Trace Id is missing
Passer directement au contenu principal
Microsoft 365
Se connecter

Centre de gestion de la confidentialité : informations relatives à la sécurité, la confidentialité et la conformité pour Office 365 et Microsoft Dynamics CRM Online

Conformité aux règlements

Microsoft s’engage-t-il à préserver la transparence pour aider ses clients à se conformer aux réglementations ?

Oui. Les clients d’Office 365 et de Microsoft Dynamics CRM Online du monde entier sont soumis aux différentes lois et réglementations. Les dispositions juridiques en vigueur dans un pays ou pour un domaine peuvent être incohérentes par rapport à celles d’un autre pays. En tant que fournisseur de services en cloud globaux, Microsoft doit exécuter ses services en utilisant les pratiques de fonctionnement et les fonctionnalités communes pour plusieurs clients et compétences. Pour aider ses clients à respecter leurs propres exigences, Microsoft a conçu ses services en tenant compte des pratiques communes en matière de sécurité et de confidentialité. Nos fonctionnalités intégrées simplifient la mise en conformité avec divers règlements et impératifs relatifs à la confidentialité.

Toutefois, il appartient aux clients d’évaluer les offres de Microsoft par rapport à leurs besoins et de déterminer si les services de Microsoft répondent à leurs besoins réglementaires. Microsoft s’engage à fournir à ses clients les informations détaillées sur ses services en cloud, pour les aider à effectuer leurs propres évaluations réglementaires.

Les informations relatives aux certifications qui peuvent contribuer à la conformité aux réglementations sont disponibles dans la section Sécurité, audits et certification.

Office 365 et Microsoft Dynamics CRM Online sont-ils conformes à mes dispositions réglementaires ?

Il vous incombe de respecter vos dispositions réglementaires. Microsoft vous fournit les informations pour vous aider à y parvenir.

Microsoft s’engage à respecter les lois relatives à la confidentialité et la protection des données qui s’appliquent en général aux fournisseurs de services informatiques. Si vous êtes soumis aux exigences en matière de compétence ou de secteur d’activité, vous devez effectuer l’évaluation de votre capacité de conformité. Toutefois, les clients exerçant l’activité dans de nombreux secteurs et pays ont constaté qu’ils peuvent utiliser Office 365 et Microsoft Dynamics CRM Online d’une manière qui leur permet de rester conformes aux réglementations en vigueur, à condition qu’ils utilisent les services d’une manière qui soit adaptée à leur situation particulière.

Par exemple, les organisations protégées par la Directive européenne sur la protection des données doivent disposer de leurs propres politiques, normes de sécurité et programme de formation au lieu de s’assurer que leurs employés n’utilisent pas les services Office 365 et Microsoft Dynamics CRM Online d’une façon qui constitue une violation de cette directive. Office 365 et Microsoft Dynamics CRM Online jouent le rôle qui incombe à Microsoft en respectant les promesses faites par Microsoft et de ce fait, en vous aidant à assurer la conformité.

Par exemple, un client de l’Union européenne stocke une liste comprenant les coordonnées des clients. Office 365 et Microsoft Dynamics CRM Onlinedisposent de procédures de sécurité garantissant que le personnel de Microsoft ne puisse pas accéder à tort à ces informations, ni les divulguer. Toutefois, l’un des employés du client, un utilisateur Microsoft Exchange Online, utilise le service pour envoyer cette liste des clients à un négociant, sans autorisation appropriée. Le client est tenu responsable de toute violation des exigences de protection de données de l’Union européenne qui résulte du fait qu’Office 365 et Microsoft Dynamics CRM Online sont allés dans le sens du client. Cela signifie que les services ont permis d’envoyer un message électronique dans le cadre de la prestation habituelle des services.

Si je me trouve en Europe, puis-je utiliser Office 365 et Microsoft Dynamics CRM Online légalement ?

Conformément à la loi européenne sur la protection des données et aux engagements contractuels pris entre vous et Microsoft, Office 365 et Microsoft Dynamics CRM Online assurent le rôle de conservateur de vos données, principalement de sous-traitant (la loi qualifie Microsoft de « responsable du traitement des données »).

Vous, le client, êtes le propriétaire de vos données et assumez la responsabilité en vertu de la loi pour garantir que Microsoft respecte les règles, et que vous êtes autorisé, sur le plan juridique, à envoyer les données personnelles à Microsoft (la loi vous qualifie de « contrôleur de données »). Vous êtes tenu de déterminer pour le compte de votre entreprise, si, dans votre situation donnée, vous êtes autorisé à utiliser les services de Microsoft pour traiter et stocker vos données personnelles.

Les exigences de la Directive européenne sur la protection des données ont été prises en compte lors de la conception et de la gestion des services Microsoft dans les conditions d’utilisation normales. De plus, Microsoft continue à surveiller ce domaine pour détecter toute modification en rapport avec l’évolution des services.

Microsoft dispose également d’une autocertification au programme de la « sphère de sécurité » des États-Unis et de l’Union Européenne et d’une autocertification presque identique au programme de la « sphère de sécurité» des États-Unis et de la Suisse, tels qu’ils ont été convenus par l’Union européenne, le Département du Commerce des États-Unis et la Suisse. Microsoft est ainsi soumis aux exigences de la Directive européenne sur la protection des données et peut légalement transférer les données hors de l’Union européenne pour la prestation des services Office 365 et Microsoft Dynamics CRM Online. La certification de Microsoft aux principes de la « sphère de sécurité » est disponible sur le site http://safeharbor.export.gov/. Certains clients ayant besoin de garanties plus solides que celles fournies par l’autocertification au programme de la « sphère de sécurité », Microsoft est disposé à signer le modèle de clauses européen (également appelé « clauses contractuelles standard ») avec tous les clients. Pour plus d’informations sur le transfert de données hors de l’Union européenne, consultez la section Cartes des données du Centre de gestion de la confidentialité.

Dans certains pays, Microsoft respecte également les exigences de sécurité pour le stockage des données personnelles sensibles, tel que la loi l’exige. Pour tout problème concernant les règles de votre pays ou le type de données que vous stockez, ou pour plus d’informations sur les pratiques et les fonctionnalités prises en charge d’Office 365 et Microsoft Dynamics CRM Online, contactez le support technique si vous n’avez pas pu trouver ces informations dans la documentation de service. Dans la mesure où la divulgation d’informations utiles ne porte pas atteinte à la sécurité, Microsoft procédera ainsi pour vous aider à vous décider concernant l’acceptabilité de l’implémentation d’Office 365 ou Microsoft Dynamics CRM Online par rapport à vos besoins.

Vous devez lire les questions courantes relatives à la conformité et comprendre que juste le fait qu’Office 365 et Microsoft Dynamics CRM Online permettent à votre organisation de respecter les lois en matière de confidentialité ne garantit pas la conformité de votre entreprise. Vous devez en outre suivre les étapes supplémentaires, telles que la mise en œuvre des politiques appropriées et la formation des employés aux bonnes pratiques en matière de confidentialité. Selon votre pays, vous devez suivre des étapes supplémentaires afin de respecter la législation locale, telle que le dépôt d’informations auprès de votre agence de protection des données.

Les données client qui sont traitées par Office 365 ou Microsoft Dynamics CRM Online sont-elles enregistrées par les autorités de l’Union européenne ?

Non. En tant que responsables du traitement des données, Office 365 et Microsoft Dynamics CRM Online n’enregistrent pas en collaboration avec les autorités de l’Union européenne les données client traitées pour le compte de clients Microsoft.

Office 365 et Microsoft Dynamics CRM Online sont-ils conformes aux exigences de la loi HIPAA (Health Insurance Portability and Accountability Act) ? Microsoft signera-t-il un contrat HIPAA Business Associate Agreement (BAA) ?

Microsoft aide ses clients à se conformer à la loi HIPAA et est disposé à signer un contrat HIPAA BAA avec tous les clients. Pour plus d’informations, reportez-vous au FAQ HIPAA/HITECH.

Office 365 et Microsoft Dynamics CRM Online sont-ils conformes à la loi américaine GLB (Graham Leach Bliley) ?

Office 365 et Microsoft Dynamics CRM Online permettent aux clients de respecter les exigences de sécurité de la loi GLBA en fournissant des sauvegardes techniques et organisationnelles afin que les clients puissent maintenir la sécurité et empêcher toute utilisation non autorisée.

Microsoft fournit, sur demande, un rapport récapitulatif d’une certification de tiers réalisée par un auditeur indépendant aux clients.

Office 365 et Microsoft Dynamics CRM Online sont-ils conformes à la norme PCI DSS (Payment Card Industry Data Security Standard) ? Puis-je héberger les données relatives aux cartes de crédit sur les services Microsoft ?

Office 365 et Microsoft Dynamics CRM Online ne prennent pas en charge le traitement, le transfert ou le stockage des données PCI, tels que les numéros de carte de crédit.

La norme PCI ne s’applique pas à Office 365 et Microsoft Dynamics CRM Online, car ceux-ci ne proposent aucune fonction de traitement des cartes de crédit et de stockage des données. Office 365 et Microsoft Dynamics CRM Online implémentent en effet les contrôles et les politiques de sécurité en vigueur, définis par les meilleures pratiques du secteur, telles que la norme ISO 27001 et autres.

Notez, toutefois, que les systèmes de commande, de facturation et de paiement d’Office 365 et Microsoft Dynamics CRM Online qui traitent les données relatives aux cartes de crédit sont conformes à One PCI. Les clients peuvent ainsi utiliser leurs cartes de crédit pour régler les services en toute sécurité.

Office 365 est-il conforme à la loi américaine FERPA (Family Educational Rights and Privacy Act) ?

Si les établissements d’enseignement sont soumis à diverses obligations dans le cadre de la loi FERPA, Microsoft stipule les principales dispositions contractuelles qui régissent l’utilisation et la divulgation des dossiers éducatifs stockés dans Office 365 et permet aux établissements d’utiliser Office 365 dans le cadre d’une stratégie de conformité globale en relation avec la loi FERPA.

La loi FERPA impose aux établissements d’enseignement subventionnés par le Département de l’Éducation des États-Unis de protéger les droits des étudiants en matière de confidentialité en empêchant l’utilisation et la divulgation non autorisées des « dossiers éducatifs ». Les directives du Département de l’Éducation stipulent clairement que les communications par courrier électronique sont considérées comme des dossiers éducatifs soumis à la loi FERPA et que les fournisseurs de messagerie électronique en cloud doivent être soumis aux mêmes restrictions en matière d’utilisation et de divulgation d’informations dans les courriers électroniques et documents. 

La loi FERPA impose aux fournisseurs de cloud de s’engager à n’utiliser les « dossiers éducatifs » contenus dans les messages électroniques et autres documents électroniques des enseignants, membres du personnel et étudiants qu’aux seules fins de la prestation du service en cloud et, à ne pas numériser ni utiliser ces informations dans le cadre d’activités commerciales, notamment publicitaires. Microsoft aide les établissements d’enseignement à se conformer à la loi FERPA en les invitant à désigner un « représentant » soumis à la loi FERPA et ayant des « intérêts éducatifs légitimes » en relation avec les données de l’établissement, et en acceptant de se soumettre aux limitations et conditions imposées aux représentants d’établissement par la loi FERPA, notamment en s’engageant à ne pas numériser les courriers électroniques et documents de l’établissement à des fins publicitaires.