En savoir plus sur les normes de confidentialité et les catégories de données

  • 8 minutes

Commençons par examiner certains termes clés de la confidentialité.

Responsable du traitement des données : la personne morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres entités, détermine les finalités et les moyens de traitement des données personnelles.

Le client est le responsable du traitement des données lorsqu’il utilise les services en ligne et professionnels Microsoft. Microsoft est le sous-traitant de données (sauf dans les cas où le client est le sous-traitant de données, auquel cas Microsoft est le sous-sous-traitant). Microsoft est un responsable du traitement des données indépendant pour les données utilisées afin de fournir un nombre limité d’opérations d’entreprise légitimes nécessaires à l’utilisation des services en ligne et professionnels Microsoft.

Données personnelles et personne concernée : toutes les informations relatives à une personne physique identifiée ou identifiable (la personne concernée). Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement. Il existe deux types de personnes concernées dans les services d’entreprise : les utilisateurs finaux au sein d’un client et les utilisateurs externes à un client.

Sous-traitant de données : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement des données. Dans les services d’entreprise, Microsoft agit comme un responsable du traitement des données qui traite les données conformément aux instructions documentées d’un client pour fournir les services en ligne ou professionnels. Microsoft traite uniquement les données sur la base des instructions décrites. L’accord de licence en volume, y compris les termes de la protection des données, et la manière dont un client configure et utilise le service constituent les instructions documentées d’un client.

Le schéma ci-dessous décrit la relation entre les responsables du traitement des données, les sous-traitants de données, les personnes concernées et les données personnelles de façon plus détaillée. Dans les exemples suivants, C1 est un client direct d’un service d’entreprise et C2 est un client de C1.

Le processeur de données est microsoft lorsqu'il fournit des services en ligne et professionnels. Le contrôleur de données est l'administrateur C1 (titulaire de la licence). Par exemple, l'administrateur du locataire Contoso. L'utilisateur C1 et l'utilisateur C2 peuvent tous deux être des personnes concernées. Un exemple d'utilisateur C1 est l'employé de Contoso, et un exemple d'utilisateur C2 serait les utilisateurs externes de Contoso.

Il existe deux types de rôles C1 et un seul type de rôle C2 :

  • Un administrateur C1, qui est titulaire d’une licence ; généralement, l’administrateur client qui s’est inscrit à un abonnement de service Microsoft. Les administrateurs C1 sont considérés comme responsables du traitement de données, car ils s’inscrivent aux services au nom de leur entreprise. Ils configurent les paramètres et les stratégies du client dans les services, décident qui obtient une licence dans le service Microsoft et attribuent une licence à cet utilisateur.
  • Un utilisateur C1 est un utilisateur sous licence auquel l’administrateur client a attribué une licence. En règle générale, les utilisateurs C1 sont des employés d’une entreprise, auxquels nous faisons souvent référence en tant qu’utilisateurs finaux d’entreprise. Les utilisateurs C1 sont considérés comme des personnes concernées.
  • Les utilisateurs C2 sont les clients de C1. Les utilisateurs C2 sont extérieurs à une entreprise. Par exemple, lorsqu’un utilisateur C1 invite un partenaire commercial externe au site SharePoint de Contoso, ce partenaire commercial est un utilisateur C2. Les utilisateurs C2 sont également considérés comme des personnes concernées.

Catégories de données traitées par Microsoft

Les données utilisées tout au long du cycle de vie d’un compte client pour fournir les services en ligne ou professionnels Microsoft s’inscrivent dans une de quatre catégories de données distinctes :

  • Données client: il s’agit de toutes les données, y compris les fichiers texte, audio, vidéo, images et logiciels, que le client fournit à Microsoft ou qui sont fournies au nom du client via son utilisation des services en ligne d’entreprise Microsoft, à l’exclusion des services professionnels Microsoft. Il s’agit du contenu client, qui est le contenu chargé par le client pour le stockage ou le traitement et les applications chargées par le client à des fins de distribution via un service d’entreprise Microsoft.

    Par exemple, le contenu du client inclut les messages électroniques et les pièces jointes Exchange Online, les rapports Power BI, le contenu du site SharePoint Online ou les conversations de messagerie instantanée.

  • Les données générées par le service incluent toutes les données « générées » ou « dérivées » par Microsoft via un service en ligne. Microsoft agrège ces données à partir de nos services en ligne et les utilise pour s’assurer que les performances, la sécurité, l’évolutivité et d’autres services ayant un impact sur l’expérience client fonctionnent aux niveaux dont nos clients ont besoin.

    Par exemple, pour comprendre comment dynamiser la capacité d’un centre de données au fur et à mesure que le client utilise Microsoft Teams, nous traiterons les données des journaux concernant l’utilisation de Teams. Nous examinons ensuite les journaux pour les heures de pointe et décidons quels centres de données ajouter pour atteindre cette capacité.

  • Les données de diagnostic incluent toutes les données « collectées » ou « obtenues » à partir de logiciels installés localement pour une utilisation avec le service en ligne d’entreprise Microsoft. Elles sont utilisées pour aider Microsoft à vérifier que le logiciel client est sécurisé et fonctionne correctement.

    Par exemple, Microsoft collecte des informations sur le temps nécessaire au lancement d’une application, le blocage d’un complément, ainsi que le nombre de tentatives de connexion. Les données de diagnostic peuvent également être considérées comme des données de télémétrie. Elles n’incluent pas les noms, les adresses e-mail ni le contenu du fichier.

  • Les données des services professionnels signifient toutes les données fournies à Microsoft, ou traitées par Microsoft, lors de l’autorisation et d’un engagement avec Microsoft pour obtenir les services professionnels. Les données des services professionnels incluent les données de support fournies à Microsoft pendant le support technique pour un service en ligne.

    Par exemple, les données des services professionnels incluent des fichiers texte, audio, vidéo, image ou logiciels fournis à Microsoft pendant la résolution des problèmes.

Lorsqu’un client utilise les services en ligne Microsoft, trois des quatre catégories de données ci-dessus sont traitées : données client, données générées par les services et données de diagnostic. Lorsqu’un client utilise les services professionnels, nous traitons uniquement les données des services professionnels ainsi que toutes les autres données auxquelles un client nous donne accès afin de pouvoir fournir le service demandé. Les données de chacune de ces quatre catégories sont utilisées afin de fournir un nombre limité d’opérations d’entreprise légitimes nécessaires à la fourniture des services en ligne et professionnels Microsoft. Nous limitons l’utilisation des données personnelles pour les opérations d’entreprise légitimes en utilisant uniquement des données anonymisées provenant de données de diagnostic et en regroupant les données personnelles avant de les utiliser pour les opérations d’entreprise légitimes de sorte qu’elles ne puissent plus être associées aux utilisateurs.

Microsoft joue le rôle d’un sous-traitant de données indépendant dans le cadre de l’utilisation des données pour l’exécution des opérations d’entreprise légitime. L’utilisation se limite aux fonctions suivantes :

  • Facturation et gestion des comptes
  • Paye (par exemple, calcul des commissions des employés)
  • Modélisation et rapports internes (par exemple, prévision, chiffre d’affaires, planification de capacité, stratégie de produit)
  • Lutte contre la fraude, les cybercrimes et les cybercriminels susceptibles d’affecter Microsoft ou les produits Microsoft
  • Amélioration des fonctionnalités principales d’accessibilité, de confidentialité ou d’efficacité énergétique
  • Rapports financiers ou conformité avec les obligations légales

En savoir plus