Code de pratique ISO/IEC 27018 pour la protection des données personnelles dans le cloud

Microsoft a été le premier fournisseur de cloud à adhérer à ce code de conduite pour la confidentialité du cloud.

Microsoft et la norme ISO/IEC 27018

Au moins une fois par an, Microsoft Azure et Azure Germany sont audités pour leur conformité aux normes ISO/IEC 27001 et ISO/IEC 27018 par un organisme de certification agréé tiers, fournissant une validation indépendante indiquant que les contrôles de sécurité adéquats sont en place et fonctionnent efficacement. Dans le cadre du processus de certification de conformité, les auditeurs valident dans leur déclaration d’applicabilité que les services Microsoft Enterprise Cloud dans le périmètre et les services de support technique commercial ont incorporé des contrôles ISO/IEC 27018 pour la protection des PII dans Azure. Pour maintenir la conformité, les services cloud Microsoft doivent être soumis à des révisions annuelles de tiers.

En respectant les normes d’ISO/IEC 27001 et le code de pratique incarné dans ISO/IEC 27018, Microsoft, le premier important fournisseur de Cloud à intégrer ce code de conduite, démontre que ses procédures et stratégies de confidentialité sont solides et conformes à ses normes élevées.

  • Les clients des services cloud Microsoft savent à quel emplacement sont stockées leurs données. Du fait qu’ISO/IEC 27018 nécessite que des CSP certifiés informent les clients des pays dans lesquels leurs données peuvent être stockées, les clients des services cloud Microsoft disposeront de la visibilité nécessaire pour se conformer à toutes les règles de sécurité des informations en vigueur.
  • Les données client ne seront pas utilisées à des fins de marketing ou de publicité sans consentement explicite. Certains CSP utilisent des données client pour leurs propres fins commerciales, y compris pour la publicité ciblée. Du fait que Microsoft a adopté ISO/IEC 27018 pour ses services Enterprise Cloud concernés, les clients peuvent avoir la garantie que leurs données ne seront jamais utilisées à de telles fins sans leur consentement explicite et que ce consentement ne peut pas être une condition pour l’utilisation du service Cloud.
  • Les clients Microsoft savent ce qui se passe avec leurs PII. ISO/IEC 27018 nécessite une stratégie qui permette le retour, le transfert et l’élimination sécurisée d’informations personnelles dans un délai raisonnable. Si Microsoft travaille avec d’autres sociétés qui ont besoin d’accéder à vos données client, Microsoft divulgue proactivement les identités de ces sous-traitants.
  • Microsoft se conformera uniquement à des requêtes juridiquement contraignantes concernant la divulgation des données client. Si Microsoft doit se conformer à une telle requête, dans le cas par exemple d’une enquête criminelle, elle notifiera systématiquement le client, sauf si la loi lui interdit de le faire.

Découvrez les avantages d’ISO-Iec-27018 sur le Cloud Microsoft.

Téléchargez la fiche d’information sur la norme ISO/IEC 27017

Services cloud Microsoft dans le périmètre

  • Azure, Azure Government et Azure Allemagne liste détaillée
  • Cloud App Security
  • Services professionnels Microsoft : Premier et sur site pour Azure, Dynamics 365, Intune et pour les clients des entreprises moyennes et grandes d’Office 365
  • Dynamics 365 et Dynamics 365 U.S. Government liste détaillée
  • Génomique
  • Graphique
  • Health Bot
  • Intune
  • Service cloud Microsoft Flow, soit en service autonome, soit tel qu’inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Office 365, Office 365 U.S. Government et Office 365 U.S. Government Defense liste détaillée
  • Office 365 Allemagne
  • OMS Service Map
  • Service cloud Power Apps, soit en service autonome, soit tel qu’inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service cloud Power BI soit en service autonome, soit tel qu’inclus dans un plan ou une suite Office 365
  • Stream
  • Azure DevOps Services
  • Windows Defender ATP – Détection de point de terminaison et réponse, investigation et correction automatiques, degré de sécurisation

Audits, rapports et certificats

Développer tout

Les services cloud Microsoft et les services de support technique sont audités une fois par an pour le code de pratique ISO/IEC 27018 dans le cadre du processus de certification pour ISO/IEC 27001.

Présentation du code de pratique ISO/IEC 27018

L’Organisation internationale de normalisation ISO est une organisation non-gouvernementale indépendante et le plus grand développeur au monde de normes internationales volontaires. La famille de normes ISO/IEC 27000 aide les organisations de tout type et de toute taille à sécuriser des informations.

En 2014, l’ISO a adopté ISO/IEC I27018:2014, un addendum d’ISO/IEC 27001, premier code de conduite international pour la confidentialité du cloud. Basé sur les lois relatives à la protection des données de l’UE, il apporte des conseils spécifiques aux fournisseurs de services Cloud (CSP) qui servent de processeurs d’informations d’identification personnelle (PII) sur l’évaluation des risques et l’implémentation de contrôles à la pointe pour la protection des PII.

Évaluez votre degré de conformité au RGPD

Découvrez si votre entreprise répond aux exigences de protection des données personnelles. Répondez aux 10 questions de notre petite évaluation interactive et mesurez votre niveau actuel de conformité au RGPD.

Effectuez l’évaluation

Forum aux questions

Développer tout

Ce code de pratique s’applique aux CSP qui traitent des PII sous contrat pour d’autres organisations. Chez Microsoft, il s’applique aussi au support de ces CSP.

Dans le contexte d’ISO/IEC 27018 :

  • Les « responsables de traitement » vérifient la collection, l’exploitation, le traitement et l’utilisation d’informations personnelles. Ils incluent ceux qui se chargent du contrôle au nom d’une autre société.
  • Les « sous-traitants » traitent les informations au nom des contrôleurs. Ils ne prennent pas de décisions quant à la manière d’utiliser les informations ou quant aux fins du traitement. Microsoft, en tant que votre fournisseur, est un sous-traitant d’informations dans la fourniture de ses services Enterprise Cloud.
  • Vous pouvez également consulter les certificats ISO/IEC 27018 à partir de BSI pour Azure, Azure Germany, Support commercial et Power BI.
  • Vous pouvez également consulter les certificats ISO/IEC 27001 à partir de BSI sur lequel se base la certification ISO/IEC 27018 de Dynamics 365, Office 365 et Azure DevOps Services.
  • Pour consulter les rapports BSI, l’auditeur indépendant qui a validé la conformité de Microsoft avec la norme ISO/IEC 27018, visitez le Service Trust Portal.

Oui. Si vous devez obtenir la conformité avec ISO/IEC 27018 pour votre entreprise et certaines implémentations déployées sur les services Enterprise Cloud de Microsoft concernés, vous pouvez utiliser l’attestation de conformité de Microsoft pour la norme ISO/IEC 27018 ainsi que la certification de Microsoft pour la norme ISO/IEC 27001 dans votre évaluation de la conformité.

Il vous incombe néanmoins d’engager un évaluateur pour mesurer votre mise en œuvre de la conformité, ainsi que des contrôles et des processus au sein de votre propre organisation.