Obligation de notification des violations de données en vertu du RGPD

Découvrez comment Microsoft détecte et réagit face à une violation de données à caractère personnel, en vous le faisant savoir en vertu du RGPD.

Le RGPD impose aux responsables du traitement et sous-traitants des obligations de notification en cas de violation de données à caractère personnel. Les informations ci-dessous traitent de ces dispositions et expliquent comment Microsoft tente dans un premier temps de prévenir les violations, puis de les détecter, d’y répondre et d’en informer le responsable du traitement.

Documentation sur les violations de données pour les services en ligne

Office 365

Azure

Dynamics 365

Services professionnels Microsoft

Outils d’administration

Désignez la personne chargée de la confidentialité au sein de votre organisation. Les administrateurs clients peuvent utiliser le portail d’administration d’Azure Active Directory pour désigner la personne chargée de la confidentialité au sein de votre organisation au cas où Microsoft aurait besoin de la contacter.
Désignez la personne chargée de la confidentialité au sein de votre organisation

Forum aux questions sur les notifications de violations

Vous trouverez ci-dessous des questions et réponses importantes sur les notifications de violation :
|

Les termes « données à caractère personnel » désignent toute information se rapportant à une personne qui peut être utilisée pour l’identifier, directement ou indirectement. Une violation de données à caractère personnel est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

En vertu du RGPD, en cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (discrimination, usurpation d’identité, fraude, perte financière, atteinte à la réputation, etc.), vous devez :
  • Notifier l’autorité chargée de la protection des données (DPA) compétente dans les 72 heures qui suivent la constatation de la violation, par exemple après en avoir été informé par Microsoft. Si le délai de 72 heures est dépassé, vous devrez expliquer les motifs du retard à la DPA. Cette notification à la DPA est obligatoire, même si le risque encouru par les personnes est faible.
  • Informer les personnes concernées de la violation dans les meilleurs délais.
  • Documenter la violation, notamment en décrivant la nature de celle-ci : par exemple, le nombre de personnes touchées, le nombre de fichiers de données affectés, les conséquences de la violation et les mesures correctives proposées ou prises par votre organisation.

En vertu du RGPD, lorsqu’une violation de données à caractère personnel est portée à notre connaissance, nous sommes tenus de vous en informer dans les meilleurs délais. Lorsque nous agissons en tant que sous-traitant, nos obligations reposent à la fois sur les exigences du RGPD et sur nos dispositions contractuelles internationales standard. Nous considérons que toutes les violations de données à caractère personnel confirmées doivent être prises en compte ; il n’y a pas de seuil de risque. Nous notifierons nos clients en leur précisant si la violation de données concerne directement Microsoft ou l’un de ses sous-traitants. Nous avons mis en place des processus pour identifier et contacter rapidement la personne chargée des incidents de sécurité que vous avez désignée au sein de votre organisation. En outre, tous les sous-traitants sont contractuellement tenus de signaler leurs propres violations à Microsoft et de fournir des garanties à cet effet.

Tous nos services et tous les membres de notre personnel suivent les procédures internes de gestion des incidents afin de prendre les précautions nécessaires pour éviter les violations de données. Toutefois, l’équipe des services en ligne de Microsoft a également mis en place des contrôles de sécurité spécifiques sur l’ensemble de ses plateformes pour détecter les violations de données dans les rares cas où elles se produiraient.

Pour vous aider en cas de violation de données à caractère personnel :
  • Microsoft dispose de personnels de sécurité formés pour suivre des procédures spécifiques.
  • Microsoft a mis en place des stratégies, procédures et contrôles pour conserver des enregistrements détaillés. Cela inclut la documentation décrivant les circonstances de l’incident, ses effets et les mesures correctives, ainsi que le suivi et le stockage des informations dans nos systèmes de gestion des incidents.

Microsoft a mis en place des stratégies et procédures afin de vous prévenir rapidement. Pour vous permettre de notifier la DPA compétente, nous vous fournirons une description du processus utilisé pour déterminer s’il y a eu violation de données à caractère personnel, une description de la nature de la violation et une description des mesures que nous avons prises pour atténuer celle-ci.