Analyses d’impact sur la protection des données: conseils pour les contrôleurs de données qui utilisent Microsoft Office 365
En vertu du Règlement général sur la protection des données (RGPD), les contrôleurs de données sont tenus de préparer une analyse d’impact sur la protection des données (DPIA) pour les opérations de traitement qui sont « susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques ». Il n’y a rien de inhérent à Microsoft Office 365 qui nécessiterait nécessairement la création d’un DPIA par un contrôleur de données qui l’utilise. Au lieu de cela, la nécessité d’une DPIA dépend des détails et du contexte de la façon dont vous, en tant que contrôleur de données, déployez, configurez et utilisez Office 365.
La partie 1 de ce document fournit des informations sur Office 365 pour vous permettre, en tant que contrôleur de données, de déterminer si une DPIA est nécessaire. Si la réponse est « oui », les parties 2 et 3 du présent document fournissent des informations importantes de Microsoft qui peuvent vous aider à la préparer. Plus précisément, la partie 2 fournit des réponses applicables à tous les services Office 365 pour chacun des éléments requis dans une DPIA. La partie 3 fournit des informations supplémentaires spécifiques au produit relatives aux besoins d’informations les plus pertinents de nos clients dans le cadre de l’élaboration de leur propre DPIA. La partie 3 inclut également un document DPIA représentatif que vous pouvez télécharger et modifier pour faciliter la rédaction de votre DPIA.
Les applications et services Office 365 incluent, sans s’y limiter, Exchange Online, SharePoint, OneDrive professionnel et scolaire, Viva Engage et Microsoft Teams. Une liste plus complète des services disponibles via Office 365 peut être consultée dans les tableaux 1 et 2 du Guide sur la demande de la personne concernée Office 365.
Partie 1 : déterminer si une analyse d’impact relative à la protection des données est nécessaire
L’article 35 de la RGPD nécessite un contrôleur de données pour créer une évaluation d’impact relative à la protection des données « dans laquelle un type de traitement en particulier utilisant de nouvelles technologies et tenant compte de la nature, de l’étendue, du contexte et des objectifs du traitement, est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques ». Il définit également des facteurs particuliers qui indiquent un risque élevé, décrits dans le tableau suivant. Pour déterminer si une DPIA est nécessaire, vous, en qualité de contrôleur de données, devez prendre en compte ces facteurs, ainsi que d’autres éléments pertinents, en fonction des implémentations et des utilisations d’Office 365 par le contrôleur.
| Facteur de risque | Informations utiles relatives à Office 365 |
|---|---|
| Une évaluation systématique et approfondie d’aspects personnels relatifs aux personnes physiques, basée sur un traitement automatisé, y compris le profilage, et sur laquelle se basent des décisions qui produisent des effets juridiques concernant la personne physique ou qui l’affectent de manière considérable. | En fonction de la configuration du contrôleur de données, Office 365 peut effectuer certains traitements automatisés des données, comme l’analyse effectuée par Viva Personal Insights qui permet au contrôleur de données de dériver des insights sur la façon dont les personnes collaborent au sein d’une organisation en fonction des informations d’en-tête de courrier électronique et de calendrier des boîtes aux lettres de l’utilisateur. Office 365 n’est pas conçu pour effectuer des traitements automatiques sur lesquels se basent des décisions qui produisent des effets juridiques ou qui ont une incidence significative sur les personnes. Toutefois, étant donné qu’Office 365 est un service hautement personnalisable, un contrôleur de données pourrait l’utiliser pour ce traitement. |
| Traitement à grande échelle1 de catégories spéciales de données (données à caractère personnel révélant l’origine ethnique ou raciale d’un individu, ses opinions politiques, ses convictions religieuses ou philosophiques, ou son appartenance à un syndicat, ainsi que le traitement de données génétiques et biométriques dans l’unique but d’identifier une personne physique, de données sur la santé ou la vie sexuelle d’une personne physique, ou son orientation sexuelle), ou de données à caractère personnel relatives à des condamnations pénales et infractions | Office 365 n’est pas conçu pour traiter des catégories spéciales de données personnelles à grande échelle. Toutefois, un responsable du traitement de données pourrait utiliser Office 365 pour traiter les catégories spéciales de données mentionnées. Office 365 est un service hautement personnalisable qui permet au client de suivre ou de traiter tout type de données à caractère personnel, y compris des catégories spéciales de celles-ci. Une telle utilisation est pertinente pour la détermination par le contrôleur de la nécessité d’utiliser un DPIA. Cependant, en tant que processeur des données, Microsoft n’a aucune prise sur une telle utilisation du logiciel et n’a que peu d’informations, voire aucune information, sur cette utilisation. |
| Surveillance systématique d’une zone publiquement accessible à grande échelle | Office 365 n’est pas conçu pour effectuer ou faciliter une surveillance de ce type. Toutefois, le contrôleur de données peut l’utiliser pour traiter des données collectées au cours d’une surveillance systématique. |
Remarque
1 En ce qui concerne les critères selon lesquels le traitement doit être «à grande échelle», le point 91 du RGPD précise que : «Le traitement des données à caractère personnel ne doit pas être considéré comme un traitement à grande échelle s'il concerne des données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat. Dans ce cas, une évaluation de l’impact de la protection des données ne doit pas être obligatoire».
Partie 2 : contenu d’une analyse d’impact sur la protection des données (DPIA)
L’article 35 (7) du RGPD établit qu’une analyse d’impact sur la protection des données spécifie la finalité du processus et une description systématique du processus envisagé. Avec la DPIA Microsoft, la description complète inclut des facteurs tels que les types de données traitées, la durée de conservation des données, l’emplacement où les données sont situées et transférées, et les services tiers pouvant accéder aux données. De plus, la DPIA doit inclure ce qui suit :
- une évaluation du besoin et de la proportionnalité des opérations de traitement par rapport aux finalités prévues ;
- une évaluation des risques concernant les droits et les libertés des personnes physiques ; et
- les mesures envisagées pour éliminer les risques, y compris les dispositifs de protection, les mécanismes et les mesures de sécurité visant à garantir la protection des données à caractère personnel et à illustrer la conformité au Règlement général sur la protection des données en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes.
Le tableau suivant fournit des informations importantes de Microsoft qui peuvent faciliter la rédaction de votre DPIA. Il contient des informations sur Office 365 qui concernent chacun des éléments requis dans un DPIA. Comme dans la partie 1, les contrôleurs de données doivent tenir compte des informations fournies ci-dessous, ainsi que les détails spécifiques à leur propre implémentation et utilisation d’Office 365.
| Facteurs de Risque | Informations Utiles relatives à Office 365 |
|---|---|
| Finalité(s) de traitement | La(les) finalité(s) des traitements de données avec Office 365 est déterminée par le contrôleur qui implémente, configure et utilise le logiciel. Comme spécifié par les Conditions du produit et l’Addendum sur la protection des données (DPA) microsoft, Microsoft, en tant que responsable du traitement des données, traite les données client pour fournir au client les services en ligne conformément aux instructions documentées du client. Comme indiqué dans les Conditions du produit standard et l’Addendum sur la protection des données (DPA) microsoft, Microsoft utilise également les données personnelles pour prendre en charge un ensemble limité d’opérations commerciales légitimes comprenant : (1) la facturation et la gestion des comptes ; (2) la rémunération (par exemple, le calcul des commissions des employés et des primes incitatives des partenaires) ; (3) création de rapports et modélisation internes (par exemple, prévision, chiffre d’affaires, planification de la capacité, stratégie de produit) ; (4) l’information financière et le respect des obligations légales (sous réserve des limitations relatives à la divulgation des données client décrites dans l’addendum sur les conditions du produit et la protection des données). Microsoft accepte l’obligation d’un responsable du traitement des données personnelles de prendre en charge ces opérations commerciales légitimes spécifiques. Microsoft agrège les données personnelles avant de les utiliser pour nos opérations commerciales légitimes, ce qui supprime la capacité de Microsoft à identifier des personnes spécifiques et utilise les données personnelles sous la forme la moins identifiable qui prendra en charge le traitement nécessaire pour les opérations commerciales légitimes. Microsoft n’utilisera pas les informations ou données client provenant de ces services pour le profilage ou à des fins publicitaires ou commerciales. |
| Catégories de données personnelles traitées |
Données client : il s’agit de toutes les données, y compris les fichiers texte, audio, vidéo, images et logiciels, que les clients fournissent à Microsoft ou qui sont fournies au nom des clients via leur utilisation de Microsoft Online Services. Cela inclut les données que les clients chargent pour le stockage ou le traitement, ainsi que les personnalisations. Les exemples de données client traitées dans Office 365 incluent le contenu des e-mails dans Exchange Online et les documents ou fichiers stockés dans SharePoint ou OneDrive pour le travail et l’école. Données générées par le service : il s’agit de données générées ou provenant de Microsoft via le fonctionnement du service, telles que l’utilisation ou les données de performance. La plupart de ces données contiennent des identificateurs avec pseudonyme générés par Microsoft. Données de diagnostic : ces données sont collectées ou obtenues par Microsoft sur des logiciels installés localement par le client en relation avec le service en ligne, et peuvent également être appelés télémétrie. Ces données sont généralement identifiées par les attributs du logiciel installé localement ou l’ordinateur qui exécute ce logiciel. Données de support : il s’agit de données fournies à Microsoft par le client ou pour son compte (ou les données que le client autorise Microsoft à obtenir à partir d'un service en ligne) via un engagement auprès de Microsoft pour obtenir un support technique concernant les services en ligne. Les données client et les données de support n’incluent pas les données administrateur, comme ses coordonnées, les informations sur son abonnement et ses données de paiement, que Microsoft collecte et traite en sa capacité de contrôleur de données. |
| Rétention des données |
Données client : Comme indiqué dans les Conditions de protection des données dans les Conditions du produit et l’Addendum sur la protection des données, Microsoft conserve les Données client pendant la durée du droit du client d’utiliser le service et jusqu’à ce que toutes les Données client soient supprimées ou retournées conformément aux instructions du client ou aux conditions de l’Addendum sur la protection des données et des Conditions du produit. À tout moment pendant la durée de l’abonnement du client, le client a la possibilité d’accéder, d’extraire et de supprimer les données client stockées dans le service, sous réserve, dans certains cas, des fonctionnalités spécifiques du produit destinées à atténuer le risque de suppression par inadvertance (par exemple, le dossier des éléments récupérés Exchange), comme décrit plus en détail dans la documentation du produit. À l’exception des versions d’essai gratuites et des services LinkedIn, Microsoft conserve les données client stockées dans le service en ligne dans un compte à fonction limitée pendant 90 jours après l’expiration ou la résiliation de l’abonnement du client afin qu’il puisse extraire les données. Après la période de rétention de 90 jours, Microsoft désactive le compte du client et supprime les données client. Données générées par le service : Ces données sont conservées pendant une période par défaut de 180 jours à partir de la collection de sites susceptible d’être plus longue que les périodes de rétention requises pour la sécurité des services ou pour répondre aux obligations légales et réglementaires. Pour plus d’informations sur la fonctionnalité de service qui permettent le client à supprimer des données personnelles conservées dans le service à tout moment, voir leGuide de Requêtes relatives aux données d’Office 365. |
| Emplacement et transferts de données personnelles | Comme décrit dans la pièce jointe 1 des Conditions du produit, si le client provisionne son instance d’Office 365 en Australie, au Canada, dans l’Union européenne, en France, en Inde, au Japon, en Corée du Sud, au Royaume-Uni ou aux États-Unis, Microsoft stocke les données client suivantes au repos uniquement à cet emplacement : (1) contenu de boîte aux lettres Exchange Online (corps de courrier électronique, entrées de calendrier, et le contenu des pièces jointes de courrier électronique), (2) le contenu du site SharePoint et les fichiers stockés dans ce site, (3) les fichiers chargés sur OneDrive pour les tâches professionnelles et scolaires, et (4) le contenu du projet chargé sur Project Online. Pour les données personnelles transférées hors de l’Espace économique européen, de la Suisse et du Royaume-Uni, Microsoft s’assure que les transferts de données personnelles vers un pays tiers ou une organisation internationale sont soumis à des garanties appropriées, comme décrit à l’article 46 du RGPD. En plus des engagements de Microsoft dans le cadre des Clauses contractuelles standard pour les sous-traitants et d’autres contrats types, Microsoft respecte les conditions du Cadre de confidentialité des données. |
| Partage de données avec des sous-processeurs tiers | Microsoft partage des données avec des tiers agissant en tant que sous-traitants ultérieurs de nos services pour prendre en charge des fonctions telles que le support technique et le service d’assistance clientèle, la maintenance de service et d’autres opérations. Tous les sous-traitants auxquels Microsoft transfère des données client, des données de support ou des données personnelles auront conclu avec Microsoft des contrats écrits qui ne sont pas moins protecteurs que les conditions de protection des données des Conditions du produit. Tous les sous-traitants tiers avec lesquels les données client des principaux services en ligne de Microsoft sont partagées sont inclus dans la divulgation du sous-traitant des services en ligne. Tous les sous-processus tiers pouvant accéder aux données de prise en charge (notamment les données client que les clients choisissent de partager pendant leurs interactions de support) sont inclus dans la liste des entrepreneurs du support technique Microsoft. |
| Partage de données avec des tiers indépendants | Certains produits Office 365 incluent des options d’extensibilité qui permettent, au niveau de l’élection du contrôleur, de partager des données avec des parties tierces indépendantes. Par exemple, Exchange Online est une plateforme extensible qui permet aux compléments ou connecteurs tiers de s’intégrer à Outlook et d’étendre les jeux de fonctionnalités d’Outlook. Ces fournisseurs tiers de compléments ou connecteurs agissent indépendamment de Microsoft, et leurs compléments ou connecteurs doivent être activés par les utilisateurs ou les administrateurs de l’entreprise, qui s’authentifient à l’aide de leur compte de complément ou de connecteur. Microsoft ne divulguera pas les données client ou les données de support aux forces de l’ordre, sauf si la loi l’exige. Si les forces de l’ordre contactent Microsoft avec une demande de données client ou de données de support, Microsoft tentera de rediriger l’agence d’application de la loi pour demander ces données directement au client. S’il est contraint de divulguer des données client ou des données de support aux forces de l’ordre, Microsoft en informera rapidement le client et fournira une copie de la demande, sauf si la loi l’interdit. À la réception de toute autre demande tierce de données client ou de données de support, Microsoft en informera rapidement le Client, sauf si la loi l’interdit. Microsoft rejettera la demande, sauf si la loi l’exige pour se conformer. Si la demande est valide, Microsoft tentera de rediriger le tiers pour demander les données directement au client. |
| Droits des personnes concernées par les données | Lorsque vous opérez en tant que processeur, Microsoft met à la disposition des clients (contrôleurs de données) les données personnelles de ses sujets de données ainsi que la possibilité de répondre aux demandes de sujets de données lorsqu’ils exercent leurs droits sous la RGPD. Nous procédons ainsi de façon cohérente avec les fonctionnalités du produit et notre rôle de processeur. Si nous recevons une demande des sujets de données du client pour exercer un ou plusieurs de ses droits sous le RGPD, nous redirigeons la personne concernée afin de formuler sa demande directement auprès du contrôleur de données. La documentation du RGPD concernant les demandes des personnes concernées par les données dans Office 365 décrit la méthode de traitement des droits des personnes concernées par les données à l’aide des fonctionnalités dans Office 365. Les demandes d’une personne concernée pour exercer des droits en vertu du RGPD pour les données personnelles traitées pour prendre en charge les processus commerciaux légitimes doivent être adressées à Microsoft, comme précisé dans la Déclaration de confidentialité Microsoft. Microsoft agrège généralement les données personnelles avant de les utiliser pour nos opérations commerciales légitimes et n’est pas en mesure d’identifier les données personnelles d’une personne spécifique dans l’agrégat. Cela réduit considérablement le risque sur la confidentialité pour l’individu. Dans le cas où Microsoft n’est pas en mesure d’identifier la personne, elle ne peut pas prendre en charge les droits de l’objet de données pour l’accès, l’effacement, la portabilité, la restriction ou l’opposition au traitement. |
| Évaluation du besoin et de la proportionnalité des opérations de traitement par rapport aux finalités prévues | Une telle évaluation dépend des besoins et des objectifs du traitement du contrôleur. Les traitements réalisés par Microsoft doivent être nécessaires et proportionnels par rapport à la finalité, qui consiste à fournir les services au contrôleur de données. Microsoft s’y engage dans les conditions d’utilisation des services en ligne. |
| Évaluation des risques concernant les droits et les libertés des personnes concernées par les données | Les principaux risques en matière de droits et libertés des personnes concernées par les données lors de l’utilisation de Office 365 dépendent de la méthode et du contexte d’implémentation, de configuration et d’utilisation du logiciel par le contrôleur de données. Microsoft prend des mesures telles que l’anonymat ou le regroupement de données personnelles utilisées par Microsoft pour prendre en charge les opérations légitimes de l’entreprise afin de prendre en charge la fourniture des services, réduisant ainsi les risques d’un tel traitement aux sujets de données qui utilisent le service. Toutefois, comme pour n’importe quel service, les données personnelles stockées dans le service peuvent être exposées au risque d’un accès non autorisé ou d’une divulgation accidentelle. Les mesures prises par Microsoft pour résoudre de tels risques sont traitées dans les sections suivantes. |
| Mesures envisagées pour éliminer les risques, y compris les dispositifs de protection, les mécanismes et les mesures de sécurité visant à garantir la protection des données à caractère personnel et à démontrer la conformité au RGPD en tenant compte des droits et des intérêts légitimes des personnes concernées par le traitement des données | Microsoft s’engage à contribuer à la protection de la sécurité des informations du client. Conformément aux dispositions de l’article 32 du RGPD, Microsoft a implémenté et tiendra à jour des mesures techniques et organisationnelles appropriées, et en effectuera le suivi, dans le but de protéger les données client et les données de support contre tout accès, divulgation, modification ou destruction accidentels, non autorisés ou illicites. De plus, Microsoft respecte toutes les autres obligations établies dans le RGPD, qui s’appliquent aux processeurs de données, y compris, mais sans s’y limiter, les obligations concernant l’exécution d’analyses d’impact sur la protection des données et la conservation d’un enregistrement précis. Dans le cas où Microsoft traite les données personnelles pour ses opérations légitimes d’entreprise, elle respecte les obligations du RGPD qui s’appliquent aux contrôleurs de données. |
Partie 3 : les DPIAs sont difficiles, mais cette section peut vous aider
Si vous avez déterminé que votre organisation doit rédiger une DPIA, les informations contenues dans cette section sont conçues pour vous aider à simplifier le processus.
Cette section :
- fournit les éléments de service pertinents spécifiques au produit et à Office 365 et
- vous offre un modèle vierge DPIA que vous pouvez télécharger, modifier et utiliser pour élaborer votre propre DPIA.
Matrice des éléments du service DPIA
La matrice des éléments du service DPIA est une organisation de contenu qui peut être utile au fur et à mesure du processus de documentation de votre DPIA. Elle est organisée par service et fournit des informations spécifiques sur les produits, ainsi que des liens vers des documents qui peuvent vous aider à simplifier la préparation des réponses aux éléments DPIA requis.
Document DPIA personnalisable
Nous savons que la rédaction de DPIA peut prendre du temps. Bien que les DPIA des clients diffèrent en fonction de la configuration et de l’utilisation d’Office 365, le document suivant peut vous faire gagner du temps. Vous pouvez télécharger le document DPIA personnalisable sous forme de modèle d’illustration modifiable pour une prise en main rapide. Son utilisation est gratuite et il s’adapte à l’implémentation spécifique de votre service. Ce document ne doit pas être considéré comme un avis juridique fourni par Microsoft ou l’une de ses filiales. Si vous avez des questions concernant le processus de rédaction du DPIA, nous vous recommandons vivement de consulter votre avocat.