Transferts de données continus qui s’appliquent à tous les services de limites de données de l’UE

Il existe des scénarios dans lesquels Microsoft continuera à transférer des données hors de la limite de données de l’UE pour répondre aux exigences opérationnelles du service cloud, où les données stockées dans la limite de données de l’UE seront accessibles à distance par le personnel situé en dehors de la limite de données de l’UE, et où l’utilisation par un client des services de limites de données de l’UE entraînera le transfert de données hors de la limite de données de l’UE pour atteindre les résultats souhaités du client. Microsoft s’assure que les données client, les données personnelles pseudonymes et les transferts de données de services professionnels en dehors de la limite de données de l’UE sont protégés par des mesures de sécurité détaillées dans nos contrats de services et la documentation du produit.

Accès à distance aux données stockées et traitées dans la limite de données de l’UE

Les services cloud Microsoft sont créés, gérés, sécurisés et gérés par des équipes d’experts du monde entier pour fournir aux clients le plus haut niveau de qualité de service, de support, de sécurité et de fiabilité. Ce modèle (connu sous le nom de modèle Microsoft DevOps) permet aux développeurs et au personnel des opérations de travailler en tandem pour créer, gérer et fournir les services en continu. Cette section décrit comment Microsoft réduit cet accès à distance aux données client, aux données personnelles pseudonymisées et aux données des services professionnels, et limite cet accès lorsqu’il doit se produire.

Microsoft utilise une approche multicouche pour protéger les données client, les données personnelles pseudonymisées et les données de services professionnels contre tout accès non autorisé par le personnel microsoft, qui se compose à la fois d’employés de Microsoft et de ses filiales et du personnel sous contrat d’organisations tierces qui aident les employés de Microsoft. Pour accéder aux données client, aux données personnelles pseudonymées ou aux données de services professionnels, le personnel de Microsoft doit disposer d’une case activée d’arrière-plan dans le fichier en règle, en plus d’utiliser l’authentification multifacteur dans le cadre des exigences de sécurité standard de Microsoft.

Lorsque le personnel Microsoft a besoin d’accéder à des données client, à des données personnelles pseudonymes ou à des données de services professionnels stockées sur des systèmes Microsoft à l’intérieur de la limite de données de l’UE depuis l’extérieur de la limite de données de l’UE (considéré comme un transfert de données en vertu de la loi européenne sur la confidentialité, bien que les données restent dans l’infrastructure de centre de données Microsoft dans la limite de données de l’UE), nous nous appuyons sur une technologie qui garantit la sécurité de ce type de transfert. avec accès contrôlé et aucun stockage persistant au point d’accès distant. Lorsqu’un tel transfert de données est nécessaire, Microsoft utilise un chiffrement de pointe pour protéger les données client, les données personnelles pseudonymes et les données de services professionnels au repos et en transit. Pour plus d’informations, consultez Vue d’ensemble du chiffrement et de la gestion des clés.

Comment Microsoft protège les données client

Nous concevons nos services et processus pour optimiser la capacité du personnel DevOps à exploiter les services sans avoir besoin d’accéder aux données client, en utilisant des outils automatisés pour identifier et réparer les problèmes. Dans de rares cas lorsqu’un service est en panne ou nécessite une réparation qui ne peut pas être effectuée avec des outils automatisés, le personnel autorisé de Microsoft peut avoir besoin d’un accès à distance aux données stockées dans la limite de données de l’UE, y compris les données client. Il n’y a pas d’accès par défaut aux données client ; l’accès est fourni au personnel Microsoft uniquement lorsqu’une tâche l’exige. L’accès aux données client doit être dans un but approprié, doit être limité à la quantité et au type de données client nécessaires pour atteindre l’objectif approprié, et où l’objectif ne peut être atteint que par le biais de ce niveau d’accès. Microsoft utilise des approbations d’accès juste-à-temps (JIT) qui ne sont accordées que pendant la durée nécessaire pour atteindre cet objectif. Microsoft s’appuie également sur le contrôle d’accès en fonction du rôle (RBAC), où l’accès individuel est soumis à des exigences strictes, telles que le principe du besoin de connaître, la formation continue obligatoire et la supervision par un ou plusieurs responsables.

Le personnel Microsoft qui a accès aux données client fonctionne à partir de stations de travail d’administration sécurisées (SAP). Les SAP sont des ordinateurs à fonction limitée qui réduisent le risque de compromission des programmes malveillants, des attaques par hameçonnage, des sites web factices et des attaques pass-the-hash (PtH), entre autres risques de sécurité, et sont activés avec des contre-mesures destinées à rendre l’exfiltration des données difficile. Par exemple, le personnel Microsoft travaillant sur les SAP a un accès restreint à Internet sur ces appareils et ne peut pas accéder aux médias externes ou amovibles, car ces fonctionnalités sont bloquées dans l’implémentation saw. Le programme Microsoft SAW et environnement à haut risque a reçu le prix CSO50 de csoonline.com en 2022, 2020 et 2019.

En plus des contrôles décrits précédemment, les clients peuvent établir des contrôles d’accès supplémentaires pour de nombreux services cloud Microsoft en activant Customer Lockbox. L’implémentation de la fonctionnalité Customer Lockbox varie légèrement selon le service, mais Customer Lockbox garantit généralement que le personnel Microsoft ne peut pas accéder aux données client pour effectuer des opérations de service sans l’approbation explicite du client. Consultez Microsoft Purview Customer Lockbox, Customer Lockbox pour Microsoft Azure et Accès sécurisé aux données client à l’aide de Customer Lockbox dans Power Platform et Dynamics 365 pour obtenir des exemples de Customer Lockbox en action.

L’accès aux données client est également journalisé et surveillé par Microsoft. Microsoft effectue régulièrement des audits pour examiner et confirmer que les mesures de gestion des accès fonctionnent conformément aux exigences de la stratégie, y compris les engagements contractuels de Microsoft.

Comment Microsoft protège les données personnelles pseudonymes dans les journaux générés par le système

Actuellement, pour accéder à des données personnelles pseudonymes stockées dans la limite de données de l’UE, le personnel de Microsoft peut utiliser une saw ou une infrastructure de bureau virtuel (VDI). Les mesures de sécurité spécifiques à SAW décrites dans la section précédente s’appliquent également lors de l’utilisation d’un SAW pour accéder à des données personnelles pseudonymes. Lors de l’utilisation d’une VDI pour accéder à des données personnelles pseudonymes dans la limite de données de l’UE, Microsoft applique des limitations d’accès afin de fournir un environnement sécurisé pour l’accès aux données. Comme pour les saws, la liste des utilitaires autorisés sur les VDIs est limitée et soumise à des tests de sécurité rigoureux avant d’être certifiés pour s’exécuter sur les VDIs. Lorsqu’une infrastructure VDI est utilisée, les données personnelles pseudonymes dans la limite de données de l’UE sont accessibles via des machines virtuelles hébergées sur un ordinateur physique situé dans la limite de données de l’UE et aucune donnée n’est conservée en dehors de la limite de données de l’UE.

Conformément à nos stratégies standard, les transferts en bloc de données en dehors des limites de données de l’UE sont interdits, et les utilisateurs VDI peuvent uniquement accéder aux destinations d’URL préapprouvées. En outre, le personnel Microsoft qui utilise l’environnement VDI n’a pas d’accès administratif aux machines physiques situées dans la limite de données de l’UE.

Pour plus d’informations sur les technologies utilisées pour protéger les données client et les données personnelles pseudonymes, consultez les ressources suivantes :

• Utilisation de machines virtuelles dotées d’une protection maximale pour protéger les ressources à valeur élevée
• Quatre pratiques opérationnelles que Microsoft utilise pour sécuriser la plateforme Azure
• Contrôle d’accès de l’ingénieur de service Microsoft 365
• Qu’est-ce que l’infrastructure de bureau virtuel (VDI) ?

Comment Microsoft protège les données des services professionnels

L’accès aux données des services professionnels par le personnel Microsoft pendant un engagement de support des services en ligne est limité aux systèmes de gestion de support approuvés utilisant des contrôles de sécurité et d’authentification, y compris l’authentification à deux facteurs et les environnements virtualisés, si nécessaire. Lors de l’accès aux données des services professionnels dans la limite de données de l’UE, le personnel Microsoft utilise un SAW ou un VDI. Les mesures de sécurité spécifiques saw et VDI décrites dans les sections précédentes s’appliquent également lors de l’utilisation d’une saw ou d’une VDI pour accéder aux données des services professionnels dans la limite de données de l’UE. Le personnel Microsoft peut uniquement accéder aux données de services professionnels associées à un engagement de support spécifique en fournissant la justification métier nécessaire et en obtenant l’approbation du responsable. Les données sont chiffrées à la fois en transit et au repos.

Transferts de données initiés par le client

Transferts lancés par les clients dans le cadre des fonctionnalités de service

La limite de données de l’UE n’est pas destinée à interférer avec ou à restreindre les résultats de service que les clients souhaitent lorsqu’ils utilisent nos services. Par conséquent, si un administrateur client ou un utilisateur effectue une action dans les services qui lancent un transfert de données hors de la limite de données de l’UE, Microsoft n’empêchera pas ces transferts initiés par le client de se produire ; Cela perturberait les opérations commerciales normales des clients. Les transferts de données initiés par l’utilisateur en dehors de la limite de données de l’UE peuvent se produire pour diverses raisons, par exemple :

• Un utilisateur accède aux données stockées dans la limite de données de l’UE ou interagit avec un service en dehors de la zone de limite de données de l’UE.
• Un utilisateur choisit de communiquer avec d’autres utilisateurs physiquement situés en dehors de la limite de données de l’UE. Les exemples incluent l’envoi d’un e-mail ou d’un SMS, le lancement d’une conversation Ou d’une communication vocale Teams, comme un appel RTC (Public Switched Telephone Network), la messagerie vocale, les réunions géographiques croisées, etc.
• Un utilisateur configure un service pour déplacer des données hors de la limite de données de l’UE.
• Un utilisateur choisit de combiner les services de limites de données de l’UE avec d’autres offres Microsoft ou tierces ou des expériences connectées soumises à des conditions distinctes de celles qui s’appliquent aux services de limites de données de l’UE (par exemple en utilisant une expérience bing facultative disponible via les applications Microsoft 365, ou en utilisant un connecteur disponible pour synchroniser les données d’un service de limite de données de l’UE avec un compte que l’utilisateur peut avoir auprès d’un fournisseur autre que Microsoft).
• Un administrateur client choisit de connecter les services de limites de données de l’UE à d’autres services proposés par Microsoft ou un tiers, lorsque ces autres services sont soumis à des conditions distinctes de celles qui s’appliquent aux services de limite de données de l’UE (par exemple, en configurant un service de limite de données de l’UE pour envoyer des requêtes à Bing, ou en établissant une connexion entre un service de limite de données de l’UE et un service hébergé auprès d’un fournisseur autre que Microsoft avec dont le client dispose également d’un compte).
• Un utilisateur acquiert et utilise une application à partir d’un magasin d’applications présentée dans un service de limites de données de l’UE (le magasin Teams, par exemple), où l’application est soumise à des conditions distinctes de celles applicables au service de limites de données de l’UE, telles que le contrat de licence utilisateur final du fournisseur d’application.
• Un organization demande ou s’abonne à des services de sécurité professionnels, où Microsoft agit dans une capacité de centre d’opérations de sécurité à distance ou effectue des analyses d’investigation pour le compte (et dans le cadre de) du groupe de sécurité de l’organization.

Répondre aux demandes de droits des personnes concernées par le RGPD dans le monde entier

Microsoft a implémenté des systèmes pour permettre à nos clients de répondre aux demandes de droits des personnes concernées (DSR) en vertu du Règlement général sur la protection des données (RGPD) (par exemple, pour supprimer des données personnelles en réponse à une demande en vertu de l’article 17 du RGPD), car les clients le jugent approprié, et ces systèmes sont disponibles pour les clients dans le monde entier. Pour permettre à nos clients de maintenir la conformité au RGPD, les signaux DSR qui incluent des identificateurs d’utilisateur doivent être traités globalement pour garantir que toutes les données relatives à une personne concernée sont supprimées ou exportées comme demandé. Lorsque notre client détermine que la suppression de données est appropriée en réponse à une personne concernée demandant que ses données personnelles soient supprimées, toutes les données personnelles associées à cette personne concernée doivent être localisées et supprimées de tous les magasins de données de Microsoft, à l’intérieur et à l’extérieur de la limite de données de l’UE. De même, lorsqu’une demande d’exportation est envoyée par un administrateur client, Microsoft doit exporter vers l’emplacement de stockage spécifié par l’administrateur du client, même en dehors de la limite de données de l’UE, toutes les données personnelles relatives à cette personne concernée. Pour plus d’informations, consultez Demandes des personnes concernées et RGPD et CCPA.

Données des services professionnels

Services de conseil

Services professionnels Les données fournies à Microsoft pour les services de conseil de Microsoft, comprenant la planification, les conseils, les conseils, la migration de données, le déploiement et les services de développement de solutions/logiciels ne sont pas dans le cadre de la limite de données de l’UE. Ces données de services professionnels pour les services de conseil sont actuellement stockées dans des centres de données Microsoft basés sur États-Unis et sont accessibles par l’équipe que le client engage pour fournir les services.

VDI

Pour examiner et corriger certains cas de support client, le personnel Microsoft peut accéder aux données des services professionnels via une infrastructure VDI hébergée sur un ordinateur physique situé en dehors de la limite de données de l’UE. Le personnel microsoft peut également accéder à des données personnelles pseudonymes dans des journaux générés par le système via des VDIs en dehors de la limite de données de l’UE pour examiner et corriger certains problèmes des clients. Les deux scénarios entraînent le traitement temporaire des données de services professionnels en dehors des limites de données de l’UE ; toutefois, aucune donnée n’est conservée en dehors de la limite de données de l’UE.

Titres des cas de support technique

Les titres de cas de support technique, considérés comme des données de services professionnels, jouent un rôle crucial dans la gestion et le routage efficaces des cas de support au sein de Microsoft. Ces titres sont utilisés dans plusieurs systèmes et outils pour améliorer l’efficacité opérationnelle et la prestation des services. Cela inclut le routage des cas, la diagnostics et la résolution des problèmes, la détection des pics, le tri et la hiérarchisation, ainsi que l’évaluation des demandes de service. Le titre du cas de support technique fourni par le client ou généré par Microsoft pour le compte du client peut être stocké dans des centres de données situés en dehors de la limite de données de l’UE.

Les cas ont été transmis aux ingénieurs produits

Si un ingénieur du support technique n’est pas en mesure de résoudre un cas directement, il devra peut-être le faire remonter à l’équipe produit pour un dépannage plus approfondi. Dans ce cas, les données de services professionnels pour un cas de support peuvent être stockées dans des centres de données en dehors de la limite de données de l’UE. Ces données peuvent inclure la description du cas de support et les étapes de reproduction. L’accès aux données des services professionnels pour résoudre le cas est décrit dans Accès à distance aux données stockées et traitées dans la limite de données de l’UE plus haut dans cet article.

Messages vocaux client dans les cas de support

Lorsqu’un client appelle Microsoft pour obtenir du support et quitte une messagerie vocale pour un agent de support, la messagerie vocale, considérée comme des données de services professionnels, peut être stockée en dehors de la limite de données de l’UE. Des travaux sont en cours pour stocker les messages vocaux dans la limite de données de l’UE.

Protection des clients

Pour se protéger contre les menaces de cybersécurité globales, Microsoft doit exécuter des opérations de sécurité à l’échelle mondiale. Pour ce faire, les transferts Microsoft (comme décrit dans Opérations de sécurité plus loin dans cet article) limitent les données personnelles pseudonymes et les données de services professionnels en dehors de la limite des données de l’UE et, dans de rares cas, les données client limitées. Les acteurs malveillants opèrent à l’échelle mondiale, lancent des attaques géodistribuées, utilisent des tactiques furtives coordonnées et échappent à la détection. L’analyse des données contextuelles sur les menaces au-delà des limites géographiques permet aux services de sécurité Microsoft de protéger les clients en fournissant des détections de sécurité automatisées, des protections et une réponse de haute qualité.

Les résultats de cette analyse inter-limites alimentent plusieurs scénarios de protection, notamment l’alerte des clients en cas d’activité malveillante, d’attaques ou de tentatives de violation.

La mise en place de protections de sécurité solides bénéficie à nos clients et à l’écosystème informatique et prend en charge les obligations réglementaires en matière de sécurité des données client, des données personnelles pseudonymes, des données de services professionnels et de l’infrastructure critique. Conformément au RGPD et à la Charte des droits fondamentaux de l’UE, l’approche de Microsoft offre une valeur ajoutée en favorisant la confidentialité, la protection des données et la sécurité.

L’accès aux données client limitées, aux données personnelles pseudonymes et aux données de services professionnels transférées hors de l’UE pour les opérations de sécurité est limité au personnel de sécurité de Microsoft, et l’utilisation est limitée à des fins de sécurité, notamment la détection, l’examen, l’atténuation et la réponse aux incidents de sécurité. Les données client transférées, les données personnelles pseudonymes et les données de services professionnels sont protégées par des restrictions de chiffrement et d’accès. Pour plus d’informations sur les contrôles d’accès, consultez Accès à distance aux données stockées et traitées dans la limite de données de l’UE plus haut dans cet article.

Voici quelques exemples de fonctionnalités destinées aux clients fournies par Microsoft via l’utilisation des signaux transfrontaliers :

• Pour fournir une protection contre les menaces de sécurité modernes sophistiquées, Microsoft s’appuie sur ses fonctionnalités d’analytique avancées, y compris l’intelligence artificielle, pour analyser les données de sécurité agrégées, y compris les journaux d’activité, afin de se protéger contre ces attaques, de les détecter, d’examiner, de répondre à ces attaques et de les corriger. Les données client limitées, les données personnelles pseudonymes consolidées à l’échelle mondiale et les données de services professionnels sont utilisées pour créer des résumés statistiques afin de réduire les faux positifs, d’améliorer l’efficacité et de créer des modèles machine learning uniques pour des détections avancées des menaces connues et inconnues en quasi-temps réel. Les modèles globaux nous permettent d’affiner et d’activer des modèles personnalisés pour des opérations spécifiques. Sans cette fonctionnalité d’analyse centralisée sur les données globales, l’efficacité de ces services se dégraderait considérablement et nous ne pourrions pas protéger nos clients ni fournir une expérience utilisateur cohérente.
• Le cloud hyperscale permet une analyse diversifiée et continue des journaux générés par le système liés à la sécurité sans avoir connaissance préalable d’une attaque spécifique. Dans de nombreux cas, les journaux globaux générés par le système permettent à Microsoft ou à ses clients d’arrêter les attaques précédemment inconnues, tandis que dans d’autres cas, Microsoft et les clients peuvent utiliser des journaux générés par le système pour identifier les menaces qui n’ont pas été détectées initialement, mais qui peuvent être trouvées ultérieurement en fonction de nouvelles informations sur les menaces.
• Détection d’un utilisateur d’entreprise compromis, en identifiant les connexions à un seul compte à partir de plusieurs régions géographiques, dans un bref délai (attaques appelées « voyages impossibles »). Pour activer la protection contre ces types de scénarios, les produits de sécurité Microsoft (et le cas échéant, les équipes d’opérations de sécurité et de renseignement sur les menaces) traitent et stockent des données telles que Microsoft Entra des journaux d’authentification générés par le système d’authentification de manière centralisée entre les zones géographiques.
• Détection de l’exfiltration de données de l’entreprise, en agrégeant plusieurs signaux d’accès malveillant au stockage de données à partir de différents emplacements, une technique utilisée par des acteurs malveillants pour passer sous le radar de détection (appelées attaques « faibles et lentes »).

Pour réduire l’impact sur la confidentialité de ce travail, les équipes de chasseurs de menaces de sécurité de Microsoft limitent les transferts en cours aux journaux générés par le système et aux informations de configuration du service nécessaires pour détecter et examiner les premiers indicateurs d’activité malveillante ou de violation. Les données pseudonymes incluses et les données de services professionnels sont consolidées et stockées principalement dans le États-Unis, mais peuvent inclure d’autres régions du centre de données dans le monde entier pour le travail de détection des menaces, comme décrit précédemment. Les données personnelles pseudonymes sont transférées et protégées conformément aux termes du DPA et aux engagements contractuels applicables. Dans les rares cas où des données client ou des données de services professionnels sont consultées ou transférées à la suite d’une enquête de sécurité, cela se fait par le biais d’approbations et de contrôles élevés, comme indiqué dans les sections Comment Microsoft protège les données client et Comment Microsoft protège les données des services professionnels plus haut dans cet article.

Opérations de sécurité

Les opérations de sécurité Microsoft utilisent un ensemble de services internes pour surveiller, examiner et répondre aux menaces auxquelles les clients font face pour leurs opérations quotidiennes. Les données personnelles pseudonymisées entre les limites géographiques, les données client limitées ou les données de services professionnels traitées pour ces opérations permettent de bloquer les tentatives malveillantes contre l’infrastructure cloud et Microsoft services en ligne.

Données personnelles pseudonymes et services professionnels Les données traitées à des fins de sécurité sont transférées vers n’importe quelle région Azure dans le monde entier. Cela permet aux opérations de sécurité de Microsoft, comme le Centre de réponse à la sécurité Microsoft (MSRC), de fournir des services de sécurité 24 heures sur 24, 365 jours par an de manière efficace et efficace en réponse aux menaces dans le monde entier. Les données sont utilisées dans la surveillance, les enquêtes et la réponse aux incidents de sécurité au sein de la plateforme, des produits et des services de Microsoft, protégeant les clients et Microsoft contre les menaces pour leur sécurité et leur confidentialité. Par exemple, lorsqu’une adresse IP ou un numéro de téléphone est déterminé comme étant utilisé dans des activités frauduleuses, il est publié globalement pour bloquer l’accès à toutes les charges de travail qui l’utilisent.

Les analystes de sécurité accèdent à des données consolidées à partir d’emplacements dans le monde entier, car MSRC a un modèle d’opération de suivi du soleil, avec une expertise et des compétences distribuées pour fournir une surveillance et une réponse continues pour les enquêtes de sécurité, y compris, mais sans s’y limiter, les scénarios suivants :

• Le client a identifié une activité malveillante dans son locataire ou ses abonnements et a contacté le support Microsoft pour obtenir de l’aide pour résoudre l’incident.
• MSRC a une ou plusieurs indications claires de compromission dans un locataire, un abonnement ou une ressource client, et avertit le client, aide à examiner et à répondre à l’incident, après approbation du client.
• Au cours d’une enquête sur un incident, si un incident de sécurité impactant le client est identifié, le Centre de réponse à la sécurité Microsoft (MSRC) effectue, conformément à un protocole strict, une investigation plus approfondie pour faciliter la notification et la réponse à l’incident de sécurité.
• Partage des informations sur les menaces et des détails d’investigation entre les équipes de sécurité interne de Microsoft pour une réponse et une correction agiles.

Pour plus d’informations sur les contrôles d’accès, consultez Accès à distance aux données stockées et traitées dans la limite de données de l’UE plus haut dans cet article.

Renseignement sur les menaces de sécurité

Les services Microsoft Threat Intelligence surveillent, examinent et répondent aux menaces auxquelles sont confrontés les environnements clients. Les données collectées pour les enquêtes de sécurité peuvent inclure des données personnelles pseudonymes dans des journaux générés par le système, des données client limitées et des données de services professionnels limitées. Ces données sont utilisées pour bloquer les tentatives malveillantes contre les infrastructures cloud de nos clients et fournir des informations sur les menaces en temps opportun et des indications de compromission aux organisations, les aidant à augmenter leur niveau de protection.

Pour les enquêtes sur les menaces où des preuves d’une menace d’État-nation ou d’autres actions malveillantes par des acteurs sophistiqués sont détectées, les équipes Microsoft qui collectent des renseignements sur les menaces, comme le Centre de renseignement sur les menaces Microsoft (MSTIC), alertent les clients de l’activité notée. MSTIC peut identifier les activités malveillantes par le biais de journaux d’activité générés par le système et de données de diagnostic globalement consolidés, collectés à partir de différents produits et services Microsoft, conjointement avec l’analyse d’experts effectuée par le personnel MSTIC.

L’accès des équipes d’analystes dispersées géographiquement aux journaux générés par le système à l’échelle mondiale à des fins de sécurité est d’une importance capitale pour identifier en temps voulu une attaque ou une violation, ce qui fournit une enquête non interrompue. Les analystes MSTIC possèdent des connaissances et des compétences spécifiques pour les attaquants qui ne peuvent pas simplement être répliquées dans d’autres régions, car ils peuvent avoir une expertise spécifique en matière d’adversaires régionaux. Par conséquent, les opérations d’analyse MSTIC franchissent nécessairement les limites géopolitiques pour fournir aux clients le plus haut niveau d’expertise. Pour plus d’informations sur les contrôles d’accès, consultez Accès à distance aux données stockées et traitées dans la limite de données de l’UE plus haut dans cet article.

Pour fournir aux clients la meilleure information sur les menaces, MSTIC doit tirer parti des signaux globaux pour des scénarios tels que :

• Activités malveillantes de l’État-nation utilisées pour atteindre les objectifs de renseignement nationaux.
• Les activités d’État-nation malveillantes qui utilisent des programmes malveillants et des tactiques de base dans des attaques destructrices et irrécupérables, ou qui sont utilisées pour masquer l’identité de l’attaquant (faux indicateur) et fournir une déniabilité plausible. Activités criminelles malveillantes utilisées dans des programmes d’extorsion financière illicites (par exemple, attaques par rançongiciel contre des ressources ou des infrastructures critiques civiles).

Services en préversion/versions d’évaluation

Seuls les services Microsoft payants qui sont généralement disponibles sont inclus dans la limite de données de l’UE. Les services en préversion ou mis à disposition sous forme d’essai gratuit ne sont pas inclus.

Services déconseillés

Les services qui, depuis le 31 décembre 2022, ont été annoncés comme déconseillés, ne sont pas inclus dans la limite de données de l’UE. Les services cloud Microsoft suivent la politique de cycle de vie moderne et, dans la plupart des cas, lorsque nous avons annoncé qu’un service est déprécié, nous avons également recommandé une offre de produit alternative ou successeur qui est dans l’étendue de la limite de données de l’UE. Par exemple, Microsoft Stream (Classic) est un service vidéo d’entreprise pour Microsoft 365 qui a été remplacé par Stream (sur SharePoint). Les clients ont été informés que Stream (Classic) était déconseillé le 15 avril 2024. Des conseils de migration et des outils en préversion publique ont été mis à disposition pour aider les clients à migrer vers Stream (sur SharePoint), qui se trouve dans la limite des données de l’UE.

Logiciels locaux et applications clientes

Les données stockées dans les logiciels locaux et les applications clientes ne sont pas incluses dans la limite de données de l’UE, car Microsoft ne contrôle pas ce qui se passe dans les environnements locaux des clients. Les données de diagnostic générées à partir de l’utilisation de logiciels locaux et d’applications clientes ne sont pas non plus incluses dans la limite de données de l’UE.

Remarque

Les journaux générés par le système et les données de diagnostic provenant de l’utilisation de Microsoft 365 Apps (abonnement) sont inclus dans la limite de données de l’UE. Pour plus d’informations, consultez Collection de données de télémétrie Microsoft 365.

Données d’annuaire

Microsoft peut répliquer des données d’annuaire de Microsoft Entra limitées à partir de Microsoft Entra (y compris le nom d’utilisateur et l’adresse e-mail) en dehors des limites de données de l’UE pour fournir le service.

Transit réseau

Pour réduire la latence de routage et maintenir la résilience du routage, Microsoft utilise des chemins réseau variables qui peuvent parfois entraîner le routage du trafic client en dehors de la limite de données de l’UE. Cela peut inclure l’équilibrage de charge par les serveurs proxy.

Qualité, résilience et gestion des services et des plateformes

Le personnel de Microsoft peut exiger que certaines données personnelles pseudonymes provenant des journaux générés par le système et des données de services professionnels provenant de cas de support soient consolidées à l’échelle mondiale pour s’assurer que les services fonctionnent efficacement et pour calculer et surveiller les métriques de qualité globale en temps réel pour les services. Ces transferts peuvent inclure une quantité limitée de données personnelles pseudonymes, telles que les ID d’objet ou les ID uniques principaux (PUID) et les données de services professionnels, telles que les ID de suivi ou les ID de session des cas de support du service en ligne. Ces données sont utilisées pour résoudre divers problèmes d’opérabilité et de gestion des services. Voici quelques exemples :

• Calcul du nombre d’utilisateurs affectés par un événement ayant un impact sur le service pour déterminer son omniprésence et sa gravité, ou calcul des utilisateurs actifs mensuels (MAU) et des utilisateurs actifs quotidiens (DAU) des services pour garantir que les calculs de facturation basés sur ces données sont complets et exacts. Les données personnelles pseudonymes transférées à des fins de calcul MAU et DAU sont conservées en dehors des limites de données de l’UE uniquement aussi longtemps que nécessaire pour compiler des analyses agrégées.

• Une quantité limitée de données personnelles pseudonymes est envoyée à des centres de données situés en dehors des limites de données de l’UE à des fins de validation de la licence d’abonnement d’un client status.