Les engagements RGPD de Microsoft envers les clients des produits logiciels d’entreprise couramment disponibles

Introduction

Le Règlement général sur la protection des données (RGPD) de l’Union européenne établit un seuil important à l’échelle mondiale en matière de droits à la vie privée, de sécurité de l’information et de conformité. Chez Microsoft, nous sommes d’avis que la protection des données personnelles est un droit fondamental et que le RGPD constitue un grand pas vers l’avant en ce qui a trait à la protection et au respect des droits à la vie privée des personnes.

Microsoft s’est engagée au plein respect du RGPD et à offrir un éventail de produits, de fonctionnalités, de documentation et de ressources pour aider ses clients à respecter leurs obligations au titre du RGPD. Ce qui suit décrit les engagements contractuels de Microsoft envers ses clients quant aux données à caractère personnel recueillies par les logiciels d’entreprise. (Pour les logiciels couverts par une licence des programmes de gestion de licences commerciales Microsoft, consultez l’Addendum sur la protection des données des produits et des services en ligne à l'adresse http://aka.ms/dpa))

Est-ce que Microsoft s’engage envers ses clients en ce qui concerne le RGPD?

Oui. Le RGPD exige que les responsables du traitement (tels que les organismes et les développeurs qui utilisent les services en ligne d’entreprise de Microsoft) ne fassent appel qu’à des sous-traitants (tels que Microsoft) qui traitent des données à caractère personnel au nom du responsable du traitement et qui présentent des garanties suffisantes pour satisfaire aux exigences principales du RGPD. Microsoft s’engage envers tous les clients des programmes de gestion commerciale de licences dans l’Addendum. Les clients des autres logiciels d’entreprise couramment disponibles et acquis sous licence de Microsoft ou ses affiliés bénéficient également des avantages des engagements RGPD de Microsoft, tels qu’ils sont décrits dans la présente notification, dans la mesure où le logiciel traite les données à caractère personnel.

Où puis-je trouver les engagements contractuels de Microsoft en ce qui a trait au RGPD?

Vous trouverez les engagements contractuels de Microsoft à l’égard du RGPD (conditions) en pièce jointe de l’Addendum. Cette pièce se nomme Règlement général sur la protection des données de l’Union européenne. Ces conditions engagent Microsoft envers les exigences des sous-traitants dans l'article 28 du RGPD et d'autres articles pertinents du RGPD.

À compter du 25 mai 2018, Microsoft applique toutes les conditions du RGPD à tous les clients des logiciels d’entreprise couramment disponibles et acquis sous licence de Microsoft ou ses affiliés, conformément aux conditions de licence des logiciels, quelle que soit la version du logiciel d’entreprise applicable, dans la mesure où Microsoft est un sous-traitant ou le sous-traitant d’un autre sous-traitant de données à caractère personnel relativement à un tel logiciel, et tant que Microsoft continue à offrir ou à prendre en charge ladite version. La politique de Microsoft en matière de cycle de vie, contenant tous les détails du soutien offert, se trouve à https://support.microsoft.com/lifecycle.

Par souci de clarté, remarquez que des engagements différents ou de moindre mesure peuvent s’appliquer à un logiciel bêta ou de prévisualisation, à un logiciel modifié de manière importante ou à tout autre logiciel acquis sous licence de Microsoft ou ses affiliés, pouvant ne pas être un logiciel couramment disponible au public ou non acquis sous licence conformément aux conditions de licence des logiciels de Microsoft. Certains produits peuvent, par défaut, recueillir et transmettre des données télémétriques ou autres données à Microsoft. La documentation sur les produits offre des informations et des instructions sur la façon de désactiver ou de configurer une collecte de données télémétriques de ce genre.

Quels engagements font partie des conditions du RGPD?

Les conditions du RGPD de Microsoft correspondent aux engagements requis des sous-traitants, tels qu’ils sont précisés à l’article 28 du RGPD. L’article 28 exige que les sous-traitants s’engagent à :

  • faire appel à d’autres sous-traitants uniquement avec l’autorisation du responsable du traitement et à demeurer responsable de ces sous-traitants supplémentaires;
  • ne traiter les données à caractère personnel que sur instructions du responsable du traitement, y compris en ce qui a trait aux transferts;
  • veiller à ce que les personnes qui traitent des données à caractère personnel s’engagent à respecter les clauses de confidentialité;
  • mettre en œuvre des mesures techniques et organisationnelles appropriées qui offrent un niveau de sécurité des données à caractère personnel adapté au risque;
  • aider le responsable du traitement à s’acquitter de ses obligations de donner suite aux demandes des personnes concernées qui cherchent à exercer leurs droits au titre du RGPD;
  • satisfaire aux exigences en matière de notification et d’assistance en cas de violation du RGPD;
  • aider le responsable du traitement à effectuer les analyses d’incidence sur la protection des données et à soutenir ce dernier durant les consultations auprès des autorités de contrôle;
  • supprimer toutes les données à caractère personnel ou les retourner au responsable du traitement au terme de la prestation de services;
  • aider le responsable du traitement en lui fournissant les informations qui démontrent le respect des obligations au titre du RGPD.