Répondre aux demandes de droits de la personne concernée (DSR) pour les données client Power Pages
Le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) accorde des droits importants aux personnes concernant leurs données. Pour en savoir plus sur le RGPD, consultez Résumé du Règlement général sur la protection des données. Cette ressource comprend une vue d’ensemble, des termes clés, un plan d’action et une liste de contrôle de préparation pour vous aider à respecter vos obligations en vertu du RGPD lors de l’utilisation des produits et services Microsoft.
Pour en savoir plus sur le RGPD et sur la manière dont Microsoft le prend en charge, ainsi que sur nos clients concernés :
Le Centre de gestion de la confidentialité Microsoft fournit des informations générales, les meilleures pratiques de conformité et une documentation utile à la responsabilité du RGPD, telles que les évaluations d’impact sur la protection des données, les demandes des personnes concernées et la notification de violation de données.
Le portail d’approbation de services fournit des informations sur la manière dont les services Microsoft contribuent à la conformité au RGPD.
Cet article fournit des exemples d’étapes que vous pouvez effectuer pour garantir le respect de la confidentialité lors de l’utilisation de Power Pages. Vous découvrez comment utiliser les produits, services et outils d’administration Microsoft pour aider les clients contrôleurs à rechercher, accéder et traiter les données personnelles dans le cloud Microsoft en réponse aux demandes de DSR.
Les actions suivantes sont couvertes dans cet article :
| Action | Description |
|---|---|
| Découvrir | Utilisez les outils de recherche et de découverte pour trouver plus facilement des données client pouvant faire l’objet d’une demande de DSR. Les documents potentiellement confidentiels une fois sont collectés, vous pouvez effectuer une ou plusieurs des actions de DSR suivantes pour répondre à la demande. Par ailleurs, vous pouvez déterminer que la demande ne répond pas aux directives de votre organisation pour répondre aux demandes DSR. |
| Accéder | Récupérez les données personnelles qui résident dans le cloud Microsoft et, le cas échéant, effectuez une copie des données disponibles pour la personne concernée. |
| Rectifier | Apportez des modifications ou implémentez d’autres actions demandées sur les données personnelles, le cas échéant. |
| Restreindre | Limitez le traitement des données personnelles en supprimant les licences pour différents services en ligne ou en désactivant les services souhaités lorsque cela est possible. Vous pouvez également supprimer des données de cloud Microsoft et les conserver localement ou à un autre emplacement. |
| Supprimer | Supprimez définitivement les données personnelles qui résident dans le cloud Microsoft. |
| Exporter | Fournissez une copie électronique (dans un format lisible par ordinateur) des données personnelles à la personne concernée. |
Découvrir
La première étape à la demande de droits de la personne concernée (DSR) consiste à trouver les données personnelles qui sont l’objet de la demande. Vous devez d’abord déterminer le type d’utilisateur pour lequel la demande est effectuée.
L’étape de recherche et d’examen des données personnelles en question vous aide à déterminer si une demande de DSR répond aux exigences de votre organisation pour accepter ou décliner une demande de DSR. Par exemple, après avoir examiné les données personnelles en question, vous pouvez déterminer que la demande ne répond pas aux exigences de votre organisation, car elle pourrait affecter négativement les droits et les libertés d’autres utilisateurs.
Étape 1 : Identifier le type d’utilisateur pour lequel les données sont demandées
Power Pages a deux types d’utilisateurs accédant à ses services :
| Type d’utilisateur | Expérience utilisée pour accéder au service Power Pages |
|---|---|
| Créateur/Administrateur | Studio du créateur Power Pages, Centre d’administration Power Platform, Application de gestion du portail Power Pages, Application Power Pages Management, Extensions Power Pages VS Code, API d’administration Power Pages, API Dataverse |
| Utilisateur/Visiteur du site web | Site web hébergé à l’aide du service Power Pages |
Étape 2 : Rechercher les données personnelles de l’utilisateur dans Power Pages
Une fois que vous avez identifié le type d’utilisateur, examinez les types de ressources Power Pages qui contiennent des données personnelles pour un type d’utilisateur spécifique :
Créateur/Administrateur
| Ressources contenant les données personnelles | Finalité |
|---|---|
| Journaux de télémétrie générés par le système | Journalisation qui capture les événements historiques au sein du service. |
| Environment | Un environnement est un espace pour stocker, gérer et partager les données d’entreprise, les applications et les flux de votre organisation. Pour en savoir plus, consultez Vue d’ensemble des environnements Power Platform. |
| Paramètres du créateur ou de l’administrateur de Power Pages | Power Pages stocke plusieurs préférences et paramètres utilisateur qui sont utilisés pour fournir l’expérience Portail du créateur et Portail de l’administrateur. |
User
| Ressources contenant les données personnelles | Finalité |
|---|---|
| Journaux de télémétrie générés par le système | Journalisation qui capture les événements historiques au sein du service. |
| Environment | Un environnement est un espace pour stocker, gérer et partager les données d’entreprise, les applications et les flux de votre organisation. Pour en savoir plus, consultez Vue d’ensemble des environnements Power Platform. |
Pour en savoir plus sur la manière d’utiliser ces expériences pour rechercher des données personnelles pour un utilisateur spécifique pour chacun de ces types de ressources, consultez Répondre aux demandes de droits de la personne concernée pour exporter les données client Power Pages.
Après avoir trouvé les données, vous pouvez ensuite exécuter l’action spécifique pour répondre à la demande par la personne concernée.
Rectifier
Si une personne concernée vous demande de rectifier les données personnelles résidant dans les données de votre organisation, vous et votre organisation devez déterminer s’il est approprié de donner suite à la demande. La rectification des données peut inclure la modification, la censure ou la suppression des données personnelles d’un document ou de tout autre type d’élément.
Vous pouvez utiliser Microsoft Entra pour gérer les identités (données personnelles) de vos utilisateurs dans Power Apps. Les utilisateurs professionnels peuvent gérer les demandes de rectification de DSR en utilisant les fonctionnalités d’édition limitées au sein d’un service Microsoft donné. En tant que processeur de données, Microsoft n’offre pas la possibilité de corriger les journaux générés par le système, car ils reflètent des activités factuelles et constituent un enregistrement historique des événements au sein des services Microsoft.
Restreindre
Les personnes concernées peuvent vous demander de restreindre le traitement de leurs données personnelles. Microsoft fournit à la fois des interfaces de programmation d’application (API) et des interfaces utilisateur (IU) préexistantes. Ces expériences permettent à l’administrateur Power Platform du client d’entreprise de gérer ces requêtes DSR via une combinaison d’exportation de données et de suppression de données. Un client peut demander à :
- Exporter une copie électronique des données personnelles de l’utilisateur, notamment :
- comptes
- les journaux générés par le système ;
- les journaux associés.
- Supprimer le compte et les données associées résidant dans des systèmes Microsoft.
Exporter
Le « droit à la portabilité des données » permet à une personne concernée de demander une copie de ses données personnelles dans un format électronique (structuré, répandu, lisible sur ordinateur et interopérable) transmissible à un autre contrôleur de données.
Pour en savoir plus, consultez Répondre aux demandes de droits de la personne concernée (DSR) pour exporter les données client Power Pages.
Delete
Le « droit d’effacement », par la suppression des données personnelles dans les données client d’une entreprise est un élément de protection essentiel de la protection des données personnelles. La suppression des données personnelles inclut tous les journaux générés par le système, à l’exception des informations des journaux d’audit.
Power Apps permet aux utilisateurs de créer des applications métier qui constituent un élément essentiel des opérations quotidiennes de votre organisation. Lorsqu’un utilisateur quitte votre organisation, vous devez manuellement passer en revue et déterminer s’il convient de supprimer certaines données et ressources qu’il a créées. D’autres données client sont supprimées automatiquement chaque fois que le compte d’utilisateur est supprimé de Microsoft Entra ID.
Pour en savoir plus, consultez Répondre aux demandes de droits de la personne concernée (DSR) pour supprimer les données client Power Pages.