Microsoft vous fournit des informations sur les accès à vos données stratégiques.
En effet, l'accès aux données au sein d'un cloud constitue un problème majeur. Cela signifie que vous pourrez accéder à vos données lorsque vous en avez besoin et consulter tous les accès d'autres utilisateurs à vos données.
Microsoft a mis en œuvre les réglementations suivantes en matière d'accès :
| Type de données suivies | Instructions | |
| Microsoft Online Services | Création d'utilisateurs à partir du portail, réinitialisations des mots de passe | Contacter le support technique Microsoft Online Services |
| Exchange Online | Accès à messagerie Exchange3 | Accéder au Panneau de configuration Exchange (lien disponible sur la page Vue d'ensemble de l'administration du portail Microsoft Online Services [Connexion requise]) |
| SharePoint Online | Site SharePoint, accès au stockage | Contacter le support technique Microsoft Online Services |
| Microsoft Dynamics CRM Online | Accès aux données client CRM stratégiques | Contactez le support technique de Microsoft Online Services |
Remarques :
1Le terme des données stratégiques désigne les données pour lesquelles les clients exigent un certain niveau de confidentialité et, dans les conditions d’utilisation normales du service, qu’elles soient transférées sous forme chiffrée via Internet. Il s’agit notamment du corps du message d’Exchange Online, des pièces jointes électroniques, du contenu du site et du corps de fichier SharePoint Online, des messages instantanés, des conversations VoIP et des données commerciales CRM concernant les interactions de votre client final.
2Partenaires : les rapports relatifs aux revendeurs (auprès desquels le client a acquis les services, qui lui ont été facturés par ce dernier), les partenaires VoIP ACS et les services associés, tels que Research in Motion (pour le service Hosted BlackBerry®), ne sont pas disponibles en raison de la nature de l’accès aux données dont lesdites parties disposent dans les conditions d’utilisation normales des services.
3Impossible de signaler pour les clients qui ont activé le centre d'administration FOPE, l'accès d'administration de la messagerie mise en attente dans le centre d'administration.
Par définition, les administrateurs de base de données peuvent accéder à toutes les ressources d'une base de données, y compris aux données client. Toutefois, Microsoft interdit strictement d'accéder aux données client à des fins autres que les activités professionnelles, telles que l'optimisation des performances des bases de données ou la migration des clients d'une base de données vers une autre.
Le tableau suivant répertorie les différents niveaux d'accès pour plusieurs types de données :
| Données d'utilisation | Données du carnet d'adresses | Données client (données client stratégiques* non comprises) | Données client stratégiques | |
| Équipe Operations Response (réservé au personnel principal uniquement) | Oui. | Oui, si nécessaire | Oui, si nécessaire | Oui, exceptionnellement |
| Organisation de support | Oui. Uniquement si nécessaire en réponse à une demande de support | Oui. Uniquement si nécessaire en réponse à une demande de support | Oui. Uniquement si nécessaire en réponse à une demande de support | Non. |
| Ingénierie | Oui. | Aucun accès direct. Transfert possible lors du dépannage. | Aucun accès direct. Transfert possible lors du dépannage. | Non. |
| Partenaires | Sur autorisation du client. Contactez le partenaire pour plus d'informations. | Sur autorisation du client. Contactez le partenaire pour plus d'informations. | Sur autorisation du client. Contactez le partenaire pour plus d'informations. | Sur autorisation du client. Contactez le partenaire pour plus d'informations. |
| Autres agents de Microsoft | Non. | Non (Oui pour Office 365 pour petites entreprises à des fins de marketing). | Non. | Non. |
*Les données client stratégiques incluent les pièces jointes et le corps du message d’Exchange Online, le corps du fichier et le contenu du site SharePoint Online, les messages instantanés, les conversations vocales et les données commerciales CRM concernant les interactions de votre client final.
Les clients peuvent accéder à leurs données et les contrôler via les protocoles et les mécanismes d'accès standard définis dans les descriptions des services.
À l'expiration de son abonnement ou utilisation du service, le client peut exporter ses données à tout moment. Pour plus d'informations, consultez les Droits d'utilisation du produit (source faisant autorité pour cette rubrique). Pour des raisons pratiques, quelques conditions d'utilisation de la version actuelle d'Office 365 sont répertoriées ci-après :
Expiration ou résiliation de service en ligne. À l'expiration ou à la résiliation de votre abonnement au service en ligne, vous devez contacter Microsoft et indiquer si vous souhaitez :
Non-responsabilité en cas de suppression des données client. Vous reconnaissez que, sauf les obligations susmentionnées, Microsoft n'est soumis à aucune obligation de continuer à conserver, à exporter ou à renvoyer vos données client. Vous acceptez également que Microsoft n’assume aucune responsabilité de quelque nature que ce soit pour la suppression de vos données client, conformément aux présentes.
Microsoft envoie plusieurs notifications avant de supprimer les données client afin d'informer les clients et leur rappeler que leurs données seront supprimées s'ils n'entreprennent aucune action au cours de la période définie.
Afin que les clients puissent remplir les exigences en matière de confidentialité conformément aux lois en vigueur, ils peuvent, en vertu de nombreux contrats, contacter le support clientèle de Microsoft afin d'obtenir de l'aide pour l'évaluation, la modification, la suppression et le blocage de leurs données client. Les demandes qui ne peuvent être satisfaites via des outils et des processus standard sont soumises à des frais supplémentaires.
L’ensemble du personnel de Microsoft Online Services est tenu responsable de la gestion des données client, c’est-à-dire que l’accès aux données de Microsoft Online Services est accordé de manière à pouvoir remonter à un utilisateur unique. En d’autres termes, les obligations sont assumées par le biais d’un ensemble de contrôles des systèmes, notamment l’utilisation des noms d’utilisateur uniques, ainsi que les contrôles et les audits d’accès aux données. Contrairement aux noms d’utilisateur génériques, tels qu’« invité » ou « administrateur », les noms d’utilisateur uniques permettent de remplir les obligations en attribuant les actions à un utilisateur spécifique (ci-après la « liaison »). De plus, l’authentification à deux facteurs, telle qu’une connexion par carte à puce via les certificats numériques ou les jetons RSA, permet de renforcer davantage ladite liaison.
L'accès de l'utilisateur aux données est également restreint par le rôle d'utilisateur. Par exemple, les administrateurs système ne disposent d'aucun accès d'administration aux bases de données.
Microsoft effectue des contrôles stricts pendant lesquels les rôles d'utilisateur et les utilisateurs seront autorisés à accéder aux données client. Les utilisateurs doivent remplir un formulaire et fournir un motif professionnel justifiant sa demande d'accès. Cette demande doit être au préalable approuvée par le responsable de l'utilisateur. De plus, les niveaux d'accès sont analysés régulièrement afin que seuls les utilisateurs qui disposent d'un motif professionnel puissent accéder aux systèmes.
Tous les centres de données Microsoft Online Services disposent de contrôles d'accès biométriques. De plus, la plupart des centres fournissent l'accès physique aux données de Microsoft Online Services via les empreintes palmaires. L'accès physique aux centres de données de Microsoft Online Services est contrôlé par l'authentification à deux niveaux, notamment les lecteurs d'accès de carte proxy (badge d'accès requis) et les lecteurs biométriques de la configuration de la main.
Pour plus d'informations sur l'approche de Microsoft Online Services concernant les données client, reportez-vous à la politique de confidentialité de Microsoft Online Services, aux directives de confidentialité de Microsoft pour le développement des produits et des services, à la description du service de sécurité Office 365 et au livre blanc relatif à la confidentialité de Microsoft Online Services.
Tous les trimestres, l'Agent de sécurité de Microsoft envoie des rapports au personnel autorisé à approuver l'accès aux centres de données. Ces rapports comprennent des listes qui répertorient les utilisateurs disposant d'un accès aux centres de données. Le personnel autorisé effectue l'audit de la liste pour s'assurer que tous les utilisateurs nécessitent réellement cet accès et disposent d'un niveau d'accès le plus faible pour réaliser leurs activités professionnelles. Le personnel autorisé doit signaler à l'Agent de sécurité de Microsoft toute modification ou confirmer qu'aucune modification n'est nécessaire.
Tous les employés de Microsoft qui se trouvent aux États-Unis doivent passer une vérification des antécédents standard dans le cadre de leur recrutement. Ces vérifications incluent l'analyse des informations sur les études, les emplois et le casier judiciaire du candidat.
Outre la vérification des antécédents standard à laquelle tous les nouveaux employés Microsoft doivent se soumettre, les employés nouveaux et existants, qui disposent de l'accès aux données client ou qui gèrent les contrôles clés d'accès logique et physique, doivent subir des vérifications par rapport aux listes des contrôles d'exportation (incluant notamment la liste OFAC (Office of Foreign Assets Control List), la liste BIS (Bureau of Industry and Security) et la liste DDTC (Office of Defense Trade Controls Debarred Persons)) :
Les vérifications des antécédents et des informations supplémentaires, telles que les vérifications de citoyenneté et la prise d'empreinte, peuvent également être effectuées si la demande d'accès réfère à l'environnement fédéral.
Afin de préserver la confidentialité de ses employés, Microsoft ne communique en aucun cas les résultats des vérifications de leurs antécédents aux clients.