Analyses d’impact sur la protection des données pour le RGPDData Protection Impact Assessment for the GDPR

Le règlement général sur la protection des données (RGPD) présente de nouvelles règles pour les organisations qui offrent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE quel que soit l’endroit où vous vous trouvez et celui où se trouve votre entreprise.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Pour plus de détails, consultez la rubrique Synthèse RGPD.Additional details can be found in the GDPR Summary topic. Ce document vous apporte des informations concernant les analyses d’impact sur la protection des données (DPIA) en vertu du RGPD lorsque vous utilisez les produits et services Microsoft.This document guides you to information regarding Data Protection Impact Assessments (DPIAs) under the GDPR when using Microsoft products and services.

TerminologieTerminology

Définitions utiles pour les termes RGPD utilisés dans ce document :Helpful definitions for GDPR terms used in this document:

  • Contrôleur de données (contrôleur)  : la personne morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres entités, détermine les finalités et les moyens de traitement des données personnelles.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Données personnelles et personne concernée : toutes les informations relatives à une personne physique identifiée ou identifiable (personne concernée); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte de l’entité de contrôle.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Données client : les données produites et stockées dans les opérations quotidiennes dans le cadre du fonctionnement de votre entreprise.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Qu'est-ce qu’une DPIA ?What is a DPIA?

Le RGPD requiert des contrôleurs de préparer une analyse d’impact sur la protection des données (DPIA) pour les opérations « susceptibles de générer un risque élevé pour les droits et libertés des personnes physiques ».The GDPR requires controllers to prepare a Data Protection Impact Assessment (DPIA) for operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.' Il n’existe aucun élément inhérent aux produits et services Microsoft nécessitant la création d’une DPIA.There is nothing inherent in Microsoft products and services that need the creation of a DPIA. Toutefois, étant donné que les produits et services Microsoft sont hautement personnalisables, une DPIA peut être nécessaire selon les détails de votre configuration Microsoft.However, because Microsoft products and services are highly customizable, a DPIA may be needed depending on the details of your Microsoft configuration. Microsoft ne contrôle pas et n’a pas ou peu de connaissances sur les informations de ce type.Microsoft has no control over, and little or no insight into such information. En tant que contrôleur de données, vous devez déterminer les utilisations appropriées de ces données.You, as a data controller must determine appropriate uses of their data.

DPIA en actionDPIA in Action

Les recommandations DPIA s’appliquent à Office 365, Azure, Dynamics 365, au support Microsoft et aux services professionnels.The DPIA guidance applies to Office 365, Azure, Dynamics 365, and Microsoft Support and Professional Services. Ces recommandations incluent les éléments suivants :That guidance includes consideration of:

Quand une DPIA est-elle nécessaire ?When is a DPIA needed?

Les facteurs de risque répertoriés ci-dessous doivent être traités lorsque vous envisagez d’effectuer une DPIA.The risk factors listed below should be addressed when considering whether to complete a DPIA. D’autres facteurs potentiels et des informations supplémentaires sont disponibles dans la partie 1 de chacune des instructions.Other potential factors and further details are found in Part 1 of each of the guidelines.

  • Analyse systématique et approfondie des données sur la base d’un traitement automatisé.A systematic and extensive evaluation of data based on automated processing.
  • Traitement à grande échelle de catégories spéciales de données (données révélant des informations uniques identifiant une personne physique) ou de données à caractère personnel relatives aux condamnations pénales et aux délits commis.Processing on a large scale of special categories of data (data revealing information uniquely identifying a natural person), or of personal data relating to criminal convictions and offenses.
  • Surveillance systématique d’une zone publiquement accessible à grande échelle.Systematic monitoring of a publicly accessible area on a large scale.

Le RGPD précise « Le traitement des données à caractère personnel ne doit pas être considéré comme un traitement à grande échelle s'il concerne des données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat.The GDPR clarifies 'The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional, or lawyer. Dans ce cas, une évaluation de l’impact de la protection des données ne doit pas être obligatoire ».In such cases, a data protection impact assessment should not be mandatory.'

Qu’est-ce qui est requis pour effectuer une DPIA ?What is required to complete a DPIA?

Une DPIA doit fournir des informations spécifiques sur le traitement prévu, qui sont détaillées dans la partie 2 de l’aide.A DPIA should provide specific information about the intended processing, which is detailed in Part 2 of the guidance. Ces informations sont les suivantes :That information includes:

  • Évaluation du besoin et de la proportionnalité du traitement des données par rapport aux finalités prévues de la DPIA.Assessment of the necessity, and proportionality of data processing in relation to the purpose of the DPIA.
  • Évaluation des risques concernant les droits et les libertés des personnes physiques.Assessment of the risks to the rights and freedoms of natural persons.
  • Les mesures envisagées pour lutter contre les risques, notamment les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données à caractère personnel et prouver la conformité avec le RGPD.Intended measures to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of personal data and demonstrate compliance with the GDPR.
  • Finalités de traitementPurposes of processing
  • Catégories de données à caractère personnel traitéesCategories of personal data processed
  • Rétention des donnéesData retention
  • Emplacement et transferts de données à caractère personnelLocation and transfers of personal data
  • Partage de données avec des sous-processeurs tiersData sharing with third-party subprocessors
  • Partage de données avec des tiers indépendantsData sharing with independent third-parties
  • Droits des personnes concernées par les donnéesData subject rights

Considérations supplémentairesAdditional Considerations

Vous trouverez ci-dessous des détails spécifiques pouvant être utiles à votre implémentation Microsoft.Specific details that may be relevant to your Microsoft implementation are below.

  • Office 365 : ce document s’applique aux applications et services Office 365, y compris, mais sans s’y limiter, à Exchange Online, SharePoint Online, Yammer, Skype Entreprise et Power BI.Office 365: This document applies to Office 365 applications and services, including but not limited to Exchange Online, SharePoint Online, Yammer, Skype for Business, and Power BI. Pour plus d'informations, reportez-vous aux tableaux 1 et 2.Refer to Tables 1 and 2 for more details.
  • Azure : les clients sont encouragés à collaborer avec leurs responsables de la confidentialité et leur conseiller juridique pour déterminer la nécessité et le contenu de toute DPIA relative à l’utilisation de Microsoft Azure.Azure: Customers are encouraged to work with their privacy officers and legal counsel to determine the necessity and content of any DPIAs related to their use of Microsoft Azure.
  • Dynamics 365 : le contenu d’une analyse d’impact sur la protection des données peut varier en fonction des outils Dynamics 365 que vous utilisez.Dynamics 365: The contents of a DPIA may vary according to which Dynamics 365 tools you are employing. Pour des détails spécifiques, reportez-vous à Partie 2 : contenu d’une analyse d’impact sur la protection des données.For specific details refer to Part 2 Contents of a DPIA.
  • Support Microsoft et services professionnels : les services professionnels ne procèdent pas à un traitement de données de routine ou automatisées et ne sont pas destinés à traiter des catégories spéciales ou à effectuer des tâches qui facilitent ou nécessitent la surveillance de données accessibles au public.Microsoft Support and Professional Services: Professional Services does not conduct certain routine or automated data processing, nor is it intended to process special categories or perform tasks that facilitate or require monitoring of publicly accessible data. Pour plus d’informations, reportez-vous à Partie 1 : déterminer si une analyse d’impact sur la protection des données est nécessaire.For details see Part 1 — Determining Whether a DPIA is needed. Les contrôleurs doivent prendre en considération les éléments de l’analyse d’impact sur la protection des données décrits ci-dessus, ainsi que d’autres facteurs pertinents, dans le contexte des implémentations spécifiques du contrôleur et des utilisations des services professionnels.Controllers must consider the DPIA elements outlined above, along with any other relevant factors, in the context of the controller's specific implementations and uses of Professional Services. Pour plus d’informations sur les services professionnels, reportez-vous à Partie 2 : contenu d’une analyse d’impact sur la protection des données (DPIA).For Professional Services information, see Part 2 — Contents of a DPIA.

En savoir plusLearn more