Catégories de données Microsoft et principes de protection des données
Les produits et plateformes Microsoft peuvent faciliter la protection des données et aider les organisations à assurer la conformité aux lois et réglementations en matière de confidentialité.
Catégorisation des données Microsoft
Microsoft définit les catégories de données suivantes pour les services en ligne :
Les données client sont toutes les données, y compris le texte, le son, la vidéo, les fichiers image et les logiciels que les clients fournissent à Microsoft ou qui sont fournis en leur nom via leur utilisation des services en ligne d’entreprise Microsoft, à l’exception des services professionnels Microsoft. Les données client incluent également le contenu du client, qui correspond aux données que les clients chargent à des fins de stockage ou de traitement et les applications que les clients chargent à des fins de distribution via un service cloud d’entreprise Microsoft. Par exemple, le contenu du client inclut la messagerie électronique Microsoft Exchange Online et les pièces jointes, les rapports Power BI, le contenu de site SharePoint Online et les conversations de messagerie instantanée.
Les données de diagnostic incluent toutes les données collectées ou obtenues à partir de logiciels que les clients installent localement pour une utilisation dans le cadre des services en ligne d’entreprise Microsoft. Microsoft utilise les données de diagnostic pour garantir que les logiciels clients sont sécurisés et qu’ils fonctionnent correctement. Par exemple, Microsoft collecte des informations sur le temps nécessaire pour lancer une application, sur le blocage éventuel d’un complément et le nombre de tentatives de connexion. Les données de diagnostic sont également appelées données de télémétrie et n’incluent pas les noms, les adresses e-mail ni le contenu des fichiers.
Les données générées par le service incluent toutes les données que Microsoft génère ou dérive via le fonctionnement de ses services en ligne. Microsoft utilise ces données pour garantir que les performances, la sécurité, la mise à l’échelle et les services qui affectent l’expérience client fonctionnent efficacement. Par exemple, pour comprendre comment améliorer la capacité du centre de données afin de prendre en charge l’utilisation accrue de Microsoft Teams, Microsoft traite les données du journal d’utilisation de Teams. Microsoft passe ensuite en revue les journaux pour connaître les heures d’utilisation de pointe et décide quels centres de données ajouter pour atteindre la capacité.
Les journaux générés par le système sont des journaux et des données associées que Microsoft et d’autres fournisseurs génèrent pour aider à fournir des services d’entreprise aux utilisateurs. Les journaux générés par le système contiennent principalement des données anonymes qui remplacent les données par un ou plusieurs identificateurs artificiels ou pseudonymes. Par exemple, un identificateur unique est généralement un nombre généré par un système qui ne peut pas identifier une personne individuelle. Les journaux générés par le système peuvent également contenir des informations identifiables sur les utilisateurs finaux, comme des noms d’utilisateur.
Les données des services professionnels sont toutes les données, fournies à Microsoft ou traitées par Microsoft, suite à l’autorisation et par un engagement client pour obtenir des services professionnels. Les données des services professionnels incluent les données que les clients fournissent à Microsoft pendant le support technique des services en ligne. Il peut s’agir, par exemple, de fichiers texte, audio, vidéo, d’image ou de logiciels fournis à Microsoft lors de la résolution des problèmes.
Les données administrateur sont des informations sur les administrateurs qui sont fournies lors de l’inscription, de l’achat ou de l’administration des services Microsoft, comme les noms, les numéros de téléphone et les adresses e-mail. Les données administrateur incluent également des informations sur l’utilisation agrégée et les données associées à un compte, comme les contrôles sélectionnés. Microsoft utilise les données administrateur pour fournir des services, effectuer des transactions, maintenir les comptes, et détecter et empêcher les fraudes.
Les données de paiement sont les informations que les clients fournissent lorsqu’ils achètent un article en ligne auprès de Microsoft. Les données de paiement peuvent être un numéro de carte de crédit et un code de sécurité, un nom, une adresse de facturation et d’autres informations financières. Microsoft utilise les données de paiement pour finaliser les transactions, détecter et empêcher les fraudes.
Les données à caractère personnel incluent toutes les informations relatives à une personne physique identifiée ou identifiable, notamment les données anonymes. Les données à caractère personnel sont un sous-ensemble de chacune des catégories de données précédentes.
Principes de confidentialité de Microsoft
Microsoft utilise les principes de confidentialité clés suivants pour protéger et régir les données client :
| Principe | Description |
|---|---|
| Control | Microsoft donne aux clients le contrôle de leur confidentialité grâce à des outils faciles à utiliser et des choix clairs. |
| Transparence | Microsoft prône la transparence sur la collecte et l’utilisation des données afin que les clients puissent prendre des décisions avisées. |
| Sécurité | Microsoft aide à protéger les données qui lui sont confiées par le biais d’une sécurité et d’un chiffrement renforcés. |
| Protection juridique | Microsoft respecte les lois locales sur la confidentialité et assure la protection juridique de la confidentialité en tant que droit humain fondamental. |
| Pas de ciblage en fonction du contenu | Microsoft n’utilise pas l’e-mail, les conversations, les fichiers ni tout autre contenu personnel des clients pour cibler les publicités. |
| Avantage pour le client | Microsoft utilise les données qu’il collecte au profit des clients et pour améliorer leurs expériences. |
Prise en charge de la complétion DSR
Microsoft fournit des produits, des services et des outils d’administration Microsoft qui peuvent aider les organisations à trouver et à agir sur des données à caractère personnel pour répondre aux demandes des personnes concernées.
La détection. Utiliser des outils de recherche et de détection pour trouver des données client pouvant faire l’objet d’une demande DSR. Après avoir collecté des documents potentiellement réactifs, effectuer d’autres actions DSR ou décider que la demande ne répond pas aux directives de l’organisation pour répondre aux DSR.
Accès. Récupérer les données à caractère personnel qui résident dans le cloud Microsoft et, le cas échéant, effectuer une copie des données mises à la disposition du sujet des données.
Rectification. apporter des modifications ou implémenter d’autres actions demandées sur les données personnelles, là où c’est applicable.
Restriction. Restreindre le traitement des données à caractère personnel en supprimant les licences pour différents services Azure ou en désactivant certains services. Supprimer des données dans le cloud Microsoft et les conserver localement ou à un autre emplacement.
Suppression. Supprimer définitivement les données à caractère personnel du cloud Microsoft.
Exportation et réception (portabilité). Fournir une copie électronique des données à caractère personnel ou des informations à caractère personnel dans un format lisible par machine au sujet des données.