Réponse aux demandes des données de la personne concernée dans le cadre du RGPD pour Power Automate

Cet article vous prépare, vous et votre organisation, aux directives du Règlement général sur la protection des données (RGPD) de l’Union européenne. Cet article décrit non seulement ce que Microsoft fait pour préparer l’entrée en vigueur du RGPD, mais donne aussi des exemples de mesures à appliquer dès aujourd’hui pour assurer la conformité au RGPD en utilisant Power Apps, Power Automate et Microsoft Dataverse.

Conditions préalables

Les utilisateurs et les administrateurs peuvent effectuer les actions décrites dans cet article.

Utilisateurs

Un utilisateur doit avoir un compte Azure Active Directory actif avec une licence Power Automate. Les utilisateurs qui ne remplissent pas cette condition doivent demander à un administrateur d’effectuer ces actions.

Administrateurs

Vous pouvez effectuer les opérations nécessitant des privilèges d’administrateur, présentées dans cet article, lorsque vous vous connectez au Centre d’administration de Power Platform ou à Power Apps Admin PowerShell avec un compte disposant de ces deux autorisations :

Locataires non gérés

Si vous êtes membre d’un locataire non géré, ce qui signifie que votre locataire Azure AD n’a pas d’administrateur général, vous serez néanmoins en mesure de suivre les étapes décrites dans cet article pour exporter et supprimer vos propres données personnelles.

Répondre aux DSR pour les données client Power Automate

Le système RGPD octroie à des personnes (également appelées « personnes concernées ») des droits pour gérer les données personnelles qui ont été collectées par un employeur ou autre type d’entité ou organisation (également appelé contrôleur de données ou tout simplement contrôleur). Les données personnelles sont définies très globalement sous le RGPD, car toutes les données qui sont associés à une personne physique identifiée ou identifiable. Le système RGPD confère aux personnes concernées des droits spécifiques sur leurs données personnelles ; ces droits incluent l’obtention de copies de ces données personnelles, la possibilité de les corriger, de les traiter de manière restreinte, de les supprimer ou de les recevoir dans un format électronique afin de pouvoir les transférer vers un autre contrôleur. Une demande formelle transmise par une personne concernée à un contrôleur pour effectuer une action sur ses données personnelles est appelée demande DSR (Data Subject Rights).

Cet article explique comment utiliser les produits, services et outils d’administration Microsoft pour aider les contrôleurs à rechercher et à traiter les données personnelles en réponse à des demandes DSR. Tout particulièrement, il décrit comment rechercher, afficher et modifier les données personnelles qui résident dans le cloud Microsoft. Voici un aperçu rapide des processus présentés dans ce guide :

  1. Découvrir : utiliser les outils de recherche et de découverte pour trouver plus facilement les données client pouvant faire l’objet d’une demande DSR. Une fois les documents pouvant faire l’objet d’une réponse collectés, vous pouvez effectuer une ou plusieurs des actions DSR décrites dans les étapes suivantes pour répondre à la demande. Vous pouvez également décider que la requête ne répond pas aux directives de votre organisation en termes de réponse à une requête DSR. Vue d’ensemble de la documentation sur la découverte DSR Power Automate

  2. Accéder : récupérer les données personnelles qui résident dans le cloud Microsoft et, le cas échéant, en effectuer une copie pouvant être mise à la disposition de la personne concernée.

  3. Corriger : apporter des modifications ou implémenter d’autres actions demandées sur les données personnelles, le cas échéant.

    Si une personne concernée vous demande de corriger ses données personnelles résidant dans votre organisation, vous et votre organisation devez déterminer s’il est judicieux de répondre favorablement à la demande. La correction des données peut inclure des actions telles que la modification ou la suppression de données personnelles.

    Vous pouvez utiliser Azure Active Directory pour gérer les identités des utilisateurs Power Automate. Les clients Entreprise peuvent gérer les demandes de rectification DSR, y compris avec des fonctionnalités d’édition limitées, selon la nature d’un service Microsoft donné. En tant que processeur de données, Microsoft n’offre pas la possibilité de corriger les journaux générés par le système, car ceux-ci reflètent des activités factuelles et constituent l’historique de tous les événements au sein des services Microsoft. En savoir plus sur les DSR

  4. Restreindre : limiter le traitement des données personnelles en supprimant les licences pour différents services en ligne ou en désactivant les services souhaités lorsque cela est possible. Vous pouvez également supprimer des données de cloud Microsoft et les conserver localement ou à un autre emplacement.

    Les personnes concernées peuvent demander que vous limitiez le traitement de leurs données personnelles. Microsoft fournit des interfaces de programmation d’application (API) et des interfaces utilisateur (UI) à cet effet. Ces interfaces permettent à l’administrateur d’un client Entreprise de gérer ces demandes DSR de façon anonyme en utilisant une combinaison d’exportation et de suppression des données. Un client peut exporter (1) une copie électronique des données personnelles de l’utilisateur, y compris les comptes, les journaux générés par le système et journaux associés, puis (2) supprimer le compte et les données associées résidant dans les systèmes Microsoft.

  5. Supprimer : supprimer définitivement des données personnelles résidant dans le cloud Microsoft. En savoir plus sur la suppression des données personnelles.

  6. Exporter : fournir une copie électronique (dans un format lisible par ordinateur) des données personnelles à la personne concernée. Chaque section de cet article décrit les procédures techniques qu’une organisation de contrôle des données peut prendre pour répondre à une demande DSR affectant les données personnelles dans le cloud Microsoft. En savoir plus sur l’exportation des données personnelles.

Journaux générés par le système

Consultez ce guide pour plus d’informations sur les journaux générés par le système pour Power Automate.

Voir aussi

Pour en savoir plus sur l’engagement de Microsoft en matière de confiance, de sécurité et de conformité, visitez le Portail d’approbation de services.