Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le règlement général sur la protection des données (RGPD) présente de nouvelles règles pour les organisations qui offrent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE quel que soit l’endroit où vous vous trouvez et celui où se trouve votre entreprise. Vous trouverez plus d’informations dans l’article Résumé du RGPD.
De même, le California Consumer Privacy Act (CCPA) fournit des droits et des obligations en matière de confidentialité aux consommateurs californiens. Ces droits incluent des droits similaires aux droits des personnes concernées par le RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles. Le CCPA prévoit également des publications d’informations, des protections contre la discrimination des personnes faisant usage de leurs droits et la possibilité d’opter pour ou contre certains transferts de données classés en tant que « ventes ». Ce document vous permet d’obtenir des informations sur le traitement des demandes des personnes concernées (DPC) dans le cadre du RGPD et du CCPA à l’aide des produits etdes services Microsoft.
- Azure DevOps Services
- Azure
- Dynamics 365
- Intune
- Support Microsoft et services professionnels
- Office 365
- Visual Studio Family
- Windows 365
- Windows
Terminologie
Définitions utiles pour les termes RGPD utilisés dans ce document :
- Contrôleur de données (contrôleur) : personne morale, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d’autres, détermine les objectifs et les moyens du traitement des données personnelles.
- Données personnelles et personne concernée : toutes les informations relatives à une personne physique identifiée ou identifiable (personne concernée); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement.
- Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte de l’entité de contrôle.
- Données client : les données produites et stockées dans les opérations quotidiennes dans le cadre du fonctionnement de votre entreprise.
Qu’est-ce qu’une demande de la personne concernée ?
Le Règlement général sur la protection des données (RGPD) accorde aux personnes (appelées personnes concernées par le règlement) le droit de gérer les données personnelles qu’un employeur ou un autre type d’agence ou de organization (connu sous le nom de contrôleur de données ou simplement de contrôleur) collecte à leur sujet. Le RGPD accorde aux personnes concernées des droits spécifiques sur leurs données personnelles. Ces droits incluent l’obtention de copies de leurs données personnelles, la demande de modification de celles-ci, la restriction du traitement de celles-ci, leur suppression ou leur réception dans un format électronique afin qu’ils puissent les déplacer vers un autre responsable du traitement.
En tant que contrôleur, vous êtes tenu d’examiner rapidement chaque DSR et de fournir une réponse substantielle en effectuant l’action demandée ou en fournissant une explication de la raison pour laquelle la DSR ne peut pas être prise en charge par le contrôleur. Consultez vos propres conseillers juridiques ou de conformité concernant la bonne disposition d’un DSR donné.
Plusieurs processus peuvent être impliqués dans l’exécution d’une DSR, sous réserve des règles de conformité au RGPD de votre organization.
- Découverte. Processus de détermination des données nécessaires à l’exécution d’une DSR.
- Accès. Récupération et transmission potentielle à la personne concernée par les informations découvertes.
- Rectifier. Implémentation des modifications ou d’autres modifications de données personnelles demandées.
- Restreindre. Modification de l’accès ou du traitement des données personnelles en restreignant l’accès ou en supprimant des données du cloud Microsoft.
- Exporter. Fournir un « format structuré, communément utilisé, lisible par l’ordinateur » de données personnelles à la personne concernée, comme fourni par le « droit de portabilité des données » du RGPD.
- Supprimer Suppression définitive de données personnelles du Microsoft Cloud.
Considérations spécifiques relatives à la DSR
Insights générés par les produits ou services Microsoft
Les insights peuvent être générés par des services tels que Viva Personal Insights. Office 365 inclut des services en ligne qui fournissent des insights aux utilisateurs et aux organisations qui les utilisent. Les données générées par ces services peuvent produire des données personnelles pertinentes pour une DSR. Pour plus d’informations sur les processus DSR spécifiques au service, consultez la section suivante.
DSR pour des journaux générés par le système
Les journaux et les données associées générées par Microsoft peuvent contenir des données que le RGPD considère comme personnelles. Vous ne pouvez pas restreindre ou rectifier les données dans les journaux générés par le système. Les données des journaux générés par le système sont des actions factuelles effectuées dans le cloud Microsoft et les données de diagnostic. Les modifications compromettraient l’historique des actions et augmenteraient les risques de fraude et de sécurité. Microsoft offre la possibilité d’accéder, d’exporter et de supprimer des journaux générés par le système dont vous pourriez avoir besoin pour effectuer une DSR. Voici quelques exemples de ces données :
- Données relatives à l’utilisation de produits et de services tels que les journaux d’activité des utilisateurs
- Requêtes de recherche et données de requête des utilisateurs
- Données générées par les produits et services qui résultent des fonctionnalités du système et de l’interaction des utilisateurs ou d’autres systèmes.
Pour plus d’informations sur les journaux générés par le système à partir d’une exportation DSR (Data Subject Right), consultez Vue d’ensemble des journaux générés par le système à partir d’une exportation de demande de personne concernée (DSR).
Viva Engage
La suppression du compte d’un utilisateur ne supprime pas les journaux générés par le système pour Viva Engage. Pour supprimer les données contenues dans ces applications, consultez l'une des ressources suivantes :
Clouds nationaux
Dans certains clouds nationaux, un administrateur IT général doit supprimer les journaux générés par le système.
Services Microsoft
Si vos organization ou vos utilisateurs collaborent avec Microsoft pour bénéficier d’un support lié aux produits et services Microsoft, certaines de ces données peuvent contenir des données personnelles. Pour plus d’informations, reportez-vous à Demandes des personnes concernées du support Microsoft et des services professionnels concernant le RGPD.
Produits de contrôleur Microsoft
Dans certains cas, les utilisateurs de votre organization peuvent accéder aux produits ou services Microsoft pour lesquels Microsoft est le contrôleur de données. Dans ce cas, vos utilisateurs doivent initier leur propre DSR directement auprès de Microsoft et Microsoft répond aux demandes directement à l’utilisateur.
Produits tiers
Pour les produits et services tiers accessibles via l’authentification de compte Microsoft, dirigez toutes les demandes de la personne concernée vers le tiers concerné.
Outils d’administration sur les demandes des personnes concernées
- Portails Microsoft : exportez les données créées ou générées par l’utilisateur à l’aide du portail Microsoft Purview ou des fonctionnalités dans l’application.
- Microsoft Entra Administration Center : supprimez une personne concernée de Microsoft Entra ID et des services associés à l’aide de Microsoft Entra Administration Center.
- Exportation des journaux de données Microsoft : les administrateurs clients peuvent exporter les journaux générés par le système à l’aide de l’exportation de journaux de données Microsoft.