Plan d’action RGPD Microsoft 365 - Principales priorités pour vos premiers 30 jours, 90 jours et au-delà

Cet article comprend un plan d’action prioritaire que vous pouvez suivre au fur et à mesure que vous travaillez afin de répondre aux exigences du Règlement général sur la protection des données (RGPD). Ce plan d’action a été développé en partenariat avec Protiviti, partenaire Microsoft spécialisé dans la conformité réglementaire.

Le RGPD a présenté de nouvelles règles pour les entreprises, les organismes gouvernementaux, les organisations à but non lucratif et d’autres entités qui offrent des produits et services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE. Le RGPD s’applique quels que soient l’endroit où vous vous trouvez et celui où se trouve votre entreprise.

Résultats du plan d’action

Ces suggestions sont fournies en trois phases suivant un ordre logique avec les résultats suivants :

Étape Résultats
30 jours Intégrez les exigences en matière de RGPD et demandez conseil à un partenaire RGPD Microsoft.
* Évaluez votre préparation et obtenez des recommandations pour les étapes suivantes.
* Travaillez en collaboration avec un conseiller partenaire Microsoft spécialisé dans le RGPD pour établir des directives internes en vue de répondre aux demandes de personnes concernées (DPC), de réaliser une analyse d’écart de conformité RGPD pour votre organisation et d’établir une feuille de route pour la conformité.

Commencez à découvrir les types de données à caractère personnel que vous stockez et l’emplacement où elles se trouvent pour répondre aux exigences des DPC.
* Utilisez la recherche de contenu et la découverte électronique dans les centres de sécurité et conformité pour découvrir les données personnelles au sein de l’organisation.
* Lorsque vous travaillez avec des quantités de contenu volumineuses, utilisez la solution Advanced eDiscovery optimisée par les technologies de Machine Learning afin de réaliser des recherches de contenu plus efficaces et précises.
90 jours Démarrez l’implémentation des exigences de conformité à l’aide des fonctionnalités de gouvernance et de conformité de données Microsoft 365.
* Évaluez et gérez vos risques de conformité en utilisant Le Gestionnaire de Conformité Microsoft.
* Aidez les utilisateurs à identifier et classer les données personnelles, comme défini par le RGPD.

Utilisez les fonctionnalités de sécurité Microsoft 365 pour empêcher les violations de données et implémenter des protections pour les données à caractère personnel.
* Protégez les comptes des administrateurs et des utilisateurs finaux.
* Protégez-vous contre le code malveillant et implémentez une prévention contre la violation de données et une réponse appropriée.
* Utilisez un journal d’audit pour surveiller les activités potentiellement malveillantes et activez l’analyse d’investigation de violations de données.
* Utilisez des stratégies de protection contre la perte de données (DLP) pour identifier et protéger les données sensibles.
* Contrez les vecteurs d’attaque les plus courants, y compris les e-mails de hameçonnage et les documents Office contenant des pièces jointes et des liens malveillants.
Au-delà de 90 jours Utilisez la protection avancée des informations et les outils de gouvernance de données Microsoft 365 pour implémenter les programmes de gouvernance en cours pour les données à caractère personnel.
* Identifiez automatiquement les informations personnelles dans les e-mails et les documents.
* Protégez les données à caractère personnel stockées sur les appareils au sein de l’organisation, et assurez-vous que des appareils d’entreprise conformes sont utilisés pour accéder aux données sensibles.
* Assurez-vous que les informations personnelles sensibles sont stockées et consultées conformément aux stratégies d’entreprise.
* Implémentez des stratégies de rétention des données pour vous assurer de conserver les données à caractère personnel aussi longtemps que nécessaire.

Surveillez la conformité des applications Microsoft 365 et d’autres applications cloud. Vous pouvez définir des exigences de résidence pour les données à caractère personnel de l’UE.
* Surveillez l’utilisation des applications cloud et implémentez des stratégies d’alerte avancées pour votre organisation.
* Répondez aux exigences de résidence des données en tant qu’organisation globale.

30 jours – Étapes efficaces rapides

Ces tâches rapides et puissantes n’ont qu’un faible impact sur les utilisateurs.

Catégorie Tasks
Intégrez les exigences en matière de RGPD et demandez conseil à un partenaire RGPD Microsoft. * Évaluez et gérez vos risques de conformité en utilisant le Gestionnaire de Conformité Microsoft dans le Centre de conformité Microsoft 365 pour effectuer une évaluation RGPD de votre organisation.
* Travaillez en collaboration avec votre partenaire Microsoft conseiller en matière de RGPD pour établir des directives internes en vue de répondre aux demandes de personnes concernées (DPC), ainsi que des exclusions en lien avec ces demandes.
* Travaillez en collaboration avec votre partenaire Microsoft conseiller en matière de RGPD pour effectuer une analyse d’écart en matière de conformité avec le RGPD pour votre organisation, et développez une feuille de route qui détermine votre parcours de mise en conformité avec le RGPD.
* Apprenez à utiliser la fonctionnalité de demande d’objet de données et de tableau de bord RGPD dans le Centre de conformité Microsoft 365.
Commencez à découvrir les types de données à caractère personnel que vous stockez et l’emplacement où elles se trouvent pour répondre aux exigences des DPC. * Utilisez la Recherche de contenu et lescas eDiscovery pour effectuer facilement des recherches dans les boîtes aux lettres, les dossiers publics, les Groupes Microsoft 365, Microsoft Teams, les sites SharePoint Online, les sites One Drive Entreprise et les conversations Skype Entreprise. Découvrez comment utiliser les types d’informations sensibles pour rechercher des données personnelles de citoyens de l’Union européenne
*Lorsque vous travaillez avec de grandes quantités de contenu, identifiez les documents qui sont pertinents pour un sujet particulier (par exemple, une enquête de conformité) rapidement et avec une meilleure précision que les recherches traditionnelles par mot-clé avec Advanced eDiscovery, alimenté par les technologies d'apprentissage automatique.
*Visualisez les résultats de recherche, obtenez des statistiques de mot clé pour une ou plusieurs recherches, modifiez en bloc les recherches de contenu et exportez les résultats à l’aide du Centre de sécurité et conformité &.

90 jours – Conformité améliorée

Ces tâches prennent un peu plus de temps à planifier et à implémenter, mais peuvent augmenter vos efforts globaux en matière de conformité au RGPD.

Catégorie Tasks
Démarrez l’implémentation des exigences de conformité à l’aide des fonctionnalités de gouvernance et de conformité de données Microsoft 365. * Gérez votre conformité RGPD à l’aide du Gestionnaire de conformité Microsoft dans le centre de conformité Microsoft 365.
* Aidez les utilisateurs à identifier et à classer les données personnelles, telles que définies par le RGPD, avec un schéma de classification et les étiquettes Office 365 associées pour la messagerie Exchange, les sites SharePoint, les sites OneDrive Entreprise et les Groupes Microsoft 365. Consultez Information Protection pour le RGPD .
Utilisez les capacités de sécurité de Microsoft 365 pour empêcher les violations de données et mettre en place des protections pour les données personnelles. Améliorez l'authentification des administrateurs et des utilisateurs finaux dans le Cloud Microsoft en permettant une authentification multifactorielle pour tous les comptes utilisateurs et une authentification moderne pour toutes les applications. Pour la configuration recommandée des politiques, voir Configurations de l'identité et de l'accès aux appareils.
Déployez Microsoft Defender pour point de terminaison sur tous les ordinateurs en guise de protection contre le code malveillant, de prévention des fuites de données, ainsi que de réponse à ces attaques.
* Activez la journalisation d’audit et l’audit de boîte aux lettres pour toutes les boîtes aux lettres Exchange afin de détecter les activités potentiellement malveillantes et d’activer l’analyse d’investigation des violations de données.
*Configurez, testez et déployez des stratégies de protection contre la perte de données (DLP) pour identifier, surveiller et protéger automatiquement plus de 80 types de données sensibles courants dans les documents et messages électroniques, y compris des informations financières, médicales et personnelles identifiables.
*Implémentez des solutions Sécurité Office 365 afin d’éviter les vecteurs d’attaque les plus courants, dont les e-mails de hameçonnage et les documents Office contenant des pièces jointes et autres liens malveillants.

Au-delà de 90 jours : confidentialité en continu, gouvernance de données et création de rapports

Ces configurations représentent des mesures de confidentialité importantes qui reposent sur le travail précédent.

Catégorie Tasks
Utilisez la protection avancée des informations et les outils de gouvernance de données Microsoft 365 pour implémenter les programmes de gouvernance en cours pour les données à caractère personnel. Utilisez des étiquettes de confidentialité pour identifier automatiquement les informations personnelles dans les messages électroniques et les documents.
Protégez les données à caractère personnel stockées sur les appareils dans l’organisation en déployant Microsoft Intune.
* Implémentez stratégies d’accès conditionnel AAD avec Microsoft Intune pour vous assurer que les informations personnelles sensibles sont stockées et accessibles conformément aux stratégies d’entreprise. Pour obtenir la configuration de stratégie recommandée, consultez Configurations d’identité et d’accès aux appareils.
* Mettre en œuvre des politiques de conservation des données avec des étiquette de confidentialité Gouvernance des informations Microsoft et des stratégies de rétention pour conserver les données personnelles aussi longtemps que nécessaire dans votre juridiction.
Surveillez la conformité des applications Microsoft 365 et d’autres applications cloud. Vous pouvez définir des exigences de résidence pour les données à caractère personnel de l’UE. * Utilisez les rapports sur la protection contre la perte de données et Microsoft Cloud App Security pour surveiller l’utilisation des applications cloud et implémenter des stratégies d’alerte avancées reposant sur une heuristique et l’activité des utilisateurs.
* Répondez aux exigences de résidence de données organisationnelles, régionales et locales tout en étant configuré en tant qu’organisation globale à l’aide des fonctionnalités multigéographiques de Microsoft pour les boîtes aux lettres Exchange Online, les sites OneDrive Entreprise et SharePoint Online.

En savoir plus