Demandes des personnes concernées et le RGPD et CCPAData Subject Requests and the GDPR and CCPA

Le règlement général sur la protection des données (RGPD) présente de nouvelles règles pour les organisations qui offrent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE quel que soit l’endroit où vous vous trouvez et celui où se trouve votre entreprise.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Pour plus de détails, consultez la rubrique Synthèse RGPD.Additional details can be found in the GDPR Summary topic.

De même, le CCPA (California Consumer Privacy Act) prévoit des droits de confidentialité et des obligations pour les consommateurs de la Californie, y compris des droits similaires aux droits des personnes concernées en vertu du RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles.Similarly, the California Consumer Privacy Act (CCPA), provides privacy rights and obligations to California consumers, including rights similar to GDPR's Data Subject Rights, such as the right to delete, access, and receive (portability) their personal information. Le CCPA prévoit également des publications d’informations, des protections contre la discrimination des personnes faisant usage de leurs droits et la possibilité d’opter pour ou contre certains transferts de données classés en tant que « ventes ».The CCPA also provides for certain disclosures, protections against discrimination when electing exercise rights, and "opt-out/ opt-in" requirements for certain data transfers classified as "sales". Ce document vous permet d’obtenir des informations sur le traitement des demandes des personnes concernées (DPC) dans le cadre du RGPD et du CCPA à l’aide des produits etdes services Microsoft.This document guides you to information on the completion of Data Subject Requests (DSRs) under the GDPR and CCPA using Microsoft products and services.

TerminologieTerminology

Définitions utiles pour les termes RGPD utilisés dans ce document :Helpful definitions for GDPR terms used in this document:

  • Contrôleur de données (contrôleur)  : la personne morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres entités, détermine les finalités et les moyens de traitement des données personnelles.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Données personnelles et personne concernée : toutes les informations relatives à une personne physique identifiée ou identifiable (personne concernée); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte de l’entité de contrôle.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Données client : les données produites et stockées dans les opérations quotidiennes dans le cadre du fonctionnement de votre entreprise.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Qu’est-ce qu’une demande de la personne concernée ?What is a DSR?

Le Règlement général sur la protection des données (RGPD) accorde le droit aux individus (appelés, dans le règlement, personnes concernées) de gérer les données personnelles qui ont été collectées par un employeur ou tout autre type d’agence ou d’organisation (également appelé responsable du traitement des données ou responsable du traitement).The General Data Protection Regulation (GDPR) gives rights to people (known in the regulation as data subjects) to manage the personal data that has been collected by an employer or other type of agency or organization (known as the data controller or just controller). Le RGPD confère aux personnes concernées des droits précis sur leurs données personnelles ; ces droits vous donnent la possibilité d’obtenir des copies de ces données, de les faire modifier, d’en limiter le traitement, de les supprimer ou de les recevoir dans un format électronique afin de pouvoir les transférer à un autre responsable du traitement.The GDPR gives data subjects specific rights to their personal data; these rights include obtaining copies of it, requesting changes to it, restricting the processing of it, deleting it, or receiving it in an electronic format so it can be moved to another controller.

Le CCPA (California Consumer Privacy Act) prévoit des droits de confidentialité et des obligations pour les consommateurs de la Californie, y compris des droits similaires aux droits des personnes concernées en vertu du RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles.California Consumer Privacy Act (CCPA) provides privacy rights and obligations to California consumers, including rights similar to GDPR's Data Subject Rights, such as the right to delete, access, and receive (portability) their personal information.

En tant que contrôleur, vous avez l’obligation de prendre en compte chaque DPC et de fournir une réponse de fond en effectuant l’action demandée ou en indiquant pourquoi la DPC ne peut pas être traitée par le contrôleur.As a controller, you are obligated to promptly consider each DSR and provide a substantive response either by taking the requested action or by providing an explanation for why the DSR cannot be accommodated by the controller. Un contrôleur doit consulter ses propres conseillers juridiques ou de conformité en relation avec la destruction correcte d’une DSR donnée.A controller should consult with its own legal or compliance advisers regarding the proper disposition of any given DSR.

Plusieurs processus peuvent impliquer l’exécution d’une DPC, conformément aux règles de conformité RGPD de votre organisation.Several processes may be involved completing a DSR, subject to your organization's GDPR-compliance rules.

  • Découverte.Discovery. Processus de détermination des données nécessaires à l’exécution d’une DSR.The process of determining what data is needed to complete a DSR.
  • Accès.Access. Récupération et transmission potentielle à la personne concernée par les informations découvertes.Retrieval and potential transmission to the data subject of discovered information.
  • Rectifier.Rectify. Implémentation des modifications ou d’autres modifications de données personnelles demandées.Implement changes or other requested personal data changes.
  • Restreindre.Restrict. Modification de l’accès ou du traitement des données de personne en restreignant l’accès ou en supprimant des données du Cloud Microsoft.Changing the access or processing of persona data by restricting access, or removing data from the Microsoft cloud.
  • Exporter.Export. Fournir un « format structuré, communément utilisé, lisible par l’ordinateur » de données personnelles à la personne concernée, comme fourni par le « droit de portabilité des données » du RGPD.Providing a "structured, commonly used, machine-readable format" of personal data to the data subject, as provided by the GDPR's "right of data portability."
  • SupprimerDelete. Suppression définitive de données personnelles du Microsoft Cloud.Permanent removal of personal data from the Microsoft cloud.

Considérations spécifiques concernant une DSRSpecific DSR Considerations

Analyses générées par les produits ou services MicrosoftInsights generated by Microsoft Products or Services

Des analyses peuvent être générées par les services (MyAnalytics, etc.). Office 365 inclut des services en ligne qui fournissent une analyse aux utilisateurs et organisations qui les utilisent.Insights may be generated by services (MyAnalytics, etc.) Office 365 includes online services that provide insights to users and organizations that use them. Les données générées par ces services peuvent produire des données personnelles pertinentes pour une DSR.Data generated by these services may produce personal data relevant to a DSR. Suivez le lien dans la liste ci-dessous pour obtenir des informations sur les processus DSR spécifiques aux services.Follow the link in the list below for details regarding service-specific DSR processes.

DSR pour des journaux générés par le systèmeDSRs for system-generated logs

Les journaux et données associées générés par Microsoft peuvent contenir des données considérées comme personnelles dans le cadre de la définition RGPD des « données personnelles ».Logs and related data generated by Microsoft may contain data deemed personal under GDPR's definition of "personal data." Restriction ou rectification des données dans des journaux générés par le système n’est pas prise en charge.Restricting or rectifying data in system-generated logs is not supported. Les données contenues dans des journaux générés par le système forment des actions factuelles effectuées dans le cloud Microsoft et les données de diagnostic ; des modifications compromettraient l’enregistrement historique des actions, augmentant ainsi les risques de fraude et de sécurité.Data in system-generated logs constitutes factual actions conducted within the Microsoft cloud and diagnostic data; modifications would compromise the historical record of actions and increase fraud and security risks. Microsoft offre la possibilité d’accéder à des journaux générés par le système, ainsi que de les exporter et de les supprimer, qui peuvent être nécessaires pour effectuer une DSR.Microsoft provides the ability to access, export, and delete system-generated logs that may be necessary to complete a DSR. Les exemples suivants peuvent inclure les données suivantes :Examples of such data may include:

  • Données relatives à l’utilisation de produits et de services tels que les journaux d’activité des utilisateursProduct and service usage data such as user activity logs
  • Requêtes de recherche et données de requête des utilisateursUser search requests and query data
  • Données générées par les produits et services comme résultat des fonctionnalités du système et de l’interaction par les utilisateurs ou d’autres systèmes.Data generated by product and services resulting from system functionality and interaction by users or other systems.

Yammer et KaizalaYammer and Kaizala

La suppression du compte d'un utilisateur ne supprime pas les journaux générés par le système pour Yammer et Kaizala.Deleting a user's account will not remove system-generated logs for Yammer and Kaizala. Pour supprimer les données contenues dans ces applications, consultez l'une des ressources suivantes :To remove the data from these applications, see one of the following resources:

Clouds nationauxNational Clouds

Dans certains clouds nationaux, un administrateur IT général doit supprimer les journaux générés par le système.In some national clouds, a global IT Administrator needs to delete system-generated logs.

Services MicrosoftMicrosoft Services

Si votre organisation ou vos utilisateurs interagissent avec Microsoft pour bénéficier du support technique lié aux produits et services Microsoft, certaines de ces données peuvent contenir des données personnelles.If your organization or users engage with Microsoft to receive, support related to Microsoft products and services some of this data may contain personal data. Pour plus d’informations, reportez-vous à Demandes des personnes concernées du support Microsoft et des services professionnels concernant le RGPD.For more information, see Microsoft Support and Professional Services Data Subject Requests for the GDPR.

Produits de contrôleur MicrosoftMicrosoft Controller Products

Dans certains cas, les utilisateurs de votre organisation peuvent accéder aux produits ou services Microsoft dont Microsoft est le contrôleur de données.In some circumstances, your organization's users may access Microsoft products or services for which Microsoft is the data controller. Dans ce cas, vos utilisateurs doivent initier leur propre DSR directement auprès de Microsoft et Microsoft répond aux demandes directement à l’utilisateur.In those cases, your users need to initiate their own DSRs directly to Microsoft, and Microsoft fulfills the requests directly to the user.

Produits tiersThird-party Products

Pour les produits et services tiers accessibles via l’authentification de compte Microsoft, les demandes des personnes concernées doivent être redirigées vers le tiers applicable.For third-party products and services accessed through Microsoft account authentication, any data subject requests should be directed to the applicable third party.

Outils d’administration sur les demandes des personnes concernéesData Subject Request admin tools

  • Centre de sécurité et de conformité : les données générées par l’utilisateur sont exportées par le Centre de sécurité et de conformité ou dans les fonctionnalités de l’application.Security & Compliance Center: User-generated data is exported by the Security & Compliance Center or in-application features.
  • Centre d’administration Azure AD: supprimez un objet de données d’Azure Active Directory et des services associés à l’aide du Centre d’administration Azure AD.Azure AD Admin Center: Delete a data subject from Azure Active Directory and related services using Azure AD Admin Center.
  • Exportation de journal de données Microsoft : les journaux générés par le système peuvent être exportés par les administrateurs de locataire à l’aide de la fonction Exportation de journal de données Microsoft.Microsoft Data Log Export: System-generated logs can be exported by tenant administrators using the Microsoft Data Log Export.

En savoir plusLearn more