Qui peut accéder à vos données et à quelles conditions

Vous pouvez accéder à vos données client à tout moment. Cela étant, les services cloud d’entreprise de Microsoft prennent des mesures rigoureuses pour protéger vos données client contre tout accès non autorisé ou utilisation inappropriée.

Qui peut accéder à vos données

Les services cloud d’entreprise de Microsoft prennent des mesures rigoureuses pour protéger vos données client contre tout accès non autorisé ou utilisation inappropriée. Cela inclut un accès restreint pour le personnel et les sous-traitants de Microsoft, et une définition minutieuse des exigences à respecter pour répondre aux demandes de données client émanant d’organismes du secteur public. En revanche, vous pouvez accéder à vos propres données client à tout moment.

Accédez à vos données client à tout moment

Vous pouvez accéder à vos données à tout moment pendant la durée de votre abonnement Microsoft. Les abonnés Azure, Dynamics 365, Intune et Office 365 peuvent récupérer leurs données sans notification. Conservez vos données si vous mettez fin à votre abonnement.


Accès limité aux données client

Nous prenons des mesures rigoureuses pour protéger les données des clients contre tout accès non autorisé ou utilisation inappropriée par des personnes tant internes qu’externes, ainsi que pour empêcher les clients d’accéder aux données d’autres clients.

|

Les processus opérationnels qui régissent l’accès aux données client dans les services cloud d’entreprise Microsoft sont protégés par une authentification et des contrôles puissants qui s’inscrivent dans deux catégories : physique et logique.

L’accès aux installations des centres de données physiques est gardé par des périmètres extérieur et intérieur dont la sécurité s’accroît à chaque niveau, avec une clôture du périmètre, des agents de sécurité, des racks de serveurs verrouillés, un contrôle d’accès multifacteur, des systèmes d’alarmes intégrés et une surveillance permanente exercée par le centre d’opérations.

L’accès virtuel aux données client est restreint en fonction des besoins de l’entreprise par un contrôle d’accès en fonction du rôle (RBAC), une authentification multifacteur, une minimisation de l’accès permanent aux données de production ainsi que d’autres contrôles. L’accès aux données client est également journalisé de façon rigoureuse, et tant Microsoft que des tiers procèdent à des audits réguliers (ainsi qu’à des vérifications par échantillonnage) pour s’assurer que les différents accès sont appropriés.

En outre, Microsoft utilise un chiffrement pour protéger les données client et vous aider à en conserver le contrôle. Lorsque des données se déplacent sur un réseau (entre des appareils et des centres de données ou au sein-même de ceux-ci), les produits et services Microsoft utilisent des protocoles de transport sécurisés standard. Afin de protéger les données au repos, Microsoft propose un vaste éventail de fonctionnalités intégrées de chiffrement.

 

La plupart des services cloud d’entreprise de Microsoft sont mutualisés. Cela signifie que vos données, déploiements et machines virtuelles peuvent être stockés sur le même matériel physique que ceux d’autres clients. Microsoft utilise une isolation logique pour séparer le stockage et le traitement pour différents clients, s’appuyant sur une technologie spécialisée conçue pour veiller à ce que vos données client ne soient pas mélangées avec celles d’autres clients.

 

Les services cloud d’entreprise adossés à des certifications vérifiées par audit, telles qu’ISO 27001, font l’objet de contrôles réguliers réalisés par Microsoft et des cabinets de vérification agréés, qui procèdent à des vérifications par échantillonnage afin d’attester que les accès ont lieu exclusivement à fins commerciales légitimes.

Du personnel en charge des opérations et du support de Microsoft est présent dans le monde entier pour garantir une disponibilité ininterrompue. Nous avons automatisé la plupart de nos opérations de service afin que seul un petit nombre d’entre elles requièrent une intervention humaine.

 

Par défaut, les ingénieurs de Microsoft n’ont pas accès aux données client dans le cloud. Au lieu de cela, un accès leur est accordé sous la supervision de l’encadrement uniquement en cas de nécessité.

 

Le personnel de Microsoft n’utilise vos données client qu’à des fins compatibles avec la fourniture des services convenus par contrat, tels que le dépannage ou l’amélioration de fonctionnalités telles que la protection contre les programmes malveillants.

Les services cloud d’entreprise Microsoft traitent différentes catégories de données, dont des données client et des données à caractère personnel. Lorsque Microsoft fait appel à un tiers pour l’exécution de tâches susceptibles de nécessiter un accès à ces données, ce tiers est considéré comme un sous-traitant des données. Microsoft divulgue la liste de ces sous-traitants ci-dessous.

 

Les sous-traitants peuvent accéder aux données uniquement en vue d’assurer les fonctions destinées à épauler les services en ligne pour lesquels Microsoft a fait appel à eux, et n’ont pas le droit de les utiliser à d’autres fins. Ils sont tenus de préserver la confidentialité de ces données et contractuellement obligés de respecter certaines exigences rigoureuses en matière de confidentialité, équivalentes ou supérieures aux engagements contractuels de Microsoft vis-à-vis de ses clients conformément aux Termes des services en ligne. Ces mêmes sous-traitants doivent également satisfaire aux exigences du Règlement général sur la protection des données (RGPD) de l’UE, notamment en lien avec l’implémentation de mesures techniques et organisationnelles appropriées pour la protection des données à caractère personnel.

 

Microsoft exige de ses sous-traitants qu’ils adhèrent à son programme d’assurance de sécurité et de confidentialité des fournisseurs. Celui-ci vise à normaliser et à renforcer les pratiques de manipulation des données, tout en assurant la cohérence des systèmes et des processus des fournisseurs avec ceux de Microsoft.

 

Les sous-traitants qui ont accès à des données client et donc à des données à caractère personnel sont soumis à des exigences accrues. Les sous-traitants de données client doivent accepter les clauses contractuelles types de l’UE pour les services pour lesquels Microsoft propose ces clauses à ses clients.

 

Les sous-traitants peuvent avoir les attributions suivantes :

  • Sous-traitants fournissant des technologies dont dépendent certains services en ligne de base de Microsoft Un sous-traitant identifié pour un service spécifique peut traiter, stocker ou consulter des données client ou des données à caractère personnel dans le cadre de la fourniture dudit service.

  • Sous-traitants fournissant des services auxiliaires à l’appui de Microsoft Online Services Un sous-traitant peut traiter, stocker ou consulter des données client ou des données à caractère personnel dans le cadre de la fourniture de ses services auxiliaires.    

  • Sous-traitants fournissant du personnel contractuel Le personnel contractuel travaillant en étroite coordination avec des employés de Microsoft afin de contribuer au support, à l’exploitation et à la maintenance des Microsoft Online Services peut être en contact avec des données client ou des données à caractère personnel. Dans ce cas, les données client résident exclusivement dans des installations de Microsoft, sur des systèmes Microsoft, et sont soumises aux politiques et à la supervision de Microsoft. Par exemple, un sous-traitant effectuant un dépannage à distance de serveur Microsoft peut être en contact avec des extraits de données client dans le journal de vidage sur incident du serveur. Les activités de ces sous-traitants en lien avec les services en ligne sont soumises aux audits tiers applicables.

Les engagements contractuels de Microsoft envers ses clients définissent les données client comme étant toutes les données que les clients fournissent à Microsoft dans le cadre de l’utilisation de ses services cloud d’entreprise (voir Classement des données par Microsoft). Certaines données client sont des données à caractère personnel au sens que leur donne le RGPD. Microsoft traite également des données à caractère personnel générées ou collectées dans le cadre de l’exploitation des services en ligne, qui ne figurent pas dans des données client. La liste des sous-traitants des services en ligne de Microsoft a trait tant aux données clients qu’aux données à caractère personnel.

 

La liste des sous-traitants des services en ligne de Microsoft identifie les sous-traitants autorisés à sous-traiter des données clients ou des données à caractère personnel dans Microsoft Online Services. Cette liste s’applique à tous les Microsoft Online Services régis par les Termes des services en ligne pour lesquels Microsoft est responsable du traitement de données.

 

Microsoft publie le nom de tout nouveau sous-traitant de ses services en ligne de base au moins six mois avant qu’il soit autorisé à fournir des services susceptibles d’impliquer l’accès à des données client ou à des données à caractère personnel2.

 

Pour recevoir des notifications concernant les mises à jour de cette listes de sous-traitants, suivez les instructions relatives à la fonctionnalité Ma bibliothèque.

Demandes de données client émanant du secteur public

Microsoft veille à ce qu’il n’existe pas de « porte dérobée » et que le secteur public ne puisse pas accéder directement ou librement à vos données. Nous imposons des exigences spécifiques aux demandes d’accès aux données client émanant du secteur public.

Ressources supplémentaires relatives à l’accès aux données

Graphic icon of two rectangles stacked with a magnifying glass to represent data and privacy

Déclaration de confidentialité Microsoft Online Services

Découvrez la manière dont Microsoft traite les données à caractère personnel et à quelles fins.

Graphic icon with two rectangular shapes representing documents, the one in front with horizontal lines representing information

Contrat de licence Microsoft et documentation

Accédez aux termes du contrat de licence Microsoft ainsi qu’à des informations supplémentaires concernant l’utilisation des produits et services régis par les programmes de licence en volume de Microsoft.

Graphic icon representing a device screen with symbols representing data

Informations relatives à la collecte de données

Découvrez les différents types de données que nous collectons.

1 Les informations figurant sur cette page s’appliquent à Windows Defender - Protection avancée contre les menaces, mais pas à d’autres services Windows ou aux services Recherche Bing.
2 Remarque : pour plus d’informations sur le recours à des sous-traitants pour le traitement des données dans le cadre de la fourniture par Microsoft de services de support commercial ou d’autres services professionnels, dont les services en ligne, consultez la section Services professionnels Microsoft et fournisseurs du Centre de confidentialité.