Vue d’ensemble de la confidentialité et de la gestion des données
Comment Microsoft aborde-t-il la confidentialité pour les clients ?
Microsoft s’engage à protéger les données client comme indiqué dans les Conditions du produit et l’Addendum sur la protection des données (DPA). La base de l’approche de Microsoft en matière de confidentialité pour les clients commerciaux repose sur les principes suivants : vous contrôlez vos données, en sachant où se trouvent vos données et comment elles sont utilisées, la sécurité de vos données au repos et en transit, et la défense des données contre l’accès tiers.
Comment Microsoft met-il en œuvre ses engagements en matière de confidentialité ?
Microsoft respecte ses engagements en matière de confidentialité par le biais de la Politique de confidentialité de Microsoft et de la Norme de confidentialité Microsoft. Pour garantir une adoption cohérente et conforme de ces exigences, Microsoft a mis en place des conseils de gouvernance, des conseils et des comités. Notre programme de confidentialité utilise un modèle de gouvernance « hub and spoke », où les responsabilités de conformité sont partagées au sein de l’entreprise. Le « hub » est le groupe DEC (Corporate, External, and Legal Affairs), qui comprend le chef de la protection de la vie privée, responsable de la gouvernance de la protection de la vie privée. En outre, nous avons désigné un délégué à la protection des données (DPO ) de l’Union européenne (UE) pour répondre aux exigences de confidentialité propres à l’UE. Les « rayons » font partie de nos groupes d’ingénierie et fonctionnels et sont responsables de la mise en œuvre des exigences de confidentialité.
Microsoft répond à ses exigences en matière de confidentialité par le biais d’audits et de certifications tiers, telles que ISO 27018 et ISO 27701.
Comment Microsoft collecte et traite-t-il les données client ?
Le DPA définit trois catégories de données : données client, données personnelles et données de services professionnels.
Microsoft traite les données de ces catégories pour fournir des produits et des services conformément aux instructions documentées des clients et pour les opérations commerciales. En termes simples, Microsoft traite les données pour la prestation de services, la résolution des problèmes, la maintenance et l’amélioration. Les données ne sont pas utilisées pour le profilage utilisateur, la publicité ou l’étude de marché.
Des descriptions détaillées de ces activités se trouvent dans les sections DPA « Traitement pour fournir au client les produits et services » et « Traitement des incidents des opérations commerciales pour fournir les produits et services au client ».
Comment Microsoft garantit-il la confidentialité des données client ?
Le modèle de gouvernance de la confidentialité de Microsoft garantit que les contrôles de confidentialité protègent la confidentialité des données client. Ces contrôles sont détaillés dans nos rapports tiers, tels que iso 27001 et 27701, accessibles via le portail d’approbation de services. Ces rapports couvrent entre autres les contrôles relatifs à la minimisation des données, à la rétention/suppression, à l’emplacement et au transfert et au partage.
Voici quelques mesures clés à noter :
- Accès aux données : Microsoft suppose que toutes les données client incluent des données personnelles et applique des protections appropriées sans accéder aux données pour vérifier leur contenu.
- Traitement des données : Microsoft pseudonyme et agrège les données pour protéger la confidentialité. Pour plus d’informations, reportez-vous au DPA .
- Isolation des données : Microsoft utilise des techniques d’isolation des données pour séparer les locataires cloud, garantissant ainsi que les clients peuvent uniquement accéder à leurs propres données. Pour en savoir plus sur la façon dont le contenu client est isolé ou séparé, consultez l’article Vue d’ensemble de l’architecture . En outre, Microsoft interdit l’utilisation des données client dans les environnements de test.
Que fait Microsoft pour sécuriser les données client ?
Comme indiqué dans le DPA, Microsoft dispose de protections pour protéger les données client. Plusieurs articles de Service Assurance fournissent une vue d’ensemble de ces protections. Reportez-vous à des sections telles que Chiffrement, Gestion des accès, Sécurité du centre de données et du réseau , Gestion du personnel et des fournisseurs et Gestion des vulnérabilités.
Comment Microsoft gère-t-il le partage de données tiers ?
Le partage avec les tiers est le partage ou la divulgation de données à des tiers. Microsoft ne partage les données que lorsqu’elle est autorisée par le client ou si elle est requise par la loi applicable. Microsoft n’octroie à aucune administration (y compris aux forces de l’ordre ou aux autres entités gouvernementales) un accès direct ou sans entrave aux données client. Pour plus d’informations, consultez le rapport de demande d’application de la loi et le rapport d’ordonnance de sécurité nationale des États-Unis pour découvrir comment Microsoft répond aux demandes du gouvernement d’accéder aux données.
Microsoft utilise-t-il des sous-traitants ou des sous-traitants ?
Pour plus d’informations sur la façon dont Microsoft gère les fournisseurs, consultez la page Gestion des fournisseurs.
Qui a accès aux données client au sein de Microsoft ?
Pour savoir comment Microsoft gère l’accès aux données client, consultez la page Gestion des identités et des accès .
Où se trouvent les données client ?
Pour Core Online Services, consultez nos engagements décrits dans les Conditions du produit et le DPA pour trouver les informations les plus récentes sur l’emplacement des données client.
Comme décrit dans le DPA pour les principaux services en ligne, Microsoft stocke les données client au repos dans certaines zones géographiques principales (chacune, une zone géographique) comme indiqué dans les Conditions du produit. Pour les services commerciaux dans le cadre de la limite de données Microsoft UE, Microsoft stocke et traite les données client au sein de l’Union européenne, comme indiqué dans les Conditions du produit. Microsoft ne contrôle pas ou ne limite pas les régions à partir desquelles le client ou les utilisateurs finaux du client peuvent accéder aux données client ou les déplacer.
Pour en savoir plus, consultez Confidentialité Microsoft - Où se trouvent vos données .
Pour les services Azure et M365, consultez Résidence des données Azure et Emplacements des données M365.
Autres emplacements de données de services :
- Azure DevOps Services
- Identifiant Microsoft Entra
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour Identity stratégie de données personnelles
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Services professionnels Microsoft
- Protection Microsoft contre les menaces
Qu’est-ce que la limite de données Microsoft EU ?
La limite de données de l’UE est un engagement de Microsoft Online Services qui offre aux clients de l’UE et de l’AELE un contrôle et une transparence accrus sur l’emplacement où leurs données sont stockées et traitées. À compter du 1er janvier 2023, Microsoft offre aux clients la possibilité de stocker et de traiter leurs données client dans la limite de données de l’UE pour les services Microsoft 365, Azure, Power Platform et Dynamics 365. Avec cette version, Microsoft étend ses engagements existants en matière de stockage local et de traitement, ce qui réduit considérablement les flux de données en provenance de l’Europe et s’appuie sur nos solutions de résidence des données de pointe.
Dans les prochaines phases de la limite de données de l’UE, Microsoft étendra la solution de limite de données de l’UE pour inclure le stockage et le traitement de catégories supplémentaires de données personnelles, y compris les données fournies lors de la réception du support technique.
Pour plus d’informations, consultez :
Comment Microsoft supprime-t-il les données client lorsqu’un client quitte le service ?
Lorsqu’un client met fin à son abonnement, Microsoft conserve les données client dans un compte de fonction limité pendant 90 jours, ce qui lui permet d’extraire les données. Après cette période, Microsoft supprime les données, sauf si la conservation est autorisée ou requise par la loi. Au plus de 180 jours après la fin d’un abonnement, Microsoft désactive le compte et supprime toutes les données, ce qui les rend irrécupérables.
Microsoft supprime également les données personnelles dans les journaux générés par le système. Pour les abonnements, l’abonné peut contacter le support Microsoft et demander une rapide mise hors service de l’abonnement. Lorsqu’un client utilise ce processus, toutes les données utilisateur sont supprimées 3 jours après que l’administrateur a entré le code de verrouillage fourni par Microsoft. Cette suppression inclut les données dans SharePoint Online et Exchange Online en attente ou stockées dans des boîtes aux lettres inactives.
Microsoft suit les instructions du NIST SP-800-88 pour la destruction des appareils capables de contenir des données, comme décrit dans l’article Destruction des appareils portant des données .
Microsoft fournit-il des conseils aux clients sur la conformité au RGPD ?
Microsoft tient à jour la documentation d’aide pour aider les clients dans leur rôle de contrôleur de données. Vous trouverez ci-dessous certaines ressources principales du RGPD à noter . Toutefois, les clients doivent consulter leurs propres professionnels du droit et de la conformité pour comprendre et mettre en œuvre leurs obligations RGPD.
- Vue d’ensemble du règlement général sur la protection des données
- Analyse d’impact sur la protection des données
- Demandes des personnes concernées
- Notification de violation
- Évaluation d’impact sur la protection des données (DPIA)
Réglementations externes connexes & certifications
Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la confidentialité.
Azure et Dynamics 365
Audits externes | Section | Date du dernier rapport |
---|---|---|
ISO 27018 Déclaration d’applicabilité Certificat |
A-2.1 : Objectif du processeur piI de cloud public | 8 avril 2024 |
ISO 27701 Déclaration d’applicabilité Certificat |
Tous les contrôles | 8 avril 2024 |
SOC 1 | DS-15 : Résiliation/expiration de l’abonnement client SDL-1 : Méthodologie du cycle de vie du développement de la sécurité (SDL) LA-4 : Protection des données client confidentielles |
16 août 2024 |
SOC 2 SOC 3 |
DS-15 : Résiliation/expiration de l’abonnement client SDL-1 : Méthodologie du cycle de vie du développement de la sécurité (SDL) LA-4 : Protection des données client confidentielles SOC2-1 : Classification des ressources SOC2-7 : Obligations de confidentialité et de sécurité publiées |
20 mai 2024 |
Microsoft 365
Audits externes | Section | Date du dernier rapport |
---|---|---|
ISO 27018 Déclaration d’applicabilité Certificat |
A-2.1 : Objectif du processeur piI de cloud public | Mars 2024 |
ISO 27701 Déclaration d’applicabilité Certificat |
Tous les contrôles | Mars 2024 |
SOC 2 | CA-12 : Contrats de niveau de service (SLA) CA-17 : Stratégie de sécurité Microsoft CA-25 : Contrôler les mises à jour de l’infrastructure |
23 janvier 2024 |
Ressources
- Centre de gestion de la confidentialité Microsoft : Principes de confidentialité : Principes de confidentialité
- Conformité aux exigences de transfert de l’UE pour les données personnelles dans le cloud Microsoft
- Informations sur la confidentialité et la protection des données des services professionnels Microsoft
- FAQ sur l’évaluation d’impact du transfert de données
- Data Residency, souveraineté des données et conformité dans le cloud Microsoft