Notification de violation RGPDGDPR Breach Notification

Le règlement général sur la protection des données (RGPD) présente de nouvelles règles pour les organisations qui offrent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE quel que soit l’endroit où vous vous trouvez et celui où se trouve votre entreprise.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Pour plus de détails, consultez la rubrique Synthèse RGPD.Additional details can be found in the GDPR Summary topic. Ce document vous permet d’obtenir des informations sur la fin des notifications de violation dans le cadre du RGPD à l’aide des produits et des services Microsoft.This document leads you to information on the completion of Breach Notifications under the GDPR using Microsoft products and services.

Selon le RGPD, qu’est-ce qu’une violation de données personnelles ?What constitute a breach of personal data under the GDPR?

Les données personnelles correspondent aux informations relatives à un individu permettant de l’identifier directement ou indirectement.Personal data means any information related to an individual that can be used to identify them directly or indirectly. Une violation de données personnelles correspond à « une violation de la sécurité entraînant la destruction involontaire ou contraire à la loi de données personnelles transmises, stockées ou autrement traitées, ou bien leur perte, modification ou divulgation ou consultation non autorisée ».A personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed'.

TerminologieTerminology

Définitions utiles pour les termes RGPD utilisés dans ce document :Helpful definitions for GDPR terms used in this document:

  • Contrôleur de données (contrôleur)  : la personne morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres entités, détermine les finalités et les moyens de traitement des données personnelles.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Données personnelles et personne concernée : toutes les informations relatives à une personne physique identifiée ou identifiable (personne concernée); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte de l’entité de contrôle.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Données client : les données produites et stockées dans les opérations quotidiennes dans le cadre du fonctionnement de votre entreprise.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Microsoft et Notification de violationMicrosoft and Breach Notification

Microsoft prend au sérieux les obligations imposées par le Règlement général sur la protection des données (RGPD).Microsoft takes its obligations under the General Data Protection Regulation (GDPR) seriously. Un incident de sécurité ou une violation de données font référence à des événements tels qu’un accès illégal aux données du client stockées sur un équipement Microsoft ou dans des installations Microsoft, ou un accès non autorisé à celles-ci qui peut entraîner la perte, la divulgation ou l’altération des données client.A security incident/data breach refers to events such as unlawful access to customer's data stored on Microsoft equipment or in Microsoft facilities, or unauthorized access to such that has the potential to result in the loss, disclosure, or alteration of customer data.

En tant que responsable du traitement des données, Microsoft s’assure que les clients du service peuvent répondre aux exigences de notification de violation RGPD en tant que contrôleurs de données.As a data processor, Microsoft ensures that service customers are able to meet the GDPR's breach notification requirements as data controllers. Notre notification fournit les informations nécessaires pour effectuer cette évaluation.Our notification provides the information needed to make that assessment. Microsoft informe les clients de toute divulgation de données personnelle, à l’exception des cas où les données personnelles sont confirmées comme inintelligibles (par exemple, les données chiffrées pour lesquelles l’intégrité des clés est confirmée).Microsoft notifies customers of any personal data breach, except for those cases where personal data is confirmed to be unintelligible (for example, encrypted data where integrity of the keys is confirmed).

Les contrôleurs de données sont chargés d'évaluer les risques liés à la confidentialité des données et de déterminer si le contrat de traitement des données d’un client doit être notifié en cas de violation.Data controllers are responsible for assessing risks to data privacy and determining whether a breach requires notification of a customer's DPA. Microsoft fournit les informations requises ainsi que votre stratégie de conformité RGPD pour effectuer cette évaluation.Microsoft provides the information needed, along with your GDPR compliance policy, to make that assessment.

La notification initiale inclut une description de la nature de la violation, l’impact approximatif de l’utilisateur et la procédure d’atténuation (le cas échéant).Initial notification includes a description of the nature of the breach, approximate user impact, and mitigation steps (if applicable). Si notre enquête n'est pas terminée au moment de la notification initiale, nous indiquerons les prochaines étapes et le calendrier des communications ultérieures.If our investigation is not complete at the time of initial notification, we will indicate next steps and timelines for subsequent communication. Pour plus d’informations sur la façon dont Microsoft détecte et répond à une violation des données personnelles, reportez-vous à l’article Notification des violations de données en vertu du RGPD dans le portail d’approbation de services.For more information about how Microsoft detects and responds to a breach of personal data, see Data Breach Notification Under the GDPR in the Service Trust Portal.

Les détails relatifs à la notification de violation de certains produits et services Microsoft sont indiqués ci-dessous.Details regarding breach notification for specific Microsoft products and services is given below.

  1. Office 365Office 365
    Microsoft investit massivement dans des systèmes, des processus et du personnel pour réduire le risque de violation de données personnelles et pour détecter rapidement et limiter les conséquences d’une violation dans le cas où elle se produirait.Microsoft invests extensively in systems, processes, and personnel to reduce the likelihood of personal data breach and to quickly detect and mitigate consequence of breach if it does occur. Pour plus de détails, consultez la rubrique Investissements d’Office 365 dans la sécurité des données.Additional details can be read at Office 365 Investments in Data Security.

    Il se peut qu’un client soit informé d’une violation et qu’il souhaite contacter Microsoft.A customer may become aware of a breach and wish to contact Microsoft. Dans ce cas, contactez le Support Microsoft, qui interviendra avec les équipes d’ingénieurs pour obtenir plus d’informations.In this case, notify Microsoft Support, which will then interface with engineering teams for more information.

  2. Azure et Dynamics 365Azure & Dynamics 365
    Microsoft met à disposition un service de réponse mondial aux incidents fonctionnant 24 heures sur 24 et 7 jours sur 7 qui permet d’atténuer les effets des attaques contre Microsoft Azure et Dynamics 365.Microsoft has a global, 24x7 incident response service that works to mitigate the effects of attacks against Microsoft Azure and Dynamics 365.

    • Détection des violations : étant donné que Microsoft et le client ont des obligations en matière de sécurité, les services Azure utilisent un modèle de responsabilité partagée pour définir la sécurité et les responsabilités opérationnelles.Detection of Breaches: Since both Microsoft and the customer have security obligations, Azure services employ a shared responsibility model to define security and operational accountabilities. Microsoft ne surveille pas les incidents de sécurité relevant de la responsabilité du client et n'intervient pas dans de tels cas.Microsoft does not monitor or respond to security incidents within the customer's realm of responsibility. L’intervention en cas d’incidents du client peut impliquer une collaboration avec le support client Azure sous réserve de contrats de services appropriés.Customer incident response may involve collaboration with Azure customer support, given appropriate service contracts. Microsoft Azure offre également différents services (par exemple, Azure Security Center) que les clients peuvent utiliser pour développer et gérer les réponses aux incidents de sécurité.Microsoft Azure also offers various services (for example, Azure Security Center) that customers can utilize for developing and managing security incident response.

      Pour obtenir la liste des événements déclenchant une enquête sur la violation dans Microsoft Azure, consultez la rubrique Détection de violations potentielles.For a list of events that trigger a breach investigation in Microsoft Azure, see Detection of Potential Breaches. La rubrique Azure et notification de violation en vertu du RGPD donne des détails supplémentaires sur la façon dont Microsoft examine, gère et répond aux incidents de sécurité dans Azure.Azure and Breach Notification under the GDPR further details how Microsoft investigates, manages, and responds to security incidents within Azure.

    • Réponse à la violation de données : Microsoft détermine les niveaux de priorité et de gravité appropriés d’une violation en examinant l’impact fonctionnel, la récupérabilité et l’impact sur les informations de l’incident.Data Breach Response: Microsoft determines appropriate priority and severity levels of a breach by investigating the functional impact, recoverability, and information impact of the incident. La priorité et la gravité peuvent changer au cours des enquêtes, sur la base de nouveaux résultats et conclusions.Priority and severity may change over the course of the investigation, based on new findings and conclusions. L’équipe en charge de la sécurité de Microsoft travaille étroitement avec des conseillers juridiques mondiaux afin de garantir l’exécution d’une enquête conforme aux obligations légales et aux engagements envers les clients.Microsoft's security response team works closely with global legal advisors to help ensure that forensics are performed in accordance with legal obligations and commitments to customers. Ces processus sont détaillés dans la Réponse d’Azure à une violation des données.These processes are detailed in Azure's Data Breach Response.

    • Notification du client : Microsoft Azure informe les clients et les autorités de réglementation des violations de données, le cas échéant.Customer Notification: Microsoft Azure notifies customers and regulatory authorities of data breaches as required. Les notifications du client sont livrées dans un délai maximal de 72 heures à partir du moment où nous avons déclaré une violation, sauf dans les cas suivants :Customer notices are delivered in no more than 72 hours from the time we declared a breach except for the following circumstances:

      • Microsoft estime que l’envoi d’une notification augmente le risque pour d’autres clients.Microsoft believes the act of performing a notification increases the risk to other customers.
      • Le délai de 72 heures peut laisser certains détails sur l'incident disponibles.The 72-hour timeline may leave some incident details available. Ces détails-ci vous sont fournis à mesure que l’enquête est menée.These details will be provided to you as the investigation proceeds.

      Pour plus d’informations, consultez la Notification du client.Further details can be found in Customer Notification.

  3. Support Microsoft et services professionnelsMicrosoft Support and Professional Services
    En raison de la nature des services professionnels, certains incidents liés à la protection des données peuvent relever de la responsabilité du client.The nature of professional services means that some data protection incidents may fall within the customer's realm of responsibility. Lorsque les services professionnels Microsoft identifient un incident lié à la protection des données, il suit le plan de réponse standard documenté de l'industrie tel que décrit dans la rubrique Étendue et limites du processus de réponse aux incidents de protection des données.When Microsoft Professional Services identifies a data protection incident, it follows documented industry standard response plan as outlined in Scope & Limits of Data Protection Incident Response Process.

Outils d’administration de la notification de violationBreach notification admin tools

  • Définir le contact de votre organisation en matière de confidentialité Les administrateurs de locataire peuvent utiliser le portail d’administration Azure Active Directory pour définir le contact de confidentialité de votre organisation dont Microsoft a besoin pour communiquer avec eux.Set you organization's privacy contact: Tenant Administrators can use the Azure Active Directory Admin Portal to define your organization's privacy contact should Microsoft need to communicate with them.

En savoir plusLearn more