Code de pratique ISO/IEC 27018 pour la protection des données personnelles dans le cloud

Présentation du code de pratique ISO/IEC 27018

L’Organisation internationale de normalisation ISO est une organisation non-gouvernementale indépendante et le plus grand développeur au monde de normes internationales volontaires. La famille de normes ISO/IEC 27000 aide les organisations de tout type et de toute taille à sécuriser des informations.

En 2014, l’ISO a adopté ISO/IEC I27018:2014, un addendum d’ISO/IEC 27001, premier code de conduite international pour la confidentialité du cloud. Basé sur les lois relatives à la protection des données de l'UE, il apporte des conseils spécifiques aux fournisseurs de services Cloud (CSP) qui servent de processeurs d'informations d'identification personnelle (PII) sur l'évaluation des risques et l'implémentation de contrôles de pointe pour la protection des PII.

Microsoft et la norme ISO/IEC 27018

Au moins une fois par an, Microsoft Azure et Azure Allemagne sont audités pour leur conformité aux normes ISO/IEC 27001 et ISO/IEC 27018 par un organisme de certification agréé tiers, fournissant une validation indépendante indiquant que les contrôles de sécurité adéquats sont en place et fonctionnent efficacement. Dans le cadre du processus de certification de conformité, les auditeurs valident dans leur déclaration d’applicabilité que les services Microsoft Enterprise Cloud dans le périmètre et les services de support technique commercial ont incorporé des contrôles ISO/IEC 27018 pour la protection des PII dans Azure. Pour maintenir la conformité, les services de cloud computing Microsoft doivent être soumis à des révisions annuelles de tiers.

En respectant les normes d’ISO/IEC 27001 et le code de pratique incorporé dans ISO/IEC 27018, Microsoft, le premier important fournisseur de Cloud à intégrer ce code de conduite, démontre que ses procédures et stratégies de confidentialité sont solides et conformes à ses normes élevées.

  • Les clients des services de cloud computing Microsoft savent dans quel emplacement sont stockées leurs données. Du fait qu’ISO/IEC 27018 nécessite que des CSP certifiés informent les clients des pays dans lesquels leurs données peuvent être stockées, les clients des services de cloud computing Microsoft disposeront de la visibilité nécessaire pour se conformer à toutes les règles de sécurité des informations en vigueur.
  • Les données client ne seront pas utilisées à des fins de marketing ou de publicité sans consentement explicite. Certains CSP utilisent des données client pour leurs propres fins commerciales, y compris pour la publicité ciblée. Du fait que Microsoft a adopté ISO/IEC 27018 pour ses services Enterprise Cloud concernés, les clients peuvent être certains que leurs données ne seront jamais utilisées à de telles fins sans leur consentement explicite et que ce consentement ne peut pas être une condition pour l’utilisation du service Cloud.
  • Les clients Microsoft savent ce qui se passe avec leurs PII. ISO/IEC 27018 nécessite une stratégie qui permette le retour, le transfert et l’élimination sécurisée d’informations personnelles dans un délai raisonnable. Si Microsoft travaille avec d’autres sociétés qui ont besoin d’accéder à vos données client, Microsoft divulgue proactivement les identités de ces sous-traitants.
  • Microsoft se conformera uniquement à des requêtes ayant force de loi concernant la divulgation des données client. Si Microsoft doit se conformer à une telle requête, dans le cas par exemple d’une enquête criminelle, elle notifiera systématiquement le client, sauf si cela est interdit par la loi.

Plateformes cloud et services Microsoft dans l’étendue

  • Azure, Azure Gouvernement et Azure Allemagne
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 et Dynamics 365 Allemagne
  • Intune
  • Microsoft Cloud App Security
  • Services professionnels Microsoft : Premier et sur site pour Azure, Dynamics 365, Intune et pour les clients des entreprises moyennes et grandes de Microsoft 365 Entreprise
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Spécialistes des menaces Microsoft
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
  • Office 365 Allemagne
  • OMS Service Map
  • Power Automate (anciennement Microsoft Flow) : service Cloud soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud PowerApps : soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud Power BI : soit en service autonome, soit inclus dans un plan ou une suite Office 365
  • Power BI intégré
  • Power Virtual Agents
  • Microsoft Defender pour point de terminaison : détection et réponse des points de terminaison, examen automatique et correction, niveau de sécurité
  • Windows 365

Azure, Dynamics 365 et ISO/IEC 27018

Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services en ligne, consultez l’offre ISO/IEC 27018 Azure.

Office 365 et ISO ISO/IEC 27018

Environnements cloud Office 365

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section traite des environnements cloud Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial)  : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Access Online, Azure Active Directory, Azure Communications Service, Gestionnaire de conformité, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Windows, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Module complémentaire Conformité avancée Office 365, Portail client Office 365, Microservices Office 365 (y compris mais non limité à Kaizala, ObjectStore, Sway, Service de document PowerPoint Online , Service d’annotation de requête, Synchronisation des données scolaires, Siphon, Speech, StaffHub, Programme d’application eXtensible), Office 365 Centre de sécurité et de conformité, Office Online, Office Pro Plus, Infrastructure office Services, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, Project Online, Chiffrement de service avec clé client, SharePoint Online, Skype Entreprise, Stream
GCC Azure Active Directory, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, module complémentaire Conformité avancée Office 365, Centre de sécurité et conformité Office 365, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream
GCC High Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, module complémentaire Conformité avancée Office 365, Centre de sécurité et conformité Office 365, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise
DOD Azure Active Directory, Azure Communications Service, Exchange Online, Formulaires, Microsoft Defender pour Office 365, Microsoft Teams, module complémentaire Conformité avancée Office 365, Centre de sécurité et conformité Office 365, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise

Audits, rapports et certificats Office 365

Les services cloud Microsoft et les services de support technique sont audités une fois par an pour le code de pratique ISO/IEC 27018 dans le cadre du processus de certification pour ISO/IEC 27001.

Foire aux questions

À qui ISO/IEC 27018 s'applique ?

Ce code de pratique s’applique aux fournisseurs de solutions Cloud qui traitent des informations d’identification personnelle sous contrat pour d’autres organisations. Chez Microsoft, il s’applique aussi au support de ces CSP.

Quelle est la différence entre « contrôleurs de traitement d’information personnelle » et « processeurs d’informations personnelles » ?

Dans le contexte d’ISO/IEC 27018 :

  • Les « responsables de traitement » vérifient la collection, l’exploitation, le traitement et l’utilisation d’informations personnelles. Ils incluent ceux qui se chargent du contrôle au nom d’une autre société.
  • Les « processeurs » traitent les informations au nom des contrôleurs. Ils ne prennent pas de décisions quant à la manière dont les informations sont utilisées ou quant aux fins du traitement. Microsoft, en tant que votre fournisseur, est un processeur d’informations dans la fourniture de ses services Cloud.

Où puis-je afficher les informations de conformité Office 365 pour ISO/IEC 27018 ?

  • Vous pouvez consulter les certificats ISO/IEC 27018 de BSI (auditeur indépendant qui a validé la conformité de Microsoft avec ISO/IEC 27018) pour Office 365.

Puis-je tirer parti de la conformité Microsoft dans le processus de certification de mon organisation ?

Oui. Si vous devez obtenir la conformité avec ISO/IEC 27018 pour votre entreprise et certaines implémentations déployées sur les services Microsoft cloud entreprise concernés, vous pouvez utiliser l’attestation de conformité de Microsoft pour la norme ISO/IEC 27018, ainsi que la certification de Microsoft pour la norme ISO/IEC 27001 dans votre évaluation de la conformité.

Il vous incombe néanmoins d’engager un évaluateur pour mesurer votre mise en œuvre de la conformité, ainsi que des contrôles et des processus au sein de votre propre organisation.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risques

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources