Partager via

Conformité et confidentialité des données

  • Article

Microsoft s’engage à respecter les plus hauts niveaux de confiance, de transparence, de conformité aux normes et de conformité réglementaire. MicrosoftLa vaste gamme de produits et services cloud de est entièrement conçue pour répondre aux exigences les plus rigoureuses de nos clients en matière de sécurité et de confidentialité.

Pour aider votre organisation à se conformer aux exigences nationales, régionales et sectorielles régissant la collecte et l’utilisation des données individuelles, Microsoft fournit l’ensemble le plus complet d’offres de conformité (y compris les certifications et les attestations) de tous les fournisseurs de services cloud. Il existe également des outils destinés aux administrateurs pour soutenir les efforts de votre organisation. Dans cette partie du document, nous allons aborder plus en détail les ressources disponibles pour vous aider à déterminer et à remplir vos propres exigences organisationnelles.

Centre de gestion de la confidentialité

Le Microsoft Trust Center est une ressource centralisée permettant d’obtenir des informations sur le portefeuille de produits de Microsoft. Cela inclut des informations sur la sécurité, la confidentialité, la conformité et la transparence. Bien que ce contenu puisse contenir un sous-ensemble de ces informations pour Power Apps, il est important de toujours se référer au Microsoft Centre de confiance pour obtenir les informations officielles les plus récentes.

Pour une référence rapide, vous pouvez trouver les informations du Centre de gestion de la confidentialité Microsoft Power Platform ici : https://www.microsoft.com/trust-center/product-overview. Cela comprendra des informations sur Power Apps, Microsoft Power Automate et Power BI.

Emplacement des données

Microsoft exploite plusieurs centres de données dans le monde entier qui prennent en charge les applications de la plateforme Power. Microsoft Lorsque votre organisation établit un client, il établit l’emplacement géographique par défaut. En outre, lors de la création des environnements pour soutenir les applications et contenir les données Microsoft Dataverse, les environnements peuvent être ciblés pour une géographie spécifique. Une liste actuelle des géographies pour Microsoft Power Platform est disponible ici https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Pour assurer la continuité des opérations, les données peuvent être répliquées vers d’autres régions d’une zone géographique, mais les données ne seront pas déplacées en dehors de la zone géographique pour assurer la résilience des données. Microsoft Cela prend en charge la capacité de basculer ou de récupérer plus rapidement en cas de panne grave. Certaines exceptions raisonnables existent pour conserver les données dans la géographie spécifique ; elles sont répertoriées sur le site ci-dessus et principalement axées sur l’aspect juridique et le support. Il est également important de noter que vous ou vos utilisateurs pouvez prendre des mesures qui exposent les données à l’extérieur de la géographie. D’autres services peuvent être également configurés pour accéder aux données et les exposer en dehors de la géographie. Par défaut, les utilisateurs autorisés peuvent accéder à la plateforme et vos applications et données provenant du monde entier où la connectivité est de mise.

Protection des données

Les données en transit entre les appareils des utilisateurs et les centres de données sont sécurisées. Microsoft Les connexions établies entre les clients et les centres de données sont cryptées et tous les points de terminaison publics sont sécurisés à l’aide du protocole TLS standard du secteur. Microsoft TLS établit efficacement une connexion avec sécurité optimale entre le navigateur et le serveur pour garantir que la confidentialité et l’intégrité des données sont préservées entre les ordinateurs de bureau et les centres de données. L’accès API du point de terminaison client au serveur est également protégé de la même manière. Actuellement, TLS 1.2 (ou version ultérieure) est requis pour accéder aux points de terminaison du serveur.

Les données transférées via la passerelle de données locale sont également chiffrées. Les données que les utilisateurs chargent sont généralement envoyées vers le stockage Azure Blob et toutes les métadonnées et les artefacts pour le système lui-même sont stockés dans une base de données Azure SQL et le stockage Table Azure.

Tous les environnements de la base de données Dataverse utilisent le chiffrement transparent des données (TDE) de Microsoft SQL Server pour effectuer le chiffrement en temps réel des données lorsqu’elles sont écrites sur le disque, également appelé Chiffrement au repos.

Par défaut, Microsoft stocke et gère les clés de chiffrement de base de données pour vos environnements afin que vous n’ayez pas à le faire. La fonctionnalité de gestion des clés du Centre d’administration Power Platform permet aux administrateurs d’autogérer les clés de chiffrement de base de données associées aux environnements des applications Dynamics 365 (online). Vous pouvez en savoir plus sur la gestion de vos propres clés ici mais il est généralement recommandé de laisser Microsoft gérer les clés, sauf si vous avez un besoin professionnel spécifique de gérer les vôtres.

Ressources pour la gestion de la conformité au RGPD

Le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) accorde des droits importants aux personnes concernant leurs données. Consultez le Microsoft Learn résumé de Règlement général sur la protection des données pour obtenir un aperçu de RGPD, y compris la terminologie, un plan d’action et des listes de contrôle de préparation pour vous aider à respecter vos obligations en vertu de RGPD lorsque vous utilisez Microsoft des produits et services.

Vous pouvez en apprendre davantage sur RGPD et sur la manière dont nous pouvons le soutenir ainsi que nos clients qui en sont affectés. Microsoft

  • Le Microsoft Centre de confiance fournit des informations générales, des bonnes pratiques de conformité et de la documentation utile à la RGPD responsabilité, telles que les évaluations d’impact sur la protection des données, les demandes des personnes concernées et la notification des violations de données.
  • Le portail Service Trust fournit des informations sur la manière dont les services Microsoft contribuent à la conformité avec RGPD.

En tant qu’administrateur, une des activités principales dans le cadre du soutien de la protection des données personnelles sera liée aux droits des personnes concernées. Il s’agit de requêtes officielles d’une personne concernée à un contrôleur des données (probablement votre organisation) pour agir sur ses données personnelles dans vos systèmes. Les personnes concernées ont le droit d’obtenir des copies, demander des corrections, limiter le traitement des données, supprimer les données et recevoir les copies sous un format électronique afin de pouvoir les passer à un autre contrôleur de données.

Les liens suivants présentent des informations détaillées quant à la réponse aux demandes de DSR selon les fonctionnalités que votre organisation utilise.

Zone de fonctionnalité de la plateforme Lien vers les étapes de réponse détaillées
Power Apps Réponse aux demandes de droits des personnes concernées (DSR) pour exporter Power Apps des données client
Dataverse Réponse aux demandes de droits des personnes concernées (DSR) pour les données client Dataverse
Power Automate Répondre aux demandes des personnes concernées pour Power Automate
Microsoft Comptes (MSA) Répondre aux demandes relatives aux droits des personnes concernées
Applications Customer Engagement Demandes de confidentialité des personnes concernées par Dynamics 365

Centre de conformité et de sécurité de Microsoft 365

Utilisez Microsoft Purview Compliance Manager pour gérer vos efforts de conformité sur les Microsoft services cloud en un seul endroit.

Événements des journaux d’audit Power Automate

Dans le centre de conformité Recherche des journaux d’audit, les administrateurs peuvent rechercher et afficher les événements Power Automate. Parmi les évènements figurent : flux créé, flux modifié, flux supprimé, autorisations modifiées, autorisations supprimées, version d’évaluation payante démarrée, version d’évaluation renouvelée. Avec le portail, vous pouvez choisir ce que vous souhaitez rechercher ainsi qu’une période.

  1. connectez-vous au portail de conformité Purview Microsoft .

  2. Sous Solutions, sélectionnez Audit.

  3. Sous Activités, sélectionnez les activités Power Automate à auditer.

    Sélectionnez les activités Power Automate à auditer.

  4. Sélectionnez Rechercher.

  5. Lorsque la recherche est terminée, sélectionnez-la pour voir la liste des activités associées.

  6. Sélectionnez une ligne dans la liste pour voir les détails de l’activité.

Les données d’audit sont conservées pendant 90 jours. Vous pouvez faire des exportations CDSV des données permettant de les passer dans Excel ou PowerBI pour une analyse ultérieure. Vous trouverez une procédure complète sur l’utilisation des informations d’audit ici : https://flow.microsoft.com/blog/security-and-compliance-center/