Demandes des données Intune des personnes concernées pour le RGPD et le CCPA
Le Règlement général sur la protection des données (RGPD) de l’Union européenne accorde le droit aux individus (appelés, dans le règlement, personnes concernées) de gérer les données personnelles qui ont été collectées par un employeur ou tout autre type d’agence ou d’organisation (également appelé responsable du traitement des données ou responsable du traitement). Dans le RGPD, les données personnelles sont définies de façon générale comme toute donnée relative à une personne physique identifiée ou identifiable. Le RGPD confère aux personnes concernées des droits précis sur leurs données personnelles ; ces droits vous donnent la possibilité d’obtenir des copies de ces données personnelles, de les modifier, d’en limiter le traitement, de les supprimer ou de les recevoir dans un format électronique afin de pouvoir les transférer à un autre responsable du traitement. Une demande officielle d’une personne concernée à un responsable du traitement pour effectuer une action sur ses données personnelles est appelée demande de droits de la personne concernée ou DPC dans le présent document.
De même, le CCPA (California Consumer Privacy Act) prévoit des droits de confidentialité et des obligations pour les consommateurs de la Californie, y compris des droits similaires aux droits des personnes concernées en vertu du RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles. Le CCPA prévoit également des publications d’informations, des protections contre la discrimination des personnes faisant usage de leurs droits et la possibilité d’opter pour ou contre certains transferts de données classés en tant que « ventes ». Les ventes sont largement définies pour inclure le partage de données à des fins importantes. Pour plus d’informations sur le CCPA, voir le California Consumer Privacy Act et le Forum aux questions California Consumer Privacy Act.
Le guide explique comment utiliser les produits, services et outils d’administration Microsoft pour aider les clients de notre entité de contrôle à rechercher des données personnelles et à prendre des mesures pour répondre aux DPC. Plus précisément, ces instructions expliquent comment rechercher des données ou des informations personnelles qui sont stockées dans le cloud Microsoft, comment y accéder et comment entreprendre une action sur ces données. Voici un aperçu rapide des processus présentés dans ce guide :
- Découvrir : utilisez les outils de recherche et de détection pour rechercher plus facilement les données du client qui peuvent faire l’objet d’une demande DPC. Une fois que vous avez collecté les documents susceptibles de répondre à la demande, vous pouvez effectuer une ou plusieurs des actions DPC décrites ci-après. Vous pouvez également décider que la demande ne satisfait pas aux directives de votre organisation en termes de réponse à une demande DPC.
- Accéder : récupérez des données à caractère personnel qui résident dans le cloud Microsoft et, si nécessaire, effectuez-en une copie pour la personne concernée.
- Rectifier : modifiez ou mettez en œuvre d’autres actions demandées sur les données à caractère personnel, le cas échéant.
- Limiter : limiter le traitement des données personnelles en supprimant les licences de différents services Azure ou en désactivant les services souhaités lorsque c’est possible. Vous pouvez également supprimer les données du cloud Microsoft et les conserver localement ou à un autre emplacement.
- Supprimer : supprimez définitivement des données à caractère personnel qui résidaient dans le cloud Microsoft.
- Exporter/Recevoir (Portabilité) : fournit une copie électronique (dans un format lisible par un ordinateur) des données ou des informations personnelles à la personne concernée. Les informations à caractère personnel sous CCPA englobent toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Le terme défini « informations personnelles » est à peu près aligné sur celui de « données personnelles » dans le RGPD. Toutefois, le CCPA inclut également les données relatives à la famille et au foyer. Pour plus d’informations sur le CCPA, voir le California Consumer Privacy Act et le Forum aux questions California Consumer Privacy Act.
Chaque section de ce guide décrit les procédures techniques qu’une organisation étant une entité de contrôle des données peut suivre pour répondre à une DPC pour des données personnelles dans le cloud Microsoft.
Terminologie
Vous trouverez ci-dessous la liste des définitions de termes utilisés dans ce guide.
- Responsable du traitement des données : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par la législation de l’Union ou des États membres, le responsable du traitement peut être désigné, ou les critères spécifiques relatifs à sa nomination être définis, par la législation de l’Union ou des États membres.
- Données personnelles et personne concernée par le traitement des données : informations relatives à une personne physique identifiée ou identifiable (« la personne concernée par le traitement des données ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identificateur par exemple, un nom, un numéro d’identification, des données de localisation, un identificateur en ligne, ou un ou plusieurs facteurs spécifiques de l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
- Sous-traitant de données : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
- Données client : toutes les données, y compris tous les fichiers texte, son, vidéo ou image et les logiciels qui ont été fournis à Microsoft par le client ou pour son compte dans le cadre du service d’entreprise. Les données client incluent à la fois (1) les informations d’identification des utilisateurs finaux (par exemple, les noms d’utilisateur et les informations de contact dans l’ID Microsoft Entra) et le contenu client qu’un client charge ou crée dans des services spécifiques (par exemple, le contenu client dans un compte de stockage Azure, le contenu client d’une base de données Azure SQL Ou l’image de machine virtuelle d’un client dans machines virtuelles Azure).
- Journaux générés par le système : journaux et données associées générés par Microsoft qui permettent à Microsoft de fournir des services d’entreprise aux utilisateurs. Les journaux générés par le système contiennent essentiellement des données pseudonymes, généralement un numéro généré par le système qui ne permet pas, en soi, d’identifier une personne individuelle, mais qui est utilisé pour fournir les services d’entreprise aux utilisateurs. Les journaux générés par le système peuvent également contenir des informations d’identification personnelle sur les utilisateurs finaux, telles qu’un nom d’utilisateur.
Comment utiliser ce guide
Ce guide est composé de deux parties :
- Partie 1 : Répondre aux demandes des personnes concernées pour des données client : la première partie de ce guide explique comment rectifier, limiter, supprimer et exporter des données dans des applications dans lesquelles vous avez créé des données, et comment y accéder. Cette section explique en détail comment exécuter des DPC par rapport à un contenu client et des informations d’identification personnelle d’utilisateurs finaux.
- Partie 2 : répondre aux demandes de personnes concernées pour les journaux générés par le système : lorsque vous utilisez les services d’entreprise de Microsoft, Microsoft génère des informations appelées Journaux générés par le système, pour fournir le service. La deuxième partie de ce guide explique comment supprimer et exporter ces informations pour Azure, et comment y accéder.
Présentation des DSR pour l’ID Microsoft Entra et Microsoft Intune
Lorsque vous envisagez les services fournis aux clients d’entreprise, l’exécution des DSR doit toujours être comprise dans le contexte d’un locataire Microsoft Entra spécifique. Notamment, les DSR sont toujours exécutées au sein d’un locataire Microsoft Entra donné. Si un utilisateur participe à plusieurs locataires, il est important de souligner qu’une DSR donnée est exécutée uniquement dans le contexte du locataire spécifique dans lequel la demande a été reçue. Ce contexte est essentiel à comprendre, car il signifie que l’exécution d’une DSR par un client d’entreprise n’aura pas d’impact sur les données d’un client d’entreprise adjacent.
Il en va de même pour Microsoft Intune fourni à un client d’entreprise : l’exécution d’une DSR sur un compte Intune associé à un locataire Microsoft Entraconcerne uniquement les données au sein du locataire. En outre, il est important de comprendre ce qui suit lors de la gestion des comptes Intune au sein d’un locataire :
- Si un utilisateur Intune crée un abonnement Azure, l’abonnement est géré comme s’il s’agissait d’un locataire Microsoft Entra. Par conséquent, les DSR sont délimitées au sein du locataire, comme décrit précédemment.
- Si un abonnement Azure créé via un compte Intune est supprimé, cela n’affectera pas le compte Intune réel. Là encore, comme indiqué précédemment, les DSR exécutées dans l’abonnement Azure sont limitées à l’étendue du locataire lui-même.
Les DSR sur un compte Intune lui-même, en dehors d’un locataire donné, sont exécutées via le tableau de bord de confidentialité du consommateur. Pour plus d’informations, reportez-vous au Guide de demande des personnes concernées Windows.
Partie 1 : Guide des DSR pour les données client
Exécution des DPC par rapport aux données client
Microsoft offre la possibilité d’accéder à, de supprimer et d’exporter certaines données client via le portail Azure, ainsi que directement via des interfaces de programmation d’applications (API) ou des interfaces utilisateur (UI) préexistantes pour des services spécifiques (également appelés expériences intégrées au produit). Vous trouverez des informations sur ces expériences intégrées au produit dans la documentation de référence des services respectifs.
Importante
Les services qui prennent en charge les DSRs du service nécessitent l’utilisation directe de l’interface de programmation d’application (API) ou de l’interface utilisateur (UI) du service, qui décrit les opérations de CRUD (Create, Read, Update, Delete) appropriées. Par conséquent, l’exécution de DSRs au sein d’un service donné doit être effectuée en plus de l’exécution d’un DSR dans le portail Azure afin de remplir une demande complète pour une personne donnée. Pour plus d’informations, consultez la documentation de référence des services spécifiques.
Étape 1 : Découvrir
La première étape pour répondre à un DPC consiste à trouver les données personnelles faisant l’objet de la demande. Cette première étape, à savoir la recherche et l’examen des données personnelles en cause, vous aidera à déterminer si une DSR répond aux exigences de votre organisation pour respecter ou refuser une DSR. Par exemple, après avoir trouvé et consulté les données personnelles en cause, vous pouvez déterminer si la demande ne respecte pas les exigences de votre organisation, car cela peut nuire aux droits et libertés d’autres personnes.
Lorsque vous avez trouvé les données, vous pouvez ensuite effectuer l’action spécifique pour satisfaire la demande de la personne concernée. Pour plus d’informations, consultez les ressources suivantes :
Étape 2 : Accéder
Une fois que vous avez trouvé les données client contenant des données personnelles susceptibles de répondre à un DSR, il vous incombe, et à votre organisation, de choisir les données à fournir à la personne concernée. Vous pouvez fournir une copie du document réel, une version biffée appropriée ou une capture d’écran des parties que vous avez jugées appropriées. Pour chacune de ces réponses à une demande d’accès, vous devez récupérer une copie du document ou d’un autre élément contenant les données réactives.
Lorsque vous fournissez une copie à la personne concernée, vous devrez peut-être supprimer ou modifier des informations personnelles sur d’autres personnes concernées et des informations confidentielles.
La section suivante explique comment obtenir une copie de données pour répondre à la demande d’accès d’une DPC.
Identifiant Microsoft Entra
Microsoft offre un portail et des expériences intégrées au produit permettant à l’administrateur client de l’entreprise cliente de gérer les demandes d’accès de personne concernée. Les demandes d’accès de personne concernée autorisent l’accès aux données à caractère personnel de l’utilisateur, à savoir : (a) les informations identifiables sur un utilisateur final et (b) les journaux générés par le service.
Interfaces propres au service
Microsoft Intune permet de découvrir des données client directement via les interfaces utilisateur (IU) ou les interfaces de programmation d’applications préexistantes (API).
Étape 3 : Rectifier
Si un objet de données vous a demandé de rectifier les données personnelles qui résident dans les données de votre organisation, vous et votre organisation devez déterminer s’il est approprié d’honorer la demande. La rectification des données peut inclure la prise d’actions telles que la modification, rédaction ou la suppression de données personnelles d’un document ou d’un autre type ou élément.
En tant que processeur de données, Microsoft n’offre pas la possibilité de corriger les journaux générés par le système, car il reflète des activités factuelles et constitue un enregistrement historique des événements au sein des services Microsoft. En ce qui concerne Intune, les administrateurs ne peuvent pas mettre à jour les informations spécifiques à l’appareil ou à l’application. Si un utilisateur final souhaite corriger des données personnelles (par exemple le nom de l’appareil), il doit le faire directement sur son appareil. Ces modifications sont synchronisées la prochaine fois qu’il se connecte à Intune.
Étape 4 : Restreindre
Les personnes concernées peuvent vous demander de restreindre le traitement de leurs données à caractère personnel. Nous fournissons le portail Azure et les interfaces de programmation d’applications (API) ou interfaces utilisateur (UI) préexistantes. Ces expériences permettent à l’administrateur client de l’entreprise cliente de gérer ces DPC via une combinaison d’exportation et de suppression de données. Pour plus d’informations, voir traitement de données personnelles.
Étape 5 : Supprimer
Le « droit à l’effacement » moyennant la suppression des données personnelles des données client d’une organisation est une protection essentielle du RGPD. La suppression des données personnelles inclut la suppression de toutes les données personnelles et journaux générés par le système, à l’exception des informations du journal d’audit. Pour plus d’informations, consultez Supprimer les données personnelles de l’utilisateur final.
Partie 2 : Journaux générés par le système
Les journaux d’audit indiquent aux administrateurs de locataires les activités qui génèrent un changement dans Intune. Ces journaux sont disponibles pour de nombreuses activités de gestion et généralement pour les actions de création, de mise à jour (modification), de suppression et d’affectation. Les tâches à distance qui génèrent des événements d’audit peuvent également être examinées. Ces journaux d’audit peuvent contenir des données personnelles des utilisateurs dont les appareils sont inscrits dans Intune. Les administrateurs ne peuvent pas supprimer les journaux d’audit. Pour plus d’informations, consultez Auditer les données personnelles.
Notification des problèmes d’exportation ou de suppression
Si vous rencontrez des problèmes lors de l’exportation ou de la suppression de données à partir du portail Azure, accédez au panneau Aide + support du portail Azure et envoyez un nouveau ticket sous Gestion des > abonnements Confidentialité et demandes de conformité pour le panneau Confidentialité des abonnements > et demandes RGPD.