Microsoft s'engage pour la transparence afin de vous aider à respecter les réglementations.
Les clients de Microsoft du monde entier sont soumis aux différentes lois et réglementations. Les dispositions juridiques en vigueur dans un pays ou pour un domaine peuvent être incohérentes par rapport à celles d'un autre pays. En tant que fournisseur de services en cloud globaux, Microsoft doit exécuter ses services en utilisant les pratiques de fonctionnement et les fonctionnalités communes pour plusieurs clients et compétences. Pour aider ses clients à respecter leurs propres exigences, Microsoft a conçu ses services en tenant compte des pratiques communes en matière de sécurité et de confidentialité. Toutefois, il appartient aux clients d'évaluer les offres de Microsoft par rapport à leurs besoins et déterminer si les services de Microsoft répondent à leurs besoins réglementaires. Microsoft s'engage à fournir à ses clients les informations détaillées sur ses services en cloud, pour les aider à effectuer leurs propres évaluations réglementaires.
Les informations relatives aux certifications qui peuvent contribuer à la conformité aux réglementations sont disponibles dans la section Sécurité, audits et certifications.
Il vous incombe de respecter vos dispositions réglementaires. Microsoft vous fournit les informations pour vous aider à y parvenir. Microsoft s'engage à respecter les lois relatives à la confidentialité et la protection des données qui s'appliquent en général aux fournisseurs de services informatiques. Si vous êtes soumis aux exigences en matière de compétence ou de secteur d'activité, vous devez effectuer l'évaluation de votre capacité de conformité. Toutefois, les clients exerçant l'activité dans de nombreux secteurs et pays ont constaté qu'ils peuvent utiliser Microsoft Online Services d'une manière qui leur permet de rester conformes aux réglementations en vigueur, à condition qu'ils utilisent les services d'une manière qui soit adaptée à leur situation particulière.
Par exemple, les organisations protégées par la Directive européenne sur la protection des données doivent disposer de leurs propres politiques, normes de sécurité et programme de formation au lieu de s'assurer que leurs employés n'utilisent pas Microsoft Online Services d'une façon qui constitue une violation de cette directive. Microsoft Online Services joue le rôle qui incombe à Microsoft en respectant les promesses faites par Microsoft et de ce fait, en vous aidant à assurer la conformité.
Par exemple, un client de l'Union européenne stocke une liste comprenant les coordonnées des clients. Microsoft Online Services dispose de procédures de sécurité garantissant que le personnel de Microsoft ne puisse pas accéder à tort à ces informations, ni les divulguer. Toutefois, l'un des employés du client, un utilisateur Microsoft Exchange Online, utilise le service pour envoyer cette liste des clients à un négociant, sans autorisation appropriée. Le client est tenu responsable de toute violation des exigences de protection de données de l'Union européenne qui résulte du fait que Microsoft Online Services est allé dans le sens du client. Cela signifie que Microsoft Online Services a permis d'envoyer un message électronique dans le cadre de la prestation habituelle des services.
Conformément à la loi européenne sur la protection des données et le contrat conclu entre vous et Microsoft, Microsoft Online Services assure le rôle de conservateur de vos données, principalement de sous-traitant (la loi qualifie Microsoft de « responsable du traitement des données »). Vous, le client, êtes le propriétaire exclusif des données et assumez la responsabilité en vertu de la loi pour garantir que Microsoft respecte les règles, et que vous êtes autorisé, sur le plan juridique, d'envoyer les données personnelles à Microsoft (la loi vous qualifie de « contrôleur de données »). Vous êtes tenu de déterminer pour le compte de votre entreprise, si, dans votre situation donnée, vous êtes autorisé à utiliser les services de Microsoft pour traiter et stocker vos données personnelles.
Les exigences de la Directive européenne sur la protection des données ont été prises en compte lors de la conception et de la gestion des services Microsoft dans les conditions d'utilisation normales. De plus, Microsoft continue à surveiller ce domaine pour détecter toute modification en rapport avec l'évolution des services.
Microsoft est également membre du programme de la « sphère de sécurité » des États-Unis, tel qu'il a été convenu par l'Union européenne et le Département du commerce des États-Unis. Microsoft est soumis directement aux exigences de la Directive européenne sur la protection des données, et permet de transférer les données hors l'Union européenne pour la prestation de Microsoft Online Services. Microsoft dispose d'une autocertification au programme de la « sphère de sécurité » de l’Union européenne du Département du commerce des États-Unis et d'une autocertification presque identique, la « sphère de sécurité» de la Suisse. La certification de Microsoft aux principes de la « sphère de sécurité » est disponible sur le site http://safeharbor.export.gov/. Pour plus d'informations sur le transfert de données hors de l'Union européenne, consultez la section Limites géographiques du Centre de gestion de la confidentialité.
Dans certains pays, Microsoft respecte également les exigences de sécurité pour le stockage des données personnelles sensibles, tel que la loi l'exige.
Pour tout problème concernant les règles de votre pays ou le type de données que vous stockez, ou pour plus d'informations sur les pratiques et les fonctionnalités prises en charge de Microsoft Online Services, contactez le support technique si vous n'avez pas pu trouver ces informations dans la documentation de service. Dans la mesure où la divulgation d'informations utiles ne porte pas atteinte à la sécurité, Microsoft procédera ainsi pour vous aider à vous décider concernant l'acceptabilité de l'implémentation de Microsoft Online Services par rapport à vos besoins.
Vous devez lire le FAQ ci-dessus et comprendre que juste le fait que Microsoft Online Services permet à votre organisation de respecter les lois en matière de confidentialité ne garantit pas la conformité de votre entreprise. Vous devez en outre suivre les étapes supplémentaires, telles que la mise en œuvre des politiques appropriées et la formation des employés aux bonnes pratiques en matière de confidentialité. Selon votre pays, vous devez suivre des étapes supplémentaires afin de respecter la législation locale, telle que le dépôt d'informations auprès de votre agence de protection des données.
Pour plus d'informations, reportez-vous au FAQ HIPAA/HITECH.
Microsoft Online Services permet aux clients de respecter les exigences de sécurité de l'acte GLBA en fournissant des sauvegardes techniques et organisationnelles afin que les clients puissent maintenir la sécurité et empêcher toute utilisation non autorisée. Microsoft fournit, sur demande, un rapport récapitulatif d'une certification de tiers réalisée par un auditeur indépendant.
Microsoft Online Services ne prend pas en charge le traitement, le transfert ou le stockage des données PCI, tels que les numéros de carte de crédit. La norme PCI ne s'applique pas à Microsoft Online Services, car ce dernier ne propose aucune fonction de traitement des cartes de crédit et de stockage des données. Microsoft Online Services implémente en effet les contrôles et les politiques de sécurité en vigueur, définis par les meilleures pratiques du secteur, telles que la norme ISO 27001 et autres.
Notez, toutefois, que les systèmes de commande, de facturation et de paiement de Microsoft Online Services qui traitent les données relatives aux cartes de crédit sont conformes à One PCI. Les clients peuvent ainsi utiliser leurs cartes de crédit pour régler les services en toute sécurité.
Non. En tant que responsable du traitement des données, Microsoft n'enregistre pas en collaboration avec les autorités de l'Union européenne les données client traitées pour le compte de clients Microsoft.