Analyses d’impact sur la protection des données: conseils pour les contrôleurs de données qui utilisent Microsoft Office 365
Dans le cadre du Règlement général sur la protection des données (RGPD), les contrôleurs de données doivent préparer une analyse d’impact relative à la protection des données (DPIA) pour les opérations de traitement qui sont « susceptible(s) d’engendrer un risque élevé pour les droits et libertés des personnes physiques. » Aucun élément inhérent à Microsoft Office 365 n’exige la création d’une DPIA par un contrôleur de données qui utilise l’application. Au contraire, le caractère obligatoire d’une DPIA dépend des détails et du contexte dans lesquels vous, en qualité de contrôleur de données, déployez, configurez et utilisez Office 365.
La partie 1 de ce document fournit des informations sur Office 365 pour vous permettre, en tant que contrôleur de données, de déterminer si une DPIA est nécessaire. Si la réponse est « oui », les parties 2 et 3 du présent document fournissent des informations importantes de Microsoft qui peuvent vous aider à la préparer. Plus précisément, la partie 2 fournit des réponses applicables à tous les services Office 365 pour chacun des éléments requis dans une DPIA. La partie 3 fournit des informations supplémentaires spécifiques au produit relatives aux besoins d’informations les plus pertinents de nos clients dans le cadre de l’élaboration de leur propre DPIA. La partie 3 inclut également un document DPIA représentatif que vous pouvez télécharger et modifier pour faciliter la rédaction de votre DPIA.
Les applications et services Office 365 incluent, sans s’y limiter, Exchange Online, SharePoint Online, OneDrive Entreprise, Yammer et Microsoft Teams. Une liste plus complète des services disponibles via Office 365 peut être consultée dans les tableaux 1 et 2 du Guide sur la demande de la personne concernée Office 365.
Partie 1 : déterminer si une analyse d’impact relative à la protection des données est nécessaire
L’article 35 du RGPD impose au responsable du traitement de créer une analyse d’impact relative à la protection des données « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Il définit également les facteurs particuliers pouvant représenter un risque élevé, qui sont décrits dans le tableau suivant. Pour déterminer la nécessité d’une AIPD, vous devez, en tant que responsable du traitement, tenir compte de ces facteurs, ainsi que de tout autre facteur pertinent, en fonction des implémentations et utilisations spécifiques de Office 365.
| Facteur de risque | Informations utiles relatives à Office 365 |
|---|---|
| Une évaluation systématique et approfondie d’aspects personnels relatifs aux personnes physiques, basée sur un traitement automatisé, y compris le profilage, et sur laquelle se basent des décisions qui produisent des effets juridiques concernant la personne physique ou qui l’affectent de manière considérable. | Selon la configuration du contrôleur des données, Office 365 peut effectuer certain traitement automatisé de données, comme l’analyse d’Analytique Workplace qui permet au contrôleur des données de dériver des informations sur la manière dont les personnes collaborent au sein d’un organisation en fonction des informations d’en-tête de courrier et de votre calendrier à partir de boîtes aux lettres de l’utilisateur. Office 365 n’est pas conçu pour effectuer un traitement automatisé qui servirait de base aux décisions qui produisent des effets juridiques ou d’autres effets similaires importants sur les individus. Cependant, Office 365 étant un service hautement personnalisable, un responsable du traitement des données peut potentiellement l’utiliser pour traitement de ce type. |
| Traitement à grande échelle1 de catégories spéciales de données (données à caractère personnel révélant l’origine ethnique ou raciale d’un individu, ses opinions politiques, ses convictions religieuses ou philosophiques, ou son appartenance à un syndicat, ainsi que le traitement de données génétiques et biométriques dans l’unique but d’identifier une personne physique, de données sur la santé ou la vie sexuelle d’une personne physique, ou son orientation sexuelle), ou de données à caractère personnel relatives à des condamnations pénales et infractions | Office 365 n’est pas conçue pour traiter les catégories spéciales de données personnelles. Cependant, un responsable du traitement des données peut utiliser Office 365 pour traiter les catégories particulières de données citées. Office 365 est un service hautement personnalisable qui permet au client de suivre ou de traiter tout type de données personnelles, y compris des catégories particulières de données personnelles. Une telle utilisation est pertinente pour permettre à un responsable du traitement de déterminer la nécessité d’une AIPD. Mais en tant que sous-traitant, Microsoft n’a aucun contrôle sur une telle utilisation du logiciel et n’a que peu, voire pas, d’informations sur cette utilisation. |
| Surveillance systématique d’une zone publiquement accessible à grande échelle | Office 365 n’est pas conçu pour effectuer ou faciliter une surveillance de ce type. Toutefois, le contrôleur de données peut l’utiliser pour traiter des données collectées au cours d’une surveillance systématique. |
Notes
1 En ce qui concerne les critères relatifs au traitement « à grande échelle », la Raison 91 du RGPD précise que : « Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d’impact relative à la protection des données ne devrait pas être obligatoire. »
Partie 2 : contenu d’une AIPD
L’article 35(7) du RGPD stipule qu’une analyse d’impact relative à la protection des données précise les finalités du traitement et une description systématique des opérations de traitement envisagées. Dans les AIPD de Microsoft, la description systématique comprend des facteurs tels que les types de données traitées, la durée de conservation des données, la localisation et les transferts des données ainsi que les tiers qui peuvent avoir accès aux données. De plus, l’AIPD doit inclure :
- une évaluation du besoin et de la proportionnalité des opérations de traitement par rapport aux finalités prévues ;
- une évaluation des risques concernant les droits et les libertés des personnes physiques ; et
- les mesures envisagées pour éliminer les risques, y compris les dispositifs de protection, les mécanismes et les mesures de sécurité visant à garantir la protection des données à caractère personnel et à illustrer la conformité au Règlement général sur la protection des données en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes.
Le tableau suivant fournit des informations clés provenant de Microsoft qui peuvent vous aider à rédiger votre AIPD. Il contient des informations sur Office 365, pertinentes pour chacun des éléments nécessaires à la réalisation d’une AIPD. Comme indiqué dans la partie 1, les responsables du traitement doivent prendre en compte les détails fournis ci-dessous, ainsi que les détails de leurs implémentations et utilisations spécifiques de Office 365.
| Facteurs de Risque | Informations Utiles relatives à Office 365 |
|---|---|
| Finalité(s) de traitement | La(les) finalité(s) des traitements de données avec Office 365 est déterminée par le contrôleur qui implémente, configure et utilise le logiciel. Comme spécifié dans les Conditions d’utilisation des services en ligne (OST) et dans l’Addendum sur la protection des données, Microsoft, en qualité de responsable du traitement des données, traite les données client dans le but de fournir les services en ligne au client conformément aux instructions décrites du client. Comme décrit dans les Conditions d’utilisation des services en ligne (OST) et dans l’Addendum sur la protection des données, Microsoft utilise également les données personnelles pour prendre en charge un certain nombre d’opérations légitimes de l’entreprise, notamment : (1) la gestion de la facturation et des comptes ; (2) la compensation (par exemple, le calcul des commissions des employés et des avantages financiers pour les partenaires); (3) la création de rapports et modélisations internes (par exemple, prévisions, chiffre d’affaires, planification de capacité, stratégie de produit); (4) la lutte contre la fraude, le cybercrime ou les cyberattaques susceptibles d’affecter Microsoft ou les produits Microsoft. (5) l’amélioration des fonctionnalités principales de l’accessibilité, de la confidentialité ou de l’efficacité énergétique ; et (6) les rapports financiers et la conformité avec les obligations légales (conformément aux limites relatives à la divulgation des Données client décrites dans les Conditions d’utilisation du service en ligne). Microsoft est le contrôleur du traitement des données personnelles afin de prendre en charge ces activités légitimes de l’entreprise. En règle générale, Microsoft regroupe les données personnelles avant de les utiliser pour nos activités légitimes, en supprimant la capacité de Microsoft à identifier des personnes spécifiques, et utilise des données personnelles, dans le format le moins identifiable possible, qui prendra en charge le traitement nécessaire pour les opérations légitimes de l’entreprise. Microsoft n’utilisera pas les informations ou données client provenant de ces services pour le profilage ou à des fins publicitaires ou commerciales. |
| Catégories de données personnelles traitées | Données client : il s’agit de toutes les données, y compris les fichiers texte, audio, vidéo, images et logiciels, que les clients fournissent à Microsoft ou qui sont fournies au nom des clients via leur utilisation de Microsoft Online Services. Cela inclut les données que les clients chargent pour le stockage ou le traitement, ainsi que les personnalisations. Exemples de données client traitées dans Office 365 : le contenu des courriers électroniques dans Exchange Online, ainsi que les documents ou fichiers stockés dans SharePoint Online ou OneDrive entreprise. Données générées par le service : il s’agit de données générées ou provenant de Microsoft via le fonctionnement du service, telles que l’utilisation ou les données de performance. La plupart de ces données contiennent des identificateurs avec pseudonyme générés par Microsoft. Données de diagnostic : ces données sont collectées ou obtenues par Microsoft sur des logiciels installés localement par le client en relation avec le service en ligne, et peuvent également être appelés télémétrie. Ces données sont généralement identifiées par les attributs du logiciel installé localement ou l’ordinateur qui exécute ce logiciel. Données de support : il s’agit de données fournies à Microsoft par le client ou pour son compte (ou les données que le client autorise Microsoft à obtenir à partir d'un service en ligne) via un engagement auprès de Microsoft pour obtenir un support technique concernant les services en ligne. Les données client et les données de support n’incluent pas les données administrateur, comme ses coordonnées, les informations sur son abonnement et ses données de paiement, que Microsoft collecte et traite en sa capacité de contrôleur de données. |
| Rétention des données | Données client : Comme indiqué dans les termes de Protection des données dans les conditions des Services en ligne, Microsoft conserve les données client pour la durée de droit du client à utiliser le service et jusqu'à ce que toutes les données client soient supprimées ou retournées conformément aux instructions du client ou de la conditions des termes du contrat de Services en Ligne. À toutes heures jusqu’au terme de l’abonnement du client, le client aura la possibilité d’accéder, extraire et supprimer des données client stockées dans le service, objet dans certains cas aux fonctionnalités de produit spécifique destiné au risque de par inadvertance supprimer (par exemple, un dossier d’éléments récupérés Exchange), comme décrit plus en détails dans la documentation du produit. À l’exception des essais gratuits et des services LinkedIn, Microsoft conserve les données client stockées dans le service en ligne dans un compte à fonction limitée pendant 90 jours après l’expiration ou la résiliation de l’abonnement du client afin que le client puisse extraire les données. À la fin de cette période de rétention de 90 jours, Microsoft désactive le compte du client et supprime les données client. Données générées par le service : Ces données sont conservées pendant une période par défaut de 180 jours à partir de la collection de sites susceptible d’être plus longue que les périodes de rétention requises pour la sécurité des services ou pour répondre aux obligations légales et réglementaires. Pour plus d’informations sur la fonctionnalité de service qui permettent le client à supprimer des données personnelles conservées dans le service à tout moment, voir leGuide de Requêtes relatives aux données d’Office 365. |
| Emplacement et transferts de données personnelles | Comme décrit dans l'annexe 1 dans les termes du contrat de Protection des données de vos termes de Services en ligne, si le client configure son instance d’Office 1 en Australie, Canada, l’Union européenne, France, Inde, au Japon, Corée du Sud, au Royaume-Uni ou aux États-Unis, Microsoft stockeront le Suivez les données client au repos uniquement au sein de cet emplacement : (1) contenu boîte aux lettres (365) Exchange Online (corps du courrier électronique, des entrées de calendrier et le contenu des pièces jointes), contenu de site (2) SharePoint Online et les fichiers stockés au sein de site (3) les fichiers chargés vers OneDrive Entreprise pour le contenu de projet Professionnel et (4) téléchargé vers Project Online. Pour les données personnelles de l’Espace économique européen, de la Suisse et du Royaume-Uni, Microsoft veillera à ce que les transferts de données personnelles vers un pays tiers ou une organisation internationale soient soumis à des garanties appropriées, comme décrit dans l’article 46 de la RGPD. Outre les engagement de Microsoft sous les Clauses contractuelles standard pour les processeurs et d’autres contrats types, Microsoft continue de se conformer aux termes du bouclier de protection des données, mais n’y aura plus recours en tant que base pour le transfert de données personnelles de l’UE/EEA vers les États-Unis. |
| Partage de données avec des sous-processeurs tiers | Microsoft partage des données avec des tiers agissant en tant que sous-traitants pour prendre en charge des fonctions telles que le support client et technique, la maintenance du service et d’autres opérations. Tous les sous-traitants à qui Microsoft transfère des données client, des données de support ou des données personnelles auront conclu des accords écrits avec Microsoft qui ne sont pas moins protecteurs que les conditions de protection des données des conditions des services en ligne. Tous les sous-traitants tiers avec lesquels les données client des principaux services en ligne de Microsoft sont partagées sont inclus dans la liste des sous-traitants des services en ligne. Tous les sous-traitants tiers qui peuvent accéder aux données de support (y compris les données client que les clients choisissent de partager lors de leurs interactions avec le support) sont inclus dans la liste des prestataires de support commercial Microsoft. |
| Partage de données avec des tiers indépendants | Certains produits Office 365 incluent des options d’extensibilité qui permettent, au choix du responsable du traitement, le partage de données avec des tiers indépendants. Par exemple, Exchange Online est une plateforme extensible qui permet aux compléments ou connecteurs tiers de s’intégrer à Outlook et d’étendre les ensembles de fonctionnalités Outlook. Ces fournisseurs tiers de compléments ou de connecteurs agissent indépendamment de Microsoft, et leurs compléments ou connecteurs doivent être activés par les utilisateurs ou les administrateurs de l’entreprise, qui s’authentifient avec leur compte de complément ou de connecteur. Microsoft ne divulguera pas les données client, ni les données de support aux autorités, sauf si cela est requis par la loi. Si les autorités judiciaires demandent à Microsoft d’envoyer des données client ou des données de support, Microsoft tentera de faire en sorte que les autorités s’adressent directement au client pour obtenir ces données. S’il est contraint de divulguer des données client ou des données de support aux autorités, Microsoft enverra rapidement une notification au client et lui fournira une copie de la demande, sauf si la loi l’interdit. Sur réception d’une demande d’un tiers cherchant à obtenir des données client ou de support, Microsoft en informera rapidement le client, sauf si la loi l’interdit. Microsoft rejettera la demande, sauf si la loi exige de fournir ces données. Si la demande est valide, Microsoft tentera de faire en sorte que le tiers demande les données directement au client. |
| Droits des personnes concernées | Lorsqu’il opère en tant que sous-traitant, Microsoft met à la disposition des clients (les responsables du traitement des données) les données personnelles des personnes concernées et la capacité de répondre aux demandes des personnes concernées lorsqu’elles exercent leurs droits en vertu du RGPD. Nous le faisons d’une manière qui reste cohérente avec la fonctionnalité du produit et notre rôle en tant que sous-traitant. Si nous recevons une demande des personnes concernées du client pour exercer un ou plusieurs de ses droits en vertu du RGPD, nous redirigeons la personne concernée pour qu’elle fasse sa demande directement au responsable du traitement. Le Guide Office 365 concernant les demandes des personnes concernées fournit une description au responsable du traitement des données sur la manière de prendre en charge les droits des personnes concernées à l’aide des fonctionnalités de Office 365. Les demandes émanant de l'objet des données susceptible d'exercer des droits sous le RGPD pour les données personnelles traitées afin de prendre en charge les processus professionnels légitimes doivent être redirigées vers Microsoft, comme indiqué dans la Déclaration de confidentialité Microsoft. Microsoft regroupe généralement les informations personnelles avant de les utiliser pour nos activités légitimes et n’est pas en mesure d’identifier les données personnelles d’un individu en particulier dans le regroupement. Cela réduit considérablement le risque sur la confidentialité pour l’individu. Dans le cas où Microsoft n’est pas en mesure d’identifier la personne, elle ne peut pas prendre en charge les droits de l’objet de données pour l’accès, l’effacement, la portabilité, la restriction ou l’opposition au traitement. |
| Évaluation du besoin et de la proportionnalité des opérations de traitement par rapport aux finalités prévues | Cette évaluation dépend des besoins et des objectifs du contrôleur concernant le traitement. Les traitements réalisés par Microsoft doivent être nécessaires et proportionnels par rapport à la finalité, qui consiste à fournir les services au contrôleur de données. Microsoft s’y engage dans les conditions d’utilisation des services en ligne. |
| Évaluation des risques concernant les droits et les libertés des personnes concernées par les données | Les principaux risques en matière de droits et libertés des personnes concernées par les données lors de l’utilisation de Office 365 dépendent de la méthode et du contexte d’implémentation, de configuration et d’utilisation du logiciel par le contrôleur de données. Microsoft prend des mesures telles que l’anonymat ou le regroupement de données personnelles utilisées par Microsoft pour prendre en charge les opérations légitimes de l’entreprise afin de prendre en charge la fourniture des services, réduisant ainsi les risques d’un tel traitement aux sujets de données qui utilisent le service. Cependant, comme pour tous les services, les données personnelles stockées dans le service peuvent présenter un risque d’accès non autorisé ou de divulgation involontaire. Les mesures prises par Microsoft pour faire face à ces risques sont décrites dans les sections suivantes. |
| Mesures envisagées pour éliminer les risques, y compris les dispositifs de protection, les mécanismes et les mesures de sécurité visant à garantir la protection des données à caractère personnel et à démontrer la conformité au RGPD en tenant compte des droits et des intérêts légitimes des personnes concernées par le traitement des données | Microsoft s’engage à contribuer à protéger la sécurité des informations du client. Conformément aux dispositions de l’article 32 du RGPD, Microsoft a mis en œuvre, maintiendra et suivra les mesures techniques et organisationnelles appropriées, destinées à protéger les données client et les données de support contre tout accès, divulgation, altération, perte ou destruction accidentels, non autorisés ou illégaux. De plus, Microsoft respecte toutes les autres obligations établies dans le RGPD, qui s’appliquent aux processeurs de données, y compris, mais sans s’y limiter, les obligations concernant l’exécution d’analyses d’impact sur la protection des données et la conservation d’un enregistrement précis. Dans le cas où Microsoft traite les données personnelles pour ses opérations légitimes d’entreprise, elle respecte les obligations du RGPD qui s’appliquent aux contrôleurs de données. |
Partie 3 : les DPIAs sont difficiles, mais cette section peut vous aider
Si vous avez déterminé que votre organisation doit rédiger une DPIA, les informations contenues dans cette section sont conçues pour vous aider à simplifier le processus.
Cette section :
- fournit les éléments de service pertinents spécifiques au produit et à Office 365 et
- vous offre un modèle vierge DPIA que vous pouvez télécharger, modifier et utiliser pour élaborer votre propre DPIA.
Matrice des éléments du service DPIA
La matrice des éléments du service DPIA est une organisation de contenu qui peut être utile au fur et à mesure du processus de documentation de votre DPIA. Elle est organisée par service et fournit des informations spécifiques sur les produits, ainsi que des liens vers des documents qui peuvent vous aider à simplifier la préparation des réponses aux éléments DPIA requis.
Document DPIA personnalisable
Nous savons que la rédaction de DPIA peut prendre du temps. Bien que les DPIA des clients diffèrent en fonction de la configuration et de l’utilisation d’Office 365, le document suivant peut vous faire gagner du temps. Vous pouvez télécharger le document DPIA personnalisable sous forme de modèle d’illustration modifiable pour une prise en main rapide. Son utilisation est gratuite et il s’adapte à l’implémentation spécifique de votre service. Ce document ne doit pas être considéré comme un avis juridique fourni par Microsoft ou l’une de ses filiales. Si vous avez des questions concernant le processus de rédaction du DPIA, nous vous recommandons vivement de consulter votre avocat.