Engagements de Microsoft dans le cadre du RGPD envers les Clients de nos Logiciels Entreprise généralement disponibles

Introduction

Avec son Règlement général sur la protection des données (RGPD), l’Union européenne impose un changement de paradigme mondial en matière de droits au respect de la vie privée, de sécurité de l’information et de conformité. Pour Microsoft, la protection des données personnelles est un droit fondamental et le RGPD constitue une étape importante pour la protection et l’exercice des droits des individus à la protection des données personnelles.

Microsoft s’est engagée à respecter le RGPD et à fournir à ses clients toute une gamme de produits, de fonctionnalités, de documents et de ressources pour les aider à respecter leurs propres obligations de conformité dans le cadre du RGPD. Les engagements contractuels de Microsoft vis-à-vis des clients concernant les données à caractère personnel collectées à partir des logiciels d’entreprise sont décrits ci-dessous :

Microsoft a-t-elle pris des engagements à l’égard des clients s’agissant du RGPD ?

Oui. Le RGPD impose aux responsables du traitement (p. ex., les sociétés et les développeurs qui utilisent les services en ligne de Microsoft pour entreprise) de ne faire appel qu’à des sous-traitants (comme Microsoft) qui traitent les données à caractère personnel pour le compte du responsable du traitement en fournissant des garanties suffisantes pour satisfaire aux exigences clés du RGPD. Microsoft a pris le parti actif d’offrir ces engagements à tous les clients des services en ligne pour entreprise dans le cadre de leur contrat d’abonnement ainsi qu’aux clients de licence en volume dans le cadre de leur contrat entreprise. Les clients d’autres logiciels d’entreprise généralement disponibles et accordés sous licence par Microsoft ou ses affiliées profitent également des engagements de Microsoft dans le cadre du RGPD, ainsi que cela est décrit dans cet avis, s’il s’agit d’un logiciel qui traite des données à caractère personnel.

Où puis-je trouver les engagements contractuels pris par Microsoft au sujet du RGPD ?

Vous pouvez trouver les engagements contractuels de Microsoft au sujet du RGPD dans les Conditions des services en ligne qui décrivent les engagements de Microsoft concernant la protection et la sécurité des données, les conditions de traitement des données et les Conditions relatives au RGPD pour les services hébergés par Microsoft auxquels souscrivent les clients dans le cadre d’un contrat de licence en volume. Les Conditions relatives au RGPD sont reportées en Annexe 4 des Conditions des services en ligne, à la fin du document, et elles engagent Microsoft au respect des exigences attendues des sous-traitants et figurant à l’Article 28 du RGPD ainsi qu’à d’autres articles pertinents du RGPD.

Microsoft étend les Conditions relatives au RGPD à tous ses clients de logiciels d’entreprise généralement disponibles accordés sous licence par Microsoft ou ses affiliées conformément aux conditions de licence des logiciels Microsoft, qui sont en vigueur depuis le 25 mai 2018, et ce, quelle que soit la version applicable du logiciel d’entreprise si Microsoft est le sous-traitant ou un sous-traitant ultérieur des données à caractère personnel dans le cadre desdits logiciels et que Microsoft continue d’offrir cette version ou de l’assistance pour cette version. Des précisions sur ce service d’assistance sont disponibles dans la Politique de Microsoft sur le cycle de vie, consultable sur https://support.microsoft.com/en-us/lifecycle.

Pour éviter toute confusion, des engagements différents ou moindres peuvent s’appliquer aux logiciels bêta ou d’évaluation, aux logiciels qui ont été substantiellement modifiés ou à tout logiciel accordé sous licence par Microsoft ou ses affiliées et qui n’est pas généralement accessible au public ou qui n’est pas autrement accordé sous licence conformément aux conditions de licence des logiciels de Microsoft. Certains produits peuvent collecter et envoyer par défaut à Microsoft des données télémétriques ou autres données ; la documentation qui accompagne le produit fournit des informations et des instructions sur la façon dont il est possible d’arrêter ou de configurer cette collecte télémétrique.

Quels engagements figurent dans les Conditions relatives au RGPD ?

Les Conditions de Microsoft relatives au RGPD sont le reflet des engagements attendus des sous-traitants figurant à l’Article 28 du RGPD. L’Article 28 exige des sous-traitants qu’ils s’engagent à :

  • ne faire appel à des sous-traitants ultérieurs qu’avec le consentement du responsable du traitement et qu’ils demeurent responsables des sous-traitants ultérieurs ;
  • ne traiter les données à caractère personnel que sur instruction du responsable du traitement, y compris en ce qui concerne les transferts ;
  • veiller à ce que les personnes qui traitent les données à caractère personnel s’engagent à respecter la confidentialité ;
  • prendre les mesures techniques et organisationnelles appropriées permettant d’assurer un niveau de sécurité des données à caractère personnel qui soit approprié au risque ;
  • aider le responsable du traitement dans le cadre de ses obligations de répondre aux demandes des personnes concernées pour l’exercice de leurs droits en vertu du RGPD ;
  • respecter les exigences du RGPD concernant la communication de violations et l’assistance ;
  • aider le responsable du traitement au niveau des analyses d’impact relatives à la protection des données et de la consultation avec les autorités de contrôle ;
  • supprimer ou retourner les données à caractère personnel au terme de la prestation des services ; et
  • aider le responsable du traitement à démontrer que le RGPD est bien respecté.