Questions fréquemment posées sur le RGPD
Pour vous aider, ainsi que votre organisation, dans le cadre de votre mise en conformité avec le RGPD, nous avons compilé une liste de questions fréquemment posées et, surtout, des réponses à celles-ci.
Microsoft et les questions relatives au RGPD
Oui. Le RGPD exige que les responsables du traitement (telles des organisations utilisant les services en ligne d’entreprise de Microsoft) utilisent uniquement des sous-traitants de données (tels que Microsoft) offrant des garanties suffisantes quand à leur capacité à satisfaire aux principales exigences du RGPD. Microsoft a pris l’initiative de prendre ces engagements envers tous ses clients titulaires de licences en volume dans le cadre de leurs contrats.
Vous trouverez les engagements contractuels de Microsoft en lien avec le RGPD pris avec ses clients dans la page de présentation du RGPD.
Microsoft fournit des outils et de la documentation pour vous aider à assumer votre responsabilisation au RGPD. Cela inclut un support pour les droits des personnes concernées, la réalisation de vos propres analyses d’impact relatives à la protection des données et notre collaboration pour résoudre des violations de données à caractère personnel. Visitez la page de présentation du RGPD.
Les conditions relatives au RGPD de Microsoft reflètent les engagements imposés aux sous-traitants de données en vertu de l’article 28. L’article 28 prescrit que les sous-traitants de données doivent prendre les engagements suivants :
- Recourir à des sous-traitants uniquement avec le consentement du responsable du traitement et assumer toute responsabilité en lien avec les sous-traitants.
- Traiter les données à caractère personnel uniquement sur instruction du responsable du traitement, y compris en ce qui concerne leurs transferts.
- Veiller à ce que les personnes qui traitent les données à caractère personnel s’engagent à respecter la confidentialité de celles-ci.
- Prendre toutes mesures techniques et organisationnelles nécessaires pour assurer un niveau de sécurité des données à caractère personnel approprié au risque.
- Aider les responsables du traitement à s’acquitter de leurs obligations de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus par le RGPD.
- Répondre aux exigences de notification de violation et d’assistance.
- Aider les responsables du traitement lors des évaluations d’impact de la protection des données et de la consultation avec les autorités de contrôle.
- Supprimer toutes les données à caractère personnel au terme de la prestation de services.
- Mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du RGPD.
Microsoft se sert depuis longtemps des clauses contractuelles types comme base du transfert de données pour ses services en ligne d’entreprise. Les clauses contractuelles types sont des clauses standard énoncées par la Commission européenne, qui peuvent être utilisées pour transférer des données en dehors de l’Espace économique européen de manière conforme. Microsoft a incorporé les clauses contractuelles standard dans tous ses contrats de licence en volume via les Conditions des Services en Ligne. Le groupe de travail « article 29 » a expressément constaté que la mise en oeuvre par Microsoft des clauses contractuelles types était conforme.
Et lorsque le Bouclier de protection des données UE-États-Unis est devenu disponible, Microsoft a été la première entreprise à être certifiée. Consultez la certification de Microsoft concernant le Bouclier de protection des données et lisez les Conditions des Services en Ligne. Le Bouclier de protection des données UE-États-Unis aide les clients désireux de transférer leurs données aux États-Unis à le faire d’une manière compatible avec leurs obligations en matière de protection des données.
En tant qu’entreprise globale comptant des clients dans presque tous les pays du monde, Microsoft dispose d’un solide portefeuille de solutions de conformité pour aider ses clients. Pour voir toutes nos offres de conformité, incluant FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud, et bien d’autres normes, consultez notre liste des offres de conformité.
Questions générales
Pour obtenir des informations sur les capacités des services Microsoft utilisés pour répondre aux exigences du RGPD, consultez la page www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.
Le RGPD impose un vaste éventail d’exigences aux organisations qui collectent ou traitent des données à caractère personnel, dont l’obligation de respecter six principes clés :
- Licéité, loyauté et transparence dans le traitement et l’utilisation des données à caractère personnel. Vous devrez expliquer clairement aux utilisateurs la manière dont vous utilisez les données à caractère personnel et devez disposer d’une « base légale » pour les traiter.
- Limitation des finalités du traitement des données à caractère personnel à des finalités déterminées, explicites et légitimes. Vous ne pourrez pas réutiliser ou divulguer des données à caractère personnel à des fins non « compatibles » avec le but initial de la collecte des données.
- Minimisation de la collecte et du stockage de données à caractère personnel à celles qui sont adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées.
- Exactitude des données à caractère personnel et possibilité de les effacer ou rectifier. Vous devrez prendre des dispositions pour garantir que les données à caractère personnel que vous détenez sont exactes et rectifiables en cas d’erreur.
- Limitation de la conservation des données à caractère personnel. Vous devez veiller à ne conserver les données à caractère personnel que le temps nécessaire à la poursuite des objectifs pour lesquels elles ont été collectées.
- Intégrité et confidentialité des données à caractère personnel. Votre organisation doit prendre des dispositions pour protéger les données à caractère personnel à l’aide de mesures techniques et organisationnelles appropriées.
Vous devez comprendre les obligations spécifiques de votre organisation en lien avec le RGPD et savoir comment vous allez les respecter, même si Microsoft est là pour vous aider dans votre parcours de mise en conformité.
Pour en savoir plus sur le règlement général sur la protection des données (RGPD), veuillez visiter la page www.microsoft.com/gdpr qui vous en apprendra davantage sur la manière dont des produits Microsoft spécifiques peuvent vous aider à vous conformer au RGPD dans les sections portant sur Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 et Windows 10.
Le RGPD confère aux résidents de l’UE le contrôle de leurs données à caractère personnel au travers à d’une série de « droits des personnes concernées ». Ces droits sont les suivants :
- Droit d’accéder aux informations concernant la manière dont les données à caractère personnel sont utilisées.
- Droit d’accéder aux données à caractère personnel détenues par une organisation.
- Droit de faire supprimer ou corriger les données à caractère personnel incorrectes.
- Droit de rectifier et d’effacer les données à caractère personnel dans certaines circonstances (parfois appelé « droit à l’oubli »).
- Droit de restreindre ou refuser le traitement automatisé des données à caractère personnel.
- Droit de recevoir une copie des données à caractère personnel.
Un responsable du traitement est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Un sous-traitant est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement.
Oui. Les responsables du traitement ne doivent faire appel qu’à des sous-traitants prenant des mesures pour répondre aux exigences du RGPD.
En vertu du RGPD, les sous-traitants sont soumis à des obligations et à une responsabilité supplémentaires pour non-conformité ou non-respect des instructions fournies par le responsable du traitement par rapport à la directive sur la protection des données. Les obligations du sous-traitant sont, entre autres, les suivantes :
- Traiter les données uniquement conformément aux instructions données par le responsable du traitement.
- Utiliser des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel.
- Aider le responsable du traitement des données à répondre aux demandes de personnes concernées.
- Veiller à ce que d’autres sous-traitants qu’il engage répondent à ces exigences.
En cas de non-respect de certaines exigences du règlement, les entreprises peuvent être condamnées à payer une amende pouvant atteindre 20 millions d’euros, ou 4 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu). Des recours individuels supplémentaires peuvent augmenter votre risque si vous ne respectez pas les exigences du RGPD.
Cela dépend de plusieurs critères énoncés dans le règlement. L’article 37 du RGPD dispose que que le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
La mise en conformité avec le RGPD coûte du temps et de l’argent à la plupart des organisations. Cependant, la transition peut être plus douce pour celles qui opèrent selon un modèle de services cloud bien architecturé et disposent d’un programme de gouvernance des données efficace.
Questions sur les données à caractère personnel
Le RGPD réglemente la collecte, le stockage, l’utilisation et le partage des « données à caractère personnel ». Les données à caractère personnel sont définies de manière très large dans le RGPD comme toute donnée concernant une personne physique identifiée ou identifiable.
Les données à caractère personnel incluent les identifiants en ligne (par exemple, adresses IP), les informations sur les employés, les bases de données sur les ventes, les données de services clientèle, les formulaires de retour client, les données de localisation, les données biométriques, les enregistrements de vidéosurveillance, les informations médicales et financières, et bien plus encore. Elles peuvent même inclure des informations qui ne semblent pas être personnelles (telle une simple photo de paysage) lorsque ces informations sont liées par un numéro de compte ou un code unique à un individu identifiable. Et même des données à caractère personnel pseudonymisées peuvent être des données à caractère personnel si le pseudonyme peut être associé à un individu particulier.
Il faut également savoir que le traitement de certaines catégories « spéciales » de données à caractère personnel (telles que des données qui révèlent l’origine raciale ou ethnique d’une personne, ou concernent sa santé ou son orientation sexuelle) est soumis à des règles plus strictes que le traitement de données à caractère personnel « ordinaires ».
Cette évaluation des données à caractère personnel étant hautement factuelle, nous vous recommandons de faire appel à un expert pour évaluer votre situation spécifique.
Oui. Bien que les règles diffèrent quelque peu, le RGPD s’applique aux organisations qui collectent et traitent des données pour leur propre compte (« responsables du traitement des données »), ainsi qu’aux organisations qui traitent des données pour le compte de tiers (« sous-traitants de données »). Il s’agit d’un changement par rapport à la directive sur la protection des données qui s’applique aux responsables du traitement.
Les données à caractère personnel englobent toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Les données à caractère personnel peuvent inclure :
Voici des exemples de données à caractère personnel :
Identité
- Nom
- Adresse privée
- Adresse de travail
- Numéro de téléphone
- Numéro de portable
- Adresse e-mail
- Numéro de passeport
- Numéro de carte d’identité nationale
- Numéro de sécurité sociale (ou équivalent)
- Permis de conduire
- Informations physiques, physiologiques ou génétiques
- Informations médicales
- Identité culturelle
Finances
- Coordonnées bancaires / numéros de compte
- Numéro de dossier fiscal
- Adresse de travail
- Numéro de carte de crédit/débit
- Publications sur les réseaux sociaux
Artefacts en ligne
- Publications sur les réseaux sociaux
- Adresse IP (région UE)
- Données de localisation/GPS
- Cookies
Oui. Cependant le RGPD réglemente strictement les transferts de données à caractère personnel de résidents européens vers des destinations situées en dehors de l’Espace économique européen. Dans certains cas, vous devez mettre en place un mécanisme juridique spécifique, tel qu’un contrat, ou adhérer à un mécanisme de certification afin de permettre ces transferts. Microsoft détaille les mécanismes utilisés dans les Conditions des Services en Ligne.
Lorsque des fondements légitimes justifient la poursuite du traitement et de la conservation des données, par exemple « pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis » (article 17, paragraphe 3, point b)), le RPGD reconnaît que des organisations peuvent être tenues de conserver des données. Cependant, vous devez interroger votre conseil juridique pour vous assurer que les motifs de conservation sont mis en balance avec les droits et libertés des personnes concernées, leurs attentes au moment de la collecte des données, etc.
Le chiffrement est identifié dans le RGPD comme une mesure de protection rendant les données à caractère personnel incompréhensibles en cas de violation. Par conséquent, l’utilisation ou non du chiffrement peut avoir une incidence sur les exigences en matière de notification de violation de données à caractère personnel. Le RGPD indique également que le chiffrement est une mesure technique ou organisationnelle appropriée dans certains cas, en fonction du risque. Le chiffrement est également requis par la norme Payment Card Industry Data Security Standard et fait partie des directives de conformité strictes spécifiques du secteur des services financiers. Des produits et services Microsoft tels qu’Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database et Windows 10 offrent un chiffrement robuste des données en transit et au repos.
Pour en savoir plus sur la manière dont les produits et services Microsoft peuvent vous aider à vous conformer au RGPD, consultez la rubrique comment nos produits vous aident à respecter les exigences du RGPD.
Le RGPD modifie les exigences en matière de protection des données et impose des obligations plus strictes aux sous-traitants de données et responsables du traitement des données en matière de notification de violations de données à caractère personnel. En vertu de la nouvelle réglementation, le sous-traitant doit informer le responsable du traitement de toute violation de données à caractère personnel sans retard injustifié après en avoir eu connaissance. Quand une violation de données à caractère personnel est portée à sa connaissance, le responsable du traitement des données doit en informer l’autorité de protection des données compétente dans les 72 heures. Si la violation est susceptible de constituer un risque élevé pour les droits et libertés des personnes, les responsables du traitement doivent également informer les personnes concernées sans délai injustifié. Le Groupe de travail Article 29 sur la protection des données est en train d’élaborer des lignes directrices supplémentaires à ce sujet.
Des produits et services Microsoft tels qu’Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 et Windows 10, proposent aujourd’hui des solutions pour vous aider à détecter et à évaluer les menaces et violations de sécurité, ainsi qu’à respecter les obligations de notification de violation prescrites par le RGPD.
Questions relatives à FastTrack pour Microsoft 365
Microsoft FastTrack est un avantage de service*. Il s’agit d’un service dédié au succès des clients, destiné à aider les entreprises à dégager plus rapidement une valeur métier avec Microsoft Cloud. FastTrack vous aide à effectuer les opérations suivantes :
- Migrer du courrier et du contenu, et mettre en œuvre les services Microsoft 365.
- Déployer et gérer des appareils en toute sécurité.
- Dynamiser votre activité et promouvoir l’adoption par les utilisateurs finaux.
Microsoft FastTrack est un avantage de service continu et reproductible fourni par des ingénieurs et spécialistes Microsoft pour aider les clients ou partenaires à planifier, intégrer et favoriser l’adoption/l’utilisation des services, ainsi qu’à migrer vers le cloud en toute confiance à leur propre rythme.
Dans le cadre de l’aide apportée aux clients pour des déploiements spécifiques et la migration vers les services en ligne, Microsoft FastTrack s’engage à être conforme au RGPD au plus tard le 25 mai 2018. En lien avec l’avantage de service professionnel FastTrack, nous travaillons également avec des partenaire de nos clients ou recommandons des partenaires pour l’assistance au déploiement et à l’adoption.
Pour plus d’informations, visitez la page https://FastTrack.Microsoft.com.
*Un « avantage de service » est considéré comme un « service professionnel », tel que défini par nos Conditions de Services en Ligne et notre outil MBSA.
Les ingénieurs et spécialistes FastTrack sont des experts dans la planification des scénarios et de la valeur métier que les clients ou partenaires souhaitent obtenir. Ils se concentrent sur la planification, le déploiement et l’adoption des produits et services afin d’aider les clients ou partenaires à atteindre ces objectifs. Pour en savoir plus sur la manière dont les produits et services Microsoft contribuent à votre mise en conformité avec le RGPD, visitez le site web du Centre de gestion de la confidentialité. Nous encourageons nos clients et partenaires à s’adresser à un professionnel juridiquement qualifié pour discuter du RGPD, de la manière dont il s’applique spécifiquement à leur organisation, et de la meilleure façon de veiller à leur conformité.
Nous conseillons à nos clients de travailler avec leurs propres équipes juridiques et en charge des questions de conformité pour identifier les exigences découlant du RGPD en matière de chiffrement et dans tous les domaines. La mise en conformité avec le RGPD varie en fonction des données collectées, des scénarios d’utilisation et des secteurs ou vecteurs d’industrie concernés.
Microsoft FastTrack est un service dédié au succès des clients, qui vise à accélérer les déploiements, à assurer un retour sur investissement et à promouvoir l’adoption des produits et services Microsoft par les employés ou utilisateurs finaux. Dans cet esprit, lorsque des clients ou partenaires soumettent une demande d’assistance via Microsoft FastTrack, nous entamons un processus de déploiement des produits et services Microsoft approprié.
En lien avec l’avantage de service professionnel FastTrack, nous travaillons également avec des partenaire de nos clients ou recommandons des partenaires pour l’assistance au déploiement et à l’adoption. Pour en savoir plus sur les partenaires spécialisés en RGPD disponibles pour aider les partenaires Microsoft à se mettre en conformité de la manière décrite dans la page RGPD du Centre de gestion de la confidentialité, voir ici. Vous pouvez vous référer à notre page Cloud de confiance/RGPD pour évaluer votre degré de préparation au RGPD et la manière dont vous pouvez accélérer la mise en conformité avec le RGPD grâce à Microsoft Cloud, et recourir à Microsoft FastTrack afin de bénéficier d’une assistance au déploiement.