Décret Royal espagnol 1720/2007, Loi organique espagnole 15/1999 (LOPD)
Présentation du Décret Royal espagnol 1720/2007, Loi organique espagnole 15/1999
L’AEPD est l’autorité publique qui supervise la conformité à la Loi organique espagnole 15/1999 pour la protection des données personnelles (Ley Orgánica 15/1999 de Protección de Datosou LOPD), y compris les transferts de données internationaux. En 2014, l’AEPD a revu les modalités et les conditions de Microsoft applicables aux solutions Microsoft Azure, Dynamics 365 et Office 365 couvertes par les clauses contractuelles types de l’UE et a émis une résolution déterminant que ces conditions offraient les protections adéquates permettant aux clients de transférer leurs données personnelles vers ces services.
Le Titre VIII du Décret royal 1720/2007 établit également des exigences strictes pour le traitement des données à caractère personnel, y compris une liste spécifique des mesures de sécurité de niveau de base, intermédiaire et élevé qui doivent être mises en œuvre. Microsoft a retenu une société d’audit tierce indépendante en Espagne, BDO Auditores, afin d’évaluer Microsoft Azure et Office 365 en termes de conformité aux exigences prioritaires et Microsoft Dynamics 365 pour sa conformité avec les exigences de niveau intermédiaire établies dans le Décret Royal 1720/2007. À partir d’entretiens, de visites de sites et d’un examen des mesures et contrôles de sécurité physiques et environnementaux, l’auditeur a déterminé que les systèmes d’informations, les équipements et le traitement des données de Microsoft Azure et Office 365 respectaient la norme de niveau élevé, sans qu’aucun point ne nécessite des mesures correctives.
Microsoft et le Décret Royal espagnol 1720/2007, Loi organique espagnole 15/1999
Microsoft a été le premier fournisseur de services Cloud à grande échelle à recevoir, pour le bénéfice de ses clients, une autorisation de l’Agence espagnole de Protection des données (Agencia Española de Protección de Datos, ou AEPD) pour sa conformité aux normes strictes régissant les transferts de données internationaux en vertu de la Loi organique espagnole 15/1999 (Ley Orgánica 15/1999 de Protección de Datos, ou LOPD). Microsoft est également le premier fournisseur de services Cloud à grande échelle à obtenir une certification d’audit tierce pour la conformité de ses services en ligne avec les mesures de sécurité énoncées au titre VIII du Décret Royal 1720/2007. Cette autorisation permet aux clients de réaliser des transferts de données à caractère personnel vers les services Microsoft Azure, Dynamics 365 et Office 365, couverts par les clauses contractuelles types de l’Union européenne.
Plateformes cloud et services Microsoft dans l’étendue
- Azure
- Dynamics 365
- Intune
- Office 365
Office 365 et LOPD
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Microsoft Entra ID, Azure Information Protection, Bookings, Gestionnaire de conformité, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender pour Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do pour le web, MyAnalytics, Conformité avancée Office 365 module complémentaire, Sécurité des applications cloud Office 365, groupes Office 365, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, StaffHub, Stream, Sway, Viva Engage |
Audits, rapports et certificats
Microsoft Azure
- Autorisation (espagnol) : Résolution espagnole sur la protection des données indiquant que les services Office 365, Azure et Dynamics 365 fournissent une protection adéquate pour se conformer aux lois espagnoles locales sur la protection des données.
Microsoft Office 365
- Autorisation (espagnol) : Résolution espagnole sur la protection des données indiquant que les services Office 365, Azure et Dynamics 365 fournissent une protection adéquate pour se conformer aux lois espagnoles locales sur la protection des données.
Microsoft Dynamics 365
- Autorisation (espagnol) : Résolution espagnole sur la protection des données indiquant que les services Office 365, Azure et Dynamics 365 fournissent une protection adéquate pour se conformer aux lois espagnoles locales sur la protection des données.
Questions fréquentes (FAQ)
Comment les clients Microsoft bénéficient-ils de la conformité aux standards de haut niveau ?
La norme de haut-niveau s’applique au traitement de données sensibles telles que les informations de santé. Les clients qui utilisent Microsoft Azure et Office 365 peuvent être surs que leurs données sensibles sont traitées conformément au décret royal 1720/2007.
Puis-je tirer parti de la conformité Microsoft dans le processus de certification de mon organisation ?
Oui. Si votre organisation requiert ou cherche une accréditation conformément au décret LOPD ou au Décret Royal 1720/2007, vous pouvez utiliser l’autorisation de l’AEPD et la certification des mesures de sécurité dans votre évaluation de la conformité. Il vous incombe néanmoins d'engager un évaluateur pour mesurer votre mise en œuvre comme étant déployée sur Microsoft Azure, Dynamics 365 ou Office 365, ainsi que les contrôles et les processus au sein de votre propre organisation.
Ressources
- Service espagnol de la protection des données (espagnol)
- Loi organique 15/1999 du 13 décembre pour la protection des données à caractère personnel (espagnol)
- Conditions de Microsoft Online Services
- Conformité sur le site Microsoft Trust Center