Passer directement au contenu principal
Microsoft 365
S’abonner

Protégez les droits au respect de la vie privée relatifs au RGPD avec le nuage intelligent de Microsoft

Le billet d’aujourd’hui a été rédigé par Alym Rayani, directeur de Microsoft 365.

Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD), ce jour marque une étape importante dans la protection des droits au respect de la vie privée. Nous vivons à une époque où la technologie numérique a une profonde incidence sur nos vies, de la manière dont nous nous connectons les uns aux autres à la façon dont nous interprétons notre monde. Au cœur de cette transition numérique se trouve la capacité de stocker et d’analyser des quantités massives de données afin d’en extraire des informations plus approfondies et d’offrir aux clients des expériences plus personnelles. Si cette capacité nous aide tous à être plus productifs que jamais, elle génère également une quantité considérable de données, dont des informations personnelles et des données commerciales sensibles qui nécessitent une protection.

Microsoft s’est fixé pour mission de permettre à toute personne ainsi qu’à toute organisation au monde de gagner en productivité. La confiance est au cœur de tout ce que nous faisons parce que nous avons compris depuis longtemps que les gens n’utilisent pas des technologies dans lesquelles ils n’ont pas confiance. Nous croyons également que la vie privée est un droit humain fondamental qui doit être protégé. Comme le note Julie Brill, responsable de la protection de la vie privée chez Microsoft, dans son récent billet de blog, Microsoft estime que le RGPD établit des principes importants et pertinents à l’échelle mondiale.

En plus de notre engagement continu envers la protection de la vie privée, nous avons réalisé un certain nombre d’investissements au cours de l’année dernière en lien avec le RGPD et la protection des droits à la vie privée des personnes. Voici un récapitulatif de la façon dont vous pouvez utiliser ces capacités pour aider votre organisation dans son parcours de mise en conformité avec le RGPD.

Évaluer et gérer le risque en matière de conformité

La mise en conformité d’une organisation pouvant être très ardue, la compréhension de votre risque à cet égard devrait être votre priorité absolue. Des clients nous ont fait part des difficultés qu’ils rencontraient en raison du manque de capacités internes pour définir et implémenter des contrôles, et d’inefficacités dans les activités de préparation des audits.

Le Gestionnaire de conformité et le Score de conformité vous aident à surveiller en continu votre état de conformité. Le Gestionnaire de conformité capture et fournit des détails sur chaque contrôle Microsoft implémenté pour répondre à des exigences spécifiques, y compris les détails du plan d’implémentation et de test, et des réponses de gestion si nécessaire. Il recommande également des mesures que votre organisation peut prendre pour améliorer ses capacités de protection des données et vous aider à remplir vos obligations de conformité.

Capture d’écran du tableau de bord du Gestionnaire de conformité.

Voici un aperçu de la façon dont Abrona, client de Microsoft 365, utilise le Gestionnaire de conformité :

Protéger les données personnelles

Fondamentalement, le RGPD vise à protéger les données personnelles des individus en veillant à ce que celles-ci bénéficient d’une sécurité, d’une gouvernance et d’une gestion appropriées afin d’éviter qu’elles soient utilisées à mauvais escient ou tombent entre de mauvaises mains. Pour vous assurer que votre organisation protège efficacement les données personnelles ainsi que le contenu sensible en lien avec les besoins de conformité de l’organisation, vous devez implémenter des solutions et processus permettant à votre organisation de découvrir, classifier, protéger et surveiller les données les plus importantes.

Les fonctionnalités de protection des informations de Microsoft 365, telles que Gouvernance des données avancée Office 365 et Azure Information Protection, offrent une expérience intégrée de classification, d’étiquetage et de protection, permettant une protection plus persistante de vos données en tout lieu. Une stratégie proactive de gouvernance des données, la classification des données personnelles et sensibles, vous permet de répondre avec précision lorsque vous avez besoin de trouver des données pertinentes pour satisfaire une demande réglementaire ou une exigence telle qu’une demande de droits d’une personne concernée en vertu du RGPD.

Capture d’écran des paramètres de protection du Centre de sécurité et conformité.

Le scanneur Azure Information Protection prend en charge les scénarios hybrides et locaux en vous permettant de configurer des stratégies pour découvrir, classifier, étiqueter et protéger automatiquement les documents stockés dans vos référentiels locaux, tels que les serveurs de fichiers et les serveurs SharePoint locaux. Vous pouvez déployer le scanneur dans votre environnement en suivant les instructions fournies dans ce guide technique.

Des services de base de données entièrement gérés d’Azure, comme Azure SQL Database, aident à alléger la tâche de correction et de mise à jour de la plateforme de données, tout en apportant des fonctions intégrées intelligentes qui aident à identifier où les données sensibles sont stockées. De nouvelles technologies telles que Découverte et classification des données Azure SQL Database offrent des fonctionnalités avancées pour la découverte, la classification, l’étiquetage et la protection des données sensibles au niveau de la base de données. Protégez les données personnelles à l’aide de technologies telles que Transparent Data Encryption (TDE) qui offre la prise en charge de Bring Your Own Key (BYOK) avec l’intégration d’Azure Key Vault.

Jetons un coup d’œil à la façon dont INAIL, client de Microsoft 365, tire parti d’Azure Information Protection pour classifier, étiqueter et protéger ses données les plus sensibles :

Répondre en toute confiance

S’assurer que les processus sont en place pour gérer et répondre efficacement à certaines exigences du RGPD, telles que celle de répondre à des demandes de droits de personnes concernées ou de réagir à des violations de données, est un obstacle difficile à franchir pour de nombreuses organisations.

Pour vous aider à vous orienter dans les ressources RGPD fournies par les services nuage, nous avons introduit l’onglet Confidentialité dans le Portail d’approbation de services le mois dernier. Il fournit les informations dont vous avez besoin pour préparer vos propres analyses d’impact relatives à la protection des données sur les services de cloud computing Microsoft, des instructions pour répondre à des demandes de droits de personnes concernées, ainsi que des informations sur la façon dont Microsoft détecte les violations de données personnelles et y réagit, et sur la manière de procéder pour recevoir des notifications directement de Microsoft.

Pour en savoir plus sur les ressources RGPD dans le Portail d’approbation de services, regardez la nouvelle vidéo de Microsoft Mechanics.

Fonctionnalités pour prendre en charge les demandes de droits de personnes concernées

Plusieurs ressources vous aident à prendre en charge les demandes de droits de personnes concernées sur les services de cloud computing Microsoft, telles qu’un onglet Confidentialité des données dans Office 365, un portail Azure dédié aux demandes de droits de personnes concernées, et de nouvelles fonctionnalités de recherche de celles-ci dans Dynamics 365.

Le nouvel onglet Confidentialité des données, le tableau de bord RGPD et l’expérience de demande de droits de personne concernée dans Office 365 sont désormais généralement disponibles pour tous les clients commerciaux. Cette expérience est conçue pour vous fournir les outils nécessaires pour traiter efficacement une demande de droits de personne concernée en lien avec du contenu Office 365, par exemple, Exchange, SharePoint, OneDrive, Groupes et désormais Microsoft Teams.

Comme le dit Kelly Clay de GlaxoSmithKline : « Le RGPD 2016/679 est une réglementation inscrite dans la loi de l’UE sur la protection des données et de la vie privée applicable à tous les citoyens de l’Union européenne. Le RGPD introduit également un nouveau train de « droits numériques » pour les citoyens de l’UE à l’ère de l’augmentation de la valeur économique des données personnelles au sein de l’économie numérique. Le RGPD exige des grands détenteurs et sous-traitants de données qu’ils gèrent les demandes de droits de personnes concernées, de sorte que les organisations ont besoin d’outils dans Office 365 pour gérer ces demandes. »

Patrick Oots du cabinet d’avocats Shook, Hardy & Bacon observe ses organisations clientes et leurs démarches de mise en conformité avec le RGPD. « Nous sommes ravis de voir que Microsoft investit dans Office 365. Tandis que nos clients se préparent pour le RGPD, nous voyons une valeur considérable dans les outils disponibles sur le portail dédié à la confidentialité des données pour gérer les demandes de droits de personnes concernées conformément à l’article 15. À mesure que la législation relative à la confidentialité des données évolue, nous rappelons à nos clients Office 365 l’importance globale de l’implémentation appropriée des politiques de gouvernance des informations au sein du Centre de sécurité et conformité afin de minimiser les risques. » Patrick souligne en outre comment une stratégie proactive de gouvernance des données peut aider les organisations à réagir avec précision à des réglementations telles que le RGPD quand il le faut.

Capture d’écran du tableau de bord RGPD dans le Centre de sécurité et conformité.

Le portail Azure dédié aux demandes de droits de personnes concernées est désormais généralement disponible. Grâce au portail Azure dédié aux demandes de droits de personnes concernées, les administrateurs des clients peuvent identifier les informations associées à un utilisateur, puis corriger, modifier, supprimer ou exporter les données de cet utilisateur. Les administrateurs peuvent également identifier les informations associées à une personne concernée par le traitement des données et traiter des demandes de droits de personnes concernées en se servant des journaux générés par le système (données générées par Microsoft pour fournir un service spécifique) pour les services de cloud computing Microsoft. Parmi les autres nouvelles offres d’Azure figurent la disponibilité générale d’Azure Policy, du Gestionnaire de conformité pour le RGPD Azure, et de l’Azure Blueprint en matière de sécurité et de conformité pour le RGPD.

Pour en savoir plus, lisez le billet de blog Azure sur les fonctionnalités RGPD.

Capture de l’écran « Prise en main de la Confidentialité de l’utilisateur » dans Azure Directory.

Pour aider les clients à répondre aux demandes de droits de personnes concernées dans Dynamics 365, nous avons deux fonctionnalités de recherche : la recherche par pertinence et le rapport de recherche sur une personne. Basée sur le service Recherche Azure, la recherche par pertinence vous permet de trouver rapidement et facilement ce que vous recherchez. Le rapport de recherche sur une personne offre un ensemble prédéfini d’entités extensibles, créées par Microsoft, afin d’identifier les données personnelles utilisées pour définir une personne et les rôles qui lui ont éventuellement été attribués.

Pour en savoir plus, lisez le billet de blog Dynamics 365.

Capture d’écran présentant la fonctionnalité Recherche par pertinence dans Dynamics 365.

Le nouveau centre de confidentialité de Windows fait converger le contenu relatif à la confidentialité de Windows sur docs.microsoft.com. Vous pouvez y trouver de nouveaux conseils pour aider les décideurs informatiques à se préparer au RGPD, une liste de paramètres de configuration des services Windows 10 utilisés pour protéger les données personnelles, comprendre les données de diagnostic de Windows, et bien plus encore.

Traitement des violations de données

L’entrée en vigueur du RGPD implique également des réglementations plus strictes auxquelles les organisations doivent se conformer en cas de violation de données. Microsoft 365 intègre d’un éventail complet de fonctionnalités, allant d’Office 365 – Protection avancée contre les menaces à Azure – Protection avancée contre les menaces, qui peut aider à détecter les violations de données et à protéger contre celles-ci.

Commencez dès aujourd’hui votre mise en conformité avec le RGPD à l’aide de Microsoft

Microsoft bénéficie d’une grande expertise en matière de protection des données, de défense de la vie privée et de respect des réglementations, aussi complexes soient-elles. Nous pensons que le RGPD est un pas en avant important dans la voie de la clarification et de la protection des droits au respect de la vie privée, et nous donnons des assurances en lien avec le RGPD dans nos engagements contractuels.

Peu importe où vous en êtes dans vos efforts de mise en conformité avec le RGPD, nous sommes là pour vous aider dans votre parcours. Nous avons plusieurs ressources disponibles pour vous aider à commencer dès aujourd’hui :

Apprenez-en davantage sur la façon dont Microsoft peut vous aider en lien avec le RGPD.