Transferts de données continus qui s’appliquent à tous les services de limites de données de l’UE

Il existe des scénarios dans lesquels Microsoft continuera à transférer des données hors de la limite de données de l’UE pour répondre aux exigences opérationnelles du service cloud, où les données stockées dans la limite de données de l’UE seront accessibles à distance par le personnel situé en dehors de la limite de données de l’UE, et où l’utilisation par un client des services de limites de données de l’UE entraînera le transfert de données hors de la limite de données de l’UE pour atteindre les résultats souhaités du client. Microsoft s’assure que tous les transferts de données client en dehors des limites de données de l’UE sont protégés par des mesures de sécurité détaillées dans nos contrats de services.

Accès à distance aux données stockées et traitées dans la limite de données de l’UE

Les services cloud Microsoft sont créés, gérés, sécurisés et gérés par des équipes d’experts du monde entier pour fournir aux clients le plus haut niveau de qualité de service, de support, de sécurité et de fiabilité. Ce modèle (connu sous le nom de modèle Microsoft DevOps) permet aux développeurs et au personnel des opérations de travailler en tandem pour créer, gérer et fournir les services en continu. Nous concevons nos services et processus pour optimiser la capacité de ces équipes à exploiter des services au-delà des limites sans nécessiter d’accès direct aux données client, en utilisant des outils automatisés pour identifier et résoudre les problèmes. Dans de rares cas lorsqu’un service est en panne ou nécessite une réparation qui ne peut pas être effectuée avec des outils automatisés, le personnel autorisé de Microsoft peut avoir besoin d’un accès à distance aux données stockées dans la limite de données de l’UE, y compris les données client. Cette section décrit comment Microsoft réduit l’accès à distance aux données client et restreint cet accès lorsqu’il doit se produire.

Microsoft utilise une approche multicouche pour protéger les données client contre les accès non autorisés par le personnel Microsoft, qui se compose à la fois d’employés de Microsoft et de ses filiales et du personnel sous-traitant d’organisations tierces qui aident les employés de Microsoft. Il n’y a pas d’accès par défaut aux données client ; l’accès est fourni au personnel Microsoft uniquement lorsqu’une tâche l’exige. L’accès aux données client doit avoir un but approprié, doit être limité à la quantité et au type de données client nécessaires pour atteindre l’objectif approprié, et où l’objectif ne peut être atteint que par le biais de ce niveau d’accès. Microsoft utilise des approbations d’accès juste-à-temps (JIT) qui ne sont accordées que pendant la durée nécessaire pour atteindre cet objectif. Microsoft s’appuie également sur le contrôle d’accès en fonction du rôle (RBAC), où l’accès individuel est soumis à des exigences strictes, telles que le principe du besoin de connaître, la formation continue obligatoire et la supervision par un ou plusieurs responsables. Pour accéder aux données client, le personnel Microsoft doit disposer d’une vérification des antécédents sur le fichier en règle, en plus de l’utilisation de l’authentification multifacteur dans le cadre des exigences de sécurité standard de Microsoft.

Le personnel Microsoft qui a accès aux données client fonctionne à partir de stations de travail d’administration sécurisées (SAP). Les SAP sont des ordinateurs à fonction limitée qui réduisent le risque de compromission des programmes malveillants, des attaques par hameçonnage, des sites web factices et des attaques pass-the-hash (PtH), entre autres risques de sécurité, et sont activés avec des contre-mesures destinées à rendre l’exfiltration des données difficile. Par exemple, le personnel Microsoft travaillant sur les SAP a un accès restreint à Internet sur ces appareils et ne peut pas accéder aux médias externes ou amovibles, car ces fonctionnalités sont bloquées dans l’implémentation saw. Le programme Microsoft SAW et environnement à haut risque a remporté le prix CSO50 de csoonline.com en 2020 et 2019.

Lorsque le personnel Microsoft doit accéder aux données client stockées sur des systèmes Microsoft à l’intérieur de la limite de données de l’UE depuis l’extérieur de la limite (considéré comme un transfert de données en vertu de la législation européenne sur la confidentialité, bien que les données restent dans l’infrastructure de centre de données Microsoft dans la limite de données de l’UE), nous nous appuyons sur la technologie qui garantit que ce type de transfert est sécurisé, avec un accès contrôlé et aucun stockage persistant au point d’accès à distance. Lorsqu’un tel transfert de données est nécessaire, Microsoft utilise un chiffrement de pointe pour protéger les données client au repos et en transit. Pour plus d’informations, voir La vue d’ensemble du chiffrement et de la gestion des clés.

En plus des contrôles décrits précédemment, les clients peuvent établir des contrôles d’accès supplémentaires pour de nombreux services cloud Microsoft en activant Customer Lockbox. L’implémentation de la fonctionnalité Customer Lockbox varie légèrement selon le service, mais Customer Lockbox garantit généralement que le personnel Microsoft ne peut pas accéder aux données client pour effectuer des opérations de service sans l’approbation explicite du client. Consultez Customer Lockbox dans Office 365, Customer Lockbox pour Microsoft Azure et Customer Lockbox dans Power Platform (préversion) pour obtenir des exemples de Customer Lockbox en action.

L’accès aux données client est également journalisé et surveillé par Microsoft. Microsoft effectue régulièrement des audits pour examiner et confirmer que les mesures de gestion des accès fonctionnent conformément aux exigences de la stratégie, y compris les engagements contractuels de Microsoft.

Pour plus d’informations, consultez les ressources suivantes :

Transferts de données initiés par le client

Transferts lancés par les clients dans le cadre des fonctionnalités de service

La limite de données de l’UE n’est pas destinée à interférer avec ou à restreindre les résultats de service que les clients souhaitent lorsqu’ils utilisent nos services. Par conséquent, si un administrateur client ou un utilisateur effectue une action dans les services qui lancent un transfert de données hors de la limite de données de l’UE, Microsoft n’empêchera pas ces transferts initiés par le client de se produire ; Cela perturberait les opérations commerciales normales des clients. Les transferts de données initiés par l’utilisateur en dehors de la limite de données de l’UE peuvent se produire pour diverses raisons, par exemple :

  • Un utilisateur accède aux données stockées dans la limite de données de l’UE lorsqu’il se déplace en dehors de la zone de limites de données de l’UE.
  • Un utilisateur choisit de communiquer avec d’autres utilisateurs physiquement situés en dehors de la limite de données de l’UE. Les exemples incluent l’envoi d’un e-mail, le lancement d’une conversation ou d’une communication vocale Teams, la messagerie vocale, les réunions géographiques croisées, etc.
  • Un utilisateur configure un service pour déplacer des données hors de la limite de données de l’UE.
  • Un utilisateur choisit de combiner les services de limites de données de l’UE avec d’autres offres Microsoft ou tierces ou des expériences connectées soumises à des conditions distinctes de celles qui s’appliquent aux services de limites de données de l’UE (par exemple en utilisant une expérience bing facultative disponible via les applications Microsoft 365, ou en utilisant un connecteur disponible pour synchroniser les données d’un service de limite de données de l’UE avec un compte que l’utilisateur peut avoir auprès d’un fournisseur autre que Microsoft).
  • Un administrateur client choisit de connecter les services de limites de données de l’UE à d’autres services proposés par Microsoft ou un tiers, lorsque ces autres services sont soumis à des conditions distinctes de celles qui s’appliquent aux services de limite de données de l’UE (par exemple, en configurant un service de limite de données de l’UE pour envoyer des requêtes à Bing, ou en établissant une connexion entre un service de limite de données de l’UE et un service hébergé auprès d’un fournisseur autre que Microsoft avec dont le client dispose également d’un compte).
  • Un utilisateur acquiert et utilise une application à partir d’un magasin d’applications présentée dans un service de limites de données de l’UE (le magasin Teams, par exemple), où l’application est soumise à des conditions distinctes de celles applicables au service de limite de données de l’UE, telles que le contrat de licence utilisateur final du fournisseur d’application.
  • Une organisation demande ou s’abonne à des services de sécurité professionnels, où Microsoft agit dans une capacité de centre d’opérations de sécurité à distance ou effectue des analyses d’investigation pour le compte (et dans le cadre de) du groupe de sécurité de l’organisation.

Répondre aux demandes de droits des personnes concernées par le RGPD dans le monde entier

Microsoft a implémenté des systèmes pour permettre à nos clients de répondre aux demandes de droits des personnes concernées (DSR) en vertu du Règlement général sur la protection des données (RGPD) (par exemple pour supprimer des données personnelles en réponse à une demande en vertu de l’article 17 du RGPD), car les clients le jugent approprié, et ces systèmes sont disponibles pour les clients dans le monde entier. Pour permettre à nos clients de maintenir la conformité au RGPD, les signaux DSR qui incluent des identificateurs d’utilisateur doivent être traités globalement pour garantir que toutes les données relatives à une personne concernée sont supprimées ou exportées comme demandé. Lorsque notre client détermine que la suppression de données est appropriée en réponse à une personne concernée qui demande que ses données personnelles soient supprimées, toutes les données personnelles relatives à cette personne concernée doivent être localisées et supprimées de tous les magasins de données de Microsoft, à la fois dans l’UE/AELE et en dehors de la limite de données de l’UE. De même, lorsqu’une demande d’exportation est envoyée par un administrateur client, Microsoft doit exporter vers l’emplacement de stockage spécifié par l’administrateur du client, même en dehors de la limite de données de l’UE, toutes les données personnelles relatives à cette personne concernée. Pour plus d’informations, consultez RGPD : Demandes des personnes concernées (DSR) .

Données personnelles pseudonymes dans les journaux générés par le système

Microsoft services en ligne créer des journaux générés par le système dans le cadre du fonctionnement normal du service. Actuellement, tous les journaux générés par le système sont agrégés globalement dans le États-Unis. Ces journaux générés par le système peuvent contenir des données personnelles pseudonymes. Voici quelques exemples de journaux générés par le système qui peuvent contenir des données personnelles pseudonymes :

  • Données relatives à l’utilisation de produits et de services tels que les journaux d’activité des utilisateurs
  • Données spécifiquement générées par l’interaction des utilisateurs avec d’autres systèmes

Le pseudonyme, tel que défini dans l’article 4(5) du RGPD, est le traitement des données personnelles afin qu’elles ne puissent plus être attribuées à une personne concernée spécifique sans utiliser d’informations supplémentaires. En d’autres termes, il prend des informations d’identification personnelle dans un enregistrement de données et les remplace par un ou plusieurs identificateurs artificiels, ou pseudonymes, protégeant ainsi l’identité de la personne concernée.

Microsoft exige que toutes les données personnelles figurant dans les journaux générés par le système soient pseudonymisées. Microsoft utilise diverses techniques pour pseudonymiser les données personnelles dans les journaux générés par le système, notamment le chiffrement, le masquage, la tokenisation et le flou des données. Quelle que soit la méthode spécifique de pseudonymisation, cela protège la confidentialité des utilisateurs en permettant au personnel microsoft autorisé d’utiliser les journaux système contenant uniquement les données personnelles qui ont subi l’étape de sécurité du pseudonyme. Cela permet à notre personnel de garantir la qualité, la sécurité et la fiabilité de nos services en ligne sans identifier ou réidentifier les utilisateurs. Par exemple, cela permet au personnel DevOps d’identifier l’étendue d’un problème de service entre les régions, y compris le nombre d’utilisateurs affectés dans une région donnée, sans que ce personnel puisse identifier ou réidentifier des personnes spécifiques. En cas d’accès non autorisé aux journaux générés par le système, le pseudonymisation contribue à protéger la confidentialité des utilisateurs.

En revanche, d’autres méthodes de protection de la vie privée des utilisateurs qui éliminent les données personnelles, telles que l’anonymisation, modifieraient définitivement les données de sorte qu’elles ne pouvaient pas être utilisées pour identifier un nombre unique d’événements ou d’occurrences, et élimineraient la possibilité de réidentifier les individus. Les contrôles sur la réidentification des individus à partir de journaux pseudonymisés sont les mêmes que les contrôles appliqués aux données client. Étant donné que les journaux générés par le système contiennent des informations sur des actions factuelles telles que le type, le contenu ou l’heure des transactions effectuées dans le cloud Microsoft, l’anonymisation compromettrait l’historique des actions, augmentant ainsi les risques de fraude et de sécurité.

Microsoft effectue plusieurs étapes pour limiter l’accès et l’utilisation des journaux générés par le système. Les contrôles de sécurité sont les suivants :

  • Réduction des données via l’implémentation de stratégies de rétention définies au temps de rétention minimal requis pour chaque type de journal.
  • Vérifications régulières et nettoyage des journaux générés par le système pour détecter les erreurs ou la non-conformité de la stratégie.
  • Utilisation limitée uniquement à des fins liées aux opérations de service.
  • Stratégies prises en charge par les contrôles d’accès limitant la réhydratation ou la réidentification des données personnelles de sorte qu’elles soient retournées à leur forme d’origine.

Données des services professionnels

Lorsque les clients fournissent des données Microsoft dans le cadre de l’engagement avec Microsoft pour des services de support ou de conseil payants, ces données sont des données de services professionnels, comme défini dans l’addendum sur la protection des données (DPA) microsoft. Les données des services professionnels sont actuellement stockées dans des centres de données microsoft États-Unis.

L’accès aux données des services professionnels pendant un engagement de support est limité aux systèmes de gestion de support approuvés utilisant des contrôles de sécurité et d’authentification, y compris l’authentification à deux facteurs et les environnements virtualisés, si nécessaire. Les autres membres du personnel Microsoft peuvent uniquement accéder aux données de services professionnels associées à un engagement spécifique en fournissant la justification métier nécessaire et l’approbation du responsable. Les données sont chiffrées à la fois en transit et au repos.

Les données de services professionnels fournies, obtenues et traitées pendant un engagement de conseil payant sont accessibles par l’équipe que le client engage pour fournir les services achetés. Des travaux sont en cours pour permettre aux clients de l’UE de spécifier que leurs données de services professionnels doivent être stockées et traitées dans la limite de données de l’UE.

Protection des clients

La protection des clients contre les attaques de plus en plus sophistiquées des États-nations et des acteurs criminels est une priorité absolue pour Microsoft. Les clients qui utilisent les services cloud hyperscale de Microsoft bénéficient de l’expertise approfondie de Microsoft et des investissements substantiels et continus dans la sécurité cloud. Microsoft a abordé la limite de données de l’UE avec l’impératif de ne pas compromettre sa capacité à continuer à fournir une sécurité de pointe aux clients, mais Microsoft cherche toujours à réduire au minimum les données auxquelles il doit accéder ou transférer en dehors de la limite de données de l’UE pour effectuer ce travail important. Cette section décrit en détail les pratiques de minimisation des données que Microsoft suit et certains des défis auxquels Microsoft est confronté lors de la protection des clients.

Détection des menaces

Les acteurs malveillants, y compris les états-nations et les groupes criminels avancés, ciblent régulièrement des organisations dans l’écosystème informatique pour accéder aux données, introduire des rançongiciels ou causer d’autres dommages. Ces acteurs malveillants opèrent à l’échelle mondiale, lançant des attaques géo-distribuées pour échapper à la détection. En raison de la sophistication et de la créativité de ces attaquants, Microsoft peut uniquement détecter ces menaces en analysant les données contextuelles sur les menaces au-delà des limites géographiques. Les équipes de sécurité Microsoft utilisent diverses stratégies pour détecter et bloquer les activités malveillantes. Il s’agit notamment de modèles Machine Learning spécialisés qui doivent être paramétrés pour détecter les comportements anormaux et malveillants spécifiques à l’infrastructure services en ligne de Microsoft. Les équipes de sécurité Microsoft entraînent ces modèles de manière centralisée dans le États-Unis, puis déploient les modèles Machine Learning localement pour nos clients dans le monde entier dans le cadre du réseau de détection de Microsoft. Étant donné que les acteurs malveillants attaquent souvent de nombreux clients à la fois, les équipes de sécurité Microsoft recherchent des modèles d’attaque courants sur plusieurs locataires et lient ces modèles à des acteurs malveillants spécifiques.

Pour réduire l’impact sur la confidentialité de ce travail, les équipes de sécurité de Microsoft limitent les transferts en cours vers les journaux générés par le service et les informations de configuration du service nécessaires pour détecter les premiers indicateurs d’activité malveillante ou de violation. Les données personnelles incluses dans ces journaux sont constituées de certaines données d’authentification d’entreprise, provenant des journaux Azure Active Directory, et de données personnelles pseudonymes provenant d’autres systèmes nécessaires pour identifier les modèles d’activité associés aux acteurs des menaces. Ces informations sont consolidées et stockées dans le États-Unis pour le travail de détection des menaces décrit précédemment. Toutes les données personnelles sont transférées et protégées conformément à la DPA et à tout autre engagement contractuel applicable.

Enquête sur les menaces

Microsoft utilise un modèle opérationnel de suivi du soleil avec des équipes d’analystes des menaces de sécurité situées dans le monde entier qui peuvent examiner en permanence lors d’un incident de sécurité potentiel. Beaucoup sont des spécialistes avec des années d’expertise spécifique dans les adversaires régionaux, ce qui est essentiel pour répondre efficacement à une menace identifiée et ne peut pas être facilement dupliqué au personnel dans d’autres emplacements. En faisant fonctionner une équipe mondiale d’experts, Microsoft garantit qu’elle dispose de l’expertise nécessaire pour suivre et répondre aux attaques les plus complexes à tout moment de la journée, où que vous soyez dans le monde.

Comme pour la détection des menaces, Microsoft mène des enquêtes de sécurité conformément aux pratiques de minimisation des données. Dans un premier temps, les équipes d’analystes examinent en analysant les données limitées utilisées pour la détection des menaces (comme décrit précédemment). Si l’accès à des données client supplémentaires est nécessaire, les analystes de sécurité s’appuient sur des mécanismes d’accès à distance cohérents avec la description de la section Accès à distance aux données stockées et traitées dans la limite de données de l’UE de cet article. Ce n’est que lorsque l’enquête détermine que la menace est de nature globale ou qu’elle ne peut être comprise que dans un jeu de données global que les équipes de sécurité transfèrent des données client limitées en dehors de la zone géographique dans laquelle elles résident pour une analyse plus approfondie ou une corrélation entre des incidents similaires. Ces données sont transférées uniquement lorsqu’il existe une indication claire d’activité malveillante, que le transfert est nécessaire pour la protection des clients et conformément aux protections détaillées dans le DPA et tout autre engagement contractuel applicable. Les données transférées pour les enquêtes de sécurité sont stockées dans le États-Unis, au Royaume-Uni et/ou en Inde et l’accès est limité uniquement à des fins de sécurité. Toutes ces données transférées sont supprimées lorsqu’elles ne sont plus nécessaires pour atteindre l’objectif de sécurité.

Services en préversion/versions d’évaluation

Seuls les services généralement disponibles sont inclus dans la limite de données de l’UE. Les services en préversion ou mis à disposition sous forme d’essai gratuit ne sont pas inclus.

Services déconseillés

Les services qui, depuis le 31 décembre 2022, ont été annoncés comme déconseillés, ne sont pas inclus dans la limite de données de l’UE. Les services cloud Microsoft suivent la politique de cycle de vie moderne et, dans la plupart des cas, lorsque nous avons annoncé qu’un service est déprécié, nous avons également recommandé une offre de produit alternative ou successeur qui est dans l’étendue de la limite de données de l’UE. Par exemple, Microsoft Stream (Classic) est un service vidéo d’entreprise pour Microsoft 365 remplacé par Stream (sur SharePoint). Bien que des dates de dépréciation spécifiques pour Stream (Classic) n’aient pas encore été annoncées, les clients ont été informés que Stream (Classic) sera déprécié en 2024. Des conseils de migration et des outils en préversion publique sont disponibles pour aider les clients à migrer vers Stream (sur SharePoint), qui se trouve dans la limite de données de l’UE.

Logiciels locaux et applications clientes

Les données stockées dans les logiciels locaux et les applications clientes ne sont pas incluses dans la limite de données de l’UE, car Microsoft ne contrôle pas ce qui se passe dans les environnements locaux des clients. Les données de diagnostic générées à partir de l’utilisation de logiciels locaux et d’applications clientes ne sont pas non plus incluses dans la limite de données de l’UE. Si des données provenant d’un logiciel local sont fournies à Microsoft par ou pour le compte du client par le biais d’un service de limites de données de l’UE, ces données sont des données client dans le service de limite de données de l’UE qui reçoit, sous réserve des exceptions dans le contrat de services et décrites dans cette documentation.

Données d’annuaire

Les services de limites de données de l’UE peuvent répliquer des données d’annuaire en dehors de la limite de données de l’UE à partir d’Azure Active Directory, y compris le nom d’utilisateur et l’adresse e-mail, afin d’activer l’authentification dans un service de limite de données de l’UE et d’obtenir des autorisations pour accéder aux données au sein d’un service de limites de données de l’UE.

Transit réseau

Pour réduire la latence de routage et maintenir la résilience du routage, Microsoft utilise des chemins réseau variables qui peuvent parfois entraîner le routage du trafic client en dehors de la limite de données de l’UE.