Qui peut accéder à vos données et à quelles conditions

Vous pouvez accéder à vos données client à tout moment. Cela étant, les services cloud d’entreprise de Microsoft prennent des mesures rigoureuses pour protéger vos données client contre tout accès non autorisé ou utilisation inappropriée.

Qui peut accéder à vos données

Les services cloud d’entreprise de Microsoft prennent des mesures rigoureuses pour protéger vos données client contre tout accès non autorisé ou utilisation inappropriée. Cela inclut un accès restreint pour le personnel et les sous-traitants de Microsoft, et une définition minutieuse des exigences à respecter pour répondre aux demandes de données client émanant d’organismes du secteur public. En revanche, vous pouvez accéder à vos propres données client à tout moment.

Accédez à vos données client à tout moment

Vous pouvez accéder à vos données à tout moment pendant la durée de votre abonnement Microsoft. Les abonnés Azure, Dynamics 365, Intune et Office 365 peuvent récupérer leurs données sans notification. Conservez vos données si vous mettez fin à votre abonnement.

Accès limité aux données client

Nous prenons des mesures rigoureuses pour protéger les données des clients contre tout accès non autorisé ou utilisation inappropriée par des personnes tant internes qu’externes, ainsi que pour empêcher les clients d’accéder aux données d’autres clients.

Comment Microsoft traite-t-elle vos données dans le cloud ?

Assurer la sécurité lors du traitement des données client stockées et partagées dans les services cloud de Microsoft est au cœur de nos priorités. Ce document aborde les questions courantes liées à la sécurité, à la confidentialité et à la conformité quant à la manière dont Microsoft traite les données que vous partagez et stockez à l’aide des services cloud de Microsoft, notamment l’utilisation de tiers.

Lisez le livre blanc
|

Les processus opérationnels qui régissent l’accès aux données client dans les services cloud d’entreprise Microsoft sont protégés par une authentification et des contrôles puissants qui s’inscrivent dans deux catégories : physique et logique.

L’accès aux installations des centres de données physiques est gardé par des périmètres extérieur et intérieur dont la sécurité s’accroît à chaque niveau, avec une clôture du périmètre, des agents de sécurité, des racks de serveurs verrouillés, un contrôle d’accès multifacteur, des systèmes d’alarmes intégrés et une surveillance permanente exercée par le centre d’opérations.

L’accès virtuel aux données client est restreint en fonction des besoins de l’entreprise par un contrôle d’accès en fonction du rôle (RBAC), une authentification multifacteur, une minimisation de l’accès permanent aux données de production ainsi que d’autres contrôles. L’accès aux données client est également journalisé de façon rigoureuse, et tant Microsoft que des tiers procèdent à des audits réguliers (ainsi qu’à des vérifications par échantillonnage) pour s’assurer que les différents accès sont appropriés.

En outre, Microsoft utilise un chiffrement pour protéger les données client et vous aider à en conserver le contrôle. Lorsque des données se déplacent sur un réseau (entre des appareils et des centres de données ou au sein-même de ceux-ci), les produits et services Microsoft utilisent des protocoles de transport sécurisés standard. Afin de protéger les données au repos, Microsoft propose un vaste éventail de fonctionnalités intégrées de chiffrement.

 

La plupart des services cloud d’entreprise de Microsoft sont mutualisés. Cela signifie que vos données, déploiements et machines virtuelles peuvent être stockés sur le même matériel physique que ceux d’autres clients. Microsoft utilise une isolation logique pour séparer le stockage et le traitement pour différents clients, s’appuyant sur une technologie spécialisée conçue pour veiller à ce que vos données client ne soient pas mélangées avec celles d’autres clients.

 

Les services cloud d’entreprise adossés à des certifications vérifiées par audit, telles qu’ISO 27001, font l’objet de contrôles réguliers réalisés par Microsoft et des cabinets de vérification agréés, qui procèdent à des vérifications par échantillonnage afin d’attester que les accès ont lieu exclusivement à fins commerciales légitimes.

Du personnel en charge des opérations et du support de Microsoft est présent dans le monde entier pour garantir une disponibilité ininterrompue. Nous avons automatisé la plupart de nos opérations de service afin que seul un petit nombre d’entre elles requièrent une intervention humaine.

 

Par défaut, les ingénieurs de Microsoft n’ont pas accès aux données client dans le cloud. Au lieu de cela, un accès leur est accordé sous la supervision de l’encadrement uniquement en cas de nécessité.

 

Le personnel de Microsoft n’utilise vos données client qu’à des fins compatibles avec la fourniture des services convenus par contrat, tels que le dépannage ou l’amélioration de fonctionnalités telles que la protection contre les programmes malveillants.

Les services cloud d’entreprise Microsoft traitent différentes catégories de données, dont des données client et des données à caractère personnel. Lorsque Microsoft fait appel à un tiers pour l’exécution de tâches susceptibles de nécessiter un accès à ces données, ce tiers est considéré comme un sous-traitant ultérieur. Microsoft divulgue la liste de ces sous-traitants ultérieurs ci-dessous.

 

Les sous-traitants ultérieurs peuvent accéder aux données uniquement en vue d’assurer les fonctions destinées à épauler les services en ligne pour lesquels Microsoft a fait appel à eux, et n’ont pas le droit de les utiliser à d’autres fins. Ils sont tenus de préserver la confidentialité de ces données et contractuellement obligés de respecter certaines exigences rigoureuses en matière de confidentialité, équivalentes ou supérieures aux engagements contractuels de Microsoft vis-à-vis de ses clients conformément à l’Addendum relatif à la protection des données de Microsoft (incorporé par renvoi dans les Conditions relatives aux produits Microsoft). Ces mêmes sous-traitants ultérieurs doivent également satisfaire aux exigences du Règlement général sur la protection des données (RGPD) de l’UE, notamment en lien avec l’implémentation de mesures techniques et organisationnelles appropriées pour la protection des données à caractère personnel.

 

Microsoft exige de ses sous-traitants ultérieurs qu’ils adhèrent à son programme d’assurance de sécurité et de confidentialité des fournisseurs. Celui-ci vise à normaliser et à renforcer les pratiques de manipulation des données, tout en assurant la cohérence des systèmes et des processus des fournisseurs avec ceux de Microsoft.

 

Les sous-traitants ultérieurs qui ont accès à des données client et donc à des données à caractère personnel sont soumis à des exigences accrues. Les sous-traitants ultérieurs de données client doivent accepter les clauses contractuelles types de l’UE pour les services pour lesquels Microsoft propose ces clauses à ses clients.

 

Les sous-traitants ultérieurs peuvent avoir les attributions suivantes :

  • Sous-traitants ultérieurs fournissant des technologies dont dépendent certains services en ligne de base de Microsoft Un sous-traitant ultérieur identifié pour un service spécifique peut traiter, stocker ou consulter des données client ou des données à caractère personnel dans le cadre de la fourniture dudit service.

  • Sous-traitants ultérieurs fournissant des services auxiliaires à l’appui de Microsoft Online Services Un sous-traitant ultérieur peut traiter, stocker ou consulter des données client ou des données à caractère personnel dans le cadre de la fourniture de ses services auxiliaires. 

  • Sous-traitants ultérieurs fournissant du personnel contractuel Le personnel contractuel travaillant en étroite coordination avec des employés de Microsoft afin de contribuer au support, à l’exploitation et à la maintenance des Microsoft Online Services peut être en contact avec des données client ou des données à caractère personnel. Dans ce cas, les données client résident exclusivement dans des installations de Microsoft, sur des systèmes Microsoft, et sont soumises aux politiques et à la supervision de Microsoft. Les activités de ces sous-traitants ultérieurs en lien avec les services en ligne sont soumises aux audits tiers applicables.

Les engagements contractuels de Microsoft envers ses clients définissent les données client comme étant toutes les données que les clients fournissent à Microsoft dans le cadre de l’utilisation de ses services cloud d’entreprise (voir Classement des données par Microsoft). Certaines données client sont des données à caractère personnel au sens que leur donne le RGPD. Microsoft traite également des données à caractère personnel générées ou collectées dans le cadre de l’exploitation des services en ligne, qui ne figurent pas dans des données client. La liste des sous-traitants ultérieurs des services en ligne de Microsoft a trait tant aux données clients qu’aux données à caractère personnel.

 

La liste des sous-traitants ultérieurs de Microsoft Online Services identifie les sous-traitants ultérieurs autorisés à sous-traiter des données clients ou des données à caractère personnel dans Microsoft Online Services. Cette liste s’applique à tous les services Microsoft Online Services régis par l’Addendum relatif à la protection des données de Microsoft (incorporé par renvoi dans les Conditions relatives aux produits Microsoft) pour lesquels Microsoft est sous-traitant de données.

 

Microsoft publie le nom de tout nouveau sous-traitant ultérieur de ses services en ligne de base au moins six mois avant qu’il soit autorisé à fournir des services susceptibles d’impliquer l’accès à des données client ou à des données à caractère personnel2.

 

Pour recevoir des notifications concernant les mises à jour de cette listes de sous-traitants ultérieurs, suivez les instructions relatives à la fonctionnalité Ma bibliothèque.

Demandes de données client émanant du secteur public

Microsoft veille à ce qu’il n’existe pas de « porte dérobée » et que le secteur public ne puisse pas accéder directement ou librement à vos données. Nous imposons des exigences spécifiques aux demandes d’accès aux données client émanant du secteur public.

En savoir plus
Lisez notre blog consacré à la législation applicable aux données

Ressources supplémentaires relatives à l’accès aux données

Déclaration de confidentialité Microsoft Online Services

Découvrez la manière dont Microsoft traite les données à caractère personnel et à quelles fins.

Contrat de licence Microsoft et documentation

Accédez aux termes du contrat de licence Microsoft ainsi qu’à des informations supplémentaires concernant l’utilisation des produits et services régis par les programmes de licence en volume de Microsoft.

Informations relatives à la collecte de données

Découvrez les différents types de données que nous collectons.

1 Les informations figurant sur cette page s’appliquent à Microsoft Defender pour point de terminaison, mais pas à d’autres services Windows ou aux services Recherche Bing.
2 Remarque : Pour plus d’informations sur le recours à des sous-traitants ultérieurs pour le traitement des données dans le cadre de la fourniture par Microsoft de services de support commercial ou d’autres services professionnels, dont les services en ligne, consultez la section Services professionnels Microsoft et fournisseurs du Centre de confidentialité.