportation de vos données métier dans Excel.
Processus DSR pour d’autres applications Dynamics 365
- Dynamics 365 Customer Insights - Data
- Dynamics 365 Customer Voice
- Dynamics 365 Fraud Protection
- Dynamics 365 Sales Insights
- Dynamics 365 Sales
- Dataverse
Processus DSR pour les applications Power Platform
- Power Apps
- Power Automate (clients MSA)
- Power Automate (Clients Entreprise)
- Microsoft Copilot Studio
- Dataverse
Partie 2 : Répondre à des DSR pour les journaux générés par le système
Microsoft permet également de consulter, d’exporter et de supprimer les journaux générés par le système qui peuvent être considérés personnels en vertu de la définition large des « données personnelles » du RGPD. Voici des exemples de journaux générés par le système qui peuvent être considérés comme personnels en vertu du RGPD :
- Données relatives à l’utilisation de produits et de services tels que les journaux d’activité des utilisateurs
- Requêtes de recherche et données de requête des utilisateurs
- Données générées par les produits et services comme étant un produit des fonctionnalités du système et de l’interaction par les utilisateurs ou d’autres systèmes
La possibilité de restreindre ou de rectifier des données dans des journaux générés par le système n’est pas prise en charge. Les données contenues dans des journaux générés par le système forment des actions factuelles effectuées dans le cloud Microsoft et les données de diagnostic, et des modifications apportées à ces données compromettraient l’enregistrement historique des actions, augmentant ainsi les risques de fraude et de sécurité.
Consultation et exportation des journaux générés par le système
Les administrateurs clients peuvent accéder aux journaux générés par le système associés à l’utilisation par un utilisateur particulier des services et applications Dynamics 365. Les journaux générés par le système peuvent être exportés par les administrateurs de locataire à l’aide de l’exportation des journaux de données Microsoft. Pour plus d’informations, consultez la page RGPD : Demandes des personnes concernées (DSR) du Centre de gestion de la confidentialité Microsoft, sous Outils d’administration DSR, sélectionnez En savoir plus sur l’exportation du journal de données.
Une fois que vous avez créé une demande, elle est répertoriée dans la page Gérer les demandes des utilisateurs dans le Portail Azure où vous pouvez suivre son status. Une fois la demande terminée, vous pouvez sélectionner un lien pour accéder aux journaux générés par le système, qui sera exporté vers l’emplacement de stockage Azure de votre organization dans les 30 jours suivant la création de la demande. Les données sont enregistrées dans des formats de fichier communs, tels que JSON ou XML. Si vous n’avez pas de compte Azure et d’emplacement de stockage Azure, vous devez créer un compte Azure et/ou un emplacement de stockage Azure pour votre organization afin que l’outil d’exportation des journaux de données puisse exporter les journaux générés par le système.
Importante
Pour exporter des données utilisateur à partir du client, vous devez être un administrateur client.
Le tableau suivant récapitule la consultation et l’exportation des journaux générés par le système :
Question | Réponse |
---|---|
Combien de temps faut-il à l’outil Exportation des journaux de données de Microsoft pour exécuter une demande ? | Cela peut dépendre de plusieurs facteurs. Dans la plupart des cas, elle doit se terminer en un ou deux jours, mais elle peut prendre jusqu’à 30 jours. |
Quel est le format de sortie ? | La sortie est des fichiers structurés lisibles par l’ordinateur, tels que XML, CSV ou JSON. |
Quelles données l’outil d’exportation des journaux de données renvoie-t-il ? | L’outil Exportation des journaux de données renvoie les journaux générés par le système que Microsoft stocke. Les données exportées englobent différents services Microsoft, dont Office 365, Azure et Dynamics. |
* Qui a accès à l’outil Exportation des journaux de données pour demander l’accès à des journaux générés par le système ? | Dynamics 365 administrateurs généraux ont accès à l’utilitaire Log Manager RGPD. |
Comment les données sont-elles renvoyées à l’utilisateur ? | Les données seront exportées vers l’emplacement de stockage Azure de votre organization ; c’est aux administrateurs de votre organization de déterminer comment ils afficheront/retourneront ces données aux utilisateurs. |
À quoi ressemblent les données dans les journaux générés par le système ? | Exemple d’enregistrement de journal généré par le système au format JSON : "DateTime": "2017-04-28T12:09:29-07:00", "AppName": "SharePoint", "Action": "OpenFile", "IP": "154.192.13.131", "DevicePlatform": "Windows 1.0.1607" |
Suppression des données personnelles dans les journaux générés par le système
Pour supprimer les journaux générés par le système récupérés via une demande DSR, vous devez supprimer l’utilisateur du service et supprimer définitivement son compte Microsoft Entra. La suppression définitive d’un compte d’utilisateur supprimera les données de l’utilisateur des journaux générés par le système, à l’exception des données qui peuvent compromettre la sécurité ou la stabilité du service, pour pratiquement tous les services Dynamics 365 dans un délai de 30 jours. Pour plus d’informations sur les outils d’administration DSR dans le Centre Microsoft Entra Administration, consultez la page RGPD : Demandes des personnes concernées (DSR) du Centre de gestion de la confidentialité Microsoft.