Partager via


Aperçu sur la gestion des fournisseurs

Microsoft collabore avec des sociétés tierces pour répondre aux besoins de nos clients. Ces sociétés tierces sont appelées fournisseurs. La sécurité et la confidentialité des fournisseurs chez Microsoft sont régies par notre programme SSPA (Supplier Security and Privacy Assurance), un ensemble d’exigences à l’échelle de l’entreprise pour tous les fournisseurs qui collaborent avec Microsoft pour fournir nos services en ligne. Bien que le programme SSPA assure une gouvernance et une gestion complètes de notre base de fournisseurs, les unités commerciales individuelles peuvent maintenir des exigences supplémentaires pour leurs fournisseurs.

Comment le programme SSPA (Supplier Security and Privacy Assurance) de Microsoft protège-t-il les données client ?

SSPA est un partenariat entre Microsoft Procurement, Corporate External and Legal Affairs et Corporate Security pour s’assurer que les fournisseurs respectent les principes de confidentialité et de sécurité de Microsoft. L’étendue de SSPA couvre tous les fournisseurs qui traitent des données personnelles ou des données confidentielles Microsoft. L’inscription au programme SSPA inclut le respect des exigences de protection des données (DPR) de Microsoft. La DPR se compose de contrôles de sécurité et de confidentialité que les fournisseurs doivent implémenter avant de commencer à travailler sous contrat avec Microsoft. Tous les fournisseurs inscrits témoignent eux-mêmes de la conformité à la DPR chaque année.

Les exigences DPR sont étendues en fonction de six catégories de traitement de données distinctes pour lesquelles un fournisseur peut être approuvé dans le cadre de son inscription dans SSPA. Ces catégories sont utilisées pour identifier le risque associé aux services qu’un fournisseur fournit à Microsoft. Le profil de traitement des données du fournisseur détermine quels contrôles DPR sont considérés comme dans l’étendue pour fournir une protection appropriée des données. Les fournisseurs qui traitent des données considérées comme présentant un risque plus élevé doivent se conformer à toutes les exigences de DPR et peuvent également avoir besoin de fournir une vérification indépendante de la conformité. Les outils d’achat Microsoft valident les status SSPA de tous les fournisseurs, y compris la conformité aux parties applicables du DPR, avant d’autoriser l’approvisionnement de ce fournisseur.

Quels types de sous-traitants fournissent des services pour Microsoft ?

Un « sous-traitant » est un tiers que Microsoft engage dont les tâches incluent le traitement des données personnelles Microsoft pour lesquelles Microsoft est un sous-traitant. Les sous-traitants de Microsoft se répartissent en trois catégories. Chacun doit démontrer la conformité avec la SSPA avant de pouvoir traiter les données client au nom de Microsoft.

  • Les sous-traitants technologiques qui alimentent les technologies intégrées de manière transparente à Microsoft services en ligne et alimentent en partie les fonctions cloud de Microsoft. Si un client déploie l’un de ces services, les sous-traitants identifiés pour ce service peuvent traiter, stocker ou autrement accéder aux données client ou aux données personnelles tout en aidant à fournir ce service.
  • Sous-traitants auxiliaires qui fournissent des services pour aider à prendre en charge, exploiter et maintenir services en ligne. Dans ce cas, les sous-traitants identifiés peuvent traiter, stocker ou autrement accéder aux données client et aux données personnelles (constituées d’identificateurs personnels pseudonymes) tout en fournissant leurs services auxiliaires.
  • Les organisations de personnel contractuel fournissent des employés contractuels qui travaillent côte à côte avec les employés à temps plein de Microsoft pour exploiter, fournir et gérer les services en ligne Microsoft. Dans tous ces cas, les données client ou les données personnelles résident uniquement sur les systèmes Microsoft et sont soumises aux stratégies et à la supervision de Microsoft.

En outre, les entités d’infrastructure du centre de données Microsoft fournissent l’infrastructure de centre de données sur laquelle les services en ligne Microsoft s’exécutent. Les données dans les centres de données sont chiffrées, et aucun personnel au sein des centres de données ne peut y accéder.

La technologie et les tiers auxiliaires sont tenus d’implémenter des contrôles d’accès conformément aux exigences de protection des données (DPR) de Microsoft. Ces exigences respectent ou dépassent les engagements contractuels que Microsoft prend envers ses clients dans les Conditions du produit. Les fournisseurs qui effectuent un travail de personnel contractuel sont soumis aux mêmes contrôles d’accès en place pour les employés à temps plein de Microsoft.

Comment Microsoft intègre-t-il les fournisseurs ?

Les fournisseurs tiers doivent signer un Contrat-cadre Microsoft dans le cadre du processus d’intégration. Ce contrat régit la relation entre Microsoft et ses fournisseurs et garantit une gestion cohérente des relations avec les fournisseurs. Dans le cadre de l’intégration, les fournisseurs s’inscrivent à la SSPA et doivent remplir toutes les exigences applicables avant de pouvoir être approuvés pour les catégories de traitement des données. Les unités commerciales Microsoft ne peuvent créer des engagements avec des fournisseurs que lorsque l’activité de traitement des données pour l’engagement correspond aux catégories de traitement des données pour lesquelles le fournisseur a été approuvé.

Comment Microsoft informe-t-il les clients des modifications apportées aux fournisseurs qui traitent leurs données ?

Conformément à l’Addendum sur la protection des données (DPA) microsoft, Microsoft prend des engagements supplémentaires concernant les délais de préavis pour l’ajout de tout sous-traitant. Notez que les délais dépendent du type de données que le sous-traitant traitera pour le compte de Microsoft. Comme indiqué dans le DPA, Microsoft s’engage à fournir une notification aux clients au moins six mois à l’avance de tout nouveau sous-traitant qui traitera les données client. Pour toutes les autres données personnelles, Microsoft fournira un préavis d’au moins 30 jours. L’avis est fourni par la mise à jour de la liste des sous-traitants Microsoft Online Services.

Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau ci-dessous pour la validation des contrôles liés à la gestion des fournisseurs.

Azure et Dynamics 365

Audits externes Section Date du dernier rapport
ISO 27001

Déclaration d’applicabilité
Certificat
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs 8 avril 2024
ISO 27017

Déclaration d’applicabilité
Certificat
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs 8 avril 2024
ISO 27018

Déclaration d’applicabilité
Certificat
A.8.1 : Divulgation du traitement des informations personnelles sous-traitées 8 avril 2024
SOC 2
SOC 3
SOC2-25 : Gestion des risques des fournisseurs
C5-2 : Examen du profil de risque du fournisseur
20 mai 2024

Microsoft 365

Audits externes Section Date du dernier rapport
FedRAMP CA-3 : Interconnexions de systèmes
IA-4 : Gestion des identificateurs
PS-6 : Contrats d’accès
PS-7 : Sécurité du personnel tiers
SA-4 : Processus d’acquisitions
SA-9 : Services de système d’information externes
SA-12 : Protection de la chaîne d’approvisionnement
21 août 2024
ISO 27001/27017

Déclaration d’applicabilité
Certification (27001)
Certification (27017)
A.15.1 : Sécurité des informations dans les relations avec les fournisseurs Mars 2024
ISO 27018

Déclaration d’applicabilité
Certificat
A.8.1 : Divulgation du traitement des informations personnelles sous-traitées Mars 2024
SOC 2 CA-53 : Supervision tierce 23 janvier 2024

Ressources