Prise en charge de votre programme RGPD avec des listes de vérification de préparation sur la responsabilitéSupport your GDPR program with Accountability Readiness Checklists

Le règlement général sur la protection des données (RGPD) présente de nouvelles règles pour les organisations qui offrent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE quel que soit l’endroit où vous vous trouvez et celui où se trouve votre entreprise.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Pour plus de détails, consultez la rubrique Synthèse RGPD.Additional details are in the GDPR Summary topic.

Listes de vérification de préparation sur la responsabilitéAccountability Readiness Checklists

Les listes de vérification de préparation sur la responsabilité permettent d’accéder en toute simplicité aux informations dont vous pouvez avoir besoin pour prendre en charge le RGPD lorsque vous utilisez les produits et services Microsoft.Accountability readiness checklists are provided to conveniently access information you may need to support the GDPR when using Microsoft products and services. Cette liste de vérification répertorie les obligations potentielles que vous pouvez rencontrer dans le cadre du RGPD et vous oriente vers les informations nécessaires à la mise en conformité de votre organisation.The checklist lists potential obligations you may have under the GDPR, and points you to information that you can use to support your organizations' compliance.

Il existe un guide spécifique pour quatre familles de produits et services Microsoft :There is a specific guide for four Microsoft product and services families:

Vous pouvez gérer les éléments de cette liste de vérification à l’aide du Gestionnaire de conformité en indiquant l’ID de contrôle et le titre de contrôle sous Contrôles gérés par le client dans la vignette RGPD.You can manage the items in this checklist with Compliance Manager by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

Ces listes de vérification comprennent les quatre catégories de considérations de base pour un programme de confidentialité compatible avec le RGPD répertoriées ci-dessous, ainsi que des exemples de configuration.The checklists include the four basic categories of considerations for a privacy program supporting GDPR listed below, along with example requirements.

  1. Conditions de collecte et de traitement des données :Conditions for Data Collection and Processing:

    • Quand est-ce que le consentement est obtenu ?When is consent obtained?
    • Identifier et documenter l’objectifIdentify and document purpose
    • Analyse d’impact sur la confidentialitéPrivacy impact assessment
  2. Droits des personnes concernées par les donnéesData Subject Rights

    • Déterminer les informations des propriétaires des données personnelles (personnes concernées par le traitement des données)Determining information for PII principals (data subjects)
    • Fournir un processus pour modifier ou retirer son consentementProviding mechanism to modify or withdraw consent
  3. Confidentialité liée à la conception et par défautPrivacy by Design and Default

    • Limiter la collecteLimit Collection
    • Respecter les niveaux d’identificationComply with identification levels
    • Fichiers temporairesTemporary files
  4. Protection et sécurité des donnéesData Protection and Security

    • Compréhension de l’organisation et de son contexteUnderstanding the organization and its context
    • PlanificationPlanning
    • Stratégies de sécurité des informationsInformation Security Policies

Contrats clientCustomer agreements

Contrôles de conformité RGPDGDPR compliance controls

  • Utiliser le Gestionnaire de conformité: révisez et incorporez les contrôles utilisés par Microsoft pour prendre en charge les obligations dans le RGPD avec le Gestionnaire de conformité.Use Compliance Manager: Review and incorporate controls Microsoft uses to support obligations in the GDPR with Compliance Manager.
  • Mappage de contrôle du RGPD: accédez à un Mappage complet de contrôles Microsoft aux obligations RGPD.GDPR control mapping: Access a comprehensive mapping of Microsoft controls to GDPR obligations.

Enregistrements de Traitement pour les ProcesseursRecords of Processing for Processors

En raison de l’échelle et de l’ampleur des services en ligne que nous fournissons à nos clients de contrôle, nous attendons que les clients identifient les services dont ils cherchent les enregistrements de traitement et récupèrent les journaux pertinents dans les outils en ligne que nous fournissons.Due to the scale and breadth of the online services we provide as processors to our controller customers, we expect customers to identify the services they seek the records of processing for and retrieve the relevant logs in the online tools we provide. Par exemple, pour les enregistrements de traitement pour Azure dans lesquels les clients seraient invités à identifier les types d’activité de traitement dont ils recherchent les enregistrements.One example is for the records of processing for Azure in which customers would be requested to identify which types of processing activity they seek the records of.

Journaux AzureAzure logs

En règle générale, les clients seraient intéressés par les journaux d’Activité et potentiellement les journaux de Diagnostics:Typically, customers would be interested in the Activity logs and potentially the Diagnostic logs:

  • Journaux d’activité: Journaux d’activité fournissent un aperçu des opérations effectuées sur les ressources d’un abonnement.Activity logs: Activity logs provide insight into operations performed on resources in a subscription. Les journaux d’activité peuvent aider à déterminer l’initiateur, l’heure et le statut de l’opération.Activity logs can help determine an operation's initiator, time of occurrence, and status.
  • Journaux de diagnostic: Journaux de diagnostic sont tous les journaux émis par chaque ressource.Diagnostic logs: Diagnostic logs are all logs emitted by every resource. Ces journaux comprennent les journaux du système d’événements Windows, les journaux de stockage Azure, les journaux d’audit Key Vault, et les journaux d’accès et de pare-feu Application Gateway.These logs include Windows event system logs, Azure storage logs, Key Vault audit logs, and Application Gateway access and firewall logs.
  • Archivage de Journaux: Tous les journaux de diagnostics écrivent à un compte de stockage Azure centralisé et chiffré pour l’archivage.Log archiving: All diagnostic logs write to a centralized and encrypted Azure storage account for archival. La rétention peut être configurée par l’utilisateur, jusqu’à 730 jours, afin de répondre aux exigences de rétention propres à l’organisation.The retention is user-configurable, up to 730 days, to meet organization-specific retention requirements. Ces journaux se connectent aux journaux du Moniteur Azure pour le traitement, le stockage et les données de tableaux de bord.These logs connect to Azure Monitor logs for processing, storing, and dashboard reporting.

D’autres journauxOther logs

De plus, les solutions de surveillance suivantes sont installées en tant que composantes de cette architecture.Additionally, the following monitoring solutions are installed as a part of this architecture. Il incombe au client de configurer ces solutions pour qu’elles s’alignent sur les contrôles de sécurité FedRAMP:It is the customer's responsibility to configure these solutions to align with FedRAMP security controls:

  • Evaluation Azure Directory: La solution de Vérification Azure Directory évalue le risque et l’intégrité des environnements serveur on à intervalles réguliers et fournit une liste de recommandations hiérarchisées propres à l’infrastructure serveur déployée.AD Assessment: The Active Directory Health Check solution assesses the risk and health of server environments on a regular interval and provides a prioritized list of recommendations specific to the deployed server infrastructure.
  • Evaluation contre les Programmes Malveillants: la solution anti-programme malveillant signale les programmes malveillants, les menaces et l’état de protection.Anti-malware Assessment: The Anti-malware solution reports on malware, threats, and protection status.
  • Automatisation Azure: La solution d’Automatisation Azure stocke, exécute et gère les runbooks.Azure Automation: The Azure Automation solution stores, runs, and manages runbooks.
  • Sécurité et Audit: Le tableau de bord Sécurité et Audit fournit une vue d’ensemble élevée de l’état de la sécurité des ressources en fournissant des mesures sur les domaines de sécurité, les problèmes notables, les détections, les menaces et les requêtes de sécurité courantes.Security and Audit: The Security and Audit dashboard provides a high-level insight into the security state of resources by providing metrics on security domains, notable issues, detections, threat intelligence, and common security queries.
  • Evaluation SQL: La solution de Vérification de l’Intégrité de SQL évalue le risque et l’état d’intégrité des environnements serveur à intervalles réguliers, et fournit une liste hiérarchisée de recommandations propres à l’infrastructure serveur déployée.SQL Assessment: The SQL Health Check solution assesses the risk and health of server environments on a regular interval and provides customers with a prioritized list of recommendations specific to the deployed server infrastructure.
  • Gestion des mises à jour: La solution de Gestion des Mises à jour permet aux clients de gérer les mises à jour de sécurité du système d’exploitation, notamment l’état des mises à jour disponibles et le processus d’installation des mises à jour requises.Update Management: The Update Management solution allows customer management of operating system security updates, including a status of available updates and the process of installing required updates.
  • Intégrité de l’Agent: La solution d’Intégrité des Agents indique le nombre d’agents déployés et leur distribution géographique, ainsi que le nombre d’agents qui ne répondent pas et le nombre d’agents qui envoient des données opérationnelles.Agent Health: The Agent Health solution reports how many agents are deployed and their geographic distribution, as well as how many agents that are unresponsive and the number of agents that are submitting operational data.
  • Journaux d’Activité Azure: La solution d’Analyse des Journaux d’Activité aide à analyser les journaux d’activité Azure sur tous les abonnements Azure pour un client.Azure Activity Logs: The Activity Log Analytics solution assists with analysis of the Azure activity logs across all Azure subscriptions for a customer.
  • Suivi des Modifications: La solution Suivi des Modifications permet aux clients d’identifier facilement les modifications apportées à l’environnement.Change Tracking: The Change Tracking solution allows customers to easily identify changes in the environment.

Pour plus d’informations sur les mesures techniques et de sécurité pour Azure, les clients de contrôle doivent consulter la Documentation de Sécurité Azure.For information on the technical and security measures for Azure, controller customers should visit the Azure Security Documentation. Dans la mesure où Microsoft ne sait pas si les Données Client sont des Données Personnelles ou non, Azure traite toutes les Données Client comme s’il s’agissait de Données Personnelles, de telle sorte qu’un client envisagerait tout le matériel pertinent.As Microsoft doesn't know if Customer Data is Personal Data or not, Azure processes all Customer Data as if it were Personal Data so a customer would likely consider all of the material relevant.

Informations sur le processeurProcessor information

Un autre produit dont le client pourrait avoir besoin des enregistrements des informations de traitement pour les processeurs est Office 365.Another product our customer might need records of processing information for processors is Office 365. Pour afficher les informations relatives à Office 365, voir l’articleRechercher le journal d’audit dans le Centre de Sécurité et Conformité article.To view information related to Office 365, see the Search the audit log in the Security & Compliance Center article.

Vous pouvez également consulter les informations sur Dynamics 365 à l’aide du centre de Sécurité et Conformité.You can also view the information for Dynamics 365 using the Security & Compliance center. Pour afficher la page Centre de Sécurité et Conformité, assurez-vous que vous disposez de la licence appropriée.In order to view the Security & Compliance center page, ensure that you have the correct license. En savoir plus sur les licences avec l’article Description du service Centre de Sécurité et Conformité.Learn more about licensing with the Security & Compliance Center service description article. Pour rechercher les événements Dynamics 365, visitez le Journal d'Audit Unifié dans le centre de Sécurité et Conformité.To search for Dynamics 365 events, visit the Unified Audit Log in the Security & Compliance center.

Informations des services professionnelsProfessional services information

En ce qui concerne les services professionnels, les données de support des services professionnels sont fournies par le client à l’ingénieur du support par le représentant du client.As for Professional Services, the Professional Services Support Data is provided by the customer to the support engineer by the customer's representative. Cela peut se produire lorsqu’un client envoie une Demande de Service via le portail de produit en ligne, le Hub Services ou par téléphone.This may take place when a customer submits a Service Request either through the online product portal, Services Hub or via phone.

Les informations sont stockées dans nos systèmes CRM et utilisées uniquement aux fins suivantes:The information is stored in our CRM systems and only used for the following purposes:

  • Offrir des services professionnels, notamment un support technique, une planification professionnelle, des conseils, des instructions, la migration de données, le déploiement et les services de développement de solutions/logiciels.Delivering the Professional Services, including providing technical support, professional planning, advice, guidance, data migration, deployment, and solution/software development services.
  • Résolution des problèmes (prévention, détection, examen, atténuation et réparation des problèmes, notamment les incidents de sécurité); etTroubleshooting (preventing, detecting, investigating, mitigating, and repairing problems, including Security Incidents); and
  • Une amélioration continue (la gestion des services professionnels, notamment l’installation des dernières mises à jour et l’amélioration de la fiabilité, de l’efficacité, de la qualité et de la sécurité).Ongoing improvement (maintaining the Professional Services, including installing the latest updates, and making improvements to the reliability, efficacy, quality, and security).

En raison de l’échelle de nos opérations de support, Microsoft utilise le système CRM basé sur un groupe de produits.Due to the scale of our support operations, Microsoft operates product group-based CRM system. Les enregistrements du traitement sont contenus dans ces systèmes.Records of processing will be contained within those systems. Un historique du traitement est reflété dans les enregistrements gérés dans nos systèmes CRM.A history of processing is reflected in the records maintained within our CRM systems. Dans la plupart des cas, l’Historique des Demandes de Service est disponible sur les portails ou le Hub de service.In most instances the Service Request History is available on the portals or Service Hub. Pour consulter toutes les informations spécifiques qui ne sont pas disponibles sur les portails ou toute autre demande de renseignement sur le traitement de vos données, contactez votre Gestionnaire de Compte Technique ou contactez Support Technique Microsoft.For any specific details that are not available on the portals or any other inquiries about processing of your data, contact your Technical Account Manager or contact Microsoft Technical Support.

En savoir plusLearn more