Engagements de Microsoft dans le cadre du RGPD envers les Clients de nos Logiciels Entreprise généralement disponibles

Introduction

Avec son Règlement Général sur la Protection des Données (RGPD), l’Union européenne impose un changement important de paradigme mondial en matière de droits au respect de la vie privée, de sécurité de l’information et de conformité. Pour Microsoft, la protection des données personnelles est un droit fondamental et le RGPD constitue une étape importante pour la protection et l’exercice des droits des individus à la protection des données personnelles.

Microsoft s’est engagée à respecter le RGPD et à fournir à ses clients toute une gamme de produits, de fonctionnalités, de documents et de ressources pour les aider à respecter leurs propres obligations de conformité dans le cadre du RGPD. Les engagements contractuels de Microsoft vis-à-vis des clients concernant les données à caractère personnel collectées à partir des logiciels d’entreprise sont décrits ci-dessous. (Pour les logiciels faisant l’objet d’une licence dans le cadre des programmes de licences commerciales de Microsoft, consultez directement l’Addendum relatif à la protection des données (DPA) des produits et services Microsoft à l’adresse http://aka.ms/dpa)

Microsoft a-t-elle pris des engagements à l’égard des clients s’agissant du RGPD ?

Oui. Le RGPD impose aux responsables du traitement (p. ex., les sociétés et les développeurs qui utilisent les services en ligne de Microsoft pour entreprise) de ne faire appel qu’à des sous-traitants (comme Microsoft) qui traitent les données à caractère personnel pour le compte du responsable du traitement en fournissant des garanties suffisantes pour satisfaire aux exigences clés du RGPD. Microsoft fournit ces engagements à tous les clients des programmes de licences commerciales Microsoft dans le DPA. Les clients d’autres logiciels d’entreprise généralement disponibles et accordés sous licence par Microsoft ou ses affiliées profitent également des engagements de Microsoft dans le cadre du RGPD, ainsi que cela est décrit dans cet avis, s’il s’agit d’un logiciel qui traite des données à caractère personnel.

Où puis-je trouver les engagements contractuels pris par Microsoft au sujet du RGPD ?

Vous pouvez trouver les engagements contractuels de Microsoft concernant le RGPD (Conditions du RGPD) dans la pièce jointe au DPA intitulée « Conditions du Règlement Général sur la Protection des Données de l’Union européenne ». Ces conditions engagent Microsoft à respecter les exigences applicables aux sous-traitants exposées dans l’Article 28 et d’autres articles applicables du RGPD.

Microsoft étend les Conditions relatives au RGPD à tous ses clients de logiciels d’entreprise généralement disponibles accordés sous licence par Microsoft ou ses affiliées conformément aux conditions de licence des logiciels Microsoft, qui sont en vigueur depuis le 25 mai 2018, et ce, quelle que soit la version applicable du logiciel d’entreprise si Microsoft est le sous-traitant ou un sous-traitant ultérieur des données à caractère personnel dans le cadre desdits logiciels et que Microsoft continue d’offrir cette version ou de l’assistance pour cette version. Des précisions sur ce service d’assistance sont disponibles dans la Politique de Microsoft sur le cycle de vie, consultable sur https://support.microsoft.com/lifecycle.

Pour éviter toute confusion, des engagements différents ou moindres peuvent s’appliquer aux logiciels bêta ou d’évaluation, aux logiciels qui ont été substantiellement modifiés ou à tout logiciel accordé sous licence par Microsoft ou ses affiliées et qui n’est pas généralement accessible au public ou qui n’est pas autrement accordé sous licence conformément aux conditions de licence des logiciels de Microsoft. Certains produits peuvent collecter et envoyer par défaut à Microsoft des données télémétriques ou autres données ; la documentation qui accompagne le produit fournit des informations et des instructions sur la façon dont il est possible d’arrêter ou de configurer cette collecte télémétrique.

Quels engagements figurent dans les Conditions relatives au RGPD ?

Les Conditions de Microsoft relatives au RGPD sont le reflet des engagements attendus des sous-traitants figurant à l’Article 28 du RGPD. L’Article 28 exige des sous-traitants qu’ils s’engagent à :

  • ne faire appel à des sous-traitants ultérieurs qu’avec le consentement du responsable du traitement et qu’ils demeurent responsables des sous-traitants ultérieurs ;
  • ne traiter les données à caractère personnel que sur instruction du responsable du traitement, y compris en ce qui concerne les transferts ;
  • veiller à ce que les personnes qui traitent les données à caractère personnel s’engagent à respecter la confidentialité ;
  • prendre les mesures techniques et organisationnelles appropriées permettant d’assurer un niveau de sécurité des données à caractère personnel qui soit approprié au risque ;
  • aider le responsable du traitement dans le cadre de ses obligations de répondre aux demandes des personnes concernées pour l’exercice de leurs droits en vertu du RGPD ;
  • respecter les exigences du RGPD concernant la communication de violations et l’assistance ;
  • aider le responsable du traitement au niveau des analyses d’impact relatives à la protection des données et de la consultation avec les autorités de contrôle ;
  • supprimer ou retourner les données à caractère personnel au terme de la prestation des services ; et
  • aider le responsable du traitement à démontrer que le RGPD est bien respecté.