Liste de vérification de préparation sur la responsabilité du Support Microsoft et des services professionnels concernant le RGPD

1. Introduction

Cette liste de vérification de préparation sur la responsabilité permet d’accéder en toute simplicité aux informations dont vous pouvez avoir besoin pour vous conformer au RGPD lorsque vous utilisez les services professionnels et les services de support technique Microsoft. Elle est organisée à l’aide des titres et numéros de référence (entre parenthèses pour chaque rubrique) d’un ensemble de contrôles de confidentialité et de sécurité incombant aux sous-traitants de données à caractère personnel en vertu des normes suivantes :

  • ISO/IEC 27701 pour les exigences de gestion de la confidentialité.
  • ISO/IEC 27001 pour les exigences techniques en matière de sécurité.

Cette structure de contrôle est également utilisée pour organiser la présentation des contrôles internes implémentés par les services professionnels Microsoft pour se conformer au RGPD, que vous pouvez télécharger à partir du Portail de confidentialité du service.

2. Conditions de collecte et de traitement

Catégorie Considération à prendre en compte Documentation Microsoft complémentaire Article(s) du RGPD pertinents
Identifier et documenter l’objectif (7.2.1) Il est recommandé au client de documenter l’objectif du traitement des données personnelles. Description du traitement que Microsoft effectue pour vous, et des objectifs de ce traitement, qui peut être incluse dans la documentation sur la responsabilité.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
(5)(1)(b), (32)(4)
Identifier la base légale (7.2.2) Le client doit comprendre les exigences liées à la base légale du traitement, par exemple, le consentement doit être donné avant toute chose. Description du traitement de données personnelles réalisé par les services Microsoft à inclure dans la documentation sur la responsabilité.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
Déterminer à quel moment le consentement doit être obtenu (7.2.3) Le client doit comprendre les exigences légales ou réglementaires selon lesquelles le consentement des individus doit être obtenu avant de traiter des données personnelles (lorsqu’il est obligatoire, si le type de traitement est exempté de l’obligation, etc.), notamment la façon dont recueillir le consentement. Les services professionnels de Microsoft ne fournissent pas de support direct pour obtenir le consentement de l’utilisateur. (6)(1)(a), (8)(1), (8)(2)
Obtenir et enregistrer le consentement (7.2.4) Si c’est obligatoire, le client doit correctement obtenir le consentement. Il doit également connaître les exigences régissant la présentation de la demande de consentement et la collecte de ce dernier. Les services professionnels de Microsoft ne fournissent pas de support direct pour obtenir le consentement de l’utilisateur. (7)(1), (7)(2), (9)(2)(a)
Analyse d’impact de confidentialité (7.2.5) Le client doit connaître les exigences selon lesquelles les analyses d’impact de confidentialité doivent être exécutées (le moment opportun pour les effectuer, les catégories de données pouvant faire l’objet d’une analyse et le délai de réalisation de l’analyse). Les services professionnels de Microsoft fournissent des conseils concernant le moment opportun pour effectuer une DPIA, ainsi qu’une vue d’ensemble du programme de DPIA chez Microsoft, notamment l’implication du délégué à la protection des données, qui sont fournies sur la page Analyse d’impact sur la protection des données (DPIA) du portail d’approbation de services.

Pour obtenir une assistance concernant vos DPIA, reportez-vous à :
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9

Article (35)
Contrats avec des responsables du traitement des données personnelles (7.2.6) Le client doit s’assurer que ses contrats avec des responsables de traitement incluent des exigences destinées à fournir de l’aide concernant les obligations légales ou réglementaires pertinentes dans le cadre du traitement et de la protection des données personnelles. Contrats Microsoft qui requièrent notre aide par rapport à vos obligations dans le cadre du RGPD, y compris la prise en charge des droits de la personne concernée par le traitement des données.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
(5)(2), (28)(3)(e), (28)(9)
Enregistrements liés au traitement des données personnelles (7.2.7) Le client doit conserver tous les enregistrements nécessaires et obligatoires liés au traitement des données à caractère personnel (par exemple, l’objectif, les mesures de sécurité, etc.). Lorsque certains de ces enregistrements doivent être fournis par un sous-traitant, le client doit s’assurer que celui-ci est en mesure d’obtenir lesdits enregistrements. Les services professionnels Microsoft conservent des enregistrements pour se conformer aux normes en matière de responsabilité dans le cadre du RGPD. Reportez-vous à la documentation relative aux services professionnels de Microsoft [2] (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)

3. Droits des personnes concernées

Catégorie Considération à prendre en compte Documentation Microsoft complémentaire Articles du RGPD pertinents
Déterminer les droits des propriétaires des données personnelles et permettre l’exercice de ces droits (7.3.1) Le client doit comprendre les exigences relatives aux droits des individus liés au traitement de leurs données personnelles. Ces droits peuvent inclure des éléments tels que l’accès, la correction et l’effacement. Lorsque le client utilise un système tiers, il doit identifier, le cas échéant, les parties du système qui fournissent des outils permettant aux individus d’exercer leurs droits (par exemple, pour accéder à leurs données). Lorsque le système propose des fonctionnalités de ce type, le client doit les utiliser, le cas échéant. Fonctionnalités fournies par Microsoft pour vous aider à prendre en charge les droits des personnes concernées par les données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
(12)(2)
Déterminer les informations des propriétaires des données personnelles (personnes concernées par le traitement des données) (7.3.2) Le client doit comprendre les exigences en matière de types d’informations relatives au traitement des données personnelles disponibles pour la personne. Ces informations peuvent inclure les éléments suivants :
• coordonnées du contrôleur ou de son représentant ;
• informations sur le traitement (objectifs, transfert international et les garanties associées, période de rétention, etc.) ;
• informations sur la façon dont la personne peut consulter ou corriger ses données personnelles ; en demandant l’effacement ou la restriction du traitement ; en recevant une copie de ses données personnelles, et la portabilité de ses données personnelles ;
• comment et à partir de quel emplacement les données personnelles ont été obtenues (si non elles n’ont pas été communiquées directement par la personne) ;
• informations relatives au droit de déposer une plainte et auprès de qui ;
• informations relatives aux corrections apportées aux données personnelles ;
• notification indiquant que l’organisation n’est plus en mesure d’identifier la personne associée aux données (propriétaire des données personnelles), dans les cas où le traitement ne requiert plus l’identification de la personne associée aux données ;
• transferts et/ou divulgations de données personnelles ;
• existence d’un processus de décision automatisé basé uniquement sur le traitement automatisé des données personnelles ;
• informations relatives à la fréquence de mise à jour et de remise des informations à la personne concernée par le traitement des données (par exemple, la notification « juste à temps », la fréquence définie par l’organisation, etc.)
Lorsque le client fait appel à des systèmes ou à des responsables de traitement tiers, il doit identifier, le cas échéant, les informations que ces derniers doivent fournir, et s’assurer qu’il peut obtenir les informations requises auprès du tiers.
Informations relatives aux services Microsoft que vous pouvez inclure dans les données fournies aux personnes associées aux données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
Fourniture d’informations aux propriétaires des données personnelles (7.3.3) Le client doit respecter les exigences relatives à la présentation, au délai et au format de remise des informations requises à un individu en lien avec le traitement de ses données à caractère personnel. Dans les cas où un tiers fournit les informations requises, le client doit s’assurer que ce dernier tient compte des paramètres imposés par le RGPD. Modèles d’informations concernant les services professionnels Microsoft que vous pouvez inclure dans les données fournies aux personnes concernées.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
Fournir un processus pour modifier ou retirer son consentement (7.3.4) Le client doit comprendre les exigences selon lesquelles les utilisateurs doivent être informés de leur droit d’accès, de correction ou d’effacement de leurs données personnelles, et qu’un processus leur permettant d’exécuter ces actions leur soit fourni. Si un système tiers est utilisé et fournit le processus en question dans le cadre de ses fonctionnalités, le client doit utiliser ces fonctionnalités si nécessaire. Informations relatives aux fonctionnalités des services Microsoft que vous pouvez utiliser au moment de définir les informations fournies aux personnes associées aux données lors de la demande de consentement.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
Fournir un processus pour s’opposer au traitement (7.3.5) Le client doit comprendre les exigences relatives aux droits des données concernées. Lorsqu’un individu a le droit de s’opposer au traitement, le client doit l’en informer et lui permettre de déposer une objection. Informations relatives aux services Microsoft en lien avec l’objection au traitement que vous pouvez inclure dans les données fournies aux personnes associées aux données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
Partage de l’exercice des droits des propriétaires des données personnelles (7.3.6) Le client doit comprendre les exigences selon lesquelles des tiers avec lesquels des données à caractère personnel ont été partagées doivent être informés des modifications apportées aux données en vertu de l’exercice de droits individuels (par exemple, une personne faisant une demande d’effacement ou de modification, etc.). Informations relatives aux fonctionnalités des services Microsoft qui vous permettent de découvrir des données personnelles que vous avez partagées avec des tiers.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(19)
Correction ou effacement (7.3.7) Le client doit comprendre les exigences selon lesquelles les utilisateurs doivent être informés de leur droit d’accès, de correction ou d’effacement de leurs données personnelles, et qu’un processus leur permettant d’exécuter ces actions leur soit fourni. Si un système tiers est utilisé et fournit le processus en question dans le cadre de ses fonctionnalités, le client doit utiliser ces fonctionnalités si nécessaire. Informations relatives aux services Microsoft en rapport avec les fonctionnalités d’accès aux données personnelles, de correction ou d’effacement que vous pouvez inclure dans les données fournies aux personnes concernées par le traitement des données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
Fourniture d’une copie des données personnelles traitées (7.3.8) Le client doit comprendre les exigences selon lesquelles une copie des données personnelles en cours de traitement doit être remise à la personne. Il peut s’agir d’exigences relatives au format de la copie (c’est-à-dire, lisible par machine), du transfert de la copie, etc. Lorsque le client utilise un système tiers qui fournit des fonctionnalités permettant de remettre des copies, il doit utiliser ces fonctionnalités, le cas échéant. Informations sur les fonctionnalités des services Microsoft qui vous permettent d’obtenir une copie des données personnelles que vous pouvez inclure dans les données fournies aux personnes concernées.- Demandes des personnes concernées des services professionnels de Microsoft concernant les RGPD et CCPA [7] (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
Gestion des demandes (7.3.9) Le client doit comprendre les exigences selon lesquelles les demandes légitimes des individus en lien avec le traitement de leurs données personnelles doivent être acceptées et traitées. Lorsque le client utilise un système de tiers, il doit savoir si ce système propose des fonctionnalités pour ce type de gestion des demandes. Si tel est le cas, le client doit utiliser lesdits processus pour gérer les demandes, le cas échéant. Informations relatives aux fonctionnalités des services Microsoft que vous pouvez utiliser au moment de définir les informations fournies aux personnes concernées lorsque vous traitez des demandes de ces dernières.- Demandes des personnes concernées des services professionnels de Microsoft concernant les RGPD et CCPA [7] (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h)
Processus de décision automatique (7.3.10) Le client doit comprendre les exigences relatives au traitement automatique des données personnelles et savoir quand des décisions sont prises automatiquement. Il peut s’agir de fournir à un individu des informations relatives au traitement, de s’opposer au traitement en question ou d’obtenir une intervention humaine. Lorsque ces fonctionnalités sont fournies par un système tiers, le client doit s’assurer que le tiers fournit les informations ou l’assistance requises. Informations relatives aux fonctionnalités des services Microsoft pouvant prendre en charge les prises de décision automatiques que vous pouvez utiliser dans la documentation sur la responsabilité et informations formatées relatives à ces fonctionnalités fournies aux personnes associées aux données.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)

4. Confidentialité liée à la conception et par défaut

Catégorie Considération à prendre en compte Documentation Microsoft complémentaire Articles du RGPD pertinents
Limiter la collecte (7.4.1) Le client doit comprendre les exigences relatives aux restrictions de la collecte de données personnelles (par exemple, que la collecte doit être limitée à ce qui est nécessaire aux fins déterminées). Description des données collectées par les services Microsoft.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client [9]]
(5)(1)(b), (5)(1)(c)
Limiter le traitement (7.4.2) Le client est responsable de la limitation du traitement des données personnelles afin qu’il se limite aux données appropriées aux fins déterminées. Description des données collectées par les services Microsoft.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(25)(2)
Définir et documenter la réduction des données personnelles et les objectifs d’anonymisation (7.4.3) Le client doit comprendre les exigences relatives à l’anonymisation des données personnelles pouvant inclure, lorsqu’elle doit être utilisée, l’étendue de l’anonymisation, et les cas où elle ne peut pas être utilisée. Le client est responsable de l’anonymisation avant le transfert des données à Microsoft. Microsoft applique l’anonymisation et la pseudonymisation en interne, le cas échéant, pour fournir d’autres dispositifs de protection de la confidentialité pour les données personnelles. (5)(1)(c)
Respecter les niveaux d’identification (7.4.4) Le client doit utiliser et respecter les objectifs et les méthodes d’anonymisation définis par son organisation. Le client est responsable de l’anonymisation avant le transfert des données à Microsoft. Microsoft applique l’anonymisation et la pseudonymisation en interne, le cas échéant, pour fournir d’autres dispositifs de protection de la confidentialité pour les données personnelles. (5)(1)(c)
Anonymisation et suppression des données personnelles (7.4.5) Le client doit comprendre les exigences relatives à la rétention des données personnelles au-delà de leur utilisation aux fins identifiées. Lorsque le système lui fournit des outils, le client doit utiliser ces outils pour effacer ou supprimer des données, le cas échéant. Fonctionnalités proposées par les services Microsoft pour prendre en charge les stratégies de rétention de vos données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
Fichiers temporaires (7.4.6) Le client doit être conscient de l’existence de fichiers temporaires pouvant être envoyés à Microsoft et pouvant être à l’origine d’une non-conformité concernant les politiques de traitement des données à caractère personnel (par exemple, les données à caractère personnel peuvent conservées dans un fichier temporaire plus longtemps que nécessaire). Description des fonctionnalités proposées par le service pour identifier les données personnelles afin de prendre en charge les stratégies liées aux fichiers temporaires.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(5)(1)(c)
Rétention (7.4.7) Le client doit déterminer le délai de rétention des données personnelles en tenant compte des objectifs définis. Informations relatives à la rétention des données personnelles par les services Microsoft que vous pouvez inclure dans la documentation fournie aux personnes associées aux données.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
(13)(2)(a), (14)(2)(a)
Élimination (7.4.8) Le client doit utiliser tous les processus de suppression ou d’élimination fournis par le système afin de supprimer des données personnelles. Fonctionnalités proposées par les services Microsoft pour prendre en charge les stratégies de suppression de vos données.
Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA7
(5)(1)(f)
Procédures de collecte (7.4.9) Le client doit connaître les exigences relatives à la précision des données personnelles (par exemple, précision lors de la collecte, tenue à jour des données, etc.) et utiliser les processus fournis par le système pour respecter ces exigences. Informations expliquant comment les services Microsoft prennent en charge la précision des données personnelles et les fonctionnalités qu’ils fournissent pour prendre en charge votre stratégie de précision des données.
- Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA [7]
(5)(1)(d)
Contrôles de transmission (7.4.10) Le client doit comprendre les exigences selon lesquelles la transmission des données personnelles doit être protégée, y compris les personnes ayant accès aux processus de transmission, aux enregistrements de transmission, etc. Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(15)(2), (30)(1)(e), (5)(1)(f)
Identifier la base du transfert des données personnelles (7.5.1) Le client doit connaître les exigences relatives au transfert des données personnelles vers un autre emplacement géographique, et documenter les mesures mises en place pour respecter lesdites exigences. Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
Articles (44), (45), (46), (47), (48) et (49)
Pays, régions et organisations vers lesquels des données personnelles peuvent être transférées (7.5.2) Le client doit comprendre et être en mesure de communiquer aux personnes concernées, les pays et les régions vers lesquels les données personnelles sont ou peuvent être transférées. Lorsqu’un tiers/responsable de traitement effectue ce transfert, le client doit obtenir ces informations du responsable de traitement. Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(30)(1)(e)
Enregistrements des transferts de données personnelles (7.5.3) Le client doit tenir à jour l’ensemble des enregistrements nécessaires et requis en lien avec les transferts de données personnelles. Lorsque le transfert est réalisé par un tiers/responsable de traitement, le client doit s’assurer qu’il tient à jour les enregistrements appropriés et qu’il peut les obtenir si nécessaire. Description des types de données personnelles transférées par les services Microsoft, des emplacements intermédiaires où elles sont transférées et des dispositifs de protection légaux utilisés pour le transfert.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(30)(1)(e)
Enregistrements de divulgation de données personnelles à des tiers (7.5.4) Le client doit comprendre les exigences relatives à l’enregistrement des personnes auxquelles des données personnelles ont été révélées. Cela peut inclure des informations divulguées aux autorités, etc. Lorsqu’un tiers/responsable de traitement divulgue des données, le client doit s’assurer que ce dernier conserve les enregistrements appropriés, et doit les obtenir, le cas échéant. Documentation fournie relative aux catégories de bénéficiaires des divulgations des informations personnelles, dont les enregistrements de divulgation disponibles.
- Qui peut accéder à vos données et dans quelles conditions [6]
(30)(1)(d)
Co-responsable du traitement (7.5.5) Le client doit déterminer s’il est co-responsable du traitement avec une autre organisation, et documenter et définir correctement les responsabilités. Microsoft n’est pas un co-responsable du traitement des informations personnelles fournies dans le cadre des données de support et de conseil. (26)(1), (26)(2), (26)(3)

5. Protection des données et sécurité

Catégorie Considération à prendre en compte Documentation Microsoft complémentaire Articles du RGPD pertinents
Compréhension de l’organisation et de son contexte (5.2.1) Les clients doivent déterminer leur rôle dans le traitement des données personnelles (par exemple, contrôleur, responsable de traitement, co-contrôleur) afin d’identifier les exigences appropriées (réglementaires, etc.) pour le traitement des données personnelles. Informations expliquant comment Microsoft considère chaque service comme un responsable de traitement ou un contrôleur lors du traitement des données personnelles.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
Comprendre les besoins et les attentes des parties concernées (5.2.2) Les clients doivent identifier les parties pouvant jouer un rôle dans le traitement des données personnelles ou être concernées par celui-ci (par exemple, régulateurs, auditeurs, personnes associées aux données, responsables de traitement engagés par les personnes associées aux données), et doivent connaître les exigences selon lesquelles lesdites parties sont concernées, le cas échéant. Informations expliquant comment Microsoft intègre au traitement des données personnelles les consultations de toutes les parties prenantes en tenant compte des risques.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)
Déterminer l’étendue du système de gestion de la sécurité des informations (5.2.3, 5.2.4) Dans le cadre d’un programme général de sécurité ou de confidentialité mis en place par le client, ce dernier doit y inclure le traitement des données personnelles et les exigences relatives à celui-ci. Informations expliquant comment les services Microsoft incluent le traitement des données personnelles dans les programmes de protection de la vie privée et de gestion de la sécurité des informations.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Rapport d’audit ISO 27001[10]
(32)(2)
Planification (5.3) Les clients doivent tenir compte du traitement des données personnelles dans le cadre de toute évaluation des risques effectuée, et mettre en place les contrôles qu’ils estiment nécessaires pour atténuer les risques liés aux données personnelles qu’ils contrôlent. Informations expliquant comment les services Microsoft tiennent compte des risques spécifiques du traitement des données personnelles dans le cadre de leur programme général de confidentialité et de sécurité.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
(32)(1)(b), (32)(2)
6.2 Stratégies de sécurité des informations Le client doit renforcer les stratégies de sécurité des informations existantes afin d’inclure la protection des données personnelles, notamment les stratégies nécessaires pour respecter la législation applicable. Stratégies de Microsoft concernant la sécurité des informations et les mesures spécifiques pour la protection des informations personnelles.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Rapport d’audit ISO 27001[10]
24(2)
6.3 Considération à prendre en compte relative à l’organisation de la sécurité des informations Le client doit définir, au sein de son organisation, des responsabilités liées à la sécurité et à la protection des données à caractère personnel. Celles-ci peuvent notamment consister à déterminer des rôles spécifiques pour superviser les questions relatives à la confidentialité, dont un délégué à la protection des données. Une formation et une aide à la gestion appropriées doivent être fournies à l’appui de ces rôles. Microsoft a publié des informations sur le délégué à la protection des données de Microsoft, la nature de ses devoirs, la structure de création de rapports et ses coordonnées.
- Informations relatives au délégué à la protection des données de Microsoft [13]
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
6.4 Sécurité des ressources humaines Le client doit déterminer et attribuer des responsabilités afin de fournir une formation pertinente liée à la protection des données personnelles. Vue d’ensemble du rôle du délégué à la protection des données de Microsoft, nature de ses droits, structure hiérarchique et informations de contact.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Formation et description du programme d’information [3]
(39)(1)(b)
6.5.1 Classification des informations Le client doit explicitement tenir compte des données personnelles dans le cadre du modèle de classification des données. Informations expliquant comment Microsoft tient compte des données personnelles dans la classification des données, en marquant et en assurant le suivi des informations.
Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client9
(39)(1)(b)
Gestion des médias amovibles (6.5.2) Le client doit déterminer des stratégies internes liées à l’utilisation de supports amovibles, dans la mesure où elles concernent la protection des données à caractère personnel (par exemple, le chiffrement d’appareils). Informations expliquant comment les services Microsoft protègent la sécurité des informations personnelles sur les médias amovibles.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(32)(1)(a), (5)(1)(f)
Transfert de médias physiques (6.5.3) Le client doit déterminer les stratégies internes liées à la protection des données personnelles lors du transfert de médias physiques (par exemple, chiffrement). Comment les services Microsoft protègent les informations personnelles lors du transfert de médias physiques.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(32)(1)(a), (5)(1)(f)
Gestion de l’accès utilisateur (6.6.1) Le client doit connaître les responsabilités qu’il lui incombe concernant le contrôle de l’accès au sein du service qu’il utilise, et gérer correctement ces responsabilités en utilisant les outils disponibles. Outils fournis par les services Microsoft pour vous aider à renforcer le contrôle d’accès.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Enregistrement et annulation de l’enregistrement d’un utilisateur (6.6.2) Le client doit gérer l’enregistrement et l’annulation de l’enregistrement d’un utilisateur au sein du service qu’il utilise à l’aide des outils mis à sa disposition. Outils fournis par les services Microsoft pour vous aider à renforcer le contrôle d’accès.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Approvisionnement de l’accès utilisateur (6.6.3) Le client doit gérer les profils utilisateur, en particulier pour l’accès autorisé aux données personnelles, au sein du service qu’il utilise à l’aide des outils mis à sa disposition. Informations expliquant comment les services Microsoft prennent en charge le contrôle d’accès formel aux données personnelles, notamment les ID d’utilisateur, les rôles et l’enregistrement et l’annulation de l’enregistrement des utilisateurs.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Gestion de l’accès privilégié (6.6.4) Le client doit gérer les ID d’utilisateur pour faciliter le suivi de l’accès (en particulier aux données personnelles), au sein du service qu’il utilise à l’aide des outils mis à sa disposition. Informations expliquant comment les services Microsoft prennent en charge le contrôle d’accès formel aux données personnelles, notamment les ID d’utilisateur, les rôles et l’enregistrement et l’annulation de l’enregistrement des utilisateurs.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Sécuriser les procédures de connexion (6.6.5) Le client doit utiliser les processus fournis par le service pour assurer la protection des fonctionnalités de connexion pour ses utilisateurs, le cas échéant. Informations expliquant comment les services Microsoft prennent en charge les stratégies de contrôle d’accès interne liées aux données personnelles.
- Qui peut accéder à vos données et dans quelles conditions [6]
(5)(1)(f)
Chiffrement (6.7) Le client doit déterminer les données à chiffrer, et si le service qu’il utilise propose cette fonctionnalité. Le client doit utiliser le chiffrement le cas échéant, à l’aide des outils mis à sa disposition. Informations expliquant comment les services Microsoft prennent en charge le chiffrement et la pseudonymisation afin de réduire le risque de traitement des données personnelles.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(32)(1)(a)
Élimination ou réutilisation sécurisées du matériel (6.8.1) Lorsque le client utilise des services de cloud computing (PaaS, SaaS et IaaS), il doit comprendre comment le fournisseur de cloud garantit la suppression des données personnelles de l’espace de stockage avant d’attribuer l’espace en question à un autre client. Manière dont les services professionnels de Microsoft garantissent que les données personnelles sont supprimées de tout équipement de stockage avant le transfert de ce dernier ou sa réutilisation, lors de l’utilisation des services de cloud computing Microsoft Azure dans le cadre de services professionnels.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f)
Stratégie liée au nettoyage du bureau et de l’écran (6.8.2) Le client doit tenir compte des risques associés à l’utilisation de copies papier qui présentent des données à caractère personnel, et éventuellement en restreindre la production. Lorsque le système utilisé le permet (par exemple, paramètres pour empêcher l’impression ou le copier-coller de données sensibles), le client doit envisager la nécessité d’utiliser ces fonctionnalités. Mesures mises en place par Microsoft pour gérer les copies papier.
- Microsoft effectue ces contrôles en interne, consultez la page Services professionnels de Microsoft ISO/IEC 27001:2013 ISMS Détermination du domaine d’application [11]
- Ensemble de contrôles pour les Services professionnels Microsoft dans le cadre du RGPD4
(5)(1)(f)
Séparation des environnements de développement, de test et d’exploitation (6.9.1) Le client doit étudier les conséquences de l’utilisation des données personnelles dans les environnements de développement et de test au sein de son organisation. Informations expliquant comment Microsoft garantit la protection des données personnelles dans les environnements de test et de développement.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f)
Sauvegarde des informations (6.9.2) Le client doit s’assurer qu’il utilise les fonctionnalités fournies par le système pour créer des redondances dans ses données, et les tester, le cas échéant. Informations expliquant comment Microsoft garantit la disponibilité des données pouvant inclure des données personnelles, détaillant la manière dont la précision des données restaurées est assurée, et précisant les outils et les services Microsoft fournis pour vous permettre de sauvegarder et de restaurer des données.
- Documentation de gestion de la continuité d’entreprise de Microsoft Entreprise[5]
(32)(1)(c), (5)(1)(f)
Journalisation des événements (6.9.3) Le client doit comprendre les fonctionnalités de journalisation fournies par le système et utiliser ces fonctionnalités pour s’assurer qu’il peut journaliser des actions associées à des données personnelles qu’il estime nécessaires. Données que le service Microsoft enregistre pour vous, notamment les activités des utilisateurs, les exceptions, les erreurs et les événements de sécurité des informations, et comment vous pouvez accéder à ces journaux pour les utiliser dans le cadre de la conservation de données.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f)
Protection des informations de journal (6.9.4) Le client doit tenir compte des exigences relatives à la protection des informations de journal pouvant contenir des données personnelles ou des enregistrements liés au traitement des données personnelles. Lorsque le système en cours d’utilisation propose des fonctionnalités permettant de protéger les journaux, le client doit utiliser ces fonctionnalités, le cas échéant. Informations expliquant comment Microsoft protège les journaux pouvant contenir des données personnelles.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f)
Stratégies et procédures de transfert des informations (6.10) Le client doit mettre en place des procédures dans les cas où des données personnelles sont transférées sur des médias physiques (par exemple, un disque dur déplacé entre des serveurs ou des locaux). Il peut s’agir de journaux, d’autorisations et de suivi. Lorsqu’un tiers ou tout autre responsable de traitement transfère des médias physiques, le client doit s’assurer que cette organisation a mis en place des procédures afin de garantir la sécurité des données personnelles. Informations expliquant comment les services Microsoft transfèrent des médias physiques pouvant contenir des données personnelles, y compris les circonstances du transfert, et mesures de protection prises pour protéger les données.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f)
Accords de confidentialité ou de non-divulgation (6.10.2) Le client doit déterminer la nécessité d’accords de confidentialité ou d’accords équivalents pour les individus ayant accès aux données personnelles ou ayant des responsabilités liées à ces dernières. Informations expliquant comment les services Microsoft s’assurent que les individus autorisés à accéder aux données personnelles sont engagés au respect de la confidentialité.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application11
- Ensemble de contrôles pour les services professionnels de Microsoft [4]
(5)(1)(f), (28)(3)(b), (38)(5)
Sécuriser les services d’application sur les réseaux publics (6.11.1) Le client doit comprendre les exigences relatives au chiffrement des données personnelles, en particulier lorsqu’elles sont envoyées par l’intermédiaire de réseaux publics. Lorsque le système fournit des processus permettant de chiffrer des données, le client doit utiliser ces processus, le cas échéant. Description des mesures prises par les services Microsoft pour protéger les données en transit, dont le chiffrement, et de la manière dont les services Microsoft protègent les données susceptibles de contenir des données à caractère personnel lorsqu celles-ci transitent sur des réseaux de données publics, dont les mesures de chiffrement.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(1)(f), (32)(1)(a)
Principes d’ingénierie du système de sécurisation (6.11.2) Le client doit comprendre comment les systèmes sont conçus afin de tenir compte de la protection des données à caractère personnel. Quand un client utilise un système conçu par un tiers, il lui incombe de s’assurer que ces protections ont bien été prises en compte. Comment les services Microsoft incluent les principes de protection des données à caractère personnel dans les principes impératifs de conception/d’ingénierie.
- Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application 11
- Définition du Security Development Lifecycle
(25)(1)
Relations avec les fournisseurs (6.12) Le client doit s’assurer que toutes les exigences relatives à la sécurité des informations et à la protection des données à caractère personnel, ainsi que les responsabilités des tiers sont abordées dans les informations contractuelles ou d’autres accords. Les accords doivent aussi définir les instructions de traitement. Comment les services Microsoft définissent la sécurité et la protection des données dans nos accords avec les fournisseurs, et comment nous veillons à ce que ces accords soient réellement mis en œuvre.
- Qui peut accéder à vos données et dans quelles conditions [6]
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h), (30)(2)(d), (32)(1)(b)
Gestion des améliorations et des incidents liés à la sécurité des informations (6.13.1) Le client doit mettre en place des processus afin de déterminer quand une violation des données personnelles est survenue. Informations expliquant comment les services Microsoft déterminent si un incident de sécurité est une violation des données personnelles, et comment nous vous informons de la violation.
- Services professionnels Microsoft et notification des violations dans le cadre du RGPD[8]
(33)(2)
Responsabilités et procédures (lors des incidents de sécurité des informations) (6.13.2) Le client doit comprendre et documenter ses responsabilités lors d’un incident de sécurité ou d’une violation des données impliquant des données personnelles. Les responsabilités peuvent inclure les notifications aux parties requises, les communications avec les responsables de traitement ou autres tiers et les responsabilités au sein de l’organisation du client. Informations expliquant comment informer les services Microsoft si vous détectez un incident de sécurité ou une violation des données personnelles.
- Services professionnels Microsoft et notification des violations dans le cadre du RGPD[8]
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
Réponse aux incidents de sécurité des informations (6.13.3) Le client doit mettre en place des processus afin de déterminer quand une violation des données personnelles est survenue. Description des informations fournies par les services Microsoft pour vous aider à déterminer si une violation de données à caractère personnel a eu lieu.
- Services professionnels Microsoft et notification des violations dans le cadre du RGPD[8]
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)
Protection des enregistrements (6.15.1) Le client doit comprendre les exigences relatives aux enregistrements liés au traitement des données personnelles qui doivent être conservées. Informations expliquant comment les services Microsoft stockent les enregistrements liés au traitement des données personnelles.
- Documentation sur la sécurité concernant les services professionnels de Microsoft [2]
(5)(2), (24)(2)
Analyse indépendante de la sécurité des informations (6.15.2) Le client doit connaître les exigences relatives aux évaluations de la sécurité du traitement des données à caractère personnel. Cela peut inclure des audits internes ou externes ou d’autres mesures d’évaluation de la sécurité du traitement. Lorsque le client dépend d’une autre organisation tierce pour tout ou partie du traitement, il doit recueillir des informations sur les évaluations effectuées par ce tiers. Informations expliquant comment les services Microsoft testent et évaluent l’efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement, notamment les audits effectués par des tiers.
- Addendum sur la protection des données des services professionnels de Microsoft [1]
(32)(1)(d), (32)(2)
Vérification de conformité technique (6.15.3) Le client doit comprendre les exigences de test et d’évaluation de la sécurité du traitement des données à caractère personnel. Cela peut inclure des tests techniques, tels que des tests de pénétration. Lorsque le client utilise un système tiers ou un sous-traitant, il doit comprendre ses responsabilités concernant la sécurisation et la mise en œuvre de tests de sécurité (par exemple, la gestion des configurations afin de sécuriser les données, puis le test de ces paramètres de configuration). Lorsque le tiers est responsable de tout ou partie de la sécurité du traitement, le client doit savoir quels tests ou quelle évaluation le tiers effectue pour garantir la sécurité du traitement. Informations expliquant comment les services Microsoft testent la sécurité en fonction des risques identifiés, notamment les tests effectués par des tiers, et les types de tests techniques.
- Pour obtenir une liste de certifications externes, consultez Offres de conformité du Centre de gestion de la confidentialité Microsoft [12]
- Pour plus d’informations sur les tests de vulnérabilité de vos applications, voir la documentation concernant la sécurité des Services professionnels Microsoft [2]
(32)(1)(d), (32)(2)
ID Description/Liens Notes
1 Addendum sur la protection des données des services professionnels de Microsoft
2 Documentation sur la sécurité concernant les services professionnels de Microsoft 2
3 Description du programme de formation et d’information Disponible sur demande auprès de l’équipe chargée de la gestion du compte du client.
4 Ensemble de contrôles pour les Services professionnels Microsoft dans le cadre du RGPD
5 Documentation de gestion de la continuité d’entreprise de Microsoft Entreprise Disponible sur demande auprès de l’équipe chargée de la gestion du compte du client.
6 Qui peut accéder à vos données et dans quelles conditions
7 Demandes des personnes concernées des Services professionnels Microsoft à propos du RGPD et CCPA
8 Services professionnels Microsoft et notification des violations dans le cadre du RGPD
9 Principales informations provenant des Services professionnels Microsoft concernant les analyses d’impact sur la protection des données client
10 Rapport d’audit ISO 27001
11 Services professionnels Microsoft ISO/IEC 27001:2013 ISM Détermination du domaine d’application SOA sur demande auprès de l’équipe chargée de la gestion du compte du client.
12 Offres de conformité du Centre de gestion de la confidentialité Microsoft
13 Informations relatives au délégué à la protection des données de Microsoft

En savoir plus