Partager via


Analyses d’impact sur la protection des données : conseils pour les contrôleurs de données qui utilisent Microsoft Azure

En vertu du Règlement général sur la protection des données (RGPD), les contrôleurs de données sont tenus de préparer une analyse d’impact sur la protection des données (DPIA) pour les opérations de traitement qui sont « susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques ». Il n’y a rien de inhérent à Microsoft Azure lui-même qui nécessiterait nécessairement la création d’un DPIA par un contrôleur de données qui l’utilise. Au lieu de cela, la nécessité d’un DPIA dépend des détails et du contexte de comment le contrôleur de données déploie, configure et utilise Microsoft Azure. Dans tous les cas, un DPIA doit commencer au début de la vie d’un projet et s’exécuter en parallèle au processus de planification et de développement.

Ce document vise à fournir les informations sur Microsoft Azure qui permettront aux contrôleurs de données de déterminer si une analyse d’impact sur la protection des données est nécessaire et, le cas échéant, les informations à inclure.

Remarque

Microsoft ne fournit aucun conseil juridique dans ce document. Ce document est fourni uniquement à titre d’information. Les clients sont encouragés à collaborer avec leurs responsables de la confidentialité et leur conseiller juridique pour déterminer la nécessité et le contenu de tout DPIA lié à l’utilisation de Microsoft Azure ou de tout autre service en ligne de Microsoft.

Partie 1 : déterminer la nécessité d’une analyse d’impact relative à la protection des données

Selon l’article 35 du RGPD, un contrôleur de données doit créer une analyse d’impact sur la protection des données (DPIA) dans le cas suivant : «lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.» Le Règlement définit par la suite de manière plus détaillée les facteurs pouvant indiquer un risque d’une telle ampleur, ce qui est décrit dans le tableau suivant : Lorsque le contrôleur de données cherche à déterminer si une analyse d’impact sur la protection des données est nécessaire (DPIA), il doit prendre en compte ces facteurs, ainsi que tout autre facteur pertinent, en fonction des implémentations spécifiques du contrôleur et des utilisations prévues de Microsoft Azure.

Facteur de risque élevé Informations utiles sur Microsoft Azure
Évaluation systématique et approfondie d’aspects personnels relatifs aux personnes physiques, basée sur un traitement automatisé, y compris le profilage, et sur laquelle se basent des décisions qui produisent des effets juridiques concernant la personne physique ou qui l’affectent de manière considérable. Les services Microsoft Azure ne sont pas conçus pour effectuer un traitement sur lequel sont basées des décisions qui produisent des effets juridiques ou similaires sur les individus.

Toutefois, étant donné qu’Azure est un service hautement personnalisable, un contrôleur de données peut éventuellement configurer les services Azure à utiliser pour ce traitement. Les contrôleurs doivent effectuer cette détermination en fonction de leur utilisation d’Azure.
Traitement à grande échelle de catégories spéciales de données (données personnelles révélant l’origine ethnique ou raciale d’un individu, ses opinions politiques, ses convictions religieuses ou philosophiques, ou son appartenance à un syndicat, ainsi que le traitement de données génétiques et biométriques identifiant de manière unique une personne physique, des données sur la santé ou la vie sexuelle d’une personne physique, ou son orientation sexuelle), ou des données personnelles relatives à des condamnations pénales et infractions. Microsoft Azure n’est pas conçu pour traiter des catégories spéciales de données personnelles à grande échelle.

Toutefois, un contrôleur de données peut utiliser Microsoft Azure pour traiter les catégories spéciales de données énumérées. Microsoft Azure est un service hautement personnalisable qui permet au client de suivre ou de traiter des données personnelles, y compris des catégories spéciales de données personnelles. Cependant, en tant que processeur de données, Microsoft n’a pas de contrôle sur ce type d’utilisation et a peu ou pas de vue d’utilisation. Il incombe au contrôleur de données de déterminer les utilisations appropriées des données du contrôleur de données.
Surveillance systématique d’une zone publiquement accessible à grande échelle Microsoft Azure n’est pas conçu pour effectuer ou faciliter une telle surveillance à grande échelle.

Toutefois, un contrôleur de données peut utiliser Azure pour traiter les données collectées par le biais d’une telle surveillance. Microsoft Azure est un service hautement personnalisable qui permet au client de suivre ou de traiter tout type de données, y compris les données de surveillance. Cependant, en tant que processeur de données, Microsoft n’a pas de contrôle sur ce type d’utilisation et a peu ou pas de vue d’utilisation. Il incombe au contrôleur de données de déterminer les utilisations appropriées des données du contrôleur de données.

Partie 2 : contenu d’une analyse d’impact sur la protection des données (DPIA)

L’article 35(7) du RGPD impose qu’une analyse d’impact sur la protection des données spécifie les objectifs du traitement et une description systématique du traitement envisagé. Une description systématique d’une DPIA complète peut inclure des facteurs tels que les types de données traitées, la durée de conservation des données, l’emplacement et le transfert des données, ainsi que les tiers qui peuvent avoir accès aux données et être pris en charge par un diagramme de flux de données. De plus, la DPIA doit inclure ce qui suit :

  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport aux objectifs ;
  • Une évaluation des risques pour les droits et libertés des personnes physiques ; Et
  • Les mesures envisagées pour répondre aux risques, y compris les garanties, les mesures de sécurité et les mécanismes visant à garantir la protection des données à caractère personnel et à démontrer le respect du présent règlement en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes concernées.

Le tableau suivant contient des informations sur Microsoft Azure pertinentes pour chacun de ces éléments. Comme dans la partie 1, les contrôleurs de données doivent prendre en compte les détails fournis dans le tableau, ainsi que tous les autres facteurs pertinents, dans le contexte de la ou des implémentations spécifiques du contrôleur et de l’utilisation de Microsoft Azure.

Élément d’une DPIA Informations utiles sur Microsoft Azure
Finalité(s) de traitement La finalité des traitements de données avec Microsoft Azure est déterminée par le contrôleur qui implémente, configure et utilise le logiciel.

Comme spécifié par l’Addendum sur la protection des données (DPA) sur les conditions du produit et les produits et services, Microsoft, en tant que responsable du traitement des données, traite les données client pour fournir au client les services en ligne conformément aux instructions documentées du client.

Comme indiqué dans l’addendum standard sur la protection des données (DPA) sur les conditions du produit et les produits et services, Microsoft utilise également les données personnelles pour prendre en charge un ensemble limité d’opérations commerciales.

Microsoft est responsable du traitement des données personnelles pour prendre en charge ces opérations commerciales spécifiques. En règle générale, Microsoft agrège les données personnelles avant de les utiliser pour nos opérations commerciales, ce qui supprime la capacité de Microsoft à identifier des personnes spécifiques et utilise les données personnelles sous la forme la moins identifiable qui prendra en charge le traitement nécessaire aux opérations commerciales.

Microsoft n’utilisera pas les informations ou données client provenant de ces services pour le profilage ou à des fins publicitaires ou commerciales.

Remarque : Microsoft Azure est une plateforme cloud en ligne pour le traitement qui se compose de plusieurs services en ligne discrètes, chacune ayant des objectifs distincts de traitement. Vous trouverez des descriptions de chaque offre de service Microsoft Azure ici.

Microsoft Azure traite les données personnelles uniquement pour fournir aux clients leurs services en ligne, y compris à des fins compatibles avec la fourniture de ces services tels que la personnalisation, la sécurité, la prévention des fraudes et les programmes malveillants, la résolution des problèmes et l’amélioration.
Catégories de données personnelles traitées Données client : toutes les données, y compris tous les fichiers texte, audio, vidéo ou image, et les logiciels, qui sont fournis à Microsoft par ou pour le compte d’un client via l’utilisation du service d’entreprise. Les données client incluent à la fois (1) les informations d’identification des utilisateurs finaux (par exemple, les noms d’utilisateurs et les informations de contact dans Microsoft Entra ID) et le contenu client qu’un client charge ou crée dans des services spécifiques (par exemple, le contenu client dans un compte de stockage Azure, le contenu client d’une base de données Azure SQL ou l’image de machine virtuelle d’un client dans Azure Machines Virtuelles).

Données générées par le service : il s’agit des données générées ou dérivées par Microsoft par le biais du fonctionnement du service, telles que les données d’utilisation ou de performances. La plupart de ces données comprennent des identificateurs avec pseudonyme générés par Microsoft.

Données de support : il s’agit de données fournies à Microsoft par le client ou pour son compte (ou les données que le client autorise Microsoft à obtenir à partir d'un service en ligne) via un engagement auprès de Microsoft pour obtenir un support technique concernant les services en ligne.

Pour plus d’informations sur les données traitées par Azure, consultez les Conditions du produit, notamment le [Contrat de traitement des données des produits et services (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) et le Centre de gestion de la confidentialité Microsoft.

Rétention de données Microsoft conservera et traitera les données client pendant le droit du client d’utiliser le service en ligne et jusqu’à ce que toutes les données client soient récupérées par le client ou supprimées conformément aux conditions du produit et à l’addendum sur la protection des données des produits et des services (DPA). Pendant la durée de son abonnement, le client a la possibilité d’accéder à ses données client stockées dans chaque service en ligne et de les extraire. À l’exception des versions d’essai gratuites et des services LinkedIn, Microsoft conserve les données client stockées dans le service en ligne dans un compte à fonction limitée pendant 90 jours après l’expiration ou la résiliation de l’abonnement du client afin qu’il puisse extraire les données. Après la période de rétention de 90 jours, Microsoft désactive le compte du client et supprime les données client. Le client peut supprimer ses données personnelles suite à une demande en tant que personne concernée par les données à l’aide des fonctionnalités décrites dans la documentation du RGPD relative aux demandes des personnes concernées par les données dans Azure.
Emplacement et transferts de données personnelles Les clients ont la possibilité de provisionner des données client au repos dans des régions géographiques spécifiées, sous réserve de certaines exceptions, comme indiqué dans les Conditions du produit et l’Addendum sur la protection des données (DPA) microsoft. Vous trouverez également des détails supplémentaires sur les déploiements de services et la résidence des données dans l’Addendum microsoft sur la protection des données (DPA) sur les conditions du produit et sur la page web de l’infrastructure globale Azure .

Pour les données personnelles transférées hors de l’Espace économique européen, de la Suisse et du Royaume-Uni, Microsoft s’assure que les transferts de données personnelles vers un pays tiers ou un organization international sont soumis à des garanties appropriées, comme décrit à l’article 46 du RGPD. En plus des engagements de Microsoft dans le cadre des Clauses contractuelles standard pour les sous-traitants et d’autres contrats types, Microsoft respecte les conditions du Cadre de confidentialité des données.
Partage de données avec des sous-processeurs tiers Microsoft partage des données avec des tiers agissant en tant que sous-traitants (comme défini dans le RGPD) pour prendre en charge des fonctions telles que le support technique et client, la maintenance du service et d’autres opérations. Tous les sous-traitants auxquels Microsoft transfère des données client, des données de support ou des données personnelles auront conclu avec Microsoft des contrats écrits qui ne sont pas moins protecteurs que l’addendum sur la protection des données des produits et services Microsoft. Tous les sous-traitants tiers avec lesquels les données client des principaux services en ligne de Microsoft sont partagées sont inclus dans la liste des sous-traitants des services en ligne. Tous les sous-traitants tiers qui peuvent accéder aux données de support (y compris les données client que les clients choisissent de partager pendant leurs interactions de support) sont inclus dans la liste des sous-traitants des services en ligne. 
Droits des personnes concernées par les données Lorsque vous êtes en train de faire appel à un processeur, Microsoft met à la disposition du client (également connu sous le nom de contrôleur de données) les données personnelles de ses sujets de données et la possibilité de répondre aux demandes de sujets de données lorsqu’ils exercent leurs droits dans le cadre de la RGPD. Microsoft procède ainsi de façon cohérente avec les fonctionnalités du produit et son rôle de processeur de données.  Si Microsoft reçoit une demande des sujets de données du client pour exercer un ou plusieurs de ses droits sous le RGPD, la demande de la personne concernée est redirigée vers le contrôleur de données.

La documentation du RGPD concernant les demandes des personnes concernées par les données dans Azure décrit la méthode de traitement des droits des personnes concernées par les données à l’aide des fonctionnalités dans Azure.

Les demandes d’une personne concernée pour exercer des droits en vertu du RGPD pour les données personnelles traitées pour prendre en charge les processus commerciaux légitimes doivent être adressées à Microsoft, comme précisé dans la Déclaration de confidentialité Microsoft.

Microsoft agrège généralement les données personnelles avant de les utiliser pour nos opérations commerciales et n’est pas en mesure d’identifier les données personnelles d’une personne spécifique dans l’agrégat. Cette action réduit le risque de confidentialité pour l’individu. Dans le cas où Microsoft n’est pas en mesure d’identifier la personne, elle ne peut pas prendre en charge les droits de l’objet de données pour l’accès, l’effacement, la portabilité, la restriction ou l’opposition au traitement.

La documentation du RGPD concernant les demandes des personnes concernées par les données dans Azure décrit la méthode de traitement des droits des personnes concernées par les données à l’aide des fonctionnalités dans Azure.
Évaluation du besoin et de la proportionnalité des opérations de traitement par rapport aux finalités prévues Cette évaluation dépend des besoins et des objectifs du contrôleur concernant le traitement.

Microsoft prend des mesures telles que l’agrégation des données personnelles utilisées par Microsoft pour prendre en charge les opérations commerciales afin de prendre en charge la fourniture des services, ce qui réduit le risque d’un tel traitement pour les personnes concernées qui utilisent le service.

Concernant les traitements réalisés par Microsoft, ceux-ci sont nécessaires et proportionnels à la fourniture des services au contrôleur de données.
Évaluation des risques concernant les droits et les libertés des personnes concernées par les données Les principaux risques pour les droits et libertés des personnes concernées par l’utilisation de Microsoft Azure dépendent de la façon dont et dans quel contexte le contrôleur de données implémente, configure et utilise Microsoft Azure.

Microsoft prend des mesures telles que l’agrégation des données personnelles utilisées par Microsoft pour prendre en charge les opérations commerciales afin de prendre en charge la fourniture des services, ce qui réduit le risque d’un tel traitement pour les personnes concernées qui utilisent le service.

Toutefois, comme pour n’importe quel service, les données personnelles stockées dans le service peuvent être exposées au risque d’un accès non autorisé ou d’une divulgation accidentelle. Les mesures prises par Microsoft pour faire face à ces risques sont décrites dans les Conditions du produit, comme expliqué plus loin dans cet article.
Mesures envisagées pour éliminer les risques, y compris les dispositifs de protection, les mécanismes et les mesures de sécurité visant à garantir la protection des données à caractère personnel et à démontrer la conformité au RGPD en tenant compte des droits et des intérêts légitimes des personnes concernées par le traitement des données Microsoft s’engage à protéger la sécurité des données client. Les mesures de sécurité prises par Microsoft sont décrites en détail dans les Conditions du produit.

Microsoft respecte des normes de sécurité strictes et la méthodologie de protection des données de pointe du secteur. Microsoft améliore continuellement ses systèmes afin de gérer les nouvelles menaces. Pour plus d’informations sur les pratiques de gouvernance et de confidentialité cloud, consultez la page Gestion de la conformité dans le cloud du Centre de gestion de la confidentialité .

Microsoft prend des mesures techniques et organisationnelles raisonnables et appropriées pour protéger les données personnelles qu’elle traite. Ces mesures incluent, sans s’y limiter, les stratégies et pratiques de confidentialité internes, les engagements contractuelles et les certificats standard internationaux et régionaux. Pour plus d’informations, consultez la page Confidentialité du Centre de gestion de la confidentialité.

Microsoft fournit des documents de sécurité et de confidentialité importants et transparents pour les clients afin d’expliquer l’utilisation et le traitement des données personnelles par Microsoft. Les clients sont encouragés à contacter Microsoft s'ils ont des questions.

En outre, lorsque Microsoft agit en tant que responsable du traitement des données, il se conforme aux dispositions applicables du RGPD qui s’appliquent aux sous-traitants de données.

Lorsque Microsoft traite des données personnelles pour ses opérations commerciales, il se conforme aux obligations RGPD qui s’appliquent aux contrôleurs de données.

En savoir plus