Découvrir les rôles et les responsabilités
Les services Microsoft Online Services sont basés sur un modèle de responsabilité partagée. Dans ce modèle, le fournisseur de services cloud et le client sont coresponsables de la sécurité et de la confidentialité. La répartition des responsabilités entre Microsoft et ses clients dépend du modèle de service utilisé (infrastructure, plateforme ou logiciel en tant que service), de la configuration et de l’utilisation du service par chaque client, et des lois et réglementations applicables en matière de confidentialité.
Par exemple, les rôles et responsabilités ci-après reflètent les dispositions du RGPD :
Contrôleur de données : vérifie les données personnelles et détermine leur mode d’utilisation. Les responsabilités du contrôleur incluent, notamment, la collecte, la maintenance, le réacheminement, la protection, la modification et la suppression des données personnelles. Le contrôleur ajoute des utilisateurs au système, autorise l’accès au système et collecte les données des personnes concernées ou confie ces tâches à des collaborateurs au nom de l’entreprise. La maîtrise du processus complexe des demandes liées au RGPD et la réponse à ces demandes incombent au contrôleur.
Le client de Microsoft exerce ce rôle.
Sous-traitant de données : fournit des services au contrôleur de données et traite les données en son nom. Le sous-traitant de données effectue des actions au nom du contrôleur. Il permet au contrôleur de se conformer au RGPD. Cependant, le sous-traitant de données n’est pas propriétaire des données et ne répond pas directement aux demandes de la personne concernées. D’autre part, il n’effectue aucune analyse d'impact relative à la protection des données.
Microsoft exerce ce rôle. En tant que sous-traitant de données, Microsoft implémente des contrôles de sécurité et de confidentialité pour protéger ses services et aide les contrôleurs de données à se conformer à la législation applicable. Par exemple, Microsoft offre des fonctionnalités de changement d’administrateur pour contrôler les fonctions de confidentialité dans les locations en question. De plus, nous travaillons directement avec les administrateurs locataires du client et redirigeons les questions des utilisateurs finaux sur les demandes de service ou de données personnelles.
Qu’entendons-nous par mise en conformité ? C’est une question importante. Nos clients demandent souvent : « Qu’est-ce que cela signifie, respectez-vous ces lois et réglementations ou non ? » Pour la plupart des réglementations sectorielles ou géographiques, il est possible d’utiliser Microsoft services en ligne d’une manière conforme à une loi ou à une réglementation. Cependant, ils ne peuvent pas garantir la conformité de bout en bout, car Microsoft n’analyse pas le contenu des données personnelles de ses clients.
Par exemple, les organisations couvertes par la loi HIPAA ou d’autres réglementations doivent disposer de leur propre programme de formation. Elles doivent aussi garantir une sécurité suffisante afin que leurs employés n’utilisent pas les services Microsoft pour enfreindre ces réglementations. Microsoft promet surtout d’assumer son rôle, ce qui permettra aux clients d’exécuter un programme conforme à la législation.
Par exemple, un médecin américain peut stocker des informations protégées sur l’état de santé des patients via notre service, conformément à la loi HIPAA. Microsoft a mis en place des contrôles de sécurité et de confidentialité. Ainsi, les membres du personnel ne peuvent pas accéder aux données de tel ou tel patient ou les divulguer de façon inappropriée. Toutefois, un médecin peut utiliser ces services pour envoyer les informations confidentielles du patient à un responsable marketing. Dans ce cas, Microsoft remettra à son insu le message en question à l’origine de la violation de la loi HIPAA par le client. Microsoft considérera alors qu’elle suit les instructions d’un représentant du client.
Microsoft s’engage à exécuter et à exploiter ses services avec des technologies, une sécurité et une confidentialité dernier cri. Il incombe à chaque client et utilisateur de nos services de déterminer comment se conformer à des besoins et obligations spécifiques.