Partager via


Analyses d’impact sur la protection des données : conseils pour les contrôleurs de données utilisant Microsoft Dynamics 365 et Power Platform

En vertu du Règlement général sur la protection des données (RGPD) RGPD, les contrôleurs de données sont requis de préparer une analyse d’impact sur la protection des données (DPIA) pour les opérations « susceptibles de générer un risque élevé pour les droits et libertés des personnes physiques ». Il n’y a rien d’inhérent à Dynamics 365 et à Power Platform qui nécessiterait nécessairement la création d’une DPIA par un contrôleur de données qui l’utilise. Au lieu de cela, le fait qu’une DPIA soit requise dépend des détails et du contexte de la façon dont le contrôleur de données déploie, configure et utilise Dynamics 365 ou Power Platform. Dans tous les cas, un DPIA doit commencer au début de la vie d’un projet et s’exécuter en parallèle au processus de planification et de développement.

L’objectif de ce document est de fournir aux contrôleurs de données des informations sur Dynamics 365 et Power Platform qui vous aideront à déterminer si vous avez besoin d’un DPIA et, le cas échéant, les détails à inclure.

Remarque

Microsoft ne fournit aucun conseil juridique dans ce document. Ce document est fourni uniquement à titre d’information. Les clients sont encouragés à collaborer avec leurs responsables de la protection de la vie privée (et/ou délégué à la protection des données( DPO) lorsqu’ils sont désignés) et/ou avec des conseillers juridiques et/ou conseillers pour déterminer la nécessité et le contenu des DPIA liés à leur utilisation de Microsoft Dynamics 365, Power Platform ou tout autre service en ligne Microsoft.

Partie 1 : déterminer si une analyse d’impact relative à la protection des données est nécessaire

L’article 35 du RGPD exige qu’un responsable du traitement des données crée une analyse d’impact sur la protection des données « [ici] un type de traitement utilisant notamment de nouvelles technologies, et tenant compte de la nature, de l’étendue, du contexte et des objectifs du traitement, est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques ». Il présente en outre des facteurs particuliers qui indiqueraient un risque élevé, qui sont abordés dans le tableau suivant : Pour déterminer si une DPIA est nécessaire, un contrôleur de données doit prendre en compte ces facteurs, ainsi que d’autres facteurs pertinents, à la lumière de la ou des implémentations spécifiques du contrôleur et de l’utilisation de Dynamics 365 et de Power Platform.

Facteur de risque Informations pertinentes sur Dynamics 365 et Power Platform
Évaluation systématique et approfondie d’aspects personnels relatifs aux personnes physiques, basée sur un traitement automatisé incluant un profilage, sur laquelle se basent des décisions qui produisent des effets juridiques concernant la personne physique ou qui l’affectent de manière considérable. Certains services Dynamics 365 et Power Platform effectuent certains traitements automatisés des données, tels que le scoring des prospects ou des opportunités (par exemple, la prédiction de la probabilité d’une vente). Toutefois, les services Dynamics 365 et Power Platform ne sont pas conçus pour effectuer un traitement sur lequel reposent des décisions qui produisent des effets juridiques ou similaires sur les individus.

Toutefois, étant donné que Dynamics 365 et Power Platform sont des services hautement personnalisables, un contrôleur de données peut potentiellement les configurer pour qu’ils soient utilisés pour ce traitement. Les contrôleurs de données doivent effectuer cette détermination en fonction de leur utilisation de Dynamics 365 et de Power Platform.
Traitement à grande échelle1 de catégories spéciales de données (données personnelles révélant l’origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, ou appartenance syndicale, et traitement de données génétiques, données biométriques utilisées pour identifier de manière unique une personne physique, données relatives à la santé ou données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne physique), ou de données personnelles relatives à des condamnations pénales et des infractions ; les services Dynamics 365 et Power Platform ne sont pas conçus pour traiter des catégories spéciales de données personnelles à grande échelle.

Toutefois, un contrôleur de données peut utiliser Dynamics 365 et Power Platform pour traiter les catégories spéciales de données énumérées. En outre, Dynamics 365 et Power Platform est un service hautement personnalisable qui permet au client de suivre ou de traiter des données personnelles, y compris des catégories spéciales de données personnelles. Cependant, en tant que processeur des données, Microsoft n’a aucune prise sur une telle utilisation du logiciel et n’a que peu d’informations, voire aucune information, sur cette utilisation.
Surveillance systématique d’une zone publiquement accessible à grande échelle Dynamics 365 et Power Platform ne sont pas conçus pour effectuer ou faciliter une telle surveillance à grande échelle.

Toutefois, le contrôleur de données peut l’utiliser pour traiter des données collectées au cours d’une surveillance systématique. Dynamics 365 et Power Platform sont des services hautement personnalisables qui permettent au client de suivre ou de traiter n’importe quel type de données, y compris les données de surveillance. En tant que processeur de données, Microsoft n’a aucun contrôle sur une telle utilisation et dispose de peu ou pas d’informations sur cette utilisation. Il incombe au contrôleur de données de déterminer les utilisations appropriées des données du contrôleur de données.

Remarque

1 En ce qui concerne les critères selon lesquels le traitement doit être « à grande échelle », le point 91 du RGPD précise que : « Le traitement des données à caractère personnel ne doit pas être considéré comme un traitement à grande échelle s'il concerne des données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat. Dans ce cas, une évaluation de l’impact de la protection des données ne doit pas être obligatoire ».

Partie 2 : contenu d’une analyse d’impact sur la protection des données (DPIA)

L’article 35(7) du RGPD impose qu’une analyse d’impact sur la protection des données spécifie les objectifs du traitement et une description systématique du traitement envisagé. Une description systématique dans une DPIA complète peut inclure des facteurs tels que les types de données traitées, la durée de conservation des données, l’emplacement et le transfert des données, et les tiers qui peuvent avoir accès aux données. Dans l’idéal, un diagramme de flux de données prend en charge la description. De plus, la DPIA doit inclure ce qui suit :

  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport aux objectifs ;
  • Une évaluation des risques pour les droits et libertés des personnes physiques ; et
  • Les mesures utilisées pour faire face aux risques, y compris les mesures de protection, les mesures de sécurité et les mécanismes permettant de garantir la protection des données personnelles et de démontrer le respect du RGPD en tenant compte des droits et intérêts légitimes des personnes concernées et des autres personnes concernées.

Le tableau ci-dessous contient des informations sur Dynamics 365 et Power Platform pertinentes pour chacun de ces éléments. Comme dans la partie 1, les contrôleurs de données doivent tenir compte des détails fournis ci-dessous, ainsi que de tous les autres facteurs pertinents, dans le contexte de la ou des implémentations spécifiques du contrôleur de données et de l’utilisation de Dynamics 365 ou de Power Platform.

Éléments d’une DPIA Informations pertinentes sur Dynamics 365 et Power Platform
Finalité(s) de traitement Les objectifs du traitement des données à l’aide de Dynamics 365 et de Power Platform sont déterminés par le contrôleur qui les implémente, les configure et les utilise.

Comme spécifié par les Conditions du produit et l’Addendum sur la protection des données (DPA) microsoft, Microsoft, en tant que responsable du traitement des données, traite les données client pour fournir au client des services en ligne conformément aux instructions documentées du client.

Comme indiqué dans l’Addendum sur la protection des données (DPA) sur les conditions du produit et les produits et services, Microsoft utilise également des données personnelles pour prendre en charge un ensemble limité d’opérations commerciales.

Microsoft est responsable du traitement des données personnelles pour prendre en charge ces opérations commerciales spécifiques. En règle générale, Microsoft agrège les données personnelles avant de les utiliser pour nos opérations commerciales, ce qui supprime la capacité de Microsoft à identifier des personnes spécifiques. Microsoft utilise les données personnelles sous la forme la moins identifiable qui prendra en charge le traitement nécessaire pour les opérations commerciales.

Microsoft n’utilisera pas les données client ou les informations dérivées de celles-ci à des fins de profilage ou de publicité ou à des fins commerciales similaires.

Dynamics 365 est une plateforme en ligne pour le traitement qui propose plusieurs services en ligne discrets, chacun ayant des objectifs distincts de traitement. Vous trouverez des descriptions de chaque offre de service Dynamics 365 ici et de l’offre de service Power Platform ici.

Dynamics 365 et Power Platform traitent les données personnelles uniquement pour fournir aux clients leurs services en ligne, y compris les objectifs compatibles avec la fourniture de ces services.
Catégories de données personnelles traitées Données client : toutes les données, y compris les fichiers texte, audio, vidéo ou image et les logiciels, que les clients fournissent à Microsoft ou qui sont fournies au nom des clients par le biais de leur utilisation de Microsoft services en ligne. Cela inclut les données que les clients chargent pour le stockage ou le traitement, et les personnalisations.

Données générées par le service : données générées par Microsoft lorsque vous utilisez un service, telles que les données d’utilisation ou de performances. La plupart de ces données contiennent des identificateurs avec pseudonyme générés par Microsoft.

Données des services professionnels : toutes les données, y compris tous les fichiers texte, audio, vidéo, image ou logiciels fournis à Microsoft par ou pour le compte du Client (ou que le Client autorise Microsoft à obtenir à partir d’un Produit) ou autrement obtenus ou traités par ou au nom de Microsoft par le biais d’un engagement avec Microsoft pour obtenir des services professionnels.

Pour plus d’informations sur les données traitées par Dynamics 365 et Power Platform, consultez les Conditions du produit et l’Addendum sur la protection des données des produits et services Microsoft.
Rétention de données Microsoft conservera les données client pendant la durée du droit du client d’utiliser le service, jusqu’à ce que toutes les données client soient supprimées ou retournées conformément aux instructions du client ou aux conditions de l’addendum sur la protection des données des produits et des produits et services (DPA). Pendant la durée de l’abonnement du client, le client a la possibilité d’accéder aux données client stockées dans chaque service en ligne et d’en extraire. Microsoft conserve généralement les données client stockées dans le service en ligne dans un compte de fonction limité pendant 90 jours après l’expiration ou la résiliation de l’abonnement du client afin que le client puisse extraire les données. Une fois la période de rétention de 90 jours terminée, Microsoft désactive le compte client et supprime les données client.

Le client peut supprimer les données client et les données pseudonymes à tout moment à l’aide des fonctionnalités décrites dans le Guide des droits des personnes concernées des données Dynamics 365 et Power Platform.
Emplacement et transferts de données personnelles Les clients ont la possibilité de fournir des données client au repos dans des régions géographiques spécifiées, sous réserve de certaines exceptions, comme indiqué dans l’Addendum sur la protection des données des produits et services (DPA). Pour plus d’informations sur les déploiements de services et la résidence des données, consultez le Centre de gestion de la confidentialité Microsoft et un article Dynamics 365 et Power Platform sur l’emplacement et la disponibilité des données au Dynamics 365 la disponibilité et les emplacements de données et la disponibilité internationale de Microsoft Power Platform.

Pour les données personnelles transférées hors de l’Espace économique européen, de la Suisse et du Royaume-Uni, Microsoft s’assure que les transferts de données personnelles vers un pays tiers ou un organization international sont soumis aux garanties appropriées, comme décrit à l’article 46 du RGPD. En plus des engagements de Microsoft dans le cadre des clauses contractuelles Standard pour les sous-traitants et d’autres contrats types, Microsoft continue de respecter les conditions du Cadre de confidentialité des données.
Évaluation du besoin et de la proportionnalité des opérations de traitement par rapport aux finalités prévues Cette évaluation dépend des besoins et des objectifs du contrôleur concernant le traitement.

Microsoft prend des mesures telles que l’agrégation des données personnelles utilisées par Microsoft pour prendre en charge les opérations commerciales afin de prendre en charge la fourniture des services, ce qui réduit le risque d’un tel traitement pour les personnes concernées qui utilisent le service.

Concernant les traitements réalisés par Microsoft, ceux-ci sont nécessaires et proportionnels à la fourniture des services au contrôleur de données.
Évaluation des risques concernant les droits et les libertés des personnes concernées par les données Les principaux risques pour les droits et libertés des personnes concernées par l’utilisation de Dynamics 365 ou de Power Platform dépendent de la façon dont et dans quel contexte le contrôleur de données l’implémente, la configure et l’utilise.

Microsoft prend des mesures telles que l’agrégation des données personnelles lorsqu’elles sont utilisées pour prendre en charge les opérations commerciales, ce qui réduit le risque d’un tel traitement pour les personnes concernées qui utilisent le service.

Toutefois, comme pour n’importe quel service, les données personnelles stockées dans le service peuvent être exposées au risque d’un accès non autorisé ou d’une divulgation accidentelle. Les mesures prises par Microsoft pour faire face à ces risques sont décrites ci-dessous.
Partage de données avec des sous-processeurs tiers Microsoft partage des données avec des tiers agissant en tant que sous-traitants (comme défini dans le RGPD) pour prendre en charge des fonctions telles que le support technique et client, la maintenance du service et d’autres opérations. Tous les sous-traitants vers lesquels Microsoft transfère des données client, des données de support ou des données personnelles auront conclu avec Microsoft des contrats écrits qui ne sont pas moins protecteurs que les termes de l’Addendum sur la protection des données (DPA) sur les conditions du produit et des produits et services. Tous les sous-processus tiers avec lesquels sont partagées les données client des services en ligne principaux de Microsoft sont inclus dans la liste des sous-traitants des services en ligne.
Droits des personnes concernées par les données Lorsque vous opérez en tant que processeur, Microsoft met à la disposition des clients (contrôleurs de données) les données personnelles de ses sujets de données ainsi que la possibilité de répondre aux demandes de sujets de données lorsqu’ils exercent leurs droits sous la RGPD. Microsoft le fait d’une manière cohérente avec les fonctionnalités du produit et notre rôle en tant que sous-traitant.  Si Microsoft reçoit une demande de la part des personnes concernées par les données du client pour exercer un ou plusieurs de ses droits en vertu du RGPD, nous redirigeons la personne concernée pour effectuer la demande directement vers le responsable du traitement des données.

Pour plus d’informations pour les contrôleurs de données sur la prise en charge des droits des personnes concernées par les données à l’aide des fonctionnalités de Dynamics 365 et de Power Platform, reportez-vous au guide des demandes des personnes concernées par les données Dynamics 365 et Power Platform.

Microsoft agrège généralement les données personnelles avant de les utiliser pour nos opérations commerciales et n’est pas en mesure d’identifier les données personnelles d’une personne spécifique dans l’agrégat. Cela réduit le risque de confidentialité pour l’individu. Dans le cas où Microsoft n’est pas en mesure d’identifier la personne, elle ne peut pas prendre en charge les droits de l’objet de données pour l’accès, l’effacement, la portabilité, la restriction ou l’opposition au traitement.
Mesures envisagées pour éliminer les risques, y compris les dispositifs de protection, les mécanismes et les mesures de sécurité visant à garantir la protection des données à caractère personnel et à démontrer la conformité au RGPD en tenant compte des droits et des intérêts légitimes des personnes concernées par le traitement des données Microsoft s’engage à protéger la sécurité des données client. Les mesures de sécurité prises par Microsoft sont décrites en détail dans les Conditions du produit.

Microsoft respecte des normes de sécurité strictes et la méthodologie de protection des données de pointe du secteur. Microsoft améliore continuellement ses systèmes afin de gérer les nouvelles menaces. Pour plus d’informations sur les pratiques de gouvernance et de confidentialité du cloud, consultez la page Vue d’ensemble de la conformité du Centre de gestion de la confidentialité Microsoft.

Microsoft prend des mesures techniques et organisationnelles raisonnables et appropriées pour protéger les données personnelles qu’elle traite. Ces mesures incluent, sans s’y limiter, les politiques et pratiques de confidentialité internes, les engagements contractuels et les certifications standard internationales et régionales. Pour plus d’informations, consultez la page Confidentialité du Centre de gestion de la confidentialité.

Pour obtenir la liste détaillée des contrôles gérés par Microsoft (contrôles de processus techniques et métier) pour la sécurité implémentée par Dynamics 365 et Power Platform, visitez le portail d’approbation de services. En outre, lorsque Microsoft agit en tant que sous-traitant de données, il se conforme à toutes les autres obligations RGPD qui s’appliquent aux sous-traitants de données.

Lorsque Microsoft traite des données personnelles pour ses opérations commerciales, il se conforme aux obligations RGPD qui s’appliquent aux contrôleurs de données.

En savoir plus