Comprendre le cycle de vie des données – collecte
Lorsque les clients s’inscrivent à Microsoft Online Services, il est important qu’ils comprennent les conditions d’utilisation qui s’appliquent pour eux. Les exigences en matière de confidentialité et de réglementation diffèrent en fonction du secteur et des frontières géographiques. Il est donc important que les clients déterminent, par eux-mêmes, si le service répond à leurs besoins spécifiques.
Les conditions d’utilisation de Microsoft pour ses clients sont les suivantes :
- Conditions des Services en Ligne (OST) : engagements contractuels standards envers les clients commerciaux qui utilisent les services en ligne, Microsoft agissant comme processeur de données
- Addendum sur la protection des données (DPA) des services en ligne : obligations respectives concernant le traitement et l’utilisation des types de données qui existent dans notre service
À l’origine, les DPA et OST figuraient dans le même document. En janvier 2020, nous les avons séparés pour permettre à nos clients de trouver plus facilement les conditions de confidentialité des données. Microsoft travaille avec les autorités et les clients commerciaux afin d’obtenir leurs commentaires sur les lois relatives à la protection des données et ainsi s’adapter aux changements des différentes réglementations.
Déclaration de confidentialité, consentement et taxonomie des données
La déclaration et le consentement sont des principes fondamentaux des lois sur la confidentialité dans le monde. Microsoft gère un comité de gouvernance des données client (CDGB) qui gère la taxonomie des données client (taxonomie) et le cadre d’utilisation des données client (Cadre) : un ensemble de règles à l’échelle de l’entreprise pour la notification, le consentement et les contrôles des utilisateurs. La taxonomie définit des catégories de types de données et d’utilisations. Le cadre spécifie les contrôles utilisateur de notification, de consentement et post collecte requis pour l’utilisation de chaque type de données. Microsoft utilise également des analyses de confidentialité, notamment une analyse des intérêts légitimes, pour prendre en charge ce processus. Des exigences supplémentaires peuvent s’appliquer à des situations spécifiques (par exemple, le consentement des parents peut être nécessaire pour collecter les données d’un enfant.)
Traitement et utilisation des données
Les normes de traitement des données fournissent des conseils sur la façon de gérer chaque type de classification des données dans des activités ou des scénarios spécifiques, y compris un ensemble d’exigences collectives pour répondre aux obligations décrites dans le fichier OST/DPA, ainsi que dans diverses normes et réglementations en matière d’audit. Ces normes sont couramment utilisées lors de la création de nouvelles fonctionnalités ou lors de l’exécution d’un service, et peuvent être spécifiques à ce service, comme Microsoft 365.
Pour respecter les lois de confidentialité appliquées de manière générale, nous limitons strictement notre utilisation de toutes les données personnelles aux quatre catégories de données traitées. Pour protéger la confidentialité des données commerciales des clients, nous limitons également strictement l’utilisation de toutes les données clients et de toutes les données des services professionnels. Nous n’accédons pas au contenu des données client pour déterminer ce qui est personnel ou non. En effet, nous partons du principe que toutes les données clients et toutes les données des services professionnels contiennent des données personnelles. Vous trouverez ci-dessous une représentation visuelle des types de données définis dans le DPA. La zone bleue permet d’illustrer le fait que toutes les données personnelles sont traitées dans le cadre de l’un des autres types de données (qui incluent également des données non personnelles). Les données d’assistance sont un sous-ensemble de données de services professionnels.
Les données personnelles contenues dans les données de diagnostic et les données générées par le service sont principalement trouvées sous forme de numéros uniques générés par la machine qui peuvent être liés aux utilisateurs.
Transferts internationaux de données
Les données client et les données personnelles que Microsoft traite pour le compte d’un client peuvent être transférées, stockées et traitées aux États-Unis ou dans tout autre pays/région dans lequel Microsoft ou ses sous-traitants opèrent. Si un client souhaite comprendre de façon approfondie chaque service, il est utile de consulter l’addendum sur la protection des données.
Microsoft Corporation se conforme aux lois internationales sur la protection des données concernant les transferts des données client entre les pays. Par exemple, les clauses types de l’UE régissent le transfert des données personnelles des clients de l’UE vers des pays/régions en dehors de l’Espace économique européen (EEE). Les clauses contractuelles standards de l’UE de Microsoft fournissent des garanties contractuelles spécifiques concernant les transferts des données personnelles pour les services couverts qui, selon les autorités européennes en matière de confidentialité, répondent aux normes de l’UE pour les transferts internationaux des données. Les Clauses types de l’UE fournissent également un mécanisme valide pour le transfert de données personnelles à partir de la Suisse et du Royaume-Uni.