Des hommes et des femmes dans une salle de réunion travaillant ensemble sur des tâches multiples

Microsoft Office 365

Garantissez la confidentialité des données, la conformité et la cybersécurité avec Office 365. Des fonctions intégrées qui prennent en charge la conformité avec le GDPR (règlement général de protection des données), le respect de la vie privée dès la conception et des opérations transparentes permettent de protéger les données de votre organisation.


Office 365 contribue à la confidentialité des données en vue d’assurer la conformité GDPR

Le processus de conformité avec le GDPR (Règlement général sur la protection des données) commence par une série d’étapes déterminées. Les informations fournies doivent permettre aux professionnels de la conformité et aux responsables de l’implémentation IT de comprendre en quoi Microsoft Office 365 peut vous aider à détecter, gérer et protéger vos données dans le Cloud et compiler les rapports nécessaires et la documentation pour répondre aux exigences du GDPR.

Des données personnelles sensibles peuvent figurer dans les e-mails, les documents, les tableurs, les notes et les bases de données locales et être enregistrées dans les comptes de stockage Cloud individuels. Il est donc important de restreindre l’accès à ces données pour préserver la vie privée des individus. Dès la conception, Office 365 a intégré la notion de confidentialité et Microsoft a établi des politiques robustes, des contrôles et des systèmes pour protéger les données personnelles à caractère privé.

La conformité est un processus continu qui suppose le partage des responsabilités. Microsoft investit dans des fonctionnalités supplémentaires pour aider les entreprises à atteindre leurs objectifs de conformité GDPR. Qui que vous soyez, responsable de la conformité, décideur susceptible de voir dans Office 365 une solution de productivité, administrateur d’Office 365 intéressé par la mise en place d’outils informatiques conformes au GDPR ou simplement désireux de découvrir les liens entre le GDPR et Office 365 (et ses produits associés), vous pouvez utiliser ces informations comme point de départ à votre démarche.

Quatre étapes essentielles sont à la base du processus de mise en conformité avec le GDPR et les produits et services de Microsoft Office 365 fournissent des solutions et des outils d’une extrême puissance pour pouvoir les aborder. Découvrez comment les produits et services de Microsoft peuvent vous aider à assurer la conformité GDPR.

En savoir plus sur les Responsabilités partagées pour le Cloud Computing.

En savoir plus sur les Premiers pas avec le Règlement Général sur la Protection des Données.

La première étape de la conformité au Règlement Général sur la Protection des données (GDPR) consiste à évaluer si le GDPR s’applique à votre organisation, et, si tel est le cas, quelles données sous votre contrôle sont soumises au GDPR. Cette analyse inclut notamment de comprendre quelles sont les données que vous possédez et où elles se situent. Adopter un système de classification qui s’applique à toute votre organisation vous aide à répondre aux demandes des personnes concernées, car il vous permet d’identifier et de traiter plus rapidement les demandes de données personnelles.

Microsoft Office 365 et les outils associés vous permettent d’identifier et de classer les données personnelles.

  • Utilisez la recherche de contenu pour rechercher et identifier les données personnelles à l’aide de mots clés, de propriétés de fichiers ou de modèles intégrés pertinents.
  • Utilisez Advanced eDiscovery, fonctionnalité basée sur des technologies d’apprentissage machine, pour effectuer des recherches plus efficaces.
  • Utilisez Office 365 Advanced Data Gouvernance (ADG), parallèlement à la recherche de contenu, pour identifier, classer et gérer les données personnelles, et définir et mettre en œuvre des règles de rétention pour les données personnelles à travers les différents environnements Office 365.
  • Utilisez les stratégies Office 365 Data Loss Prevention (DLP) pour identifier les données personnelles lorsqu’elles transitent par Exchange Online, SharePoint Online et OneDrive Entreprise. Utilisez des stratégies de prévention de perte de données (DLP) pour classer les données personnelles dans SharePoint Online, OneDrive Entreprise, Outlook, Outlook Web Access et Office 365 Groups.

Le Règlement Général sur la Protection des Données donne aux sujets des données (les individus auxquels ces données se réfèrent) un contrôle accru sur la collecte et l’utilisation de leurs données personnelles. Microsoft Office 365 permet aux processus et pratiques de gouvernance des données qui utilisent plusieurs outils vous permettant de gérer les données personnelles, de garder ces données sécurisées et confidentielles.

Microsoft Office 365 et les outils associés qui vous aident à gérer les données personnelles incluent :

  • Advanced Data gouvernance. Utilisez cet outil pour gérer les données personnelles avec des recommandations stratégiques proactives et des classifications automatiques de données qui vous permettent d’agir sur les alertes système pour signaler les risques, et de filtrer et migrer des données vers Office 365.
  • Étiquettes. Utilisez les étiquettes pour classer les données personnelles de l’ensemble de l’organisation en vue de leur gouvernance, et pour appliquer les stratégies de rétention basées sur cette classification.
  • Information Rights Management. Utilisez cette technologie pour empêcher les personnes non autorisées d’accéder aux données personnelles dans Office 365.
  • eDiscovery et Advanced eDiscovery. Utilisez ces outils pour gérer les incidents e-Discovery dans votre organisation.
  • PowerShell. Utilisez cette ligne de commande shell et le langage de script pour désactiver l’accès aux services cible pour les personnes concernées en vue d’éviter tout traitement de leurs données personnelles.
  • SharePoint Online. Utilisez SharePoint Online pour suivre et gérer manuellement les demandes relatives aux droits des personnes concernées.
  • Règles de flux de messagerie Exchange Online. Utilisez des règles de flux de messagerie pour router les messages vers les boîtes aux lettres spécifiques afin d’établir un processus client personnalisé pour recevoir, gérer et répondre aux demandes relatives aux droits des personnes concernées.
  • PowerShell pour le centre d’administration Office 365. Utilisez cet outil pour rectifier les données personnelles inexactes ou incomplètes et effacer les données personnelles sur demande.
  • Advanced eDiscovery, PowerShell et Exchange Online. Utilisez ces outils pour exporter les données personnelles à fournir aux personnes concernées dans un format courant et structuré.
  • Stratégies de protection contre la perte de données (DLP) Office 365. Utilisez ces stratégies pour fixer des limites relatives au traitement des données personnelles des personnes concernées spécifiques et utilisez PowerShell pour identifier et établir des restrictions sur les fichiers qui correspondent à des types de données personnelles spécifiques ou à des requêtes par mots clés.

La gestion de l’accès et le contrôle de l’utilisation et de l’accessibilité des données personnelles sont fondamentales pour la conformité GDPR. Les services Office 365 offrent des fonctionnalités de gestion depuis le Cloud pour vous aider à répondre aux exigences en matière de gouvernance des données.

Le GDPR exige que les organisations intègrent des principes de confidentialité et de protection des données à leurs produits et services. Pour soutenir les clients dans leur volonté de protéger leurs données personnelles sensibles, des solutions Microsoft Office 365 sont mises au point à l’aide de Microsoft Secure Development Lifecycle, qui définit les principes de confidentialité et les fonctionnalités de confidentialité standard influençant le développement de produits, et qui intègre les méthodologies de confidentialité par design et par défaut.

Microsoft Office 365 et les outils associés vous permettent de protéger les données personnelles de la manière suivante :

  • Réglez les paramètres de confidentialité dans Word, Excel et PowerPoint pour limiter la connexion au Web des applications Office, faire apparaître le balisage caché, et identifier et supprimer les données personnelles des documents à l’aide deDocument Inspector.
  • Limitez l’accès aux fichiers ou dossiers partagés dans OneDrive Entreprise et gérez les personnes pouvant visualiser ou modifier les fichiers.
  • Utilisez cette option pour chiffrer les documents Word, Excel et PowerPoint avec une protection par mot de passe.
  • Utilisez Azure Information Protection pour le chiffrement et la gestion des droits.
  • Utilisez l’option de chiffrement lors du service d’importation PST.
  • Chiffrez les messages lors du transfert de données personnelles à des tiers par e-mail avec Office 365 Message Encryption (OME).
  • Utilisez Threat Intelligence pour favoriser de manière proactive la détection des menaces avancées et la protection contre ces menaces dans Office 365.
  • Protégez vos messages électroniques des attaques de logiciels malveillants inconnus et sophistiqués en temps réel à l’aide de Advanced Threat Protection pour Exchange Online (qui requiert un abonnement Office 365 E5).
  • Décelez les cas d’utilisation anormale et à haut risque en recevant des alertes aux violations éventuelles, qui vous permettent de les suivre et de répondre aux actions à haut risque avec Advanced Security Management.
  • Surveillez et collectez toute l’activité se produisant au sein de votre locataire à l’aide de l’API d’activité de gestion.

Par défaut, les données personnelles en transit et au repos sont chiffrées dans Exchange Online, OneDrive Entreprise, SharePoint Online et Skype Entreprise (données vocales de Skype à Skype, vidéos, transferts de fichiers et messages instantanés). Pour renforcer la protection des données personnelles, Office 365 utilise l’analyse anti-programme malveillant par plusieurs moteurs afin de protéger les messages entrants, sortants et internes contre les logiciels malveillants transmis par courrier électronique. Par défaut, Exchange Online utilise également le protocole TLS (Transport Layer Security) pour chiffrer les communications entre les serveurs Exchange Online et Office 365 et entre les clients Exchange Online.

Microsoft utilise des contrôles de sécurité au niveau des plateformes pour contribuer à la confidentialité, à l’intégrité et à la disponibilité des données client, notamment les contrôles physiques et logiques, et les pratiques en matière d’accès aux données. Tous les accès aux données client sont surveillés, enregistrés, contrôlés et examinés par Microsoft. Concernant les atteintes à la sécurité des données sur les systèmes régis par Microsoft, ce dernier possède un processus de notification et de gestion des réponses aux incidents de sécurité pour Office 365.

La conformité d’Office 365 à de nombreuses normes internationales en matière de sécurité des données confidentielles et des réseaux est auditée au moins une fois par an, notamment les normes ISO/IEC 27001 et 27018. Microsoft teste régulièrement les mesures de sécurité d’Office 365 à l’aide de tests d’intrusion tiers et d’audits de sécurité, ainsi que d’évaluations conformes aux normes du secteur. Microsoft exécute également le programme Online Services Bug Bountyet offre aux utilisateurs des environnements de développement et de test.

Le Règlement Général sur la Protection des Données définit de nouvelles normes en matière de transparence, de responsabilité et de tenue des dossiers. Les entreprises qui traitent des données personnelles devront tenir des registres détaillés pour être en conformité.

Microsoft Office 365 offre des outils qui permettent de mieux répondre aux exigences en matière de rapport de données.

  • Utilisez le journal d’audit unifié pour suivre et enregistrer les activités de traitement au sein de l’environnement Office 365 et enregistrer la résolution des demandes relatives aux droits des personnes concernées et des journaux d’événements associés à la modification, à la suppression ou au transfert des données personnelles, et pour fournir un aperçu des données transférées à des tiers par courrier électronique ou partagées à l’aide de SharePoint Online et OneDrive Entreprise.
  • Utilisez le suivi des échanges de messages pour déterminer le destinataire d’un courrier électronique et si celui-ci a été reçu, rejeté, différé ou livré.
  • Utilisez l’API d’activité de gestion Office 365 pour identifier les activités de partage entre utilisateurs dans Exchange Online et SharePoint Online.

Le GDPR exige de suivre et d’enregistrer les flux de données personnelles à destination et en provenance de l’Union Européenne, et les flux de données personnelles vers des fournisseurs de services tiers. Pour vous aider à suivre et à enregistrer les flux de données personnelles à destination et en provenance de l’Union Européenne, et pour réduire les risques pour ses clients dus aux transferts de données non nécessaires entre les pays, Microsoft dispose d’une stratégie de datacenters régionaux pour les produits Office 365.

Microsoft limite également l’accès des sous-traitants tiers aux données personnelles et divulgue les noms des fournisseurs de services tiers qui ont accès aux données client via la liste des sous-traitants des services en ligne Microsoft et la liste des sous-traitants du support commercial Microsoft.

Pour aider les clients qui souhaitent obtenir des informations pouvant faciliter l’évaluation de l’impact sur la protection des données (DPIA) relative à leur utilisation d’Office 365, Microsoft fournit des informations détaillées concernant le traitement des données client et les mesures de sécurité utilisées pour protéger ces données. Ces informations sont disponibles via Microsoft Trust Center.

Découvrir Office 365

Obtenez un abonnement d’essai gratuit à Office 365, la solution de productivité et de communication de Cloud la plus complète et la plus sécurisée du secteur.