Répondre aux demandes de DSR pour les données client Power Apps

Présentation des demandes de DSR

Le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) fournit des droits aux personnes (connus dans le règlement comme sujets de données) pour gérer les données personnelles collectées par un employeur ou tout autre type d’organisme ou d’organisation (appelé contrôleur des données ou simplement contrôleur). Les données personnelles sont définies très globalement sous le RGPD, car toutes les données qui sont associés à une personne physique identifiée ou identifiable. Le RGPD attribue aux sujets des données le droit de procéder comme suit, car cela concerne leurs données personnelles :

  • Obtenir des copies
  • Demander des corrections
  • Limiter le traitement
  • Les supprimer
  • Les recevoir au format électronique afin qu’elles puissent être transférées vers un autre contrôleur

Une demande formelle adressée à un responsable de données à un responsable du traitement lui demandant de prendre des mesures concernant ses données à caractère personnel est appelée demande des Droits de la personne concernée (DSR).

Cet article décrit comment Microsoft se prépare au RGPD, et fournit également des exemples d’actions que vous pouvez effectuer pour prendre en charge la conformité du RGPD lorsque vous utilisez Power Apps, Power Automate et Microsoft Dataverse. Vous découvrirez comment utiliser les produits, services, et outils d’administration Microsoft pour aider le contrôleur des clients à rechercher, accéder à, et traiter les données personnelles dans le cloud Microsoft en réponse aux demandes de DSR.

Les actions suivantes sont couvertes dans cet article :

  • Découvrir — Utilisez les outils Rechercher et découvrir pour trouver plus facilement des données client pouvant faire l’objet d’une demande de DSR. Les documents potentiellement confidentiels une fois sont collectés, vous pouvez effectuer une ou plusieurs des actions de DSR suivantes pour répondre à la demande. Par ailleurs, vous pouvez déterminer que la demande ne répond pas aux directives de votre organisation pour répondre aux demandes de DSR.

  • Accéder — Extrayez les données personnelles qui résident dans le cloud Microsoft et, si demandé, faites une copie des données disponibles pour le sujet de données.

  • Rectifier — Effectuez les modifications ou implémentez d’autres actions demandées sur les données personnelles, le cas échéant.

  • Restreindre — Restreignez le traitement des données personnelles, en supprimant des licences pour divers services en ligne ou en désactivant les services appropriés lorsque cela est possible. Vous pouvez également supprimer des données de cloud Microsoft et les conserver localement ou à un autre emplacement.

  • Supprimer — Supprimez définitivement les données personnelles qui ne résident dans le cloud Microsoft.

  • Exporter — Proposez une copie électronique (dans un format lisible par ordinateur) des données personnelles au sujet des données.

Découvrir

La première étape à la demande de droits de la personne concernée (DSR) consiste à trouver les données personnelles qui sont l’objet de la demande. Cette première étape—Rechercher et examiner les données personnelles en question—vous aide à déterminer si une demande de DSR répond aux besoins de votre organisation pour honorer ou décliner une demande de DSR. Par exemple, après avoir trouvé et examiné les données à caractère personnel en cause, vous pouvez déterminer que la demande ne répond pas aux exigences de votre organisation, car elle risque de porter atteinte aux droits et aux libertés d’autrui.

Étape 1 : Rechercher les données personnelles de l’utilisateur dans Power Apps

Vous trouverez ci-dessous un résumé des ressources Power Apps qui contiennent des données personnelles pour un utilisateur spécifique.

Ressources contenant les données personnelles Objectif
Environnement Un environnement est un espace pour stocker, gérer et partager les données d’entreprise, les applications et les flux de votre organisation. En savoir plus
Autorisations de l’environnement Les utilisateurs sont attribués aux rôles d’environnement recevant les privilèges administratifs et de création dans un environnement. En savoir plus
Application canevas Applications d’entreprise multiplateforme qui peuvent être intégrées à partir de la puissance d’un canevas vierge et connectées à plus de 200 sources de données. En savoir plus
Autorisations de l’application canevas Les applications canevas peuvent être partagées avec des utilisateurs au sein d’une organisation. En savoir plus
Connection Utilisée par les connecteurs, permet la connectivité aux API, systèmes, bases de données, etc. En savoir plus
Autorisations liées à la connexion Certains types de connexion peuvent être partagés avec des utilisateurs dans une organisation. En savoir plus
Connecteur personnalisé Connecteurs personnalisés qu’un utilisateur a créé pour donner l’accès à une source de données non offerte via un des connecteurs standard Power Apps. En savoir plus
Autorisations de connecteurs personnalisés Les connecteurs personnalisés peuvent être partagés avec des utilisateurs au sein d’une organisation. En savoir plus
Paramètres d’application-utilisateur et utilisateur Power Apps Power Apps stocke plusieurs préférences d’utilisateur et des paramètres qui sont utilisés pour fournir le runtime Power Apps et les expériences de portail.
Notifications Power Apps Power Apps envoie plusieurs types de notifications aux utilisateurs notamment quand une application est partagée avec eux et lorsqu’une opération d’exportation Dataverse est terminée.
Passerelle Les passerelles désignent des passerelles de données locales pouvant être installées par un utilisateur pour transférer des données rapidement et de manière sécurisée entre Power Apps et une source de données qui ne se trouve pas dans le cloud. En savoir plus
Autorisations de la passerelle Les passerelles peuvent être partagées avec des utilisateurs au sein d’une organisation. En savoir plus
Applications pilotées par un modèle et autorisations d’applications pilotées par un modèle La conception d’une application basée sur un modèle est une approche basée sur le composant du développement d’application. Les applications pilotées par un modèle et leurs autorisations d’accès aux utilisateurs sont enregistrées comme données dans la base de données Dataverse. En savoir plus

Power Apps propose les fonctionnalités suivantes pour rechercher des données personnelles pour un utilisateur spécifique :

Pour obtenir la procédure détaillée sur la manière d’utiliser ces expériences pour rechercher des données personnelles pour un utilisateur spécifique pour chacun de ces types de ressources, reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée pour exporter les données client Power Apps.

Après avoir trouvé les données, vous pouvez ensuite exécuter l’action spécifique pour répondre à la demande par la personne concernée.

Étape 2 : Rechercher les données personnelles de l’utilisateur dans Power Automate

Les licences Power Apps comprennent toujours des fonctionnalités Power Automate. Outre le fait d’être inclus dans les licences Power Apps, Power Automate est également disponible en tant que service autonome.

Pour obtenir des instructions quant à la manière de découvrir les données personnelles enregistrées par le service Power Automate, reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée du RGPD pour Power Automate.

Important

Il est préférable que les administrateurs effectuent cette étape pour un utilisateur Power Apps.

Étape 3 : Rechercher les données personnelles pour l’utilisateur dans les environnements Dataverse

Certaines licences Power Apps, y compris le plan de développeur de Power Apps, permettent aux utilisateurs de votre organisation de créer des environnements de Dataverse et de créer et générer des applications dans Dataverse. Le plan de développeur de Power Apps est une licence gratuite qui permet aux utilisateurs d’essayer Dataverse dans un environnement individuel. Consultez la page de tarifs Power Apps pour laquelle les capacités sont incluses dans chaque licence Power Apps.

Pour obtenir des instructions quant à la manière de découvrir les données personnelles enregistrées par le service Dataverse, reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée du DSR pour les données client dans Dataverse.

Important

Il est préférable que les administrateurs effectuent cette étape pour un utilisateur Power Apps.

Rectifier

Si une personne concernée vous demande de rectifier les données personnelles résidant dans les données de votre organisation, vous et votre organisation devez déterminer s’il est approprié de donner suite à la demande. La rectification des données peut inclure la modification, la censure ou la suppression des données personnelles d’un document ou de tout autre type d’élément.

Vous pouvez utiliser Azure Active Directory pour gérer les identités (données personnelles) de vos utilisateurs dans Power Apps. Les utilisateurs professionnels peuvent gérer les demandes de rectification de DSR en utilisant les fonctionnalités d’édition limitées au sein d’un service Microsoft donné. En tant que processeur de données, Microsoft n’offre pas la possibilité de corriger les journaux générés par le système, car ils reflètent des activités factuelles et constituent un enregistrement historique des événements au sein des services Microsoft. Voir RGPD : Demandes de droits de la personne concernée (DSR) pour plus de détails.

Restreindre

Les personnes concernées peuvent demander que vous limitiez le traitement de leurs données personnelles. Nous fournissons les deux interfaces de programmation d’application (API) et l’interface utilisateur (UI) préexistantes. Ces expériences permettent à l’administrateur Power Platform du client d’entreprise de gérer ces requêtes DSR via une combinaison d’exportation de données et de suppression de données. Un client peut demander à :

  • exporter une copie électronique des données personnelles de l’utilisateur, notamment :

    • le(s) compte(s) ;
    • les journaux générés par le système ;
    • les journaux associés.
  • supprimer le compte et les données associées résidant dans des systèmes Microsoft.

Exporter

Le « droit à la portabilité des données » permet à une personne concernée de demander une copie de ses données personnelles dans un format électronique (défini en tant que format « structuré, répandu, lisible sur ordinateur et interopérable ») transmissible à un autre contrôleur de données.

Reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée pour exporter les données client Power Apps pour en savoir plus.

Supprimer

Le « droit d’effacement », par la suppression des données personnelles dans les données client d’une entreprise est un élément de protection essentiel du RGPD. La suppression des données personnelles inclut tous les journaux générés par le système, à l’exception des informations des journaux d’audit.

Power Apps permet aux utilisateurs de créer des applications métier qui constituent un élément essentiel des opérations quotidiennes de votre organisation. Lorsqu’un utilisateur quitte votre organisation, vous devrez manuellement passer en revue et déterminer s’il convient de supprimer certaines données et ressources créées par l’utilisateur. D’autres données client seront supprimées automatiquement chaque fois que le compte d’utilisateur sera supprimé d’Azure Active Directory.

Reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée pour supprimer les données client Power Apps pour en savoir plus.