Accédez à vos données selon vos conditions

Les processus opérationnels qui régissent l’accès aux données client dans les services cloud d’entreprise Microsoft sont protégés par une authentification et des contrôles puissants qui s’inscrivent dans deux catégories : physique et logique.

L’accès aux installations des centres de données physiques est gardé par des périmètres extérieur et intérieur dont la sécurité s’accroît à chaque niveau, avec une clôture du périmètre, des agents de sécurité, des racks de serveurs verrouillés, un contrôle d’accès multifacteur, des systèmes d’alarmes intégrés et une surveillance permanente exercée par le centre d’opérations.

L’accès virtuel aux données client est restreint en fonction des besoins de l’entreprise par un contrôle d’accès en fonction du rôle (RBAC), une authentification multifacteur, une minimisation de l’accès permanent aux données de production ainsi que d’autres contrôles. L’accès aux données client est également journalisé de façon rigoureuse, et tant Microsoft que des tiers procèdent à des audits réguliers (ainsi qu’à des vérifications par échantillonnage) pour s’assurer que les différents accès sont appropriés.

Les produits et services Microsoft utilisent des protocoles de transport sécurisés standard lorsque les données circulent sur un réseau, entre les appareils des utilisateurs et les centres de données Microsoft ou au sein des centres de données eux-mêmes. Afin de protéger les données au repos, Microsoft propose un vaste éventail de fonctionnalités intégrées de chiffrement.

La plupart des services cloud d’entreprise de Microsoft sont mutualisés. Cela signifie que vos données, déploiements et machines virtuelles peuvent être stockés sur le même matériel physique que ceux d’autres clients. Microsoft utilise l’isolation logique pour séparer le stockage et le traitement pour différents clients par le biais d’une technologie spécialisée conçue pour garantir que vos données ne sont pas combinées avec d’autres utilisateurs.

Les services cloud d’entreprise adossés à des certifications vérifiées par audit, telles qu’ISO 27001, font l’objet de contrôles réguliers réalisés par Microsoft et des cabinets de vérification agréés, qui procèdent à des vérifications par échantillonnage afin d’attester que les accès ont lieu exclusivement à fins commerciales légitimes.

Le personnel des opérations et du support Microsoft est disponible 24 heures sur 24, 365 jours par an dans le monde entier. La majorité de nos opérations de service sont automatisées afin que seul un petit ensemble nécessite une interaction humaine.

Les ingénieurs Microsoft n’ont pas d’accès par défaut aux données client du cloud. Au lieu de cela, un accès leur est accordé sous la supervision de l’encadrement uniquement en cas de nécessité.

Le personnel de Microsoft n'utilisera les données des clients qu'à des fins compatibles avec la fourniture des services contractuels, comme le dépannage et l'amélioration de fonctions telles que la protection contre les logiciels malveillants.

• Les technologies cloud intégrées aux services en ligne de Microsoft et aux fonctions cloud de Microsoft : Les sous-traitants peuvent traiter, stocker ou accéder d'une autre manière aux données des clients et aux données à caractère personnel (constituées d'identifiants personnels pseudonymisés) dans le cadre de la fourniture de ce service.
  
• Fourniture de services connexes : Les sous-traitants aident à prendre en charge, exploiter et gérer Microsoft Online Services. Dans ce cas, le ou les sous-traitants peuvent traiter, stocker ou accéder aux données client et personnelles (composées d’identificateurs personnels pseudonymisés) tout en fournissant des services auxiliaires.
• Fournir du personnel de contrat : Le personnel contractuel travaille en étroite collaboration avec les employés de Microsoft pour exploiter, fournir et maintenir les services en ligne de Microsoft. Dans ce cas, le personnel de contrat peut traiter les données client ou personnelles (composées d’identificateurs personnels pseudonymisés) pour le compte de Microsoft. Dans tous ces cas, les données résident uniquement sur les systèmes Microsoft et sont soumises aux stratégies et à la surveillance de Microsoft. Les activités de traitement de ces employés de contrat au sein de Microsoft Online Services sont soumises à des audits indépendants que Microsoft effectue chaque année.

Microsoft définit les données client comme toutes les données fournies par le client à Microsoft par le biais de leur utilisation de nos services cloud d’entreprise (voir comment Microsoft classe les données). Certaines données client sont des données à caractère personnel au sens que leur donne le RGPD. Microsoft traite également certaines données personnelles générées ou collectées par le biais du fonctionnement de services en ligne non contenues dans les données client.

Laliste des sous-traitants ultérieurs de Microsoft Online Services identifie les sous-traitants ultérieurs autorisés à sous-traiter des données clients ou des données à caractère personnel dans Microsoft Online Services. Cette liste s’applique à tous les services Microsoft Online Services régis par l’addendum de protection des données Microsoft.

Microsoft publie le nom de tout nouveau sous-traitant ultérieur de ses services en ligne de base au moins six mois avant qu’il soit autorisé à fournir des services susceptibles d’impliquer l’accès à des données client ou à des données à caractère personnel¹

Pour recevoir des notifications concernant les mises à jour de cette listes de sous-traitants ultérieurs, suivez les instructions relatives à la fonctionnalité Ma bibliothèque .