Code de pratique ISO/IEC 27018 pour la protection des données personnelles dans le cloud

Présentation du code de pratique ISO/IEC 27018

L’Organisation internationale de normalisation ISO est une organisation non-gouvernementale indépendante et le plus grand développeur au monde de normes internationales volontaires. La famille de normes ISO/IEC 27000 aide les organisations de tout type et de toute taille à sécuriser des informations.

En 2014, l’ISO a adopté ISO/IEC I27018:2014, un addendum d’ISO/IEC 27001, premier code de conduite international pour la confidentialité du cloud. Basé sur les lois relatives à la protection des données de l'UE, il apporte des conseils spécifiques aux fournisseurs de services Cloud (CSP) qui servent de processeurs d'informations d'identification personnelle (PII) sur l'évaluation des risques et l'implémentation de contrôles de pointe pour la protection des PII.

Microsoft et la norme ISO/IEC 27018

Au moins une fois par an, Microsoft Azure et Azure Allemagne font l’objet d’un audit de conformité aux normes ISO/IEC 27001 et ISO/IEC 27018 par un organisme de certification tiers accrédité. Cet audit fournit une validation indépendante indiquant que les contrôles de sécurité applicables sont en place et fonctionnent efficacement. Dans le cadre du processus de certification de conformité, les auditeurs valident dans leur déclaration d’applicabilité que les services Microsoft Enterprise Cloud dans le périmètre et les services de support technique commercial ont incorporé des contrôles ISO/IEC 27018 pour la protection des PII dans Azure. Pour maintenir la conformité, les services de cloud computing Microsoft doivent être soumis à des révisions annuelles de tiers.

En suivant les normes de la norme ISO/IEC 27001 et le code de pratique de la norme ISO/IEC 27018, Microsoft démontre que ses politiques et procédures de confidentialité sont robustes et conformes à ses normes élevées.

  • Les clients des services de cloud computing Microsoft savent dans quel emplacement sont stockées leurs données. Du fait qu’ISO/IEC 27018 nécessite que des CSP certifiés informent les clients des pays dans lesquels leurs données peuvent être stockées, les clients des services de cloud computing Microsoft disposeront de la visibilité nécessaire pour se conformer à toutes les règles de sécurité des informations en vigueur.
  • Les données client ne seront pas utilisées à des fins de marketing ou de publicité sans consentement explicite. Certains CSP utilisent des données client pour leurs propres fins commerciales, y compris pour la publicité ciblée. Étant donné que Microsoft a adopté la norme ISO/IEC 27018 pour ses services cloud d’entreprise inclus, les clients peuvent être assurés que leurs données ne seront jamais utilisées à de telles fins sans consentement explicite, et que le consentement ne peut pas être une condition pour l’utilisation du service cloud.
  • Les clients Microsoft savent ce qui se passe avec leurs PII. ISO/IEC 27018 nécessite une stratégie qui permette le retour, le transfert et l’élimination sécurisée d’informations personnelles dans un délai raisonnable. Si Microsoft travaille avec d’autres sociétés qui ont besoin d’accéder à vos données client, Microsoft divulgue proactivement les identités de ces sous-traitants.
  • Microsoft se conformera uniquement à des requêtes ayant force de loi concernant la divulgation des données client. Si Microsoft doit se conformer à une telle demande (comme dans le cas d’une enquête criminelle), il en informera toujours le client, sauf si la loi l’interdit.

Plateformes cloud et services Microsoft dans l’étendue

  • Azure, Azure Gouvernement et Azure Allemagne
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 et Dynamics 365 Allemagne
  • Intune
  • Microsoft Defender for Cloud Apps
  • Services professionnels Microsoft : Premier et sur site pour Azure, Dynamics 365, Intune et pour les clients des entreprises moyennes et grandes de Microsoft 365 Entreprise
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Spécialistes des menaces Microsoft
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
  • Office 365 Allemagne
  • OMS Service Map
  • Power Automate (anciennement Microsoft Flow) : service Cloud soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud PowerApps : soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud Power BI : soit en service autonome, soit inclus dans un plan ou une suite Office 365
  • Power BI intégré
  • Power Virtual Agents
  • Microsoft Defender pour point de terminaison : détection et réponse des points de terminaison, examen automatique et correction, niveau de sécurité
  • Windows 365

Azure, Dynamics 365 et ISO/IEC 27018

Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services en ligne, consultez l’offre ISO/IEC 27018 Azure.

Office 365 et ISO ISO/IEC 27018

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 portail client, Office 365 microservices (y compris, mais sans s’y limiter, Kaizala, ObjectStore, Sway, Service de document PowerPoint Online, Service d’annotation de requête, School Data Sync, Siphon, Speech, StaffHub, programme d’application eXtensible), Office 365 Centre de sécurité & conformité, Office Online, Office Pro Plus, Infrastructure des services Office, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, Project Online, Chiffrement de service avec la clé client Microsoft Purview, SharePoint Online, Skype Entreprise, Stream
GCC ID Microsoft Entra, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Centre de conformité Office 365 sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream
GCC High ID Microsoft Entra, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise
DOD ID Microsoft Entra, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise

Audits, rapports et certificats Office 365

Les services cloud Microsoft et les services de support technique sont audités une fois par an pour le code de pratique ISO/IEC 27018 dans le cadre du processus de certification pour ISO/IEC 27001.

Foire aux questions

À qui ISO/IEC 27018 s'applique ?

Ce code de pratique s’applique aux fournisseurs de solutions Cloud qui traitent des informations d’identification personnelle sous contrat pour d’autres organisations. Chez Microsoft, il s’applique aussi au support de ces CSP.

Quelle est la différence entre « contrôleurs de traitement d’information personnelle » et « processeurs d’informations personnelles » ?

Dans le contexte d’ISO/IEC 27018 :

  • Les « contrôleurs » contrôlent la collecte, la conservation, le traitement ou l’utilisation des informations personnelles ; il s’agit des parties qui la contrôlent pour le compte d’une autre société.
  • Les « processeurs » traitent les informations pour le compte des contrôleurs ; ils ne prennent pas de décision quant à la façon d’utiliser les informations ou les objectifs du traitement. Microsoft, en tant que votre fournisseur, est un processeur d’informations dans la fourniture de ses services Cloud.

Où puis-je afficher les informations de conformité Office 365 pour ISO/IEC 27018 ?

  • Vous pouvez consulter les certificats ISO/IEC 27018 de BSI (auditeur indépendant qui a validé la conformité de Microsoft avec ISO/IEC 27018) pour Office 365.

Puis-je tirer parti de la conformité Microsoft dans le processus de certification de mon organisation ?

Oui. Si vous devez obtenir la conformité avec ISO/IEC 27018 pour votre entreprise et certaines implémentations déployées sur les services cloud entreprise dans la portée de Microsoft concernés, vous pouvez utiliser l’attestation de conformité de Microsoft pour la norme ISO/IEC 27018, ainsi que la certification de Microsoft pour la norme ISO/IEC 27001 dans votre évaluation de la conformité.

Toutefois, vous devez faire appel à un évaluateur pour évaluer votre implémentation en matière de conformité, ainsi que pour les contrôles et les processus au sein de votre propre organization.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources