Demandes des personnes concernées et le RGPD et CCPA
Le règlement général sur la protection des données (RGPD) présente de nouvelles règles pour les organisations qui offrent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE quel que soit l’endroit où vous vous trouvez et celui où se trouve votre entreprise. Vous trouverez des détails supplémentaires dans l’article Résumé du RGPD.
De même, le CCPA (California Consumer Privacy Act) prévoit des droits de confidentialité et des obligations pour les consommateurs de la Californie, y compris des droits similaires aux droits des personnes concernées en vertu du RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles. Le CCPA prévoit également des publications d’informations, des protections contre la discrimination des personnes faisant usage de leurs droits et la possibilité d’opter pour ou contre certains transferts de données classés en tant que « ventes ». Ce document vous permet d’obtenir des informations sur le traitement des demandes des personnes concernées (DPC) dans le cadre du RGPD et du CCPA à l’aide des produits etdes services Microsoft.
- Office 365
- Azure
- Intune
- Dynamics 365
- Visual Studio Family
- Azure DevOps Services
- Support Microsoft et services professionnels
- Fenêtres
- Windows 365
Terminologie
Définitions utiles pour les termes RGPD utilisés dans ce document :
- Contrôleur de données (contrôleur) : la personne morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres entités, détermine les finalités et les moyens de traitement des données personnelles.
- Données personnelles et personne concernée : toutes les informations relatives à une personne physique identifiée ou identifiable (personne concernée); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement.
- Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte de l’entité de contrôle.
- Données client : les données produites et stockées dans les opérations quotidiennes dans le cadre du fonctionnement de votre entreprise.
Qu’est-ce qu’une demande de la personne concernée ?
Le Règlement général sur la protection des données (RGPD) accorde le droit aux individus (appelés, dans le règlement, personnes concernées) de gérer les données personnelles qui ont été collectées par un employeur ou tout autre type d’agence ou d’organisation (également appelé responsable du traitement des données ou responsable du traitement). Le RGPD confère aux personnes concernées des droits précis sur leurs données personnelles ; ces droits vous donnent la possibilité d’obtenir des copies de ces données, de les faire modifier, d’en limiter le traitement, de les supprimer ou de les recevoir dans un format électronique afin de pouvoir les transférer à un autre responsable du traitement.
Le CCPA (California Consumer Privacy Act) prévoit des droits de confidentialité et des obligations pour les consommateurs de la Californie, y compris des droits similaires aux droits des personnes concernées en vertu du RGPD, tels que le droit de supprimer, d’accéder et de recevoir (portabilité) leurs informations personnelles.
En tant que contrôleur, vous êtes tenu d’examiner rapidement chaque DSR et de fournir une réponse substantielle en effectuant l’action demandée ou en fournissant une explication de la raison pour laquelle la DSR ne peut pas être prise en charge par le contrôleur. Un contrôleur doit consulter ses propres conseillers juridiques ou de conformité en relation avec la destruction correcte d’une DSR donnée.
Plusieurs processus peuvent impliquer l’exécution d’une DPC, conformément aux règles de conformité RGPD de votre organisation.
- Découverte. Processus de détermination des données nécessaires à l’exécution d’une DSR.
- Accès. Récupération et transmission potentielle à la personne concernée par les informations découvertes.
- Rectifier. Implémentation des modifications ou d’autres modifications de données personnelles demandées.
- Restreindre. Modification de l’accès ou du traitement des données personnelles en restreignant l’accès ou en supprimant des données du cloud Microsoft.
- Exporter. Fournir un « format structuré, communément utilisé, lisible par l’ordinateur » de données personnelles à la personne concernée, comme fourni par le « droit de portabilité des données » du RGPD.
- Supprimer Suppression définitive de données personnelles du Microsoft Cloud.
Considérations spécifiques concernant une DSR
Analyses générées par les produits ou services Microsoft
Les insights peuvent être générés par des services (Viva Personal Insights, etc.) Office 365 inclut des services en ligne qui fournissent des insights aux utilisateurs et aux organisations qui les utilisent. Les données générées par ces services peuvent produire des données personnelles pertinentes pour une DSR. Suivez le lien dans la liste ci-dessous pour obtenir des informations sur les processus DSR spécifiques aux services.
DSR pour des journaux générés par le système
Les journaux et les données associées générées par Microsoft peuvent contenir des données considérées comme personnelles selon la définition de « données personnelles » du RGPD. La restriction ou la correction des données dans les journaux générés par le système n’est pas prise en charge. Les données contenues dans des journaux générés par le système forment des actions factuelles effectuées dans le cloud Microsoft et les données de diagnostic ; des modifications compromettraient l’enregistrement historique des actions, augmentant ainsi les risques de fraude et de sécurité. Microsoft offre la possibilité d’accéder à des journaux générés par le système, ainsi que de les exporter et de les supprimer, qui peuvent être nécessaires pour effectuer une DSR. Les exemples suivants peuvent inclure les données suivantes :
- Données relatives à l’utilisation de produits et de services tels que les journaux d’activité des utilisateurs
- Requêtes de recherche et données de requête des utilisateurs
- Données générées par les produits et services comme résultat des fonctionnalités du système et de l’interaction par les utilisateurs ou d’autres systèmes.
Viva Engage
La suppression du compte d’un utilisateur ne supprime pas les journaux générés par le système pour Viva Engage. Pour supprimer les données contenues dans ces applications, consultez l'une des ressources suivantes :
Clouds nationaux
Dans certains clouds nationaux, un administrateur IT général doit supprimer les journaux générés par le système.
Services Microsoft
Si vos organization ou utilisateurs collaborent avec Microsoft pour recevoir un support lié aux produits et services Microsoft, certains de ces données peuvent contenir des données personnelles. Pour plus d’informations, reportez-vous à Demandes des personnes concernées du support Microsoft et des services professionnels concernant le RGPD.
Produits de contrôleur Microsoft
Dans certains cas, les utilisateurs de votre organisation peuvent accéder aux produits ou services Microsoft dont Microsoft est le contrôleur de données. Dans ce cas, vos utilisateurs doivent initier leur propre DSR directement auprès de Microsoft et Microsoft répond aux demandes directement à l’utilisateur.
Produits tiers
Pour les produits et services tiers accessibles via l’authentification de compte Microsoft, les demandes des personnes concernées doivent être redirigées vers le tiers applicable.
Outils d’administration sur les demandes des personnes concernées
- Portails Microsoft : exportez les données créées ou générées par l’utilisateur à l’aide du portail Microsoft Purview, du portail de conformité Microsoft Purview ou à l’aide des fonctionnalités de l’application.
- centre Microsoft Entra Administration : supprimez une personne concernée de Microsoft Entra ID et des services associés à l’aide de Microsoft Entra Administration Center.
- Exportation de journal de données Microsoft : les journaux générés par le système peuvent être exportés par les administrateurs de locataire à l’aide de la fonction Exportation de journal de données Microsoft.