Répondre aux demandes de droits de la personne concernée pour supprimer les données client Power Apps
Le « droit d’effacement », par la suppression des données personnelles dans les données client d’une entreprise est un élément de protection essentiel du Règlement général sur la protection des données (RGPD) au sein de l’Union européenne (UE). La suppression des données personnelles inclut tous les journaux générés par le système, à l’exception des informations des journaux d’audit.
Power Apps permet aux utilisateurs de créer des applications métier qui constituent un élément essentiel des opérations quotidiennes de votre organisation. Lorsqu’un utilisateur quitte votre organisation, vous devez manuellement passer en revue et déterminer s’il convient de supprimer certaines données et ressources créées par l’utilisateur. D’autres données personnelles seront supprimées automatiquement chaque fois que le compte d’utilisateur sera supprimé d’Microsoft Entra.
Voici comment se répartissent les données personnelles qui seront automatiquement supprimées et les données qui nécessiteront un examen et une suppression manuels de votre part :
| Exige un examen et une suppression manuels | Supprimé automatiquement lorsque l’utilisateur est supprimé d’Microsoft Entra |
|---|---|
| Environnement** | Passerelle |
| Autorisations de l’environnement*** | Autorisations de la passerelle |
| Application canevas / Page personnalisée** | Notifications Power Apps |
| Autorisations de l’application canevas | Paramètres utilisateur Power Apps |
| Connexion** | Param. utilisateur-application Power Apps |
| Autorisations liées à la connexion | |
| Connecteur personnalisé** | |
| Autorisations de connecteurs personnalisés |
** Chacune de ces ressources contient des enregistrements « Créé par » et « Modifié par » qui contiennent des données personnelles. Pour des raisons de sécurité, ces enregistrements seront conservés jusqu’à la suppression de la ressource.
*** Pour les environnements qui incluent une base de données Microsoft Dataverse, les autorisations d’environnement (à savoir quels utilisateurs sont attribués aux rôles Créateur d’environnement et Administrateur) sont stockées comme enregistrements dans cette base de données. Pour obtenir des instructions quant à la manière de répondre aux demandes de droits de la personne concernée pour les utilisateurs de Dataverse, reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée pour les données client Dataverse.
Pour les données et les ressources qui exigent un examen manuel, Power Apps propose les expériences suivantes pour réattribuer (le cas échéant) ou supprimer les données personnelles pour un utilisateur spécifique :
Accès au site Web : site Power Apps, centre d’administration Power Platform et portail Service Trust Microsoft 365
Accès PowerShell : applets de commande Power Apps pour les créateurs d’application et les administrateurs et applets de commande pour les passerelles locales.
Voici la répartition des expériences disponibles pour supprimer chaque type de ressource susceptible de contenir des données personnelles :
| Ressources contenant les données personnelles | Accès au site web | Accès à PowerShell |
|---|---|---|
| Environment | Centre d’administration de Power Platform. | Applets de commande Power Apps |
| Autorisations de l’environnement** | Centre d’administration de Power Platform | Applets de commande Power Apps |
| Application canevas / Page personnalisée | Centre d’administration de Power Platform Power Apps |
Applets de commande Power Apps |
| Autorisations de l’application canevas | Centre d’administration de Power Platform | Applets de commande Power Apps |
| Connexion | Créateur d’applications : disponible Administrateur : disponible |
|
| Autorisations liées à la connexion | Créateur d’applications : disponible Administrateur : disponible |
|
| Connecteur personnalisé | Créateur d’applications : disponible Administrateur : disponible |
|
| Autorisations de connecteurs personnalisés | Créateur d’applications : disponible Administrateur : disponible |
** Avec le lancement de Dataverse, si une base de données est créée dans l’environnement, les autorisations de l’environnement et les autorisations basées sur un modèle sont enregistrées comme enregistrements au sein de l’environnement de cette base de données. Pour obtenir des instructions quant à la manière de répondre aux demandes de droits de la personne concernée pour les utilisateurs de Dataverse, reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée pour les données client Dataverse.
Configuration requise
Pour les utilisateurs
Tout utilisateur avec une licence Power Apps valide peut effectuer les opérations d’utilisateur mentionnées dans ce document à l’aide de Power Apps ou des applets de commande PowerShell pour les créateurs d’applications.
Client non géré
Si vous êtes membre d’un client non géré, autrement dit, si votre client Microsoft Entra n’a pas d’administrateur général, vous pouvez suivre les étapes décrites dans cette partie pour supprimer vos propres données personnelles. Toutefois, puisqu’il n’y a pas d’administrateur général pour votre client, vous devez suivre les instructions mentionnées dans Étape 13 : Supprimer l’utilisateur de Microsoft Entra pour supprimer votre propre compte du client.
Afin de déterminer si vous faites partie d’un client non géré, veuillez procéder comme suit :
Ouvrez l’URL suivante dans un navigateur, en veillant à remplacer votre adresse de messagerie dans l’URL : https://login.microsoftonline.com/common/userrealm/name@contoso.com?api-version=2.1
Si vous faites partie d’un client non géré, vous verrez alors
"IsViral": truedans la réponse.
{
...
"Login": "name@unmanagedcontoso.com",
"DomainName": "unmanagedcontoso.com",
"IsViral": true,
...
}
- Sinon, cela signifie que vous appartenez à un client géré.
Pour les administrateurs
Pour exécuter les opérations administratives décrites dans ce document avec le centre d’administration Power Platform, le centre d’administration Power Automate, ou les applets de commande PowerShell pour les administrateurs Power Apps, vous aurez besoin des éléments suivants :
Un plan Power Apps réglé ou une version d’évaluation du plan Power Apps. Vous pouvez vous inscrire à une version d’évaluation de 30 jours sur https://make.powerapps.com/trial. Les licences d’évaluation peuvent être renouvelées si elles ont expiré.
Autorisations Administrateur global Microsoft 365 ou Administrateur global Microsoft Entra si vous devez rechercher dans les ressources d’un autre utilisateur. (Notez que seuls les administrateurs de l’environnement ont accès à ces environnements et ressources d’environnement pour lesquels ils ont des autorisations.)
Étape 1 : Supprimer ou réaffecter tous les environnements créés par l’utilisateur
En tant qu’administrateur, vous avez deux décisions à prendre dans le cadre du traitement d’une demande de suppression de DSR pour chaque environnement que l’utilisateur a créé :
si vous déterminez que l’environnement n’est pas utilisé par quelqu’un d’autre au sein de votre organisation, vous pouvez choisir de supprimer l’environnement.
Si vous déterminez que l’environnement est toujours requis, vous pouvez choisir de ne pas supprimer l’environnement et de vous ajouter vous-même (ou un autre utilisateur de votre organisation) en tant qu’administrateur de l’environnement.
Important
La suppression d’un environnement supprimera de manière définitive toutes les ressources de l’environnement, notamment toutes les applications, les flux, les connexions, etc. Aussi veuillez passer en revue les contenus d’un environnement avant leur suppression.
Accorder l’accès à un utilisateur aux environnements
Un administrateur peut accorder un accès administratif à un environnement en procédant comme suit :
Depuis le centre d’administration de Power Platform, sélectionnez un environnement pour accorder des privilèges d’administrateur à vous-même ou à un autre utilisateur de votre organisation.
Si l’environnement a été créé par l’utilisateur à partir de la requête DSR, sous Accès,Administrateur de l’environnement, sélectionnez Afficher tout.
Supprimer des environnements créés par un utilisateur
Un administrateur peut vérifier et supprimer des environnements créés par un utilisateur spécifique en procédant comme suit :
Depuis le centre d’administration de Power Platform, sélectionnez un environnement.
Si l’environnement a été créé par l’utilisateur à partir d’une requête DSR, sélectionnez Supprimer puis procédez comme indiqué pour supprimer l’environnement.
Donner accès à des environnements d’utilisateur à l’aide de PowerShell
Un administrateur peut s’attribuer à lui-même (ou à un autre utilisateur de son organisation) l’accès à tous les environnements créés par un utilisateur à l’aide de la fonction Set-AdminPowerAppEnvironmentRoleAssignment dans les applets de commande PowerShell pour les administrateurs de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$myUserId = $global:currentSession.UserId
#Assign yourself as an admin to each environment created by the user
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Set-AdminPowerAppEnvironmentRoleAssignment -RoleName EnvironmentAdmin -PrincipalType User -PrincipalObjectId $myUserId
#Retrieve the environment role assignments to confirm
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Get-AdminPowerAppEnvironmentRoleAssignment
Important
Cette fonction est exécutée uniquement dans les environnements qui n’ont pas un environnement de base de données dans Dataverse.
Supprimer les environnements créés par un utilisateur à l’aide de PowerShell
Un administrateur peut supprimer tous les environnements créés par un utilisateur à l’aide de la fonction Remove-AdminPowerAppEnvironment dans les applets de commande PowerShell pour les administrateurs de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
# Retrieve all environments created by the user and then delete them
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppEnvironment
Étape 2 : Supprimer les autorisations de l’utilisateur pour tous les autres environnements
Les utilisateurs peuvent recevoir des autorisations (comme Administrateur d’environnement et Créateur d’environnement) dans un environnement, qui sont stockées dans le service Power Apps comme « attribution de rôle ». Avec l’introduction de Dataverse, si une base de données est créée dans l’environnement, ces « attributions de rôle » sont enregistrées comme enregistrements au sein de l’environnement de cette base de données.
Pour les environnements sans base de données Dataverse
Centre d’administration de Power Platform
Un administrateur peut supprimer les autorisations d’un environnement d’utilisateur à partir du centre d’administration Power Platform en procédant comme suit :
Depuis le centre d’administration de Power Platform, sélectionnez un environnement.
Vous devez être un Administrateur global Microsoft 365 ou un Administrateur global Microsoft Entra pour pouvoir examiner tous les environnements qui ont été créés au sein de votre organisation.
Si votre environnement n’a pas de base de données Dataverse, vous verrez une section Accès. Sous Accès, sélectionnez soit Administrateur de l’environnement, soit Créateur de l’environnement, puis sélectionnez Afficher tout.
Sélectionnez un utilisateur, sélectionnez Retirer pour retirer son autorisation, puis sélectionnez Continuer.
PowerShell
Un administrateur peut supprimer toutes les attributions de rôle de l’environnement pour un utilisateur dans tous les environnements sans base de données Dataverse à l’aide de la fonction Remove-AdminPowerAppEnvironmentRoleAssignment dans les applets de commande PowerShell pour les administrateurs de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all environment role assignments for the user for environments without a Dataverse database and delete them
Get-AdminPowerAppEnvironmentRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppEnvironmentRoleAssignment
Important
Cette fonction est exécutée uniquement pour les environnements qui n’ont pas un environnement de base de données dans Dataverse.
Pour les environnements AVEC une base de données Dataverse
Avec le lancement de Dataverse, si une base de données est créée dans l’environnement, ces « attributions de rôle » sont sauvegardées comme enregistrements au sein de l’environnement de cette base de données. Reportez-vous à la documentation suivante sur la manière de supprimer des données personnelles d'un environnement d'une base de données dans Dataverse : suppression des données personnelles de l'utilisateur Common Data Service
Étape 3 : Supprimer ou réaffecter toutes les applications canevas créées par un utilisateur
Réattribuer des applications canevas d’un utilisateur à l’aide des applets de commande PowerShell de l’administrateur Power Apps
Si un administrateur décide de ne pas supprimer les applications canevas d’un utilisateur, il peut réattribuer les applications appartenant à un utilisateur à l’aide de la fonction Set-AdminPowerAppOwner dans les applets de commande PowerShell de l’administrateur de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$newAppOwnerUserId = "72c272b8-14c3-4f7a-95f7-a76f65c9ccd8"
#find all apps owned by the DSR user and assigns them a new owner
Get-AdminPowerApp -Owner $deleteDsrUserId | Set-AdminPowerAppOwner -AppOwner $newAppOwnerUserId
Supprimer l’application canevas d’un utilisateur à l’aide du site Power Apps
Un utilisateur peut supprimer une application depuis le site Power Apps. Pour obtenir l’intégralité de la procédure de la suppression d’une application, veuillez consulter la rubrique Suppression d’une application.
Supprimer une application canevas d’un utilisateur à l’aide du centre d’administration Power Platform
Un administrateur peut supprimer des applications créées par un utilisateur en procédant comme suit :
Depuis le centre d’administration de Power Platform, sélectionnez un environnement.
Vous devez être un Administrateur global Microsoft 365 ou un Administrateur global Microsoft Entra pour pouvoir examiner tous les environnements qui ont été créés au sein de votre organisation.
Sous Ressources, sélectionnez Power Apps.
Sélectionnez une application, puis sélectionnez Supprimer>Supprimer du cloud.
Supprimer l’application canevas d’un utilisateur à l’aide des applets de commande PowerShell de l’administrateur Power Apps
Si un administrateur décide de supprimer toutes les applications canevas d’un utilisateur, il peut le faire à l’aide de la fonction Remove-AdminApp dans les applets de commande PowerShell de l’administrateur Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all apps owned by the DSR user and deletes them
Get-AdminPowerApp -Owner $deleteDsrUserId | Remove-AdminPowerApp
Étape 4 : Supprimer les autorisations de l’utilisateur pour les applications canevas
Lorsqu’une application est partagée avec un utilisateur, Power Apps stocke un enregistrement appelé « attribution de rôle » qui décrit les autorisations de l’utilisateur (CanEdit ou CanUse) à l’application. Pour plus d’informations, voir l’article Partager une application.
Note
Les attributions de rôle d’une application seront supprimées lorsque l’application est supprimée. L’attribution de rôle du propriétaire de l’application peut être supprimée en attribuant un nouveau propriétaire pour l’application.
Pour supprimer les autorisations d’un utilisateur sur une application canevas, voir Version préliminaire : partager une application pilotée par modèle. Pour l’étape 5, supprimez plutôt que d’ajouter un rôle de la liste.
Applets de commande PowerShell pour les administrateurs
Un administrateur peut supprimer toutes les attributions de rôle de l’application canevas d’un utilisateur à l’aide de la fonction Remove-AdminPowerAppRoleAssignment dans les applets de commande PowerShell de l’administrateur de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all app role assignments for the DSR user and deletes them
Get-AdminPowerAppRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppRoleAssignment
Étape 5 : Supprimer les connexions créées par un utilisateur
Les connexions sont utilisées en conjonction avec les connecteurs lors de l’établissement de la connectivité avec d’autres API et les systèmes SaaS. Les connexions comprennent les références à l’utilisateur les ayant créées et, par conséquent, peuvent être supprimées pour retirer toute référence à l’utilisateur.
Applets de commande PowerShell pour les créateurs d’application
Un utilisateur peut supprimer toutes ses connexions à l’aide de la fonction Remove-AdminPowerAppConnection dans les cmdlets PowerShell pour les créateurs d’application :
Add-PowerAppsAccount
#Retrieves all connections for the calling user and deletes them
Get-AdminPowerAppConnection | Remove-AdminPowerAppConnection
Applets de commande PowerShell pour les administrateurs Power Apps
Un administrateur peut supprimer toutes les connexions d’un utilisateur à l’aide de la fonction Remove-AdminPowerAppConnection dans les applets de commande PowerShell de l’administrateur de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all connections for the DSR user and deletes them
Get-AdminPowerAppConnection -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnection
Étape 6 : Supprimer les autorisations de l’utilisateur pour les connexions partagées
Applets de commande PowerShell pour les créateurs d’application
Un utilisateur peut supprimer toutes ses attributions de rôle de connexion pour des connexions partagées à l’aide de la fonction Remove-AdminPowerAppConnectionRoleAssignment dans les cmdlets PowerShell pour les créateurs d’application :
Add-PowerAppsAccount
#Retrieves all connection role assignments for the calling users and deletes them
Get-AdminPowerAppConnectionRoleAssignment | Remove-AdminPowerAppConnectionRoleAssignment
Note
Les attributions de rôle de propriétaire ne peuvent pas être supprimées sans supprimer la ressource de connexion.
Applets de commande PowerShell pour les administrateurs
Un administrateur peut supprimer toutes les attributions de rôle de la connexion d’un utilisateur à l’aide de la fonction Remove-AdminPowerAppConnectionRoleAssignment dans les applets de commande PowerShell de l’administrateur de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all connection role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectionRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectionRoleAssignment
Étape 7 : Supprimer les connecteurs personnalisés créés par l’utilisateur
Les connecteurs personnalisés viennent en complément des connecteurs existants prêts à l’emploi et permettent la connectivité aux autres API, systèmes développés de manière personnalisée et SaaS. Vous pouvez transférer la propriété du connecteur personnalisé à d’autres utilisateurs de l’organisation ou supprimer le connecteur personnalisé.
Applets de commande PowerShell pour les créateurs d’application
Un utilisateur peut supprimer tous ses connecteurs personnalisés à l’aide de la fonction Remove-AdminPowerAppConnector dans les applets de commande PowerShell pour les créateurs d’application :
Add-PowerAppsAccount
#Retrieves all custom connectors for the calling user and deletes them
Get-AdminPowerAppConnector | Remove-AdminPowerAppConnector
Applets de commande PowerShell pour les administrateurs
Un administrateur peut supprimer tous les connecteurs personnalisés créés par un utilisateur à l’aide de la fonction Remove-AdminPowerAppConnector dans les applets de commande PowerShell de l’administrateur de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all custom connectors created by the DSR user and deletes them
Get-AdminPowerAppConnector -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnector
Étape 8 : Supprimer les autorisations de l’utilisateur pour les connecteurs personnalisés partagés
Applets de commande PowerShell pour les créateurs d’application
Un utilisateur peut supprimer toutes les attributions de rôle du connecteur pour les connecteurs personnalisés partagés avec la fonction Remove-AdminPowerAppConnectorRoleAssignment dans les applets de commande PowerShell pour les créateurs d’application :
Add-PowerAppsAccount
#Retrieves all connector role assignments for the calling users and deletes them
Get-AdminPowerAppConnectorRoleAssignment | Remove-AdminPowerAppConnectorRoleAssignment
Note
Les attributions de rôle de propriétaire ne peuvent pas être supprimées sans supprimer la ressource de connexion.
Applets de commande PowerShell pour les administrateurs
Un administrateur peut supprimer toutes les attributions de rôle du connecteur personnalisé pour un utilisateur à l’aide de la fonction Remove-AdminPowerAppConnectorRoleAssignment dans les applets de commande PowerShell de l’administrateur de Power Apps :
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all custom connector role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectorRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectorRoleAssignment
Étape 9 : Supprimer les données personnelles de l’utilisateur dans Power Automate
Les licences Power Apps comprennent toujours des fonctionnalités Power Automate. Outre le fait d’être inclus dans les licences Power Apps, Power Automate est également disponible en tant que service autonome. Pour obtenir des instructions quant à la manière de répondre aux demandes de droits de la personne concernée qui utilisent le service Power Automate, reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée du RGPD pour Power Automate.
Important
Il est préférable que les administrateurs effectuent cette étape pour un utilisateur Power Apps.
Étape 10 : Supprimer les données personnelles de l’utilisateur dans Microsoft Copilot Studio
Fonctionnalités Power Apps basées sur Microsoft Copilot Studio. Microsoft Copilot Studio est également disponible en tant que service autonome. Pour obtenir des instructions sur la manière de répondre aux demandes DSR pour les données du service Microsoft Copilot Studio, consultez Répondre aux demandes de la personne concernée pour Microsoft Copilot Studio.
Important
Il est recommandé que les administrateurs effectuent cette étape pour un utilisateur Power Apps.
Étape 11 : Rechercher les données personnelles pour l’utilisateur dans le Microsoft 365 Centre d'administration
Certains mécanismes de commentaires dans Power Apps sont intégrés au Microsoft 365 centre d’administration. Pour obtenir des conseils sur la façon de supprimer les données de commentaires stockées par le Microsoft 365 centre d’administration, consultez Comment puis-je voir les commentaires de mon utilisateur ?. A Microsoft Entra global Administrateur est capable de gérer ces données dans le Microsoft 365 centre d’administration sans avoir besoin Microsoft 365 ou de licences Office.
Important
Il est préférable que les administrateurs effectuent cette étape pour un utilisateur Power Apps.
Étape 12 : Supprimer les données personnelles de l’utilisateur dans les environnements Dataverse
Certaines licences Power Apps, y compris le plan de développeur de Power Apps, permettent aux utilisateurs de votre organisation de créer des environnements de Dataverse et de créer et générer des applications dans Dataverse. Le plan de développeur de Power Apps est une licence gratuite qui permet aux utilisateurs d’essayer Dataverse dans un environnement individuel. Consultez la page de tarifs Power Apps pour laquelle les capacités sont incluses dans chaque licence Power Apps.
Pour obtenir des instructions quant à la manière de répondre aux demandes de droits de la personne concernée pour les utilisateurs de Dataverse, reportez-vous à la rubrique Répondre aux demandes de droits de la personne concernée pour les données client Dataverse.
Important
Il est recommandé que les administrateurs effectuent cette étape pour un utilisateur Power Apps.
Étape 13 : Supprimer l’utilisateur de Microsoft Entra
Une fois les étapes ci-dessus effectuées, l’étape finale consiste à supprimer le compte d’utilisateur pour Microsoft Entra.
Client géré
En tant qu’administrateur d’un client Microsoft Entra géré, vous pouvez supprimer le compte d’utilisateur en suivant la procédure décrite dans la documentation RGPD - Demande de droits de la personne concernée Azure disponible sur le portail Microsoft 365 Service Trust.
Client non géré
Si vous faites partie d’un client non géré, vous devrez procéder comme suit afin de supprimer votre compte de votre client Microsoft Entra :
Note
Reportez-vous à la rubrique Client non géré ci-dessus pour voir comment détecter si vous faites partie d’un client non géré ou géré.
Connectez-vous avec votre compte Microsoft Entra.
Sélectionnez Clôturer le compte et suivez les instructions pour supprimer votre compte de votre client Microsoft Entra.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour