Explorer le RGPD
Le Parlement européen a publié le règlement général sur la protection des données (UE) de l’Union européenne (également connu sous le nom de RGPD) en avril 2016. Le présent règlement a été conçu pour harmoniser les lois sur la confidentialité des données en Europe. Elle s’applique aux contrôleurs de données (principalement les services grand public) et aux processeurs de données (services d’entreprise) qui traitent les données personnelles d’une personne résidant dans l’UE.
Pour Microsoft Online Services, nous sommes le processeur de données :
- Microsoft présente la déclaration de confidentialité du contrôleur de données aux sujets de données.
- Microsoft conçoit les modifications apportées aux fonctionnalités de service existantes et aux nouvelles fonctionnalités en alignement avec les droits de sujet de données.
- Microsoft fournit un avis en cas de violation de données lorsque la violation est susceptible d'« entraîner un risque pour les droits ou la liberté des individus ». Nous nous engageons à informer les parties appropriées dans les 72 heures lorsqu’une violation de données a été déclarée.
En ce qui concerne les dispositions RGPDs pour l’application de mesures techniques et organisationnelles appropriées et efficaces, Microsoft s’aligne sur les exigences de contrôle ISO 27001 et ISO 27018 et est en mesure d’être aligné sur ISO 27701 au sein de nos services.
Demandes des personnes concernées (DSR)
Le RGPD octroie aux individus (ou aux personnes concernées par les données) certains droits en lien avec le traitement de leurs données personnelles, y compris le droit de corriger des données incorrectes, d’effacer des données ou de limiter leur traitement, de recevoir leur données et de remplir une demande afin de transmettre leurs données à un autre contrôleur. Le contrôleur se charge de fournir une réponse opportune et cohérente au RGPD. Microsoft (processeur de données) assiste ses clients (contrôleurs) en fournissant des fonctionnalités facilitant et activant la conformité et la réponse à DSRs.
Microsoft offre aux clients des outils d’administration pour vous aider à trouver des données personnelles et prendre des mesures en réponse à DSRs :
- Découvrir : utilisez les outils de recherche et de détection pour rechercher les données du client qui peuvent faire l’objet d’une demande DPC.
- Accéder : récupérez des données à caractère personnel qui résident dans le service Microsoft et, si nécessaire, effectuez-en une copie pour la personne concernée.
- Rectifier : modifiez ou mettez en œuvre d’autres actions demandées sur les données à caractère personnel, le cas échéant.
- Limiter : limitez le traitement des données personnelles en supprimant les licences de différents services de Microsoft cloud ou en désactivant les services souhaités lorsque c’est possible. Les clients peuvent également supprimer les données du cloud Microsoft et les conserver localement ou à un autre emplacement.
- Supprimer : supprimez définitivement des données à caractère personnel qui résidaient dans le service Microsoft.
- Exporter/Recevoir (Portabilité) : fournit une copie électronique (dans un format lisible par un ordinateur) des données ou des informations personnelles à la personne concernée.
Analyses d’impact sur la protection des données
Le RGPD exige des responsables du traitement qu’ils préparent une analyse d’impact sur la protection des données (DPIA) pour les opérations qui sont « susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques ». Il n’y a rien d’inhérent aux produits et services Microsoft qui nécessite la création d’un DPIA. Toutefois, étant donné que les produits et services Microsoft sont hautement personnalisables, une DPIA peut être nécessaire selon les détails de la situation d’un client. Microsoft ne contrôle pas et n’a pas ou peu de connaissances sur les informations de ce type. Le contrôleur de données doit déterminer les utilisations appropriées de ces données. Cependant, Microsoft reconnaît l’effort dimensionnable nécessaire pour effectuer une DPIA. par conséquent, il a fourni des ressources pour aider les clients à respecter les obligations qui leur incombent dans le cadre de l’DPIA pour le RGPD, si nécessaire.