Partager via

Règlement général sur la protection des données

Le règlement général sur la protection des données (RGPD) présente de nouvelles règles pour les organisations qui offrent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE quel que soit l’endroit où vous vous trouvez et celui où se trouve votre entreprise. Ce document vous apporte des informations pour vous aider à honorer vos droits et à respecter les obligations en vertu du RGPD lorsque vous utilisez les produits et services Microsoft. Un plan d’action recommandé pour le RGPD et les listes de vérification de préparation sur la responsabilité fournissent des ressources supplémentaires pour l’évaluation et la mise en œuvre de la conformité RGPD.

Terminologie

Définitions utiles pour les termes RGPD utilisés dans ce document :

  • Contrôleur de données (contrôleur) : personne morale, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d’autres, détermine les objectifs et les moyens du traitement des données personnelles.
  • Données personnelles et personne concernée : toutes les informations relatives à une personne physique identifiée ou identifiable (personne concernée); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement.
  • Sous-traitant : personne physique ou morale, autorité publique, agence ou autre organisme, qui traite les données personnelles pour le compte du responsable du traitement.
  • Données client : les données produites et stockées dans les opérations quotidiennes dans le cadre du fonctionnement de votre entreprise.

Qu’est-ce que le RGPD ?

Le RGPD accorde aux personnes le droit de gérer les données personnelles qu’un organization collecte à leur sujet. Personnes pouvez exercer ces droits par le biais d’une demande de la personne concernée (DSR). Le organization doit fournir en temps voulu des informations sur les DSR et les violations de données, et effectuer des évaluations d’impact sur la protection des données (DPIAs).

Tenez compte de plusieurs points lors de l’implémentation ou de l’évaluation des exigences du RGPD :

  • Développement ou analyse de votre politique de confidentialité des données de conformité RGPD.
  • Analyser la sécurité des données de votre organisation.
  • Identification de votre contrôleur de données.
  • Déterminer les processus de sécurité des données que vous devrez peut-être effectuer.

Le plan d’action recommandé pour le RGPD et les listes de contrôle de préparation de la responsabilité peut susciter des points de réflexion supplémentaires.

Pour respecter les normes RGPD, effectuez les tâches suivantes. Pour plus d’informations sur l’implémentation, suivez les liens de la liste.

  • Demandes des personnes concernées (DSR). Une demande officielle d’une personne concernée à un responsable du traitement pour effectuer une action (changement, restriction, accès) sur ses données personnelles.
  • Notification de violation. En vertu du RGPD, une violation de données personnelles est « une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès à des données personnelles transmises, stockées ou traitées d’une manière ou d’une autre manière ».
  • Analyses d’impact sur la protection des données. Les contrôleurs de données sont tenus, en vertu du RGPD, de préparer une DPIA pour les opérations de données qui sont « susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques ».

Comme mentionné précédemment, le plan d’action recommandé pour les listes de contrôle de préparation au RGPD et à la responsabilité fournit un guide pour implémenter ou évaluer la conformité RGPD à l’aide de produits et services Microsoft.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de conformité dispose d’une évaluation prédéfinie pour cette réglementation pour les clients Enterprise E5. Recherchez le modèle de création de l’évaluation sur la page des modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Demandes des personnes concernées (DSR)

Le RGPD accorde aux personnes (ou aux personnes concernées) certains droits dans le cadre du traitement de leurs données personnelles, y compris le droit de corriger des données inexactes, d’effacer des données ou de restreindre leur traitement, de recevoir leurs données et de répondre à une demande de transmission de leurs données à un autre responsable du traitement. Le contrôleur est chargé de fournir en temps voulu une réponse cohérente avec le RGPD. Pour plus d’informations techniques, reportez-vous à Demandes des personnes concernées.

Forum aux questions sur le DSR

Quelles actions terminent une DSR ?

Une demande de personne concernée implique six activités : découverte, accès, rectification, restriction, exportation et suppression.

Quelles sont vos sources de données ?

Une grande partie des données d’un organization provient d’applications Office telles qu’Excel et Outlook. Vous pouvez également trouver des données pertinentes pour une DSR dans Insights générés par les produits et services Microsoft, ainsi que dans les journaux générés par le système.

Quels types de données doivent faire l’objet d’une recherche ?

Les données personnelles se trouvent dans les données client, les insights générés par les produits et services Microsoft et les journaux générés par le système.

Comment les données personnelles sont-elles recherchées ?

La recherche de données personnelles varie selon les produits et services Microsoft. Les outils de recherche incluent la recherche de contenu ou la capacité de recherche dans l’application. Les administrateurs peuvent accéder aux journaux générés par le système associés à l’activité d’un utilisateur.

Dans quels formats est-ce que les données personnelles doivent être disponibles ?

Le « droit à la portabilité des données » du RGPD permet à une personne concernée de demander une copie des données personnelles dans un « format structuré, couramment utilisé et lisible par machine » et de demander à votre organization de transmettre ces fichiers à un autre contrôleur de données.

Quelles sont les exigences du RGPD et quelles sont mes responsabilités en tant que contrôleur ?

En tant que contrôleur, le RGPD exige que vous puissiez effectuer ce qui suit :

  • Donnez aux personnes concernées une copie de leurs données personnelles, ainsi qu’une explication des catégories de leurs données en cours de traitement, des objectifs de ce traitement et des catégories de tiers auxquels leurs données pourraient être divulguées.
  • Aider les individus à exercer leur droit de corriger des données personnelles incorrectes, d’effacer des données ou de limiter leur traitement, de recevoir leurs données dans un formulaire lisible et, le cas échéant, de remplir une demande afin de transmettre leurs données à un autre contrôleur.

Quelles sont les exigences du RGPD et quelles sont les responsabilités de Microsoft en tant que responsable du traitement ?

Microsoft doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour vous aider à répondre aux demandes des personnes concernées qui exercent leurs droits, comme indiqué précédemment.

Où puis-je trouver des informations sur le RGPD pour les serveurs locaux ?

Vous trouverez ici une série d'articles relatifs à la RGPD. Produits par Microsoft, ils fournissent les approches recommandées pour la charge de travail locale pour SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server et les partages de fichiers locaux.

Moyens mis à votre disposition par Microsoft pour vous permettre de répondre aux demandes des personnes concernées ?

Online Services offre un éventail de fonctionnalités pour vous permettre, en tant que contrôleur, de répondre à la demande d’une personne concernée par les données. Les contrôles administratifs et les services en ligne d’entreprise de Microsoft vous aident à réagir concernant les données personnelles en réponse aux demandes de droits des personnes concernées par les données, ce qui vous permet de repérer, disposer, rectifier, limiter, supprimer et exporter des données personnelles qui résident dans les données gérées par le contrôleur stockées dans le cloud Microsoft. Online Services fournit également les données dans un formulaire lisible par machine si nécessaire.

Analyses d’impact sur la protection des données

En vertu du RGPD, les contrôleurs de données doivent préparer une analyse d’impact sur la protection des données (DPIA) pour les opérations de traitement qui sont « susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques ». Il n’y a rien d’inhérent aux produits et services Microsoft qui nécessite la création d’un DPIA. Au lieu de cela, cela dépend des détails de votre configuration Microsoft. Vous trouverez la liste des détails que vous devez prendre en compte dans Office dans Contenu de DPIA.

Forum aux questions sur la DPIA

Quand devez-vous mener une DPIA ?

Vous devez effectuer une DPIA lorsque vous traitez les risques liés à la sécurité des données personnelles ou à la suite d’une violation de données. Pour obtenir des exemples spécifiques de facteurs de risque dans Office, voir Déterminer si une DPIA est nécessaire.

Qu’est-ce qui est requis pour effectuer une DPIA ?

Le RGPD impose qu’une DPIA inclut les éléments suivants :

  • Évaluation du besoin et de la proportionnalité du traitement des données par rapport aux finalités prévues de la DPIA.
  • Évaluation des risques concernant les droits et les libertés des personnes concernées par les données.
  • Les mesures envisagées pour lutter contre les risques, les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données à caractère personnel et prouver la conformité avec le RGPD.

Quelles sont mes responsabilités en tant que contrôleur ?

En vertu du RGPD, en tant que responsable du traitement, vous êtes tenu d’entreprendre des DPIA avant le traitement des données qui est susceptible d’entraîner un risque élevé pour les droits et libertés des individus, en particulier le traitement qui utilise de nouvelles technologies. Le RGPD fournit la liste non exhaustive suivante des cas dans lesquels vous devez effectuer des DPIAs :

  • Traitement automatisé à des fins de profilage et d’activités similaires, qui a des effets juridiques ou affecte de manière similaire significative les personnes concernées.
  • Traitement à grande échelle de catégories spéciales de données personnelles ( données révélant l’origine raciale ou ethnique, opinions politiques, etc.) ou de données relatives aux condamnations et infractions pénales.
  • Surveillance systématique d’une zone publiquement accessible à grande échelle.

Le RGPD exige également que vous consultiez votre autorité de protection des données (DPA) avant de commencer un traitement si vous ne parvenez pas à identifier suffisamment de processus pour minimiser les risques élevés pour les personnes concernées.

Quelles sont les responsabilités Microsoft ?

Microsoft pratique la confidentialité dès la conception et la confidentialité par défaut dans ses fonctions métiers et d’ingénierie. Dans le cadre de ces efforts, Microsoft soumet à des vérifications de confidentialité complètes les opérations de traitement des données susceptibles d’avoir un impact sur les droits et libertés individuelles des personnes concernées. Les équipes de confidentialité incorporées dans les groupes de services examinent la conception et la mise en œuvre des services pour s’assurer que les données personnelles sont traitées de manière respectueuse et conforme au droit international, aux attentes des utilisateurs et aux engagements explicites de Microsoft.

Ces révisions de confidentialité ont tendance à être précises : un service particulier peut recevoir des dizaines ou des centaines d’avis. Microsoft répète ces vérifications granulaires de la confidentialité dans les analyses d’impact sur la protection des données (DPIA) couvrant les principaux groupements de traitement, que le délégué à la protection des données de Microsoft UE vérifie. Le délégué à la protection des données évalue les risques liés au traitement des données pour s’assurer que la quantité d’atténuations mises en place est suffisante. Si le DPO détecte des risques non atténués, il recommande de revenir au groupe d’ingénierie. Les PPP sont examinés et mis à jour à mesure que les risques de protection des données changent.

En tant que responsable du traitement des données, Microsoft est tenu d’aider les contrôleurs à assurer la conformité aux exigences de DPIA définies dans le RGPD. Dans le souci d’accompagner nos clients, des résumés des différentes sections des DPIA de Microsoft seront prochainement disponibles dans cette section. Ils serviront de base aux contrôleurs qui utilisent les services Microsoft pour la création de leurs propres DPIA.

Notification de violation

Le RGPD définit des exigences de notification pour les contrôleurs de données et les sous-traitants en cas de violation des données personnelles. En tant que processeur de données, Microsoft aide les clients à répondre aux exigences de notification de violation du RGPD. Les contrôleurs de données sont chargés d'évaluer les risques liés à la confidentialité des données et de déterminer si le contrat de traitement des données d’un client doit être notifié en cas de violation. Microsoft fournit les informations nécessaires pour effectuer cette évaluation. Pour plus d’informations sur la façon dont Microsoft détecte une violation des données personnelles et y répond, consultez Notification de violation de données dans le cadre du RGPD.

Foires aux questions sur la notification de violation

Selon le RGPD, qu’est-ce qu’une violation de données personnelles ?

Les données personnelles correspondent aux informations relatives à un individu permettant de l’identifier directement ou indirectement. Une violation de données personnelles est « une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des données personnelles transmises, stockées ou autrement traitées ».

Quelles sont vos responsabilités en tant que contrôleur ?

Si une violation de données personnelles susceptible d’entraîner un risque élevé pour les droits et libertés des personnes (par exemple, la discrimination, l’usurpation d’identité, la fraude, la perte financière ou l’atteinte à leur réputation) se produit, le RGPD exige que vous procédiez comme indiqué ci-dessous :

  • Informez l’autorité de protection des données (DPA) appropriée dans les 72 heures suivant sa prise de connaissance, par exemple, une fois que Microsoft vous en a informé. Si vous n’en informez pas le DPA pendant cette période, vous devez lui expliquer pourquoi. Cet avis à l’APD est obligatoire même s’il existe un risque pour les individus qui n’est pas susceptible d’entraîner un risque élevé.
  • Avertissez dès que possible les personnes concernées par les données en cas de violation.
  • Documentez la violation, y compris une description de la nature de la violation, par exemple le nombre de personnes concernées, le nombre d’enregistrements de données affectés, les conséquences de la violation et toute action corrective proposée ou prise par votre organization.

Quelles sont les responsabilités Microsoft en tant que responsable du traitement ?

Une fois informés d’une violation de données personnelles, nous sommes tenus par le RGPD de vous en informer dans les meilleurs délais. Lorsque Microsoft est un responsable du traitement, nos obligations reflètent les exigences du RGPD et nos dispositions contractuelles internationales standard. Nous considérons que toutes les violations de données personnelles confirmées sont dans l’étendue ; il n’y a pas de seuil de risque de préjudice. Nous informons nos clients si la violation de données a été subie directement par Microsoft ou par l’un de nos sous-traitants. Nous avons mis en place des processus pour identifier et contacter rapidement le personnel des incidents de sécurité que vous identifiez dans votre organization. En outre, tous les sous-traitants sont contractuellement tenus de signaler leurs propres violations à Microsoft et de fournir des garanties à cet effet.

Comment Microsoft détecte une violation de données ?

Tous nos services et employés suivent les procédures de gestion des incidents internes pour s’assurer que nous prenons les précautions appropriées afin d’éviter les violations de données. De plus, Online Services dispose de contrôles de sécurité spécifiques sur nos plateformes pour détecter les rares cas de violations de données.

Comment Microsoft réagit face à une violation de données ?

Pour vous aider en cas de violation de données personnelles, Microsoft dispose des services suivants : - Personnel de sécurité formé sur les procédures spécifiques à suivre. - Stratégies, procédures et contrôles en place pour garantir que Microsoft gère des enregistrements détaillés. Cette réponse inclut la documentation sur les détails de l’incident, ses effets et les mesures correctives adoptées, ainsi que les informations de suivi et de stockage dans nos systèmes de gestion des incidents.

Comment Microsoft m’avertit en cas de violation de données ?

Microsoft a établi des stratégies et des procédures pour vous avertir rapidement. Pour répondre à vos exigences de notification au DPA, nous fournissons une description du processus que nous avons utilisé pour déterminer si une violation de données personnelles s’est produite, une description de la nature de la violation et une description des mesures que nous avons prises pour atténuer la violation.

Listes de vérification de préparation sur la responsabilité concernant le RGPD

Ces listes de vérification fournissent un moyen pratique d’accéder aux informations dont vous pourriez avoir besoin pour prendre en charge le RGPD à l’aide de produits Microsoft. Vous pouvez gérer les éléments de liste de contrôle en référençant l’ID de contrôle et le titre du contrôle sous Contrôles gérés par le client dans la vignette RGPD à l’aide du Gestionnaire de conformité Microsoft Purview.

Forum aux questions sur le RGPD

Microsoft a-t-il des engagements envers ses clients en ce qui concerne le RGPD ?

Oui. Le RGPD exige que les contrôleurs (par exemple, les organisations utilisant les services en ligne d’entreprise de Microsoft) utilisent uniquement des processeurs (tels que Microsoft) qui fournissent des garanties suffisantes pour répondre aux exigences clés du RGPD. Microsoft fournit de manière proactive ces engagements à tous les clients de licence en volume dans le cadre de leurs contrats.

Comment est-ce que Microsoft me permet de me conformer ?

Microsoft fournit des outils et de la documentation pour vous aider à assumer les responsabilités liées à votre RGPD. Cette prise en charge inclut les droits des personnes concernées, l’exécution de vos propres évaluations d’impact sur la protection des données et la collaboration pour résoudre les violations de données personnelles.

Quels engagements se trouvent dans les conditions RGPD ?

Les conditions RGPD de Microsoft reflètent les engagements requis des responsables du traitement à l’article 28. L’article 28 exige que les responsables du traitement s’engagent à :

  • N’utiliser que les sous-responsables du traitement avec le consentement du contrôleur et demeurez responsable des sous-responsables du traitement.
  • Traiter les données personnelles uniquement pour les instructions du contrôleur, y compris en relation avec les transferts.
  • Assurer que les personnes qui traitent des données personnelles s'engagent à respecter la confidentialité.
  • Mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité des données personnelles approprié au risque.
  • Assister les contrôleurs dans leur obligation de répondre aux demandes des sujets de données pour exercer leurs droits RGPD.
  • Répondre aux exigences en matière de notification de violation et d’assistance.
  • Aider les contrôleurs à réaliser des analyses d’impact sur la protection des données et à consulter les autorités de contrôle.
  • Supprimer ou renvoyer des données personnelles à la fin de la prestation de services.
  • Prendre en charge du contrôleur avec une preuve de conformité avec le RGPD.

Sous quelle base Microsoft facilite-t-il le transfert de données personnelles en dehors de l’UE ?

Microsoft utilise depuis longtemps les clauses contractuelles standard (également appelées clauses de modèle) comme base de transfert de données pour ses services en ligne d'entreprise. Les clauses contractuelles Standard sont des conditions standard fournies par la Commission européenne que vous pouvez utiliser pour transférer des données en dehors de l’Espace économique européen de manière conforme. Microsoft a incorporé les clauses contractuelles Standard dans tous ses contrats de licence en volume via les Conditions du produit. Pour les données personnelles provenant de l’Espace économique européen, de la Suisse et du Royaume-Uni, Microsoft veille à ce que les transferts de données personnelles vers un pays/région tiers ou un organization international soient soumis à des garanties appropriées, comme décrit à l’article 46 du RGPD. En plus des engagements de Microsoft dans le cadre des clauses contractuelles Standard pour les sous-traitants et d’autres contrats types, Microsoft continue de respecter les termes du bouclier de protection des données, mais il ne s’appuie plus sur celui-ci comme base pour le transfert de données personnelles de l’UE/EEE vers le États-Unis.

Quelles sont les autres offres de conformité Microsoft ?

En tant que société mondiale avec des clients dans presque tous les pays/régions du monde, Microsoft dispose d’un portefeuille de conformité robuste pour aider ses clients. Pour afficher la liste complète de ses offres de conformité, notamment FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud et bien d’autres, consultez les rubriques de l’offre de conformité.

Quel effet le RGPD aura-t-il sur mon entreprise ?

Le RGPD impose de nombreuses exigences sur les organisations qui collectent ou traitent des données personnelles, y compris une obligation de respecter les six principes clés :

  • Transparence, équitéet légalité dans la manipulation et l’utilisation des données personnelles. Vous devez être clair avec les individus sur la façon dont vous utilisez les données personnelles et vous avez également besoin d’une « base légale » pour traiter ces données.
  • Limiter le traitement des données personnelles à des fins spécifiées, explicites et légitimes. Vous ne pouvez pas réutiliser ou divulguer des données personnelles à des fins qui ne sont pas « compatibles » avec l’objectif pour lequel vous avez initialement collecté les données.
  • Réduisez la collecte et le stockage des données personnelles uniquement à ce qui est approprié et pertinent pour l’objectif prévu.
  • Assurez-vous de l’exactitude des données personnelles et permettez-leur d’être effacées ou corrigées. Vous devez prendre des mesures pour vous assurer que les données personnelles que vous détenez sont exactes et peuvent être corrigées si des erreurs se produisent.
  • Limitez le stockage des données personnelles. Vous devez vous assurer que vous conservez les données personnelles uniquement aussi longtemps que nécessaire pour atteindre les objectifs pour lesquels vous avez collecté les données.
  • Garantir la sécurité, l’intégrité et la confidentialité des données personnelles. Votre organisation doit prendre des mesures pour assurer la sécurité des données personnelles par le biais de mesures de sécurité techniques et organisationnelles.

Vous devez comprendre les obligations spécifiques de votre organization en vertu du RGPD et la façon dont vous allez les respecter. Microsoft est là pour vous aider dans votre parcours RGPD.

Quels droits les entreprises doivent-elles respecter dans le cadre du RGPD ?

Le RGPD offre aux résidents de l’UE un contrôle sur leurs données personnelles par l’intermédiaire d’un groupe de « droits de sujet de données ». Cet ensemble inclut le droit d’effectuer les éléments suivants :

  • Accéder à des informations sur l’utilisation des données personnelles.
  • Accéder à des données personnelles détenues par une organisation.
  • Des données personnelles incorrectes ont été supprimées ou corrigées.
  • Faire rectifier et effacer les données personnelles dans certaines circonstances (parfois appelé « droit à être oublié »).
  • Limiter ou s'opposer au traitement automatisé des données personnelles.
  • Recevoir une copie des données personnelles.

Que désignent les termes « sous-traitants » et « responsables du traitement » ?

Un responsable du traitement est une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les objectifs et les moyens du traitement des données personnelles. Une responsable du traitement est une personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données personnelles pour le compte de l’entité de contrôle.

Le RGPD s’applique-t-il aux processeurs et aux contrôleurs ?

Oui, le RGPD s’applique aux contrôleurs et responsables du traitement. Les contrôleurs doivent utiliser uniquement les responsables du traitement qui prennent des mesures pour satisfaire aux exigences du RGPD. En vertu du RGPD, les sous-traitants ont des obligations et une responsabilité supplémentaires en cas de non-conformité ou d’action en dehors des instructions fournies par le responsable du traitement, par rapport à la directive sur la protection des données. Les tâches du processeur incluent, mais ne sont pas limitées à :

  • Traiter les données uniquement conformément aux instructions du contrôleur.
  • Utiliser des mesures techniques et organisationnelles appropriées pour protéger les données personnelles.
  • Assister le contrôleur avec des demandes d’objet de données.
  • S’assurer que les sous-responsables du traitement qu'elle engage répondent à ces exigences.

Quel est le montant des amendes auxquelles les entreprises s’exposent en cas de non-conformité ?

Les entreprises peuvent être condamnées à une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon la valeur la plus élevée, en cas de non-respect de certaines exigences du RGPD. D’autres recours peuvent augmenter votre risque si vous ne parvenez pas à respecter les exigences du RGPD.

Mon entreprise doit-elle nommer un délégué à la protection des données (DPO) ?

Cela dépend de plusieurs facteurs identifiés dans le règlement. L’article 37 du RGPD stipule que les responsables du traitement et les sous-traitants doivent désigner un délégué à la protection des données dans tous les cas où : (a) une autorité ou un organisme public, à l’exception des tribunaux agissant en leur qualité de juge, effectue le traitement ; (b) les activités principales du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, en raison de leur nature, de leur portée ou de leurs objectifs, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle ; ou (c) les activités principales du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des catégories spéciales de données conformément à l’article 9 et des données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10.

Quel sera le coût de la mise en conformité avec le RGPD ?

La conformité au RGPD coûte du temps et de l’argent à la plupart des organisations, bien que cela puisse être une transition plus fluide pour celles qui opèrent dans un modèle de services cloud bien conçu et disposent d’un programme de gouvernance des données efficace en place.

Comment savoir si les données traitées par mon organisation sont couvertes par le RGPD ?

Le RGPD régule la collecte, l’espace de stockage, l’utilisation et le partage des « données personnelles ». Le RGPD définit les données personnelles au sens large comme toutes les données relatives à une personne physique identifiée ou identifiable.

Les données personnelles peuvent inclure, mais sans s’y limiter, des identificateurs en ligne (par exemple, des adresses IP), des informations sur les employés, des bases de données de vente, des données de service client, des formulaires de commentaires clients, des données de localisation, des données biométriques, des séquences de vidéosurveillance, des enregistrements de schéma de fidélité, des informations de santé et financières, etc. Il peut même inclure des informations qui ne semblent pas être personnelles , telles qu’une photo d’un paysage sans personnes, où un numéro de compte ou un code unique lie ces informations à une personne identifiable. Et même les données personnelles que vous pseudonymisez peuvent être des données personnelles si le pseudonyme peut être lié à une personne particulière.

Le traitement de certaines catégories « spéciales » de données personnelles, telles que les données personnelles qui révèlent l’origine raciale ou ethnique d’une personne, ou qui concerne sa santé ou son orientation sexuelle, est soumis à des règles plus strictes que le traitement des données personnelles « ordinaires ». Cette évaluation des données personnelles étant très spécifique aux faits, faites appel à un expert pour évaluer votre situation spécifique.

Mon organization traite uniquement les données pour le compte d’autres personnes. Doit-elle toujours se conformer au RGPD ?

Oui. Bien que les règles diffèrent quelque peu, le RGPD s’applique aux organisations qui collectent et traitent des données pour leurs propres objectifs (« contrôleurs »), ainsi qu’aux organisations qui traitent des données pour le compte d’autres personnes (« responsables de traitement »). Cette exigence s'écarte de l'actuelle directive sur la protection des données, qui s'applique aux contrôleurs.

Quelles données sont spécifiquement considérées comme étant de caractère personnel ?

Les données à caractère personnel englobent toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Les données personnelles peuvent inclure :

  • Nom
  • Adresse privée
  • Adresse de travail
  • Numéro de téléphone
  • Numéro de portable
  • Adresse e-mail
  • Numéro de passeport
  • Numéro de carte d’identité nationale
  • Numéro de sécurité sociale (ou équivalent)
  • Permis de conduire
  • Informations physiques, physiologiques ou génétiques
  • Informations médicales
  • Identité culturelle
  • Coordonnées bancaires / numéros de compte
  • Numéro de dossier fiscal
  • Adresse de travail
  • Numéro de carte de crédit/débit
  • Billets de réseaux sociaux
  • Adresse IP (région UE)
  • Données de localisation/GPS
  • Cookies

Est-il possible de transférer des données hors de l’UE ?

Oui, cependant, le RGPD régit strictement les transferts de données personnelles des résidents européens vers des destinations en dehors de l’Espace économique européen. Vous devrez peut-être configurer un mécanisme juridique spécifique, tel qu’un contrat, ou adhérer à un mécanisme de certification pour permettre ces transferts. Microsoft détaille les mécanismes qu’il utilise dans les Conditions du produit.

J’ai des exigences de conservation des données par le biais de la conformité. Ces exigences remplacent-elles le droit à l’effacement ?

Lorsqu’il existe des motifs légitimes de poursuivre le traitement et la conservation des données, par exemple « pour le respect d’une obligation légale, qui nécessite un traitement par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis » (article 17(3)(b)), le RGPD reconnaît que les organisations peuvent être tenues de conserver des données. Toutefois, veillez à faire appel à votre conseiller juridique pour vous assurer que les motifs de rétention sont mis en balance par rapport aux droits et libertés des personnes concernées, à leurs attentes au moment où les données ont été collectées et à d’autres facteurs pertinents.

Le RGPD a-t-il trait au chiffrement ?

Le RGPD identifie le chiffrement comme une mesure de protection qui rend les données personnelles incompréhensibles en cas de violation. Par conséquent, l’utilisation ou non du chiffrement peut avoir un impact sur les exigences de notification d’une violation de données personnelles. Le RGPD indique également le chiffrement en tant que mesure technique ou organisationnelle appropriée dans certains cas, en fonction des risques. Le chiffrement est également requis par la norme de sécurité de l'industrie des cartes de paiement et qui fait partie des recommandations en matière de conformité strictes spécifiques au secteur des services financiers. Produits et services Microsoft tels que Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL Database, Windows 10 et Windows 11 offrent un chiffrement robuste pour les données en transit et les données au repos.

Comment le RGPD modifie-t-il la réponse d’une organisation aux violations de données personnelles ?

Le RGPD modifie les exigences de protection des données et impose des obligations plus strictes pour les sous-traitants et les contrôleurs en matière de notification des violations de données personnelles. En vertu de la nouvelle réglementation, le sous-traitant doit informer le responsable du traitement d’une violation de données personnelles, après en avoir pris connaissance, sans délai excessif. Une fois qu'il a connaissance d'une violation de données personnelles, le contrôleur doit en informer l'autorité compétente en matière de protection des données dans un délai de 72 heures. Si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des individus, les contrôleurs doivent également informer les personnes concernées sans délai injustifié. Des conseils supplémentaires sur ce sujet sont mis au point par l’article 29 de l’UE.

Produits et services Microsoft, tels que les Azure, les Dynamics 365, les Enterprise Mobility + Security, les Microsoft Office 365 et les Windows 10 - disposer de solutions disponibles dès aujourd’hui pour vous aider à détecter et à évaluer les menaces de sécurité et les violations et à respecter les obligations de notification de violation du RGPD.

Ressources supplémentaires

  • Last updated on