Conformité et confidentialité des données

  • Article

Microsoft s’engage envers les plus hauts niveaux de confiance, de transparence, de conformité aux normes et de conformité réglementaire. La large suite de produits et services cloud de Microsoft est entièrement conçue pour répondre aux exigences de sécurité et de confidentialité les plus rigoureuses de nos clients.

Pour aider votre organisation à se conformer aux exigences nationales, régionales et spécifiques au secteur régissant la collecte et l’utilisation des données individuelles, Microsoft propose l’ensemble d’offres de conformité (y compris des certifications et des attestations) le plus complet de tous les fournisseurs de services cloud. Il existe également des outils destinés aux administrateurs pour soutenir les efforts de votre organisation. Dans cette partie du document, nous allons aborder plus en détail les ressources disponibles pour vous aider à déterminer et à remplir vos propres exigences organisationnelles.

Centre de gestion de la confidentialité

Le centre de gestion de la confidentialité de Microsoft est une ressource centralisée pour obtenir les informations relatives au portefeuille des produits de Microsoft. Cela inclut des informations sur la sécurité, la confidentialité, la conformité et la transparence. Même si ce contenu contient certains sous-ensembles de ces informations pour Power Apps, il est important de se référer toujours au centre de gestion de la confidentialité Microsoft pour que les informations les plus à jour y figurent.

Pour une référence rapide, vous pouvez trouver les informations du Centre de gestion de la confidentialité Microsoft Power Platform ici : https://www.microsoft.com/trust-center/product-overview. Cela comprendra des informations sur Power Apps, Microsoft Power Automate et Power BI.

Emplacement des données

Microsoft gère plusieurs centres de données dans le monde entier qui soutiennent les applications de Microsoft Power Platform. Lorsque votre organisation établit un client, il établit l’emplacement géographique par défaut. En outre, lors de la création des environnements pour soutenir les applications et contenir les données Microsoft Dataverse, les environnements peuvent être ciblés pour une géographie spécifique. Une liste actuelle des géographies pour Microsoft Power Platform est disponible ici https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Pour soutenir la continuité des opérations, Microsoft peut répliquer les données vers d’autres régions au sein d’une géographie, mais les données ne se déplaceront pas en dehors de la géographie pour soutenir la résilience des données. Cela prend en charge la capacité de basculer ou de récupérer plus rapidement en cas de panne grave. Certaines exceptions raisonnables existent pour conserver les données dans la géographie spécifique ; elles sont répertoriées sur le site ci-dessus et principalement axées sur l’aspect juridique et le support. Il est également important de noter que vous ou vos utilisateurs pouvez prendre des mesures qui exposent les données à l’extérieur de la géographie. D’autres services peuvent être également configurés pour accéder aux données et les exposer en dehors de la géographie. Par défaut, les utilisateurs autorisés peuvent accéder à la plateforme et vos applications et données provenant du monde entier où la connectivité est de mise.

Protection des données

Les données en transit entre les appareils de l’utilisateur et les centres de données Microsoft sont sécurisées. Les connexions établies entre les clients et les centres de données Microsoft sont chiffrées et tous les points de terminaison publics sont sécurisés à l’aide du protocole TLS standard. TLS établit efficacement une connexion avec sécurité optimale entre le navigateur et le serveur pour garantir que la confidentialité et l’intégrité des données sont préservées entre les ordinateurs de bureau et les centres de données. L’accès API du point de terminaison client au serveur est également protégé de la même manière. Actuellement, TLS 1.2 (ou version ultérieure) est requis pour accéder aux points de terminaison du serveur.

Les données transférées via la passerelle de données locale sont également chiffrées. Les données que les utilisateurs chargent sont généralement envoyées vers le stockage Azure Blob et toutes les métadonnées et les artefacts pour le système lui-même sont stockés dans une base de données Azure SQL et le stockage Table Azure.

Tous les environnements de la base de données Dataverse utilisent le chiffrement transparent des données (TDE) de Microsoft SQL Server pour effectuer le chiffrement en temps réel des données lorsqu’elles sont écrites sur le disque, également appelé Chiffrement au repos.

Par défaut, Microsoft enregistre et gère les clés de chiffrement de base de données pour vos environnements des applications. La fonctionnalité de gestion des clés du Centre d’administration Power Platform permet aux administrateurs d’autogérer les clés de chiffrement de base de données associées aux environnements des applications Dynamics 365 (online). Pour en savoir plus sur la gestion de vos propres clés, rendez-vous ici mais il est généralement recommandé de laisser Microsoft gérer les clés sauf si vous avez un besoin spécifique de conserver les vôtres.

Ressources pour la gestion de la conformité au RGPD

Le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) accorde des droits importants aux personnes concernant leurs données. Consultez Microsoft Learn Résumé du règlement général sur la protection des données pour une vue d’ensemble du RGPD, y compris la terminologie, un plan d’action et des listes de contrôle de préparation pour vous aider à respecter vos obligations en vertu du RGPD lors de l’utilisation des produits et services Microsoft.

Vous pouvez en savoir plus sur le RGPD et sur la manière dont Microsoft aide à le prendre en charge, ainsi que sur nos clients concernés.

  • Le Centre de gestion de la confidentialité Microsoft fournit des informations générales, les meilleures pratiques de conformité et une documentation utile à la responsabilité du RGPD, telles que les évaluations d’impact sur la protection des données, les demandes des personnes concernées et la notification de violation de données.
  • Le portail d’approbation de services fournit des informations sur la manière dont les services Microsoft contribuent à la conformité au RGPD.

En tant qu’administrateur, une des activités principales dans le cadre du soutien de la protection des données personnelles sera liée aux droits des personnes concernées. Il s’agit de requêtes officielles d’une personne concernée à un contrôleur des données (probablement votre organisation) pour agir sur ses données personnelles dans vos systèmes. Les personnes concernées ont le droit d’obtenir des copies, demander des corrections, limiter le traitement des données, supprimer les données et recevoir les copies sous un format électronique afin de pouvoir les passer à un autre contrôleur de données.

Les liens suivants présentent des informations détaillées quant à la réponse aux demandes de DSR selon les fonctionnalités que votre organisation utilise.

Zone de fonctionnalité de la plateforme Lien vers les étapes de réponse détaillées
Power Apps Répondre aux demandes de droits de la personne concernée (DSR) pour exporter les données client Power Apps
Dataverse Répondre aux demandes de DSR pour les données client Dataverse
Power Automate Répondre aux demandes de la personne concernée par les données pour Power Automate
Comptes Microsoft Répondre aux demandes de droits de la personne concernée
Applications Customer Engagement Demandes des données de la personne concernée Dynamics 365 pour la protection des données personnelles

Centre de conformité et de sécurité de Microsoft 365

Utilisez le gestionnaire de conformité Microsoft Purview pour gérer vos efforts de conformité au mieux dans les services cloud Microsoft dans un seul emplacement.

Événements des journaux d’audit Power Automate

Dans le centre de conformité Recherche des journaux d’audit, les administrateurs peuvent rechercher et afficher les événements Power Automate. Parmi les évènements figurent : flux créé, flux modifié, flux supprimé, autorisations modifiées, autorisations supprimées, version d’évaluation payante démarrée, version d’évaluation renouvelée. Avec le portail, vous pouvez choisir ce que vous souhaitez rechercher ainsi qu’une période.

  1. Connectez-vous au portail de conformité Microsoft Purview.

  2. Sous Solutions, sélectionnez Audit.

  3. Sous Activités, sélectionnez les activités Power Automate à auditer.

    Sélectionnez les activités Power Automate à auditer.

  4. Sélectionnez Rechercher.

  5. Lorsque la recherche est terminée, sélectionnez-la pour voir la liste des activités associées.

    Liste des activités Power Automate.

  6. Sélectionnez une ligne dans la liste pour voir les détails de l’activité.

    Liste des activités Power Automate.

Les données d’audit sont conservées pendant 90 jours. Vous pouvez faire des exportations CDSV des données permettant de les passer dans Excel ou PowerBI pour une analyse ultérieure. Vous trouverez une procédure complète sur l’utilisation des informations d’audit ici : https://flow.microsoft.com/blog/security-and-compliance-center/