Demandes des personnes concernées du Support Microsoft et des services professionnels concernant le RGPD et le CCPA
Présentation des services professionnels Microsoft
Microsoft Professional Services comprend un groupe diversifié d’architectes techniques, d’ingénieurs, de consultants et de professionnels du support technique qui se consacrent à la réalisation de la mission de Microsoft, qui consiste à donner aux clients les moyens d’en faire plus et d’en faire plus. Notre équipe de services professionnels comprend plus de 21 000 consultants, conseillers numériques, support unifié, ingénieurs et professionnels des ventes travaillant dans 191 pays. Notre équipe prend en charge 46 langues différentes, gère plusieurs millions d’engagements par mois et s’engage dans les interactions avec les clients et les partenaires via des outils locaux, téléphoniques, web, communautaires et automatisés. La organization apporte une vaste expertise dans l’ensemble du portefeuille Microsoft, en utilisant un vaste réseau de partenaires, de communautés techniques, d’outils, de diagnostics et de canaux qui nous connectent avec nos clients d’entreprise.
Pour en savoir plus sur les services professionnels Microsoft, consultez la page web de la documentation sur l’approbation des services professionnels Microsoft. Le Support Microsoft et les Services professionnels Microsoft prennent au sérieux les obligations imposées par le Règlement général sur la protection des données (RGPD). Les informations contenues dans ce document sont conçues pour répondre aux questions des clients sur la façon dont les offres de support et de conseil de Microsoft répondent et aident les clients à répondre aux obligations de demande de personne concernée (DSR) en vertu du RGPD.
Présentation des DPC
Le RGPD accorde aux personnes (appelées personnes concernées par le règlement) le droit de gérer les données personnelles collectées par un employeur ou un autre type d’agence ou de organization (connu sous le nom de responsable du traitement des données ou simplement de contrôleur). Dans le RGPD, les données personnelles sont définies de façon générale comme toute donnée relative à une personne physique identifiée ou identifiable. Le RGPD accorde aux personnes concernées des droits spécifiques sur leurs données personnelles. Ces droits incluent l’accès, la correction, l’opposition au traitement et la suppression. Une demande officielle d’une personne concernée à un responsable du traitement pour effectuer une action sur ses données personnelles est appelée demande de droits de la personne concernée ou DPC dans le présent document. En outre, elle oblige les entreprises travaillant pour le compte d’un responsable du traitement (appelé sous-traitant dedonnées) à aider raisonnablement le responsable du traitement à respecter les DSR.
De même, le CCPA (California Consumer Privacy Act) prévoit des droits de confidentialité et des obligations pour les consommateurs de la Californie, y compris des droits similaires aux droits des personnes concernées en vertu du RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles. Le CCPA prévoit également des publications d’informations, des protections contre la discrimination des personnes faisant usage de leurs droits et la possibilité d’opter pour ou contre certains transferts de données classés en tant que « ventes ». Les ventes sont largement définies pour inclure le partage de données à des fins importantes. Pour plus d’informations sur le CCPA, voir le California Consumer Privacy Act et le Forum aux questions California Consumer Privacy Act.
Ce guide décrit comment rechercher des données personnelles résidant dans des systèmes informatiques Microsoft et ayant pu être collectées pour fournir des offres du support et d’autres services professionnels. Il décrit également comment accéder à ces données et les exploiter.
Lors de l’élaboration d’une réponse pour les DSR, il est important que les clients de Microsoft comprennent que les données des services professionnels sont distinctes des données client dans leurs locataires de services en ligne ou d’autres données qu’ils ou leurs personnes concernées peuvent avoir fournies à Microsoft. Les outils et processus, tels que ceux fournis pour les services en ligne ou le tableau de bord de confidentialité Microsoft, ne peuvent pas être utilisés pour répondre aux DSR pour les données personnelles détenues par Support Microsoft ou d’autres services professionnels.
Toutes les demandes doivent être effectuées par l’intermédiaire d’un représentant du support technique, comme décrit plus loin dans cet article. Actuellement, il n’existe aucun outil libre-service permettant aux clients d’accéder aux données personnelles au sein des organisations de services professionnels.
Vue d’ensemble des processus décrits dans ce guide
- Découvrir : utilisez les outils de recherche et de détection pour rechercher plus facilement les données du client qui peuvent faire l’objet d’une demande DPC. Une fois que vous avez collecté les documents susceptibles de répondre à la demande, vous pouvez effectuer une ou plusieurs des actions DPC décrites ci-après. Vous pouvez également décider que la demande ne satisfait pas aux directives de votre organisation en termes de réponse à une demande DPC.
- Accéder : récupérez des données à caractère personnel qui résident dans le cloud Microsoft et, si nécessaire, effectuez-en une copie pour la personne concernée.
- Rectifier : modifiez ou mettez en œuvre d’autres actions demandées sur les données à caractère personnel, le cas échéant.
- Limiter : limiter le traitement des données personnelles en supprimant les licences de différents services Azure ou en désactivant les services souhaités lorsque c’est possible. Vous pouvez également supprimer les données du cloud Microsoft et les conserver localement ou à un autre emplacement.
- Supprimer : supprimez définitivement des données à caractère personnel qui résidaient dans le cloud Microsoft.
- Exporter/Recevoir (Portabilité) : fournit une copie électronique (dans un format lisible par un ordinateur) des données ou des informations personnelles à la personne concernée. Les informations à caractère personnel sous CCPA englobent toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Le terme défini « informations personnelles » est à peu près aligné sur celui de « données personnelles » dans le RGPD. Toutefois, le CCPA inclut également les données relatives à la famille et au foyer. Pour plus d’informations sur le CCPA, voir le California Consumer Privacy Act et le Forum aux questions California Consumer Privacy Act.
Terminologie
Voici quelques définitions pertinentes des termes du RGPD pour ce guide :
- Responsable du traitement des données : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par la législation de l’Union ou des États membres, le responsable du traitement peut être désigné, ou les critères spécifiques relatifs à sa nomination être définis, par la législation de l’Union ou des États membres.
- Sous-traitant : une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement.
- Données personnelles et personne concernée : Toute information relative à une personne physique identifiée ou identifiable (« personne concernée »). Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identificateur tel qu’un nom, un numéro d’identification, des données de localisation, un identificateur en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
Définitions et termes supplémentaires pouvant être utiles pour comprendre ce guide
- Données des services professionnels : Toutes les données, y compris tous les fichiers texte, audio, vidéo, image ou logiciels, qui sont fournies à Microsoft par ou pour le compte du Client (ou que le Client autorise Microsoft à obtenir à partir d’un Produit) ou autrement obtenues ou traitées par ou au nom de Microsoft par le biais d’un engagement avec Microsoft pour obtenir des services professionnels.
- Données de contact client : Les données personnelles qui peuvent faire partie de votre relation commerciale avec Microsoft, telles que les données personnelles contenues dans vos informations de contact client. Les données de contact client peuvent inclure votre nom, votre adresse e-mail ou votre numéro de téléphone du Service Manager contrat Premier (CSM), l’administrateur général ou informatique d’un service en ligne ou des rôles similaires.
- Données pseudonymes: lorsque vous utilisez le support Microsoft pour les produits et services professionnels de Microsoft, Microsoft génère des informations liées à un identificateur numérique Microsoft pour fournir le support. Ces informations sont souvent appelées « données pseudonymes ». Bien que ces données ne puissent pas être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, certaines d’entre elles peuvent être considérées comme personnelles selon la définition large du RGPD pour les données personnelles. Dans les services professionnels, les demandes de remplir ou d’aider à satisfaire les DPCs incluent toujours automatiquement les données pseudonymes.
Comment utiliser ce guide
Ce guide décrit quatre scénarios qu’un client peut rencontrer s’il a utilisé les services professionnels Microsoft.
- DSR pour un contact client impliquant Microsoft : Explication de la façon dont Microsoft répond aux demandes d’un contact client ou d’un administrateur informatique pour exercer ses droits de personne concernée.
- DSR pour un End-User Microsoft attrayant : Explication de la façon dont Microsoft répond aux demandes des employés d’un client ou d’autres personnes concernées par les données pour exercer leurs droits.
- DSR pour les données fournies par le client : Support commercial : Informations sur la façon de recevoir l’aide de Microsoft lorsqu’un client a reçu une demande de son employé ou d’autres personnes concernées pour exercer ses droits, et que les données personnelles de cette personne concernée ont été collectées par Support Microsoft lors d’un engagement de support.
- DSR pour les données fournies par le client : Services de conseil, y compris FastTrack Migration Services : Informations sur la façon de recevoir de l’aide de Microsoft lorsqu’un client a reçu une demande de la part de son employé ou d’autres personnes concernées pour exercer ses droits, et que les données personnelles de cette personne concernée ont été collectées par Microsoft lors d’un engagement de conseil.
DPC pour un contact client impliquant Microsoft
Comment Microsoft répond aux demandes d’un contact client ou d’un administrateur informatique d’exercer ses droits de personne concernée.
Lorsqu’un client collabore avec Microsoft pour recevoir des services de support ou de conseil, Support Microsoft collecte ou récupère automatiquement à partir des enregistrements de compte les données personnelles du contact client (par exemple, CSM, Global Administration, IT Administration). Ces données incluent probablement le nom, l’adresse e-mail et d’autres données à caractère personnel de la personne sollicitant des services de support ou de conseil.
Les données personnelles du contact client font partie de la relation commerciale de Microsoft avec le client, et Microsoft est le contrôleur de données, sauf lorsque ces données sont collectées dans le cadre du support technique. Microsoft répond aux DSR du contact client concernant ses données personnelles, qu’il soit toujours avec le organization.
En cas de collecte des données personnelles du contact client dans le cadre du support technique, Microsoft est le sous-traitant.
Les clients doivent comprendre que la DSR couvre uniquement les données personnelles du contact client, et qu’aucune modification ou suppression n’est apportée aux données du client soumises dans le cadre d’engagements (par exemple, transcriptions, descriptions de cas, fichiers, produit de travail), car Microsoft est le responsable du traitement des données. En outre, pour conserver l’enregistrement de l’historique des engagements, aucune modification ne sera effectuée sur des engagements fermés (y compris l’enregistrement indiquant la personne ayant ouvert un engagement).
À la réception d’une demande d’un contact client concernant un DSR où Microsoft est le contrôleur de données, le personnel de Microsoft renvoie le contact client au Centre de réponse à la confidentialité. Il s’agit du mécanisme d’entrée principal de Microsoft pour les demandes et les plaintes concernant la confidentialité. Lors de la réception d’une demande, le Centre de réponse à la confidentialité identifie qu’il s’agit d’un compte commercial ou organisationnel et répond en conséquence.
Lorsque Microsoft est le processeur de données, consultez DSR pour les données fournies par le client : Support commercial ci-dessous.
Les clients peuvent choisir d’apporter des modifications à leurs données collectées pendant les engagements de services professionnels par le biais de canaux de support ou de conseil normaux, distincts de cette DSR. Pour instance, Microsoft peut vous aider à mettre fin aux engagements de support, sur demande (consultez la section Guide DSR pour les données fournies par le client).
DPC pour un utilisateur final contactant Microsoft
Comment Microsoft répond aux demandes provenant des employés d’un client ou d’autres personnes concernées d’exercer leurs droits.
Si l’employé d’un client ou une autre personne concernée contacte Microsoft pour exercer ses droits sur les données collectées par Microsoft en tant que responsable du traitement des données, la personne concernée sera informée qu’elle doit contacter le client de Microsoft, en tant que responsable du traitement des données, pour exercer ces droits. Microsoft n’effectue aucune autre action.
Si la personne concernée a également contacté Microsoft pour exercer ses droits sur les données collectées par Microsoft dans les situations où Microsoft est le responsable du traitement des données (par exemple, le support consommateur), Microsoft répondra séparément à la demande de droits de la personne concernée pour ces données personnelles.
DPC pour des données fournies par un client : support commercial
Découvrez comment recevoir une assistance de Microsoft lorsqu’un client a reçu une demande de son employé ou d’une autre personne concernée d’exercer ses droits, et que les données personnelles de cette personne concernée ont été collectées par le support Microsoft pendant un engagement du support.
Lorsqu’un client s’engage avec Support Microsoft, Microsoft collecte des données de support auprès du client pour résoudre les problèmes qui nécessitaient l’engagement de support. Ces données de support incluent les interactions de Microsoft avec le client (par exemple, conversation, téléphone, courrier électronique, envoi Web), ainsi que les fichiers de contenu que le client envoie à Microsoft ou que Microsoft a extrait, avec l’autorisation du client, de l’environnement informatique du client ou du client de services en ligne pour résoudre le problème de support. Dans le cas du support unifié, cela inclut également toutes les données que nous collectons auprès du client pour prévenir de manière proactive les problèmes futurs. Toutefois, cela exclut les autres informations des relations professionnelles de Microsoft avec le client (par exemple, les enregistrements de facturation).
Microsoft est le processeur de toutes les données de support et de contact collectées dans le cadre du support technique. Par conséquent, Microsoft ne répondra pas aux demandes directes des personnes concernées concernant les données de support fournies lorsqu’elles étaient associées à un client commercial Microsoft. Les clients doivent contacter leur responsable de compte Réussite client (CSAM) pour obtenir de l’aide.
Étape 1 : Découvrir
La première étape pour obtenir de l’aide de Microsoft en répondant à un DPC consiste à trouver les données personnelles faisant l’objet de la demande. Cette première étape, rechercher et réviser les données personnelles en cause, permet au client de déterminer si un DPC répond aux besoins de l’organisation en matière de respect ou de refus d’un DPC.
Une fois que le client a trouvé les données, il peut effectuer l’action spécifique pour satisfaire la demande de la personne concernée. L’identification de ce que le client tente de faire détermine le niveau de découverte dans lequel le client doit s’engager.
Lorsque Microsoft aide un client à résoudre un DSR, il s’agit d’une fonction métier, et la demande est effectuée via votre canal de support standard.
Lorsqu’il découvre les données pertinentes et obtient l’assistance de Microsoft, un client dispose de plusieurs options pour résoudre la DPC :
Option A : DPC support technique chez Microsoft. Appliquez la DSR à toutes les données de support du client dans l’environnement de support microsoft. Pour ce faire, un client peut simplement demander à Microsoft d’appliquer la DSR à toutes les données de support collectées.
Option B : engagements de client spécifiques. Utilisez les systèmes en ligne pour passer en revue les tickets, puis identifiez les engagements spécifiques contenant les données personnelles pertinentes et signalez-les à Microsoft. Microsoft tente de fournir une assistance pour effectuer une recherche si le client n’a pas la possibilité de rechercher entre les engagements (tickets).
Une fois que les engagements sont identifiés, demandez d’appliquer la DPC à une partie spécifique de l’enregistrement ou à tout ce qui est lié à cet engagement dans Microsoft.
Pour identifier des engagements spécifiques, les clients doivent effectuer des recherches dans l’ensemble de leurs engagements. Pour les clients unifiés, le compte de réussite du client (« CSAM ») pour un client offre une visibilité sur toutes les demandes de support créées dans le cadre de la planification du contrat du client. Pour les portails d’engagement de support non unifiés, des portails d’engagement de support équivalents sont disponibles, par exemple via les zones de support des services en ligne.
Le CSM peut accéder au portail à l’adresse Services Hub, puis choisir de gérer toutes les demandes de support.
Importante
En plus de l’historique des cas dans le Services Hub, les clients peuvent également avoir des données personnelles d’un utilisateur final dans des fichiers qui ont été collectés par Microsoft (ou, avec l’autorisation du client, supprimés du service en ligne) pendant un engagement de support. Les exemples peuvent inclure des copies des boîtes aux lettres Exchange du client, des machines virtuelles Azure ou des bases de données. Ces données personnelles peuvent ou non être mentionnées dans l’historique des cas (par exemple, ticket) pour un engagement particulier. Pour réviser ces données, le contact client doit être un contact de demande de prise en charge spécifique authentifié (via AAD ou MSA) qui a reçu une URL pour un espace de travail dans Microsoft support Microsoft Data Transfer and Management Tool (DTM). Un contact client a accès aux fichiers, mais aucun affichage global n’est disponible et Services Hub n’indique pas si des fichiers existent.
Lorsque les clients ont identifié toutes les données pertinentes dans les tickets de support sélectionnés, les clients peuvent choisir de demander la suppression de tous les éléments liés à un ticket ou d’appliquer de façon sélective la DPC à des instances individuelles des données personnelles.
Étape 2 : Accéder
Une fois qu’un client a trouvé des données de support contenant des données personnelles potentiellement réactives à une DSR, il lui appartient de décider des données personnelles à inclure dans la réponse. Par exemple, le client peut choisir de supprimer les données personnelles concernant d’autres personnes concernées et toute information confidentielle.
La réponse à la DSR peut inclure une copie du document réel, une version rédigée de manière appropriée ou une capture d’écran des parties que le client a jugées appropriées à partager. Pour chacune de ces réponses à une demande d’accès, le client doit récupérer une copie du document ou d’un autre élément qui contient les données réactives.
L’accès aux données personnelles d’un utilisateur final peut provenir d’une mention ou d’une notation dans les différents types de documentation de contenu. Étant donné que les clients peuvent accéder au ticket d’engagement et au contenu, ils peuvent fournir un résumé des données personnelles eux-mêmes sans l’aide de Microsoft.
Dans de rares cas, le client peut avoir besoin des copies des données d’interaction du support (par exemple, des e-mails, des copies transcrites d’enregistrements téléphoniques, des transcriptions de conversation) entre un représentant Microsoft et le représentant du client. Dans la mesure requise, Microsoft peut fournir des copies rédigées de ces transcriptions en fonction des besoins, du niveau de confidentialité et de la difficulté.
Étape 3 : Rectifier
Si une personne concernée a demandé au client de rectifier les données personnelles qui résident dans les données de support de son organization, le client doit déterminer s’il est approprié d’honorer la demande. Si le client choisit d’honorer la demande, il peut demander à Microsoft d’apporter la modification. Microsoft peut rectifier les données ou supprimer les données du client des systèmes de support et demander au client de les renvoyer à Microsoft dans un format corrigé.
Étape 4 : Restreindre
À tout moment, le client peut fermer un engagement ou contacter Microsoft et demander de fermer l’engagement. Un engagement fermé empêche tout travail d’être effectué.
Étape 5 : Supprimer
Le «droit à l’effacement» par la suppression des données personnelles des données client des données support d’une organisation est une protection essentielle du RGPD. La suppression de données personnelles inclut la suppression d’engagements, de documents ou de fichiers complets, ou la suppression de données spécifiques au sein d’un engagement, d’un document ou d’un fichier.
Voici quelques points importants à comprendre sur le fonctionnement de la suppression pour le support Microsoft lorsqu’un client examine des données personnelles ou se prépare à les supprimer en réponse à une DPC.
Chez Microsoft, toutes les données disposent d’une politique de rétention et de suppression qui leur est appliquée et qui varie selon les risques et d’autres facteurs.
Les clients qui demandent la suppression des données personnelles d’une personne concernée de manière universelle dans les systèmes de support peuvent le faire par le biais de votre responsable de compte de réussite client (CSAM) ou en déposant une demande de support (SR) dans le Services Hub ou un système équivalent. Vous devez indiquer qu’il s’agit d’une demande d’assistance concernant une DPC en vertu du RGPD.
Option A : DPC support technique chez Microsoft. Pour une DSR inter-système, le client doit fournir les données personnelles dont Microsoft a besoin pour identifier les données requises (par exemple, adresse e-mail, numéro de téléphone). Microsoft ne met pas en corrélation ou ne recherche pas d’enregistrements et recherche uniquement directement sur les identificateurs fournis par le client. Lorsque des données sont trouvées, Microsoft supprime tous les engagements et toutes les données associées.
Remarque importante : cela peut entraîner la perte d’enregistrements historiques importants pour la organization du client.
Option B : engagements de client spécifiques. Pour les engagements spécifiques que le client a identifiés et souhaite supprimer, ne supprimez pas les tickets du Services Hub. Il en résulte que les données personnelles restent dans les journaux et les systèmes en aval qui peuvent ne pas être supprimés dans le délai nécessaire. Au lieu de cela, identifiez le ticket ou les données personnelles dans le ticket qui doit être supprimé, et contactez le support Microsoft pour vous aider à supprimer ces données.
Instructions relatives à l’outil de gestion et de transfert des données du support Microsoft (DTM)
Pour toutes ces recherches, Microsoft ne recherche pas dans DTM en raison de la sensibilité potentielle du contenu dans les fichiers. Toutefois, si le client le souhaite, Microsoft supprime tous les fichiers contenus dans DTM associé au compte du client. En raison du risque d’impact grave sur le client, Microsoft nécessite une demande distincte du client spécifiant la suppression des fichiers DTM.
- Pour les cas ouverts ou pour les cas fermés moins de 90 jours avant, le contact client peut accéder à la DTM et supprimer des fichiers.
- Par défaut, les fichiers sont automatiquement supprimés 90 jours après la fermeture du cas.
- Les clients doivent également demander à Microsoft de case activée entre les systèmes pour les données personnelles, car les fichiers sont parfois copiés de DTM vers d’autres systèmes à des fins de diagnostic via leur CSAM ou via le Centre de réponse à la confidentialité.
Étape 6 : Exporter
Le « droit à la portabilité des données » permet à une personne concernée de demander une copie de ses données personnelles dans un format électronique et de demander à votre organization de les transmettre à un autre responsable du traitement. Dans le cas des données de support, toutes les informations utilisables que Microsoft possède se présenteront sous la forme d’informations d’engagement ou de fichiers qui peuvent vous être retournés pour une re-communication ou un chargement vers un autre contrôleur.
Remarque : les données exportées peuvent ne pas inclure la propriété intellectuelle de Microsoft ou les données qui peuvent compromettre la sécurité ou la stabilité du service.
DPC pour des données fournies par un client : services de conseil incluant les services de migration
Découvrez comment recevoir une assistance de Microsoft lorsqu’un client a reçu une demande de son employé ou d’une autre personne concernée d’exercer ses droits, et que les données personnelles de cette personne concernée ont été collectées par Microsoft pendant un engagement du conseil.
Solutions par secteur
Pour les engagements relatifs aux solutions industrielles sous contrat dans le cadre de l’addendum sur la protection des données (DPA) microsoft products and services (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA).
Microsoft est le contrôleur de données pour les contacts clients travaillant avec l’équipe d’engagement. Ces personnes doivent contacter le Centre de réponse à la confidentialité pour respecter les droits des personnes concernées par les données.
Microsoft est le processeur de données d’un DSR situé dans les données fournies lors d’un engagement de conseil. Le client doit contacter le gestionnaire de compte réussite client (CSAM) pour créer un plan pour aider à répondre à une DSR en fonction des données collectées, puis du type spécifique de services de conseil fournis. Dans la mesure où votre demande constitue un niveau d’effort généralement observé au sein d’une solution industrielle, un ordre de travail supplémentaire peut être nécessaire. En outre, les données personnelles seront supprimées après chaque engagement de conseil dans un délai dépendant du type d’engagement de conseil. Le client peut demander la suppression des données plus tôt et demander une attestation de suppression.
Services Microsoft FastTrack
Microsoft FastTrack fournit des services de conseil informatique aux organisations afin de les aider à intégrer et utiliser des services de cloud computing Microsoft tels que Microsoft 365, Azure et Dynamics 365.
Microsoft est le contrôleur de données pour les contacts clients d’entreprise qui travaillent avec FastTrack pour déployer et migrer vers les services cloud Microsoft mentionnés ci-dessus. Si vous êtes un organization d’entreprise, que vous travaillez avec Microsoft FastTrack sur votre déploiement et que vous souhaitez accéder à des informations de contact, les réviser ou les supprimer des enregistrements FastTrack de Microsoft, vous pouvez envoyer une demande de personne concernée (DSR) en envoyant une demande à la boîte de réception des demandes rgpd d’entreprise FastTrack pour Microsoft 365 (O365ftgdpr@microsoft.com).
Pour les services de migration FastTrack, Microsoft est le processeur de données. Conformément à notre déclaration de confidentialité supplémentaire Fast Track, toutes les données en cours de migration sont considérées comme des « données de migration ». Si vous devez exécuter des DSR pendant que votre organization est engagé dans un projet de migration FastTrack, une attention particulière est nécessaire.
Si vous devez traiter des demandes DSR d’accès, de correction ou d’exportation pendant que les données d’un utilisateur sont traitées via des systèmes de migration FastTrack, il incombe au client de respecter ces DSR par le biais de vos systèmes sources existants dans lesquels les données utilisateur sont stockées. Lorsque la migration de l’utilisateur est terminée et que les données ont été déplacées vers le service Cloud Microsoft de destination, les conseils fournis par Microsoft sur la façon dont les clients peuvent utiliser les produits, services et outils d’administration de Microsoft pour rechercher et agir sur des données personnelles pour répondre à une demande d’objet de données s’appliqueront. Pour consulter ces recommandations, voirdemandes d’objet de données pour le RGPD.
Si vous devez supprimer un compte d’utilisateur en réponse à une demande de suppression DSR alors que votre organization est engagée dans un projet de migration FastTrack en cours, vous devez savoir que les systèmes de migration peuvent conserver une copie des données de migration utilisateur pendant une période de temps après la fin de la migration de l’utilisateur et la suppression du compte d’utilisateur ne supprimera pas automatiquement ces données de migration utilisateur stockées dans les systèmes de migration FastTrack. Si vous souhaitez que l’équipe Microsoft FastTrack supprime les données de migration utilisateur, vous pouvez envoyer une demande. Dans le cours normal de l’entreprise, Microsoft FastTrack supprime toutes les copies de données une fois la migration de votre organization terminée.
Autres services de conseil
Les clients recevant d’autres services de conseil via Microsoft doivent travailler par l’équipe d’engagement pour répondre à toutes les exigences du RGPD. Si l’équipe d’engagement n’est pas en mesure de fournir des instructions claires sur le traitement des DSR RGPD, les clients doivent contacter leur CSAM ou envoyer une demande de support technique.