Clauses contractuelles types de l’Union européenne

Présentation des clauses contractuelles types de l’Union européenne

La loi de protection des données de l’Union européenne (UE) réglemente le transfert des données personnelles des clients de l’UE vers les pays en dehors de l’Espace économique européen (EEE), qui inclut tous les pays de l’UE, l’Islande, le Liechtenstein et la Norvège. Concrètement, la conformité avec les lois européennes sur la protection des données signifie également que les clients ont besoin d’un nombre moindre d’approbations de la part de différentes autorités pour transférer les données personnelles en dehors de l’UE, car la plupart des états membres de l’UE ne nécessitent pas d’autorisation supplémentaire si le transfert est basé sur un accord conforme aux clauses contractuelles types de l’UE.

Clauses contractuelles types entre Microsoft et l’Union européenne

Le Règlement général sur la protection des données (RGPD) de l’union européenne (UE) régule le transfert des données personnelles des clients vers des pays en dehors de l’Espace économique européen (EEE), qui inclut tous les pays de l’UE et l’Islande, le Luxembourg et la Norvège. Microsoft offre aux clients les clauses contractuelles standard de l’UE (scc) (également appelées clauses types de l’UE) qui fournissent des garanties spécifiques concernant les transferts de données personnelles pour les services dans le cadre de l’étendue. Les clauses contractuelles types de l’Union européenne sont utilisées entre les fournisseurs de services (tels que Microsoft) et leurs clients pour s’assurer que toutes les données personnelles sortant de l’EEE seront transférées conformément au RGPD.

En juillet 2020, la Cour de justice de l’Union européenne (CJEU) a invalidé l’infrastructure du Bouclier de confidentialité UE-ÉTATS-Unis pour les transferts de données personnelles de l’UE vers le États-Unis. Toutefois, les clauses types de l’UE continuent de fournir un mécanisme valide pour le transfert de données personnelles à partir de l’UE et de l’EEE, ainsi que de la Suisse et du Royaume-Uni. Microsoft met les clauses contractuelles types de l'UE à la disposition des clients, comme décrit dans l’Authentification par mot de passe distribué (DPA) des Conditions Microsoft Online Services (OST).

Plateformes et services du cloud computing de Microsoft dans le champ d’application

  • Azure et Azure Government
  • Azure DevOps Services
  • Dynamics 365
  • Intune : Portion du service cloud service d’Intune Add-on Product et de la gestion des périphériques mobiles pour Office 365
  • Microsoft Cloud App Security
  • Microsoft Defender pour point de terminaison dans les sections suivantes du service cloud : détection de point de terminaison et réponse, enquête automatique et correction, niveau de sécurisé.
  • Services professionnels Microsoft : Premier et sur site pour Azure, Dynamics 365, Intune et pour les clients des entreprises moyennes et grandes de Microsoft 365 Entreprise
  • Office 365
  • Service Cloud Power Automate (anciennement Microsoft Flow), soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud PowerApps, soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365

Office 365 et les clauses types de l’Union Européenne

Office 365 dans le cloud

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section traite des environnements cloud Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial)  : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Protection contre les menaces avancées, Azure Active Directory Domain Services, Azure Information Protection, Bookings, Gestionnaire de Compliance, Delve, Exchange Online, Exchange Online Protection, Formulaires, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Office 365 Advanced Compliance add-on, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive Entreprise, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Yammer Enterprise

Audits, rapports et certificats

Microsoft évalue constamment les normes de l’UE et met à jour ses services si nécessaire.

Questions fréquentes (FAQ)

Pourquoi la conformité avec les clauses contractuelles types est-elle importante ?

Un fournisseur de service qui s’engage contractuellement dans les clauses contractuelles types donne l’assurance aux clients que les données personnelles seront transférées et traitées conformément à la loi européenne de protection des données. L’utilisation des clauses contractuelles types signifie également que les clients doivent obtenir un nombre moindre d’approbations de la part de différentes autorités de protection des données pour transférer les données personnelles en dehors de l’UE.

Où puis-je consulter les informations de conformité concernant les services Microsoft ?

La conformité est un engagement contractuel. Les clauses contractuelles standard de Microsoft sont accessibles à tous les clients cloud dans les Conditions d’Online Services ; pour les autres services, consultez votre contrat existant avec Microsoft.

Qu'est-ce qu’un « sous-processeur » ?

Un « sous-processeur » est une personne qui traite les données personnelles en suivant les instructions du contrôleur de données et les conditions des clauses contractuelles types de l’Union européenne et le sous-contrat. Les clients Microsoft (en particulier les éditeurs de logiciels indépendants) sont parfois eux-mêmes des processeurs de données. Dans ces cas, Microsoft est le sous-processeur.

Quelles sont les démarches à suivre en matière de conformité de mon organisation ?

Vous pouvez vous Lier à un contrat tel que les Conditions d'Online Services ou envisager de modifier votre contrat existant pour intégrer les clauses contractuelles standard.

Ressources