Partager via


Plan d’action RGPD Microsoft 365 - Principales priorités pour vos premiers 30 jours, 90 jours et au-delà

Cet article inclut un plan d’action hiérarchisé que vous pouvez suivre lorsque vous travaillez pour répondre aux exigences du Règlement général sur la protection des données (RGPD). Ce plan d’action a été développé en partenariat avec Protiviti, un partenaire Microsoft spécialisé dans la conformité réglementaire.

Le RGPD a introduit de nouvelles règles pour les entreprises, les agences gouvernementales, les organisations à but non lucratif et d’autres organisations qui offrent des biens et des services aux personnes de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE. Le RGPD s’applique quel que soit l’endroit où vous ou votre entreprise se trouve.

Résultats du plan d’action

Ces suggestions sont fournies en trois phases suivant un ordre logique avec les résultats suivants :

Étape Résultats
30 jours Intégrez les exigences en matière de RGPD et demandez conseil à un partenaire RGPD Microsoft.
* Évaluez votre préparation et obtenez des recommandations pour les étapes suivantes.
* Travaillez en collaboration avec un conseiller partenaire Microsoft spécialisé dans le RGPD pour établir des directives internes en vue de répondre aux demandes de personnes concernées (DPC), de réaliser une analyse d’écart de conformité RGPD pour votre organisation et d’établir une feuille de route pour la conformité.

Commencez à découvrir les types de données à caractère personnel que vous stockez et l’emplacement où elles se trouvent pour répondre aux exigences des DPC.
* Utilisez la recherche de contenu et la découverte électronique dans les centres de sécurité et conformité pour découvrir les données personnelles au sein de l’organisation.
* Lorsque vous travaillez avec de grandes quantités de contenu, utilisez Microsoft Purview eDiscovery (Premium), optimisé par les technologies d’apprentissage automatique, pour effectuer des recherches de contenu plus efficaces et plus précises.
90 jours Démarrez l’implémentation des exigences de conformité à l’aide des fonctionnalités de gouvernance et de conformité de données Microsoft 365.
* Évaluez et gérez vos risques de conformité à l’aide du Gestionnaire de conformité Microsoft Purview.
* Aidez les utilisateurs à identifier et classer les données personnelles, comme défini par le RGPD.

Utilisez les fonctionnalités de sécurité Microsoft 365 pour empêcher les violations de données et implémenter des protections pour les données à caractère personnel.
* Protégez les comptes des administrateurs et des utilisateurs finaux.
* Protégez-vous contre le code malveillant et implémentez une prévention contre la violation de données et une réponse appropriée.
* Utilisez un journal d’audit pour surveiller les activités potentiellement malveillantes et activez l’analyse d’investigation de violations de données.
* Utilisez des stratégies de protection contre la perte de données (DLP) pour identifier et protéger les données sensibles.
* Contrez les vecteurs d’attaque les plus courants, y compris les e-mails de hameçonnage et les documents Office contenant des pièces jointes et des liens malveillants.
Au-delà de 90 jours Utilisez la protection avancée des informations et les outils de gouvernance de données Microsoft 365 pour implémenter les programmes de gouvernance en cours pour les données à caractère personnel.
* Identifiez automatiquement les informations personnelles dans les e-mails et les documents.
* Protégez les données à caractère personnel stockées sur les appareils au sein de l’organisation, et assurez-vous que des appareils d’entreprise conformes sont utilisés pour accéder aux données sensibles.
* Assurez-vous que les informations personnelles sensibles sont stockées et consultées conformément aux stratégies d’entreprise.
* Implémentez des stratégies de conservation des données pour vous assurer que vous conservez uniquement les données personnelles aussi longtemps que nécessaire.

Surveillez la conformité en cours au sein de Microsoft 365 et des autres applications cloud. Envisagez de répondre aux exigences de résidence des données pour les données personnelles de l’UE.
* Surveillez l’utilisation des applications cloud et implémentez des stratégies d’alerte avancées pour votre organisation.
* Répondez aux exigences de résidence des données en tant qu’organisation globale.

30 jours : victoires rapides puissantes

Ces tâches rapides et puissantes n’ont qu’un faible impact sur les utilisateurs.

Catégorie Tasks
Intégrez les exigences en matière de RGPD et demandez conseil à un partenaire RGPD Microsoft. * Évaluez et gérez vos risques de conformité à l’aide du Gestionnaire de conformité Microsoft Purview dans le portail de conformité Microsoft Purview pour effectuer une évaluation RGPD de vos organization.
* Travaillez en collaboration avec votre partenaire Microsoft conseiller en matière de RGPD pour établir des directives internes en vue de répondre aux demandes de personnes concernées (DPC), ainsi que des exclusions en lien avec ces demandes.
* Travaillez en collaboration avec votre partenaire Microsoft conseiller en matière de RGPD pour effectuer une analyse d’écart en matière de conformité avec le RGPD pour votre organisation, et développez une feuille de route qui détermine votre parcours de mise en conformité avec le RGPD.
* Découvrez comment utiliser le tableau de bord RGPD et la fonctionnalité demande de la personne concernée dans le portail de conformité Microsoft Purview.
Commencez à découvrir les types de données à caractère personnel que vous stockez et l’emplacement où elles se trouvent pour répondre aux exigences des DPC. * Utilisez la recherche de contenu et les cas eDiscovery (Standard) pour effectuer facilement des recherches dans les boîtes aux lettres, les dossiers publics, les Groupes Microsoft 365, Microsoft Teams, les sites SharePoint, les sites One Drive entreprise et les conversations Skype Entreprise. Découvrez comment utiliser les types d’informations sensibles pour rechercher des données personnelles de citoyens de l’UE.
* Lorsque vous travaillez avec de grandes quantités de contenu, identifiez les documents pertinents pour un sujet particulier (par exemple, une enquête de conformité) rapidement et avec une meilleure précision que les recherches mot clé traditionnelles avec Microsoft Purview eDiscovery (Premium), alimentées par les technologies d’apprentissage automatique.
* Affichez un aperçu des résultats de recherche, obtenez mot clé statistiques pour une ou plusieurs recherches, modifiez les recherches de contenu en bloc et exportez les résultats à l’aide du Centre de conformité & sécurité.

90 jours – Conformité améliorée

Ces tâches prennent un peu plus de temps à planifier et à implémenter, mais peuvent augmenter vos efforts globaux en matière de conformité au RGPD.

Catégorie Tasks
Démarrez l’implémentation des exigences de conformité à l’aide des fonctionnalités de gouvernance et de conformité de données Microsoft 365. * Gérez votre conformité RGPD avec le Gestionnaire de conformité Microsoft Purview dans le portail de conformité Microsoft Purview.
* Aidez les utilisateurs à identifier et à classifier les données personnelles, comme défini par le RGPD, avec un schéma de classification et des étiquettes de Office 365 associées pour les e-mails Exchange, les sites SharePoint, OneDrive pour les sites professionnels et scolaires et les Groupes Microsoft 365. Consultez Déployer la protection des informations pour les réglementations en matière de confidentialité des données avec Microsoft 365.
Utilisez les fonctionnalités de sécurité Microsoft 365 pour empêcher les violations de données et implémenter des protections pour les données à caractère personnel. * Améliorez l’authentification pour les administrateurs et utilisateurs finaux dans le cloud Microsoft en activant l’authentification multifacteur pour tous les comptes d’utilisateur et l’authentification moderne pour toutes les applications. Pour la configuration de stratégie recommandée, voir Configurations des identités et de l’accès aux appareils.
* Déployez Microsoft Defender pour point de terminaison sur tous les ordinateurs en guise de protection contre le code malveillant, de prévention des fuites de données, ainsi que de réponse à ces attaques.
* Activez la journalisation d’audit et l’audit de boîte aux lettres pour toutes les boîtes aux lettres Exchange afin de détecter les activités potentiellement malveillantes et d’activer l’analyse d’investigation des violations de données.
*Configurez, testez et déployez des stratégies de protection contre la perte de données (DLP) pour identifier, surveiller et protéger automatiquement plus de 80 types de données sensibles courants dans les documents et messages électroniques, y compris des informations financières, médicales et personnelles identifiables.
*Implémentez des solutions Sécurité Office 365 afin d’éviter les vecteurs d’attaque les plus courants, dont les e-mails de hameçonnage et les documents Office contenant des pièces jointes et autres liens malveillants.

Au-delà de 90 jours : confidentialité en continu, gouvernance de données et création de rapports

Ces configurations représentent des mesures de confidentialité importantes qui reposent sur le travail précédent.

Catégorie Tasks
Utilisez la protection avancée des informations et les outils de gouvernance de données Microsoft 365 pour implémenter les programmes de gouvernance en cours pour les données à caractère personnel. *Utilisez des étiquettes de confidentialité pour identifier automatiquement les informations personnelles dans les messages électroniques et les documents.
* Protégez les données à caractère personnel stockées sur les appareils dans l’organisation en déployant Microsoft Intune.
* Implémentez des stratégies d’accès conditionnel AAD avec Microsoft Intune pour vous assurer que les informations à caractère personnel sensibles sont stockées et consultées conformément aux stratégies d’entreprise. Pour la configuration de stratégie recommandée, voir Configurations des identités et de l’accès aux appareils.
* Implémentez des stratégies de conservation des données avec des étiquettes de confidentialité, des Gestion du cycle de vie des données Microsoft Purview et des stratégies de rétention pour conserver les données personnelles aussi longtemps que nécessaire dans votre juridiction.
Surveillez la conformité en cours au sein de Microsoft 365 et des autres applications cloud. Envisagez de répondre aux exigences de résidence des données pour les données personnelles de l’UE.
  • Utilisez des rapports et des Microsoft Defender for Cloud Apps de protection contre la perte de données pour surveiller l’utilisation des applications cloud et implémenter des stratégies d’alerte avancées basées sur l’heuristique et l’activité des utilisateurs.
  • Répondre aux exigences organisationnelles, régionales et locales de résidence des données tout en étant configurés comme un seul organization global à l’aide des fonctionnalités multigéographiques de Microsoft pour les boîtes aux lettres Exchange Online, OneDrive pour les sites professionnels et scolaires et les sites SharePoint.
  • En savoir plus