Sythèse du règlement général sur la protection des donnéesGeneral Data Protection Regulation Summary

Le règlement général sur la protection des données (RGPD) présente de nouvelles règles pour les organisations qui offrent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE quel que soit l’endroit où vous vous trouvez et celui où se trouve votre entreprise.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Ce document vous apporte des informations pour vous aider à honorer vos droits et à respecter les obligations en vertu du RGPD lorsque vous utilisez les produits et services Microsoft.This document guides you to information to help you honor rights and fulfill obligations under the GDPR when using Microsoft products and services. Un plan d’action recommandé pour le RGPD et les listes de vérification de préparation sur la responsabilité fournissent des ressources supplémentaires pour l’évaluation et la mise en œuvre de la conformité RGPD.A Recommended action plan for GDPR and Accountability Readiness Checklists provide additional resources for assessing and implementing GDPR compliance.

TerminologieTerminology

Définitions utiles pour les termes RGPD utilisés dans ce document :Helpful definitions for GDPR terms used in this document:

  • Contrôleur de données (contrôleur)  : la personne morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres entités, détermine les finalités et les moyens de traitement des données personnelles.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Données personnelles et personne concernée : toutes les informations relatives à une personne physique identifiée ou identifiable (personne concernée); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte de l’entité de contrôle.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Données client : les données produites et stockées dans les opérations quotidiennes dans le cadre du fonctionnement de votre entreprise.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Qu’est-ce que le RGPD ?What is the GDPR?

Le RGPD donne aux personnes les droits de gérer les données personnelles rassemblées par une organisation.The GDPR gives rights to people to manage personal data collected by an organization. Ces droits peuvent être exercés via une demande de la personne concernée (DSR).These rights can be exercised through a Data Subject Request (DSR). L’organisation doit fournir des informations opportunes concernant les DSR et les brèches de données, et effectuer des analyses d’impact sur la protection des données (DPIA).The organization is required to provide timely information regarding DSRs and data breaches, and perform Data Protection Impact Assessments (DPIAs).

Plusieurs points doivent être pris en considération lors de l’implémentation ou de l’analyse de besoins RGPD :Several points should be considered when implementing or assessing GDPR requirements:

  • Développement ou analyse de votre politique de confidentialité des données de conformité RGPD.Developing or evaluating your GDPR-compliance data privacy policy.
  • Analyser la sécurité des données de votre organisation.Assessing the data security of your organization.
  • Qui est votre contrôleur de données ?Who is your data controller?
  • Quels sont les processus de sécurité des données que vous devez effectuer ?What data security processes may you have to perform?

Le plan d’action recommandé pour le RGPD et les listes de vérification de préparation sur la responsabilité peuvent inviter à d’autres points de réflexion.The Recommended action plan for GDPR and Accountability Readiness Checklists may prompt additional thinking points.

Les tâches suivantes sont impliquées pour satisfaire les normes RGPD.The following tasks are involved to meet GDPR standards. Pour plus d’informations sur l’implémentation, suivez les liens de la liste.Follow the links in the list for details regarding your implementation.

  • Demandes des personnes concernées (DSR).Data subject requests (DSR). Une demande officielle d’une personne concernée à un responsable du traitement pour effectuer une action (changement, restriction, accès) sur ses données personnelles.A formal request by a data subject to a controller to take an action (change, restrict, access) regarding their personal data.
  • Notification de violation.Breach notification. En vertu du RGPD, une violation de données personnelles correspond à « une violation de la sécurité entraînant la destruction involontaire ou contraire à la loi de données personnelles transmises, stockées ou autrement traitées, ou bien leur perte, modification ou divulgation ou consultation non autorisée ».Under GDPR, a personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'
  • Analyses d’impact sur la protection des données.Data protection impact assessment (DPIA). Les contrôleurs de données sont requis en vertu du RGPD de préparer une analyse d’impact sur la protection des données pour les opérations de données « susceptibles de générer un risque élevé pour les droits et libertés des personnes physiques ».Data controllers are required under GDPR to prepare a DPIA for data operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.'

Comme indiqué ci-dessus, le plan d’action recommandé pour le RGPD et les listes de vérification de préparation sur la responsabilité fournissent un guide pour l’implémentation ou l’analyse de la conformité RGPD à l’aide de produits et services Microsoft.As mentioned above, the Recommended action plan for GDPR and Accountability Readiness Checklists provide a guide to implementing or assessing GDPR conformance using Microsoft products and services.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risquesUse Microsoft Compliance Manager to assess your risk

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Le Gestionnaire de conformité offre une évaluation prédéfinie de cette réglementation pour les clients d’Entreprise E5.Compliance Manager has a pre-built assessment for this regulation for Enterprise E5 customers. Recherchez le modèle de création de l’évaluation sur la page des modèles d’évaluation dans le Gestionnaire de Conformité.Find the template for building the assessment in the assessment templates page in Compliance Manager. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.Learn how to build assessments in Compliance Manager.

Demandes des personnes concernées (DSR)Data Subject Request (DSR)

Le RGPD octroie aux individus (ou aux personnes concernées par les données) certains droits en lien avec le traitement de leurs données personnelles, y compris le droit de corriger des données incorrectes, d’effacer des données ou de limiter leur traitement, de recevoir leur données et de remplir une demande afin de transmettre leurs données à un autre contrôleur.The GDPR grants individuals (or data subjects) certain rights in connection with the processing of their personal data, including the right to correct inaccurate data, erase data or restrict its processing, receive their data and fulfill a request to transmit their data to another controller. Le contrôleur se charge de fournir une réponse opportune et cohérente au RGPD.The controller is responsible for providing a timely, GDPR consistent reply. Pour plus d’informations techniques, reportez-vous à Demandes des personnes concernées.For technical details, refer to Data Subject Requests.

Forum aux questions sur le DSRDSR FAQs

Quelles actions seront requises pour effectuer un DSR ?What actions will be required to complete a DSR?

Une demande de personne concernée implique six activités : découverte, accès, rectification, restriction, exportation et suppression.DSRs involve six activities: Discovery, Access, Rectification, Restriction, Export, and Deletion.

Quelles sont vos sources de données ?What are your data sources?

Une grande partie des données d’une organisation est générée dans les applications Office telles qu’Excel et Outlook.A large fraction of an organization's data is generated in Office applications such as Excel and Outlook. Vous pouvez également trouver des données pertinentes pour une DSR dans les informations générées par les produits et services Microsoft et les journaux générés par le système.You may also find data relevant to a DSR in Insights generated by Microsoft products and services, and system-generated logs.

Quels types de données doivent faire l’objet d’une recherche ?What kinds of data need to be searched?

Les données à caractère personnel peuvent se trouver dans les données client, les informations générées par les produits et services Microsoft et les journaux générés par le système.Personal data may be found in customer data, insights generated by Microsoft products and services, and system-generated logs.

Comment les données à caractère personnel doivent-elles être recherchées ?How will personal data be searched?

La recherche de données à caractère personnel peut varier entre les produits et services Microsoft.Searching for personal data may vary across Microsoft products and services. Les outils de recherche incluent la recherche de contenu ou la capacité de recherche dans l’application.Search tools include Content Search, or in-app search capacity. Les administrateurs peuvent accéder aux journaux générés par le système associés à l’activité d’un utilisateur.Administrators may access system-generated logs associated with a user's activity.

Dans quels formats est-ce que les données personnelles doivent être disponibles ?In what formats should personal data be made available?

Le « droit à la portabilité des données » du RGPD permet à la personne concernée par le traitement des données de demander une copie des données à caractère personnel dans un « format lisible par machine, fréquemment utilisé et structuré » et demander à votre organisation de transmettre ces fichiers à une autre entité de contrôle des données.The GDPR 'right of data portability' allows a data subject to request a copy of personal data in a 'structured, commonly used, machine-readable format', and to request that your organization transmit these files to another data controller.

Quelles sont les exigences du RGPD et quelles sont mes responsabilités en tant que contrôleur ?What does the GDPR require and what are my responsibilities as the controller?

En tant que contrôleur, le RGPD exige que vous puissiez effectuer ce qui suit :As controller, the GDPR requires you to be able to:

  • Fournir aux personnes concernées une copie de leurs données personnelles, ainsi qu’une description des catégories des données qui sont traitées, des objectifs de ce traitement et des catégories de tiers auxquels leurs données peuvent être divulguées.Give data subjects a copy of their personal data, together with an explanation of the categories of their data that are being processed, the purposes of that processing, and the categories of third parties to whom their data may be disclosed.
  • Aider les individus à exercer leur droit de corriger des données personnelles incorrectes, d’effacer des données ou de limiter leur traitement, de recevoir leurs données dans un formulaire lisible et, le cas échéant, de remplir une demande afin de transmettre leurs données à un autre contrôleur.Help every individual exercise their right to correct inaccurate personal data, erase data or restrict its processing, receive their data in a readable form, and where applicable, fulfill a request to transmit their data to another controller.

Quelles sont les exigences du RGPD et quelles sont les responsabilités de Microsoft en tant que responsable du traitement ?What does the GDPR require and what are the responsibilities of Microsoft as processor?

Nous devons implémenter les mesures techniques et organisationnelles appropriées afin de vous aider à répondre aux demandes des personnes concernées par le traitement des données cherchant à exercer leurs droits indiqués ci-dessus.We must implement the appropriate technical and organizational measures to assist you in responding to requests from data subjects exercising their rights as discussed above.

Où puis-je trouver des informations sur le RGPD pour les serveurs locaux ?Where can I find GDPR-related information for on-premises servers?

Vous trouverez ici une série d'articles relatifs à la RGPD.You can find a series of GDPR-related articles here. Produits par Microsoft, ils fournissent les approches recommandées pour la charge de travail locale pour SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server et les partages de fichiers locaux.Produced by Microsoft, they provide recommended approaches for on-premises workload for SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server, and on-premises file shares.

Moyens mis à votre disposition par Microsoft pour vous permettre de répondre aux demandes des personnes concernées ?How does Microsoft enable you to respond to data subject requests?

Online Services offre un éventail de fonctionnalités pour vous permettre, en tant que contrôleur, de répondre à la demande d’une personne concernée par les données.Online Services offers a host of capabilities to enable you, as a controller, to respond to a data subject's request. Les contrôles administratifs et les services en ligne d’entreprise de Microsoft vous aident à réagir concernant les données personnelles en réponse aux demandes de droits des personnes concernées par les données, ce qui vous permet de repérer, disposer, rectifier, limiter, supprimer et exporter des données personnelles qui résident dans les données gérées par le contrôleur stockées dans le cloud Microsoft.Microsoft enterprise online services and administrative controls help you act on personal data responsive to data subject rights requests, allowing you to discover, access, rectify, restrict, delete, and export personal data that resides in the controller-managed data stored in Microsoft's cloud. Online Services fournit également les données dans un formulaire lisible par machine si nécessaire.Online Services also provides data in machine-readable form should you need it.

Analyses d’impact sur la protection des donnéesData Protection Impact Assessment

En vertu du RGPD, les contrôleurs de données sont requis de préparer une analyse d’impact sur la protection des données (DPIA) pour les opérations « susceptibles de générer un risque élevé pour les droits et libertés des personnes physiques ».Under GDPR, data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.' Il n’existe aucun élément inhérent aux produits et services Microsoft nécessitant la création d’une DPIA.There is nothing inherent in Microsoft products and services that need the creation of a DPIA. Cela dépend plutôt des détails de la configuration Microsoft.Rather, it depends on the details of your Microsoft configuration. Une liste de détails devant être pris en compte dans Office est disponible dans Contenu d’une DPIAA list of details that must be considered in Office can be found in Contents of DPIA

Forum aux questions sur la DPIADPIA FAQs

Quand devez-vous mener une DPIA ?When should you conduct a DPIA?

Les contrôleurs sont requis d’effectuer une DPIA pour résoudre les problèmes relatifs à la sécurité des données à caractère personnel ou en raison d’une violation de données.Controllers are required to perform a DPIA addressing risks to personal data security or as a result of a data breach. Des exemples spécifiques de facteurs de risque dans Office sont traités dans Déterminer si une analyse d’impact sur la protection des données est nécessaire.Specific examples of risk factors in Office are addressed in Determining Whether a DPIA is Needed.

Qu’est-ce qui est requis pour effectuer une DPIA ?What is required to complete a DPIA?

Le RGPD impose qu’une DPIA inclut les éléments suivants :The GDPR mandates that a DPIA includes:

  • Évaluation du besoin et de la proportionnalité du traitement des données par rapport aux finalités prévues de la DPIA.Assessment of the necessity, and proportionality of data processing in relation to the DPIA's purpose.
  • Évaluation des risques concernant les droits et les libertés des personnes concernées par les données.An assessment of the risks to the rights and freedoms of data subjects.
  • Les mesures envisagées pour lutter contre les risques, les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données à caractère personnel et prouver la conformité avec le RGPD.Intended measures to address the risks, safeguards, security measures, and mechanisms to ensure the protection of personal data and demonstrate compliance with the GDPR.

Quelles sont mes responsabilités en tant que contrôleur ?What are my responsibilities as a Controller?

Selon le RGPD, en tant que contrôleur, vous devez effectuer les analyses d’impact sur la protection des données avant tout traitement de données pouvant potentiellement entraîner un risque élevé concernant les droits et libertés des personnes, en particulier pour les traitements utilisant les nouvelles technologies.Under the GDPR, as a controller you are required to undertake DPIAs prior to data processing that is likely to result in a high risk to the rights and freedoms of individuals—in particular, processing using new technologies. Le RGPD fournit la liste non exhaustive suivante des cas où les analyses d’impact sur la protection des données doivent être effectuées :The GDPR provides the following non-exhaustive list of cases in which DPIAs must be carried out:

  • Traitement automatisé à des fins de profilage et d’activités similaires ayant des conséquences légales ou un impact significatif sur les personnes concernées ;Automated processing for the purposes of profiling and similar activities that has legal effects or similarly significantly affects data subjects;
  • Traitement à grande échelle de catégories spéciales de données personnelles (révélant l’origine raciale ou ethnique, les opinions politiques et autres) ou de données relatives aux condamnations pénales et aux délits commis ;Processing on a large scale of special categories of personal data-data revealing racial or ethnic origin, political opinion, and the like—or of data relating to criminal convictions and offenses;
  • Surveillance systématique d’une zone publiquement accessible à grande échelle.Systematic monitoring of a publicly accessible area on a large scale.

Le RGPD exige également que vous consultiez votre autorité de protection des données (DPA) avant de commencer tout traitement si vous ne pouvez pas identifier les processus suffisants pour réduire au maximum les risques élevés pour les personnes concernées. The GDPR also requires that you must consult with your Data Protection Authority (DPA) before you begin any processing if you cannot identify sufficient processes to minimize high risks to data subjects.

Quelles sont les responsabilités Microsoft ?What are the responsibilities of Microsoft?

Microsoft pratique la confidentialité dès la conception et la confidentialité par défaut dans ses fonctions métiers et d’ingénierie.Microsoft practices privacy by design and privacy by default in its engineering and business functions. Dans le cadre de ces efforts, Microsoft soumet à des vérifications de confidentialité complètes les opérations de traitement des données susceptibles d’avoir un impact sur les droits et libertés individuelles des personnes concernées.As part of these efforts, Microsoft performs comprehensive privacy reviews on data processing operations that have the potential to cause impacts to the rights and freedoms of data subjects. Les équipes responsables de la confidentialité intégrées aux groupes de service vérifient la conception et l’implémentation des services pour s’assurer que le traitement des données personnelles respecte les lois internationales, les attentes de l’utilisateur et nos engagements explicites.Privacy teams embedded in the service groups review the design and implementation of services to ensure that personal data is processed in a respectful manner that accords with international law, user expectations, and our express commitments.

Ces vérifications de la confidentialité tendent à être granulaires : un même service peut en recevoir des dizaines, voire des centaines.These privacy reviews tend to be granular — a particular service may receive dozens or hundreds of reviews. Microsoft répète ces vérifications granulaires de la confidentialité dans les analyses d’impact sur la protection des données (DPIA) couvrant les principaux groupements de traitement, que le délégué à la protection des données de Microsoft UE vérifie.Microsoft rolls up these granular privacy reviews into Data Protection Impact Assessments (DPIAs) that cover major groupings of processing, which the Microsoft EU Data Protection Officer (DPO) then reviews. Le délégué à la protection des données évalue les risques liés au traitement des données pour s’assurer que la quantité d’atténuations mises en place est suffisante.The DPO assesses the risks related to the data processing to ensure that sufficient mitigations are in place. S’il repère des risques non atténués, es modifications sont recommandées à nouveau au groupe Ingénierie.If the DPO finds unmitigated risks, changes are recommended back to the engineering group. Si les risques liés à la protection des données changent, les analyses d’impact sur la protection des données sont vérifiées et mises à jour.DPIAs will be reviewed and updated as data protection risks change.

En tant que responsable du traitement des données, Microsoft est tenu d’aider les contrôleurs à assurer la conformité aux exigences de DPIA définies dans le RGPD.Microsoft, as a processor, has a duty to assist controllers in ensuring compliance with the DPIA requirements laid out in the GDPR. Dans le souci d’accompagner nos clients, des résumés des différentes sections des DPIA de Microsoft seront prochainement disponibles dans cette section. Ils serviront de base aux contrôleurs qui utilisent les services Microsoft pour la création de leurs propres DPIA.To support our customers, relevant sections of Microsoft's DPIAs are abstracted and will be provided through this section in future updates with the intent of allowing controllers relying on Microsoft services to leverage the abstracts in order to create their own DPIAs.

Notification de violationBreach Notification

Le RGPD impose des exigences de notification aux responsables du traitement des données et aux contrôleurs pour une violation de données à caractère personnel.The GDPR mandates notification requirements for data controllers and processors for a breach of personal data. En tant que responsable du traitement des données, Microsoft s’assure que les clients peuvent répondre aux exigences de notification de violation du RGPD.As a data processor, Microsoft ensures that customers are able to meet the GDPR's breach notification requirements. Les contrôleurs de données sont chargés d'évaluer les risques liés à la confidentialité des données et de déterminer si le contrat de traitement des données d’un client doit être notifié en cas de violation.Data controllers are responsible for assessing risks to data privacy and determining whether a breach requires notification of a customer's DPA. Microsoft fournit les informations nécessaires pour effectuer cette évaluation.Microsoft provides the information needed to make that assessment. Plus d’informations sur la façon dont Microsoft détecte et répond à une violation des données à caractère personnel dans Notification des violations de données en vertu du RGPD.More information about how Microsoft detects and responds to a breach of personal data in Data Breach Notification Under the GDPR.

Foires aux questions sur la notification de violationBreach notification FAQs

Selon le RGPD, qu’est-ce qu’une violation de données personnelles ?What constitutes a breach of personal data under the GDPR?

Les données personnelles correspondent aux informations relatives à un individu permettant de l’identifier directement ou indirectement.Personal data means any information related to an individual that can be used to identify them directly or indirectly. Une violation de données personnelles correspond à « une violation de la sécurité entraînant la destruction involontaire ou contraire à la loi de données personnelles transmises, stockées ou autrement traitées, ou bien leur perte, modification ou divulgation ou consultation non autorisée ».A personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'

Quelles sont vos responsabilités en tant que contrôleur ?What are your responsibilities as the controller?

Si une violation de données personnelles susceptible d’entraîner un risque élevé pour les droits et libertés des personnes (par exemple, la discrimination, l’usurpation d’identité, la fraude, la perte financière ou l’atteinte à leur réputation) se produit, le RGPD exige que vous procédiez comme indiqué ci-dessous :If a breach of personal data that is likely to result in a high risk to the rights and freedoms of individuals (such as discrimination, identity theft, fraud, financial loss, or damage to their reputation) occurs, the GDPR requires you to:

  • Informez l’autorité de protection des données (DPA) appropriée dans les 72 heures suivant la découverte d’une violation, par exemple après la notification de Microsoft.Notify the appropriate Data Protection Authority (DPA) within 72 hours of becoming aware of it—for example, after Microsoft notifies you. Si vous n’informez pas la DPA avant la fin de ce délai, vous devez vous justifier auprès d’elle.If you don't notify the DPA within that time period, you'll need to explain why to the DPA. Cette notification à la DPA est obligatoire, même si elle représente un risque pour les individus tant que ce risque n’est pas élevé.This notice to the DPA is required even where there is a risk to individuals that is not likely to result in a high risk.
  • Avertissez dès que possible les personnes concernées par les données en cas de violation.Notify the data subjects of the breach without undue delay.
  • Documentez la violation, notamment avec une description de la nature de la violation, par exemple, le nombre de personnes affectées, le nombre d’enregistrements de données concernés, les conséquences de la violation et les mesures correctives proposées par votre organisation.Document the breach including a description of the nature of the breach—such as how many people were impacted, the number of data records affected, the consequences of the breach, and any remedial action your organization is proposing or took.

Quelles sont les responsabilités Microsoft en tant que responsable du traitement ?What are the responsibilities of Microsoft as the processor?

Une fois informés d’une violation de données personnelles, nous sommes tenus par le RGPD de vous en informer dans les meilleurs délais.After we become aware of a personal data breach, the GDPR requires us to notify you without undue delay. Lorsque Microsoft est un responsable du traitement, nos obligations reflètent les exigences du RGPD et nos dispositions contractuelles internationales standard.Where Microsoft is a processor our obligations reflect both GDPR requirements and our standard, worldwide contractual provisions. Nous estimons que toutes les violations de données personnelles confirmées sont concernées. Il n’existe aucun seuil de risque.We consider that all confirmed personal data breaches are in scope; there is no risk of harm threshold. Nous informons nos clients lorsque la violation de données a été subie directement par Microsoft ou par l’un de nos sous-traitants.We will notify our customers whether the data breach was suffered by Microsoft directly or by any of our sub-processors. Nous avons mis en place des processus permettant d’identifier et de contacter rapidement le personnel chargé de la sécurité en cas d’incident que vous avez identifié dans votre organisation.We have processes in place to quickly identify and contact security incident personnel you've identified in your organization. Par ailleurs, tous les sous-traitants sont contractuellement tenus de signaler leurs propres violations à Microsoft et d’offrir des garanties à cet effet.In addition, all sub-processors are contractually obliged to report their own breaches to Microsoft, and provide guarantees to that effect.

Comment Microsoft détecte une violation de données ?How will Microsoft detect a data breach?

Tous nos services et employés suivent les procédures de gestion des incidents internes pour s’assurer que nous prenons les précautions appropriées afin d’éviter les violations de données.All our services and personnel follow internal incident management procedures to ensure that we take proper precautions to avoid data breaches in the first place. De plus, Online Services dispose de contrôles de sécurité spécifiques sur nos plateformes pour détecter les rares cas de violations de données.However, in addition, Online Services have specific security controls in place across our platforms to detect data breaches in the rare event that they occur.

Comment Microsoft réagit face à une violation de données ?How will Microsoft respond to a data breach?

Pour vous assister en cas de violation de données personnelles, Microsoft dispose de ce qui suit :To support you for a breach of personal data Microsoft has: - Un personnel chargé de la sécurité formé aux procédures spécifiques à suivre.Security personnel trained on the specific procedures to follow. - Des stratégies, des procédures et des contrôles visant à vous assurer que Microsoft conserve des enregistrements détaillés.Has policies, procedures, and controls in place to ensure that Microsoft maintains detailed records. Cette réponse inclut la documentation sur les détails de l’incident, ses effets et les mesures correctives adoptées, ainsi que les informations de suivi et de stockage dans nos systèmes de gestion des incidents.This response includes documentation that captures the facts of the incident, its effects, and remedial action, as well as tracking and storing information in our incident management systems.

Comment Microsoft m’avertit en cas de violation de données ?How will Microsoft notify me in the event of a data breach?

Microsoft a établi des stratégies et des procédures pour vous avertir rapidement.Microsoft has policies and procedures in place to notify you promptly. Pour vous permettre de remplir vos obligations en matière de notification à la DPA, nous fournissons une description du processus utilisé pour déterminer si une violation de données personnelles s’est produite, de la nature de la violation et des mesures que nous avons prises pour la corriger.To satisfy your notice requirements to the DPA, we will provide a description of the process we used to determine if a breach of personal data has occurred, a description of the nature of the breach and a description of the measures we took to mitigate the breach.

Listes de vérification de préparation sur la responsabilité concernant le RGPDAccountability Readiness Checklists for the GDPR

Ces listes de vérification permettent d’accéder en toute simplicité aux informations dont vous pouvez avoir besoin pour prendre en charge le RGPD lors de l’utilisation de produits Microsoft.These checklists provide a convenient way to access information you may need to support the GDPR using Microsoft products. Vous pouvez gérer les éléments de la liste de vérification à l’aide du Gestionnaire de Conformité Microsoft en indiquant l’ID de Contrôle et le Titre de Contrôle sous Contrôles Gérés par le Client dans la vignette RGPD.You can manage checklist items with Microsoft Compliance Manager by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

Forum aux questions sur le RGPDGDPR FAQs

Microsoft a-t-il des engagements envers ses clients en ce qui concerne le RGPD ?Does Microsoft make commitments to its customers with regard to the GDPR?

Oui.Yes. Le RGPD exige que les responsables du traitement (telles des organisations utilisant les services en ligne d’entreprise de Microsoft ) utilisent uniquement des sous-traitants de données (tels que Microsoft) offrant des garanties suffisantes quand à leur capacité à satisfaire aux principales exigences du RGPD.The GDPR requires controllers (such as organizations using Microsoft's enterprise online services) only use processors (such as Microsoft) that provide sufficient guarantees to meet key requirements of the GDPR. Microsoft a pris l’initiative de prendre ces engagements envers tous ses clients titulaires de licences en volume dans le cadre de leurs contrats.Microsoft has taken the proactive step of providing these commitments to all Volume Licensing customers as part of their agreements.

Comment est-ce que Microsoft me permet de me conformer ?How does Microsoft help me comply?

Microsoft fournit des outils et de la documentation pour vous aider à assumer les responsabilités liées à votre RGPD.Microsoft provides tools and documentation to support your GDPR accountability. Cela inclut la prise en charge des droits de l’objet de données, l’exécution de vos propres analyses d’impact sur la protection des données et la collaboration pour résoudre les violations de données personnelles.This includes support for Data Subject Rights, performing your own Data Protection Impact Assessments, and working together to resolve personal data breaches.

Quels engagements se trouvent dans les conditions RGPD ?What commitments are in the GDPR Terms?

Les conditions RGPD de Microsoft reflètent les engagements requis des responsables du traitement à l’article 28.Microsoft's GDPR Terms reflect the commitments required of processors in Article 28. L’article 28 exige que les responsables du traitement s’engagent à :Article 28 requires that processors commit to:

  • N’utiliser que les sous-responsables du traitement avec le consentement du contrôleur et demeurez responsable des sous-responsables du traitement.Only use subprocessors with the consent of the controller and remain liable for subprocessors.
  • Traiter les données personnelles uniquement pour les instructions du contrôleur, y compris en relation avec les transferts.Process personal data only on instructions from the controller, including with regard to transfers.
  • Assurer que les personnes qui traitent des données personnelles s'engagent à respecter la confidentialité.Ensure that persons who process personal data are committed to confidentiality.
  • Mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité des données personnelles approprié au risque.Implement appropriate technical and organizational measures to ensure a level of personal data security appropriate to the risk.
  • Assister les contrôleurs dans leur obligation de répondre aux demandes des sujets de données pour exercer leurs droits RGPD.Assist controllers in their obligations to respond to data subjects' requests to exercise their GDPR rights.
  • Répondre aux exigences en matière de notification de violation et d’assistance.Meet the breach notification and assistance requirements.
  • Aider les contrôleurs à réaliser des analyses d’impact sur la protection des données et à consulter les autorités de contrôle.Assist controllers with data protection impact assessments and consultation with supervisory authorities.
  • Supprimer ou renvoyer des données personnelles à la fin de la prestation de services.Delete or return personal data at the end of provision of services.
  • Prendre en charge du contrôleur avec une preuve de conformité avec le RGPD.Support the controller with evidence of compliance with the GDPR.

Sous quelle base Microsoft facilite-t-il le transfert de données personnelles en dehors de l’UE ?Under what basis does Microsoft facilitate the transfer of personal data outside of the EU?

Microsoft utilise depuis longtemps les clauses contractuelles standard (également appelées clauses de modèle) comme base de transfert de données pour ses services en ligne d'entreprise.Microsoft has long used the Standard Contractual Clauses (also known as the Model Clauses) as a basis for transfer of data for its enterprise online services. Les clauses contractuelles standard sont des termes standard fournis par la Commission européenne, qui peuvent être utilisés pour transférer des données en dehors de l’espace économique européen de façon conforme.The Standard Contractual Clauses are standard terms provided by the European Commission that can be used to transfer data outside the European Economic Area in a compliant manner. Microsoft a incorporé les clauses contractuelles standard dans tous nos contrats de licence en volume via les Conditions d’utilisation des services en ligne.Microsoft has incorporated the Standard Contractual Clauses into all of our Volume Licensing agreements via the Online Services Terms. Pour les données personnelles de l’Espace économique européen, de la Suisse et du Royaume-Uni, Microsoft veillera à ce que les transferts de données personnelles vers un pays tiers ou une organisation internationale soient soumis à des garanties appropriées, comme décrit dans l’article 46 de la RGPD.For personal data from the European Economic Area, Switzerland, and the United Kingdom, Microsoft will ensure that transfers of personal data to a third country or an international organization are subject to appropriate safeguards as described in Article 46 of the GDPR. Outre les engagement de Microsoft sous les Clauses contractuelles standard pour les processeurs et d’autres contrats types, Microsoft continue de se conformer aux termes du bouclier de protection des données, mais n’y aura plus recours en tant que base pour le transfert de données personnelles de l’UE/EEA vers les États-Unis.In addition to Microsoft's commitments under the Standard Contractual Clauses for processors and other model contracts, Microsoft continues to abide by the terms of the Privacy Shield framework but will no longer rely on it as a basis for the transfer of personal data from the EU/EEA to the United States.

Quelles sont les autres offres de conformité Microsoft ?What are the other Microsoft compliance offerings?

En tant qu’entreprise mondiale avec des clients dans presque tous les pays au monde, Microsoft dispose d’un solide portefeuille de conformité pour aider ses clients.As a global company with customers in nearly every country in the world, Microsoft has a robust compliance portfolio to assist our customers. Pour consulter la liste complète des offres de conformité, notamment FedRamp, HIPAA/Hi, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, G-Cloud Royaume-Uni et bien d’autres encore, visitez nos rubriques d’offre de conformité.To view a complete list of our compliance offerings including FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud, and many others visit our compliance offering topics.

Quel effet le RGPD aura-t-il sur mon entreprise ?How will GDPR affect my company?

Le RGPD impose de nombreuses exigences sur les organisations qui collectent ou traitent des données personnelles, y compris une obligation de respecter les six principes clés :The GDPR imposes a wide range of requirements on organizations that collect or process personal data, including a requirement to comply with six key principles:

  • Transparence, équité et légalité dans la manipulation et l’utilisation des données personnelles.Transparency, fairness, and lawfulness in the handling and use of personal data. Vous devrez être clair avec les personnes concernées sur la façon dont vous utilisez les données à caractère personnel et vous avez également besoin d'une « base licite » pour traiter ces données.You will need to be clear with individuals about how you are using personal data and will also need a "lawful basis" to process that data.
  • Limiter le traitement de données personnelles à spécifié, explicite et à des fins légitimes.Limiting the processing of personal data to specified, explicit, and legitimate purposes. Vous ne pourrez pas réutiliser ou divulguer des données personnelles à des fins non « compatibles » avec l’objectif pour lequel les données ont été collectées à l’origine.You will not be able to reuse or disclose personal data for purposes that are not "compatible" with the purpose for which the data was originally collected.
  • Réduire la collecte et le stockage des données personnelles à celles qui sont adéquates et pertinentes pour l’objectif attendu.Minimizing the collection and storage of personal data to that which is adequate and relevant for the intended purpose.
  • Garantir la l’exactitude des données personnelles et leur permettre d’être effacé ou rectifié.Ensuring the accuracy of personal data and enabling it to be erased or rectified. Vous devez prendre des mesures pour vous assurer que les données personnelles que vous conservez sont exactes et peuvent être corrigées en cas d’erreur.You will need to take steps to ensure that the personal data you hold is accurate and can be corrected if errors occur.
  • Limiter le stockage des données personnelles.Limiting the storage of personal data. Vous devez vous assurer que vous conservez les données personnelles uniquement pendant toute la durée nécessaire pour atteindre les objectifs pour lesquels les données ont été collectées.You will need to ensure that you retain personal data only for as long as necessary to achieve the purposes for which the data was collected.
  • Garantir la sécurité, l’intégrité et la confidentialité des données personnelles.Ensuring security, integrity, and confidentiality of personal data. Votre organisation doit prendre des mesures pour assurer la sécurité des données personnelles par le biais de mesures de sécurité techniques et organisationnelles.Your organization must take steps to keep personal data secure through technical and organizational security measures.

Vous devez comprendre quelles sont les obligations spécifiques de votre organisation envers le RGPD et comment les respecter, même si Microsoft est là pour vous aider dans votre parcours de mise en conformité du RGPD.You will need to understand what your organization's specific obligations are to the GDPR are and how you will meet them, though Microsoft is here to help you on your GDPR journey.

Quels droits les entreprises doivent-elles respecter dans le cadre du RGPD ?What rights must companies enable under GDPR?

Le RGPD offre aux résidents de l’UE un contrôle sur leurs données personnelles par l’intermédiaire d’un groupe de « droits de sujet de données ».The GDPR provides EU residents with control over their personal data through a set of 'data subject rights'. Cela inclut le droit à :This includes the right to:

  • Accéder à des informations sur l’utilisation des données personnelles.Access information about how personal data is used.
  • Accéder à des données personnelles détenues par une organisation.Access personal data held by an organization.
  • Des données personnelles incorrectes ont été supprimées ou corrigées.Have incorrect personal data deleted or corrected.
  • Faire rectifier et effacer les données personnelles dans certaines circonstances (parfois appelé « droit à être oublié »).Have personal data rectified and erased in certain circumstances (sometimes referred to as the "right to be forgotten").
  • Limiter ou s'opposer au traitement automatisé des données personnelles.Restrict or object to automated processing of personal data.
  • Recevoir une copie des données personnelles.Receive a copy of personal data.

Que désignent les termes « sous-traitants » et « responsables du traitement » ?What are Processors and Controllers?

Un responsable du traitement est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.A controller is a natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Une responsable du traitement est une personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données personnelles pour le compte de l’entité de contrôle.A processor is a natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.

Le RGPD s’applique-t-il aux responsables du traitement et aux contrôleurs ?Does the GDPR apply to Processors and Controllers?

Oui, le RGPD s’applique aux contrôleurs et responsables du traitement.Yes, the GDPR applies to both controllers and processors. Les contrôleurs doivent utiliser uniquement les responsables du traitement qui prennent des mesures pour satisfaire aux exigences du RGPD.Controllers must only use processors that take measures to meet the requirements of the GDPR. Dans le cadre du RGPD, les responsables du traitement ont des obligations et des responsabilités supplémentaires pour la non-conformité, ou à l’extérieur des instructions fournies par le contrôleur, comparées à la directive sur la protection des données.Under the GDPR, processors face additional duties and liability for noncompliance, or acting outside of instructions provided by the controller, as compared to the Data Protection Directive. Les obligations du responsable du traitement incluent, sans s’y limiter à :Processor duties include, but are not limited to:

  • Traiter les données uniquement conformément aux instructions du contrôleur.Processing data only as instructed by the controller.
  • Utiliser des mesures techniques et organisationnelles appropriées pour protéger les données personnelles.Using appropriate technical and organizational measures to protect personal data.
  • Assister le contrôleur avec des demandes d’objet de données.Assisting the controller with data subject requests.
  • S’assurer que les sous-responsables du traitement qu'elle engage répondent à ces exigences.Ensuring subprocessors it engages meet these requirements.

Quel est le montant des amendes auxquelles les entreprises s’exposent en cas de non-conformité ?How much can companies be fined for noncompliance?

Les entreprises peuvent se voir infliger des amendes allant jusqu'à €20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu, pour non-respect de certaines exigences du RGPD.Companies can be fined up to €20m or 4% of annual global turnover, whichever is greater, for failure to meet certain GDPR requirements. D’autres recours peuvent augmenter votre risque si vous ne parvenez pas à respecter les exigences du RGPD.Additional individual remedies could increase your risk if you fail to adhere to GDPR requirements.

Mon entreprise doit-elle nommer un délégué à la protection des données (DPO) ?Does my business need to appoint a Data Protection Officer (DPO)?

Cela dépend de plusieurs facteurs identifiés dans le règlement.It depends on several factors identified within the regulation. L’article 37 du RGPD indique que les contrôleurs et les responsables du traitement désignent un délégué à la protection des données, quel qu’en soit le cas : (a) le traitement est effectué par une autorité ou un organisme public, à l’exception des tribunaux qui agissent en leur qualité judiciaire ; (b) les activités fondamentales du contrôleur ou du responsable du traitement sont des opérations de traitement qui, de par leur nature, leur champ d’application et/ou leur finalité, ont besoin d’une surveillance régulière et systématique des sujets de données à grande échelle. ou (c) les activités fondamentales du contrôleur ou du responsable du traitement sont des traitements sur une grande échelle de catégories de données spéciales conformément à l’article 9 et des données personnelles relatives aux convictions pénales et aux infractions visées à l’article 10.Article 37 of the GDPR states that controllers and processors shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offenses referred to in Article 10.

Quel sera le coût de la mise en conformité avec le RGPD ?How much will it cost to meet compliance with the GDPR?

Se conformer au GDPR coûtera du temps et de l'argent à la plupart des organisations, bien que la transition puisse être plus facile pour celles qui opèrent dans un modèle de services cloud bien architecturé et qui ont mis en place un programme efficace de gouvernance des données.Meeting compliance with the GDPR will cost time and money for most organizations, though it may be a smoother transition for those who are operating in a well-architected cloud services model and have an effective data governance program in place.

Comment savoir si les données traitées par mon organisation sont couvertes par le RGPD ?How do I know if the data that my organization is processing is covered by the GDPR?

Le RGPD régule la collecte, l’espace de stockage, l’utilisation et le partage des « données personnelles ».The GDPR regulates the collection, storage, use, and sharing of 'personal data'. Dans le RGPD, les données personnelles sont définies de façon générale comme toute donnée relative à une personne physique identifiée ou identifiable.Personal data is defined broadly under the GDPR as any data that relates to an identified or identifiable natural person.

Les données personnelles peuvent inclure, sans s’y limiter, les identifiants en ligne (par exemple, les adresses IP), les informations des employés, les bases de données des ventes, les données des services clients, les formulaires de commentaires des clients, les données de localisation, les données biométriques, le métrage CCTV, les enregistrements de la fidélité, l’état d’intégrité et les informations financières, et bien plus encore.Personal data can include, but is not limited to, online identifiers (for example, IP addresses), employee information, sales databases, customer services data, customer feedback forms, location data, biometric data, CCTV footage, loyalty scheme records, health, and financial information and much more. Elles peuvent même inclure des informations qui ne semblent pas être personnelles (par exemple, photo d’un paysage sans personne) où ces informations sont liées à l’aide d’un numéro de compte ou d’un code unique à un individu identifiable.It can even include information that does not appear to be personal-such as a photo of a landscape without people-where that information is linked by an account number or unique code to an identifiable individual. Et même les données personnelles qui ont été pseudonymisées peuvent être des données personnelles si le pseudonyme peut être lié à un individu particulier.And even personal data that has been pseudonymized can be personal data if the pseudonym can be linked to a particular individual.

Le traitement de certaines catégories « spéciales » de données personnelles, telles que les données personnelles révélant l’origine raciale ou ethnique de la personne, ou le problème de santé ou de son orientation sexuelle, est soumis à des règles plus strictes que le traitement des données personnelles « ordinaires ».Processing of certain "special" categories of personal data, such as personal data that reveals a person's racial or ethnic origin, or concerns their health or sexual orientation, is subject to more stringent rules than the processing of "ordinary" personal data. Cette évaluation des données personnelles est fortement précise. Nous vous recommandons donc de faire appel à un expert pour évaluer vos propres circonstances.This evaluation of personal data is highly fact-specific, so we recommend engaging an expert to evaluate your specific circumstances.

Mon organisation ne traite des données que pour le compte d'autres personnes. Est-il encore nécessaire de respecter les RGPD ?My organization is only processing data on behalf of others. Does it still need to comply with the GDPR?

Oui.Yes. Bien que les règles diffèrent quelque peu, le RGPD s’applique aux organisations qui collectent et traitent des données pour leurs propres objectifs (« contrôleurs »), ainsi qu’aux organisations qui traitent des données pour le compte d’autres personnes (« responsables de traitement »).Although the rules differ somewhat, the GDPR applies to organizations that collect and process data for their own purposes ('controllers') as well as to organizations that process data on behalf of others ('processors'). Cette exigence s'écarte de l'actuelle directive sur la protection des données, qui s'applique aux contrôleurs.This requirement is a shift from the existing Data Protection Directive, which applies to controllers.

Quelles données sont spécifiquement considérées comme étant de caractère personnel ?What specifically is deemed personal data?

Les données à caractère personnel englobent toutes les informations relatives à une personne identifiée ou identifiable.Personal data is any information relating to an identified or identifiable person. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne.There is no distinction between a person's private, public, or work roles. Les données personnelles peuvent inclure :Personal data can include:

  • NomName
  • Adresse privéeHome address
  • Adresse de travailWork address
  • Numéro de téléphoneTelephone number
  • Numéro de portableMobile number
  • Adresse e-mailEmail address
  • Numéro de passeportPassport number
  • Numéro de carte d’identité nationaleNational ID card
  • Numéro de sécurité sociale (ou équivalent)Social Security Number (or equivalent)
  • Permis de conduireDriver's license
  • Informations physiques, physiologiques ou génétiquesPhysical, physiological, or genetic information
  • Informations médicalesMedical information
  • Identité culturelleCultural identity
  • Coordonnées bancaires / numéros de compteBank details / account numbers
  • Numéro de dossier fiscalTax file number
  • Adresse de travailWork address
  • Numéro de carte de crédit/débitCredit/Debit card numbers
  • Billets de réseaux sociauxSocial media posts
  • Adresse IP (région UE)IP address (EU region)
  • Données de localisation/GPSLocation / GPS data
  • CookiesCookies

Est-il possible de transférer des données hors de l’UE ?Am I allowed to transfer data outside of the EU?

Oui. Toutefois, le RGPD réglemente strictement les transferts de données personnelles des résidents européens aux destinations en dehors de l’espace économique européen.Yes, however the GDPR strictly regulates transfers of personal data of European residents to destinations outside the European Economic Area. Vous devrez peut-être configurer un mécanisme juridique spécifique (par exemple, contrat) ou adhérer à un mécanisme de certification pour activer ces transferts.You may need to set up a specific legal mechanism, such as a contract, or adhere to a certification mechanism in order to enable these transfers. Microsoft détaille les mécanismes que nous utilisons dans les conditions d’utilisation des services en ligne.Microsoft details the mechanisms we use in the Online Services Terms.

Nous respectons les exigences en matière de rétention des données. Ces exigences ont-elles priorité sur le droit d’effectuer l’effacement ?I have data retention requirements through compliance. Do these requirements override the right to erasure?

Lorsqu’il existe des raisons légitimes de continuer à traiter et de répartir les données, telles que « pour assurer le respect d’une obligation légale, qui exige un traitement par l’Union ou la Loi de l’État membre auquel le responsable est soumis » (article 17 paragraphe 3 point b), le RGPD reconnaît que Il se peut que les organisations soient tenues de conserver les données.Where there are legitimate grounds for continued processing and data retention, such as 'for compliance with a legal obligation, which requires processing by Union or Member State law to which the controller is subject' (Article 17(3)(b)), the GDPR recognizes that organizations may be required to retain data. Toutefois, vous devez vous assurer que vous faites appel à votre conseiller juridique pour vous assurer que les justifications de la rétention sont pesées par rapport aux droits et libertés des sujets de données, à leurs attentes au moment de la collecte des données, etc.You should, however, make sure you engage your legal counsel to ensure that the grounds for retention are weighed against the rights and freedoms of the data subjects, their expectations at the time the data was collected, etc.

Le RGPD a-t-il trait au chiffrement ?Does the GDPR deal with encryption?

Le chiffrement est identifié dans le RGPD comme mesure de protection qui rend les données personnelles inintelligibles lorsqu’elles sont affectées par une violation.Encryption is identified in the GDPR as a protective measure that renders personal data unintelligible when it is affected by a breach. Par conséquent, la possibilité d’utiliser ou non le chiffrement peut avoir un impact sur les exigences en matière de notification de divulgation de données personnelles.Therefore, whether or not encryption is used may impact requirements for notification of a personal data breach. Le RGPD indique également le chiffrement en tant que mesure technique ou organisationnelle appropriée dans certains cas, en fonction des risques.The GDPR also points to encryption as an appropriate technical or organizational measure in some cases, depending on the risk. Le chiffrement est également requis par la norme de sécurité de l'industrie des cartes de paiement et qui fait partie des recommandations en matière de conformité strictes spécifiques au secteur des services financiers.Encryption is also a requirement through the Payment Card Industry Data Security Standard and part of the strict compliance guidelines specific to the financial services industry. Les produits et services Microsoft tels qu’Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, Serveur SQL /base de données Azure SQL et Windows 10 proposent un chiffrement fiable pour les données en transit et les données au repos.Microsoft products and services such as Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL Database, and Windows 10 offer robust encryption for data in transit and data at rest.

Comment le RGPD modifie-t-il la réponse d’une organisation aux violations de données personnelles ?How does the GDPR change an organization's response to personal data breaches?

Le RGPD modifie les exigences en matière de protection des données et impose des obligations plus strictes aux responsables de données et aux contrôleurs en relation avec les violations de données personnelles.The GDPR will change data protection requirements and make stricter obligations for processors and controllers regarding notice of personal data breaches. Dans le cadre du nouveau règlement, le responsable du traitement doit avertir le contrôleur de données d’une violation de données personnelles, une fois qu’il a pris connaissance de celle-ci, sans délai injustifié.Under the new regulation, the processor must notify the data controller of a personal data breach, after having become aware of it, without undue delay. Une fois qu'il a connaissance d'une violation de données personnelles, le contrôleur doit en informer l'autorité compétente en matière de protection des données dans un délai de 72 heures.Once aware of a personal data breach, the controller must notify the relevant data protection authority within 72 hours. Si la violation risque de générer un risque élevé pour les droits et libertés de personnes, les contrôleurs devront également avertir les personnes concernées sans délai injustifié.If the breach is likely to result in a high risk to the rights and freedoms of individuals, controllers will also need to notify impacted individuals without undue delay. Des conseils supplémentaires sur ce sujet sont mis au point par l’article 29 de l’UE.Additional guidance on this topic is being developed by the EU's Article 29 Working Party.

Les produits et services Microsoft (par exemple, Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 et Windows 10) intègrent actuellement des solutions pour vous aider à détecter et évaluer les menaces et violations à la sécurité et à respecter la notification de violation du RGPD résultant.Microsoft products and services—such as Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365, and Windows 10—have solutions available today to help you detect and assess security threats and breaches and meet the GDPR's breach notification obligations.

Ressources supplémentairesAdditional resources