Se préparer à entrer dans une nouvelle ère en matière de réglementation sur la confidentialité des données avec Microsoft Cloud

Microsoft bénéficie d’une grande expertise en matière de protection des données, de défense de la vie privée et de respect des réglementations, aussi complexes soient-elles. Microsoft adhère à un ensemble de principes de confidentialité et permet à tous ses clients de bénéficier des clauses contractuelles types de l’Union européenne. Nous pensons que le Règlement général sur la protection des données (RGPD) est une étape importante pour clarifier et appliquer les droits individuels en matière de protection de la vie privée.

À l’approche de la date d’entrée en vigueur du RGPD, votre organisation va probablement bientôt devoir démontrer qu’elle a pris les mesures appropriées pour protéger les données personnelles de ses clients et se conformer aux audits réglementaires et autres demandes d’informations.

L’implémentation de contrôles de sécurité appropriés est une étape clé pour démontrer que vous assumez vos responsabilités. Pour vous mettre en conformité avec le RGPD et gagner la confiance de vos clients, vous devez également mettre en place les processus adéquats, afin de répondre aux demandes des personnes concernées (ou DSR – Data Subject Requests) et de fournir des notifications en cas de violation de la sécurité, notamment.

Nous annonçons aujourd’hui la mise à disposition de différentes ressources et fonctionnalités inédites qui vous permettront de vous conformer aux obligations du RGPD à l’aide de Microsoft Cloud. Ces mises à jour incluent ce qui suit :

• Préversion publique de nouvelles ressources en matière de protection des données personnelles dans Microsoft Cloud
• Nouvelles fonctionnalités facilitant le traitement des DSR sur les services de cloud computing Microsoft pour la mise en conformité avec le RGPD
• Nouvelles fonctionnalités de gestion des accès privilégiés vérifiables dans Office 365
• Possibilité d’étendre un locataire Office 365 à plusieurs centres de données Office 365 répartis sur des zones géographiques différentes

Lisez la suite pour plus de détails sur ces mises à jour et pour découvrir les autres mises à jour.

Honorez plus facilement vos obligations vis-à-vis du RGPD à l’aide du Portail d’approbation de services

Pour vous permettre de vous conformer au RGPD, nous annonçons aujourd’hui la mise à disposition d’une préversion publique de nouveaux outils et ressources pour Office 365, Dynamics 365, Azure, Windows, Intune et Services professionnels, qui vous aideront notamment à répondre aux DSR et à fournir des notifications en cas de violation de données à partir du Portail d’approbation de services.

Les ressources RGPD incluent une documentation sur les notifications de violation de données, qui décrit quand et comment Microsoft avertira ses clients en cas de violations de données personnelles, quelles informations Microsoft fournira, et les outils que vous pourrez utiliser pour veiller à ce que les membres adéquats de votre organisation reçoivent ces notifications.

Nous avons centralisé toutes nos ressources DSR sur une seule page, qui présente les outils que vous pourrez utiliser dans le Centre de sécurité et conformité Office 365, ainsi que les documents qui vous guideront tout au long du processus de localisation, d’exportation et d’effacement des données d’un service de cloud computing Microsoft.

Pour en savoir plus, reportez-vous aux ressources de protection des données personnelles du Portail d’approbation de services.

Répondre aux DSR sur les services de cloud computing Microsoft

Pour vous permettre de répondre aux DSR sur les services de cloud computing Microsoft, nous implémentons actuellement différentes fonctionnalités, telles qu’un onglet Confidentialité des données dans Office 365, un portail DSR Azure, et de nouvelles fonctionnalités de recherche de DSR dans Dynamics 365.

• Onglet Confidentialité des données d’Office 365 : pour vous aider à gérer efficacement les DSR liées à Office 365, nous avons ajouté un onglet Confidentialité des données (en préversion) au Centre de sécurité et conformité Office 365. Sous l’onglet Confidentialité des données, vous trouverez une section dédiée au RGPD, incluant de la documentation et des ressources qui vous aideront à vous mettre en conformité avec le RGPD, ainsi qu’un onglet dédié à l’exécution d’une DSR.

La nouvelle expérience DSR a été conçue afin de vous fournir des outils qui vous permettront de créer un cas pour toute demande de personne concernée, de rechercher et d’afficher des données pertinentes à différents emplacements d’Office 365 (comme Exchange, SharePoint, OneDrive, Groupes, et désormais Microsoft Teams), et d’exporter les données.

Une organisation peut rencontrer différents types de scénarios DSR. Par exemple, lorsqu’un employé quitte l’entreprise, il peut demander à ce que ses données lui soient restituées. Pour répondre à une telle demande, la fonctionnalité de conservation basée sur les événements de la Gouvernance des données avancée est désormais accessible à tous les clients d’Office 365 E5.

Apprenez-en davantage sur l’onglet Confidentialité des données d’Office 365 et la conservation basée sur les événements dans la Gouvernance des données avancée sur le blog Microsoft Tech Community.

Pour en savoir plus sur le fonctionnement de l’expérience DSR dans Office 365, visionnez la vidéo Mechanics suivante :

 

• Portail DSR Azure : nous comptons déployer une fonctionnalité permettant de traiter les DSR Azure avant le 25 mai 2018, date d’entrée en vigueur du RGPD. Les administrateurs de locataires Azure disposeront d’un outil simple et performant qui leur permettra de traiter rapidement les DSR dans le cadre du RGPD. Grâce au portail DSR Azure, les administrateurs de locataires pourront identifier les informations associées à un utilisateur, puis corriger, modifier, supprimer ou exporter les données de cet utilisateur. Les administrateurs pourront également identifier les informations associées à une DSR et exécuter celle-ci à partir des journaux générés par le système (données générées par Microsoft pour fournir un service spécifique).

Portail DSR Azure pour faciliter le traitement d’une DSR.

Pour en savoir plus, reportez-vous au blog Azure.

• Fonctionnalités de recherche de DSR de Dynamics 365 : pour aider les clients à répondre aux DSR dans Dynamics 365, nous fournissons deux nouvelles fonctionnalités de recherche : la recherche par pertinence et le rapport de recherche sur une personne. Basée sur le service Recherche Azure, la recherche par pertinence vous permet de trouver rapidement et facilement ce que vous recherchez. Le rapport de recherche sur une personne offre un ensemble prédéfini d’entités extensibles, créées par Microsoft, afin d’identifier les données personnelles utilisées pour définir une personne et les rôles qui lui ont éventuellement été attribués.

Gérer les violations de données dans le respect du nouveau RGPD

Pour se conformer au RGPD, les organisations doivent répondre à des exigences plus strictes en cas de violations de données. Cela inclut l’envoi de notifications aux régulateurs et aux personnes concernées par la violation, généralement dans les 72 heures qui suivent la découverte de la violation en question. Microsoft 365 fournit un ensemble de fonctionnalités robustes qui peuvent contribuer à prévenir les violations de données, à les détecter et à y répondre. Par exemple, Office 365 – Protection avancée contre les menaces protège l’écosystème Office 365 d’une organisation en empêchant des fichiers professionnels critiques ou e-mails malveillants de compromettre un compte d’utilisateur. Windows Defender – Protection avancée contre les menaces (ATP) empêche des programmes malveillants ou des fichiers basés sur le web de corrompre un compte d’utilisateur.

Pièces jointes fiables ATP bloquant une pièce jointe malveillante.

Si Microsoft identifie une violation de données personnelles, telle que définie par le RGPD, une notification est envoyée à l’administrateur de votre locataire. En outre, nous vous recommandons de désigner un alias de contact chargé de la confidentialité dans Azure Active Directory pour alerter celui-ci en plus des administrateurs.

Recueillir, traiter et vérifier le consentement des utilisateurs avec Azure Active Directory

Dans le cadre du RGPD, les entreprises doivent désormais traiter le consentement des utilisateurs et créer des rapports vérifiables. Avec les conditions d’utilisation d’Azure Active Directory, les organisations peuvent facilement recueillir, traiter et vérifier le consentement des utilisateurs. Vous pouvez demander à un utilisateur de lire et d’accepter les conditions d’utilisation de votre organisation avant de les autoriser à accéder à une application. ​Tout type de document conforme aux stratégies professionnelles ou légales de votre entreprise peut faire office de conditions d’utilisation.

Exemple de conditions d’utilisation Azure Active Directory en plusieurs langues.

Pour en savoir plus, reportez-vous à la documentation consacrée aux conditions d’utilisation d’Azure Active Directory.

Tirer parti de contrôles vérifiables pour l’accès administratif privilégié

En cherchant à minimiser les risques de violation de données sur les comptes privilégiés, les organisations se voient également contraintes de répondre aux demandes des régulateurs et de fournir une trace documentaire de l’accès privilégié exposant les grandes lignes du scénario d’accès aux données d’un client. Pour aider les organisations à protéger leurs données tout en se conformant à ces obligations, nous mettons aujourd’hui à disposition de nos clients Microsoft 365 de nouvelles fonctionnalités de gestion des accès privilégiés. Celles-ci fournissent des contrôles d’accès vérifiables et limités dans le temps qui peuvent limiter le champ d’accès aux données.

La gestion des accès privilégiés d’Office 365 vous permet de mieux protéger vos données en suivant ou mettant en place un workflow d’approbation inclus dans vos tâches à haut risque dans Office 365. Par exemple, des privilèges administratifs élargis permettent aux administrateurs d’exécuter des tâches susceptibles de fournir un accès illimité aux données organisationnelles, comme une règle de journal, qui peut envoyer des e-mails à une boîte aux lettres externe et exfiltrer les données sensibles non détectées. La gestion des accès privilégiés d’Office 365 vous permet d’appliquer des stratégies qui exigent une approbation avant que quiconque puisse exécuter ces tâches à haut risque. Les demandes d’accès peuvent être approuvées automatiquement ou manuellement, et l’ensemble de l’activité est consignée et vérifiable. Pour en savoir plus, visionnez la vidéo suivante :

Nous avons le plaisir de déployer la préversion publique de la fonctionnalité de gestion des accès privilégiés dans Office 365. Pour commencer, visitez la page Office Previews (entrez le code PAM044), puis consultez le billet du blog Microsoft Tech Community.

Répondre aux exigences en matière de résidence globale des données

Sous l’impulsion des gouvernements ou de régulateurs tiers, et pour répondre aux exigences de mise en conformité des entreprises, de nouvelles directives sont sans cesse mise en place en matière de résidence des données afin de répondre aux problèmes de confidentialité. Ces directives restreignent la libre circulation des informations entre les pays et exigent que les données d’une organisation soient stockées au sein de zones géographiques définies. Le RGPD ne comporte aucune obligation en matière de résidence des données, mais beaucoup de nos clients ont besoin de flexibilité pour stocker leurs données dans les zones géographiques choisies afin de se conformer aux exigences régionales, sectorielles ou organisationnelles relatives à la résidence des données.

Les fonctionnalités multigéographiques permettent à un locataire Office 365 de s’étendre sur des centres de données Office 365 répartis sur différentes zones géographiques et donnent aux clients la possibilité de stocker leurs données Office 365 au repos, par employé, dans les zones géographiques de leur choix. Des fonctionnalités multigéographiques ont été lancées pour Exchange Online et OneDrive Entreprise. Pour plus d’informations, voir Get Global data location controls with Multi-Geo Capabilities in Office 365 (Contrôler les emplacements de données globaux avec les fonctionnalités multigéographiques d’Office 365).

Entamez dès aujourd’hui votre mise en conformité avec le RGPD à l’aide de Microsoft Cloud

Quels que soient vos besoins, nous sommes là pour vous aider à vous mettre en conformité avec le RGPD grâce à différentes ressources :

• Téléchargez notre livre blanc gratuit et notre e-book.
• Effectuez notre évaluation RGPD gratuite en ligne.

Apprenez-en davantage sur la façon dont Microsoft peut vous aider à vous préparer au RGPD.

— Alym Rayani, responsable Microsoft 365