Répondre aux demandes DSR (droits de la personne concernée) pour Microsoft Dynamics 365 Project Operations

Ce guide fournit des ressources sur la façon d’utiliser les produits, services et outils d’administration de Microsoft pour aider nos clients contrôleurs à rechercher et à entreprendre une action sur les données personnelles afin de répondre aux demandes de droits de la personne concernée (DSR) pour Microsoft Dynamics 365 Project Operations. Plus précisément, les informations comprennent la manière de rechercher, d’accéder et d’agir sur les données personnelles ou les informations personnelles qui résident dans Microsoft Cloud. Ce guide vous aidera dans le processus suivant :

• Découvrir : utilisez les outils de recherche et de découverte pour trouver plus facilement des données client pouvant faire l’objet d’une demande DSR. Une fois que vous avez collecté les documents susceptibles de répondre à la demande, vous pouvez effectuer une ou plusieurs des actions DSR décrites dans les étapes suivantes pour répondre à la demande. Par ailleurs, vous pouvez déterminer que la demande ne répond pas aux directives de votre organisation pour répondre aux demandes DSR.
• Accéder : récupérez les données personnelles qui résident dans Microsoft Cloud et, le cas échéant, effectuez une copie qui est mise à la disposition de la personne concernée.
• Rectifier : apportez des modifications ou implémentez d’autres actions demandées sur les données personnelles, le cas échéant.
• Restreindre : limitez le traitement des données personnelles, en supprimant les licences pour différents services en ligne ou en désactivant les services souhaités quand cela est possible.
• Supprimer : supprimez définitivement les données personnelles qui résident dans Microsoft Cloud.
• Exporter/Recevoir (portabilité) : fournissez une copie électronique (dans un format lisible par une machine) des données ou informations personnelles à la personne concernée.

Ce guide décrit les procédures techniques qu’une organisation de contrôleur de données peut effectuer pour répondre à une demande DSR concernant les données personnelles dans Microsoft Cloud.

Pour plus de détails sur les droits de la personne concernée, comme le Règlement général sur la protection des données (RGPD) de l’Union européenne et le California Consumer Privacy Act(CCPA), voir California Consumer Privacy Act.

Comment ce guide peut vous aider à assumer vos responsabilités de responsable du traitement

Ce guide, divisé en deux parties, décrit comment utiliser les produits, services et outils d’administration de Microsoft pour vous aider à rechercher et à entreprendre une action sur les données dans Microsoft Cloud en réponse aux demandes des personnes concernées qui exercent les droits que leur accorde le RGPD. La première partie traite des données personnelles incluses dans les données client. Elle est suivie d’une partie traitant d’autres données personnelles pseudonymisées capturées dans les journaux générés par le système.

• Partie 1 : Répondre aux demandes DSR pour les données personnelles incluses dans les données client : la partie 1 de ce guide explique comment accéder, rectifier, restreindre, supprimer et exporter des données personnelles Dynamics 365 Project Operations (software as a service) traitées dans le cadre des données client que vous avez fournies au service en ligne.
• Partie 2 : Répondre aux demandes DSR de données pseudonymisées : lorsque vous utilisez Dynamics 365 Project Operations, Microsoft génère des informations (désignées dans le présent document sous le nom de journaux générés par le système) pour fournir le service. Ces informations sont limitées à l’empreinte d’utilisation laissée par les utilisateurs finaux pour identifier leurs actions dans le système. Bien que ces données ne puissent pas être attribuées à une personne concernée spécifique sans faire appel à d’autres informations, certaines d’entre elles peuvent être considérées comme personnelles en vertu du RGPD. La partie 2 de ce guide explique comment accéder, supprimer et exporter des journaux générés par le système produits par Dynamics 365 Project Operations.

Préparation aux enquêtes sur les droits des personnes concernées

Lorsque les personnes concernées exercent leurs droits et font des demandes, tenez compte des points suivants :

• Identifiez correctement la personne et son rôle (employé, client ou fournisseur, par exemple) en utilisant les informations que la personne concernée vous a fournies dans le cadre de sa demande. Ces informations peuvent être un nom, un ID d’employé ou un numéro de client, ou un autre identifiant.
• Enregistrez la date et l’heure de la demande. (Vous avez 30 jours pour répondre à la demande.)
• Confirmez que la demande répond aux exigences de votre organisation pour accepter ou refuser la demande d’une personne concernée. Par exemple, vous devez vous assurer que l’exécution de la demande n’entre pas en conflit avec les autres obligations légales, financières ou réglementaires de l’entreprise, ni ne porte atteinte aux droits et libertés d’autrui.
• Vérifiez que vous disposez des informations liées à la demande.

Partie 1 : Guide DSR pour les données client

Exécution de DSR sur les données client

Microsoft offre la possibilité d’accéder, de supprimer et d’exporter certaines données client via le portail Azure, et aussi directement via des interfaces de programmation d’application (API) ou des interfaces utilisateur (IU) préexistantes pour des services spécifiques (également appelés expériences dans le produit). Les détails sur ces expériences dans le produit pour Dynamics 365 Project Operations sont décrits dans ce guide.

Note

Dynamics 365 Project Operations dispose de plusieurs types de déploiement qui peuvent impliquer l’utilisation de Dataverse, de l’architecture des finances et des opérations, ou les deux. Selon le type de déploiement, le processus de demande DSR peut varier.

Découvrir

La première étape à la demande de droits de la personne concernée (DSR) consiste à trouver les données personnelles qui sont l’objet de la demande. Cette première étape, rechercher et examiner les données personnelles en question, vous aidera à déterminer si une demande DSR répond aux exigences de votre organisation pour accepter ou refuser des demandes DSR. Par exemple, après avoir recherché et examiné les données personnelles en question, vous pouvez déterminer que la demande ne répond pas aux exigences de votre organisation, car elle est susceptible d’affecter les droits et les libertés d’autres utilisateurs.

Après avoir trouvé les données, vous pouvez exécuter l’action spécifique pour répondre à la demande de la personne concernée.

Dataverse fournit plusieurs méthodes pour rechercher des données personnelles dans les enregistrements, comme la recherche avancée et la recherche d’enregistrements. Ces fonctions vous permettent toutes d’identifier (trouver) des données personnelles.

• Recherche avancée
• Recherche d’enregistrements dans différents types d’enregistrements

L’architecture des finances et des opérations vous offre plusieurs façons de rechercher des données client. En tant qu’administrateur client, vous pouvez effectuer les actions suivantes pour rechercher des données client :

• Organisez vos données client de manière à vous aider à découvrir rapidement des données personnelles. Découvrez comment classer l’inventaire des données à cette fin.
• Utilisez le Rapport sur la recherche de personnes pour rechercher et collecter des données personnelles. Étendez le rapport sur la recherche de personnes en créant une nouvelle entité ou en étendant une entité existante.
• Utilisez les fonctions de recherche et de filtrage pour rechercher des données personnelles spécifiques et exporter ces données à l’aide de la fonctionnalité d’exportation de Microsoft Office, ou imprimez ces informations au format PDF à l’aide d’extensions de navigateur.
• Créez un formulaire personnalisé qui identifie et exporte des données personnelles.
• Créez un portail ou un site web externe qui permet à un client authentifié de voir ses données personnelles.

Accès

Une fois que vous avez trouvé des données client contenant des données personnelles susceptibles de répondre à une demande DSR, c’est à vous et à votre organisation de décider quelles données fournir à la personne concernée. Vous pouvez lui fournir une copie du document réel, une version rédigée de manière appropriée ou une capture d’écran des parties que vous avez jugé appropriées de partager. Pour chacune de ces réponses à une demande d’accès, vous devrez récupérer une copie du document ou un autre élément contenant les données pertinentes. Lorsque vous fournissez une copie à la personne concernée, vous devrez peut-être supprimer ou caviarder des informations personnelles sur d’autres personnes concernées, ainsi que des informations confidentielles.

Les données client dans Dataverse peuvent être exportées à l’aide des fonctionnalités complètes d’exportation d’entités. Il est possible d’exporter des données client vers un fichier Excel statique pour faciliter une demande de portabilité des données. En utilisant Excel, vous pouvez ensuite modifier les données personnelles à inclure dans la demande de portabilité et les enregistrer dans un format couramment utilisé et lisible par une machine, tel que .csv ou .xml. Les enregistrements peuvent également être exportés via l’API Web Microsoft Dataverse.

Les données client dans l’architecture Finance and Operations peuvent être exportées à l’aide des fonctionnalités complètes d’exportation d’entités. Les entités de gestion et d’intégration des données permettent à l’administrateur client d’utiliser les entités fournies, de créer de nouvelles entités ou d’étendre des entités existantes pour une exportation de données personnelles reproductibles vers Excel ou un certain nombre d’autres formats courants via les Tâches d’importation et d’exportation de données. Alternativement, de nombreuses listes peuvent être exportées vers un fichier Excel statique pour faciliter une demande de portabilité des données. Lorsque les données client sont exportées vers Excel, vous pouvez modifier les données personnelles à inclure dans la demande de portabilité et enregistrer le fichier dans un format couramment utilisé et lisible par une machine, tel que .csv ou .xml. Vous pouvez également envisager d’utiliser le Rapport sur la recherche de personnes pour fournir à la personne concernée des données que vous avez classées comme données personnelles.

Rectifier

Si une personne concernée vous a demandé de rectifier les données personnelles résidant dans les données de votre organisation, vous et votre organisation devez déterminer s’il est approprié de donner suite à la demande. La rectification des données peut inclure des actions telles que la modification, la rédaction ou la suppression de données personnelles à partir d’un document ou de tout autre type d’élément.

Dataverse vous donne les méthodes suivantes pour corriger les données client inexactes ou incomplètes, ou pour effacer les données client :

• Recherchez les données client à l’aide des fonctionnalités mentionnées dans la section « Découvrir » et modifiez directement les données dans Dataverse. Les modifications peuvent être effectuées au niveau d’une seule ligne ou plusieurs lignes peuvent être modifiées directement.
• En modifiant en bloc plusieurs enregistrements, vous pouvez utiliser le complément Microsoft Office pour exporter des données vers Excel, apporter vos modifications, puis importer ces données modifiées depuis Excel vers Dataverse.

Sur l’architecture des finances et des opérations, vous pouvez également utiliser des outils de personnalisation, mais la décision et la mise en œuvre relèvent de votre responsabilité.

Brève note sur la modification des écritures dans les transactions commerciales

Les enregistrements transactionnels, tels que les écritures générales, client et comptables, sont essentiels à l’intégrité d’un système de planification des ressources d’entreprise (ERP). Les données personnelles faisant partie d’une transaction financière ou autre sont conservées « en l’état » pour des raisons de conformité aux lois financières (par exemple, les lois fiscales), de prévention de la fraude (par exemple, la piste d’audit de sécurité) ou de conformité aux certifications du secteur. Par conséquent, Dynamics 365 Project Operations restreint la modification des données dans ces enregistrements.

Restreindre

Les personnes concernées peuvent vous demander de restreindre le traitement de leurs données personnelles.

Lorsque vous recevez une demande de la part d’une personne concernée visant à restreindre le traitement des données client, vous pouvez facilement extraire les données client concernées du service en ligne et les stocker dans un conteneur séparé (stockage local ou service Web distinct avec des fonctionnalités d’isolation des données) qui est isolé des fonctions de traitement offertes par toute application cloud.

Delete

Le « droit à l’effacement » par le biais de la suppression des données personnelles des données client d’une organisation est une protection fondamentale du RGPD. La suppression des données personnelles inclut les journaux générés par le système, à l’exception des informations du journal d’audit.

Quand une personne concernée vous demande de supprimer ses données client, vous pouvez le faire de plusieurs manières :

• En modifiant en bloc plusieurs enregistrements dans Dataverse, vous pouvez utiliser le complément Microsoft Office pour exporter des données vers Excel, apporter vos modifications, puis importer ces données modifiées depuis Excel vers le service en ligne.
• Vous pouvez supprimer les données client stockées dans n’importe quel champ en localisant les données que vous souhaitez supprimer, puis en supprimant manuellement l’élément de données contenant les données client cibles. Par exemple, vous pouvez utiliser une suppression définitive sur l’enregistrement de contact représentant la personne concernée et d’autres enregistrements contenant des données personnelles.

Sinon, dans l’architecture des finances et des opérations, vous pouvez utiliser des outils de personnalisation pour effacer/modifier les données client.

Vous devez être un administrateur client pour supprimer un utilisateur du client.

Export

Le « droit à la portabilité des données » permet à une personne concernée de demander une copie de ses données personnelles dans un format électronique (c’est-à-dire un format structuré, couramment utilisé, lisible par une machine et interopérable ») et qui peut être transmise à un autre contrôleur de données.

Pour répondre à une demande de portabilité des données, les données client dans Dataverse peuvent être exportées à l’aide des fonctionnalités complètes d’exportation d’entités. Il est possible d’exporter des données client vers un fichier Excel statique pour faciliter une demande de portabilité des données. En utilisant Excel, vous pouvez ensuite modifier les données personnelles à inclure dans la demande de portabilité et les enregistrer dans un format couramment utilisé et lisible par une machine, tel que .csv ou .xml.

L’architecture des finances et des opérations offre des entités de gestion et d’intégration des données qui activent les entités fournies, les entités nouvellement créées ou les entités étendues pour une exportation de données personnelles reproductibles vers Excel ou un certain nombre d’autres formats courants via les Tâches d’importation et d’exportation de données. Alternativement, de nombreuses listes peuvent être exportées vers un fichier Excel statique pour faciliter une demande de portabilité des données. Lorsque les données client sont exportées vers Excel de cette manière, vous pouvez ensuite modifier les données personnelles à inclure dans la demande de portabilité et enregistrer le fichier dans un format couramment utilisé et lisible par une machine, tel que .csv ou .xml.

Le rapport de recherche de personne peut être utilisé pour fournir à la personne concernée des données que vous avez classées comme données personnelles.

Vous devez être un administrateur client pour exporter des données utilisateur à partir du client.

Partie 2 : Journaux générés par le système

Microsoft vous offre également la possibilité d’accéder, d’exporter et de supprimer les journaux générés par le système qui pourraient être considérés comme personnels en vertu de la définition large des « données personnelles » du RGPD. Voici des exemples de journaux générés par le système qui peuvent être considérés comme personnels en vertu du RGPD :

• Données d’utilisation du produit et du service, comme les journaux d’activité de l’utilisateur
• Demandes de recherche d’utilisateur et données de recherche
• Données générées par les produits et services en tant que produit de la fonctionnalité système et de l’interaction par les utilisateurs ou d’autres systèmes

Important

La possibilité de restreindre ou de rectifier des données dans des journaux générés par le système n’est pas prise en charge. Les données dans les journaux générés par le système constituent des actions factuelles conduites dans Microsoft Cloud, et les données de diagnostic et les modifications apportées à ces données, pourraient compromettre l’enregistrement de l’historique des actions et augmenter la fraude et les risques sur la sécurité.

Exécution de DSR sur les journaux générés par le système

• Processus de demandes de droits de la personne concernée pour les journaux générés par le système pour Dynamics 365 Project Operations