Comprendre le partage tiers – cycle de vie des données

Effectué

Le partage avec les tiers est le partage ou la divulgation de données à des tiers. Vous trouverez ci-dessous des façons dont Microsoft peut partager des données. Dans tous les cas, Microsoft ne partage les données que si le client l'y autorise ou si la loi applicable l'exige.

Sous-traitement

Microsoft traite les données dans le cadre de la fourniture de services cloud à nos clients. Nous classons les données que nous traitons par catégories afin de garantir qu'elles sont traitées avec les protections appropriées en matière de sécurité et de confidentialité. Les catégories de données traitées par Microsoft sont définies dans la DPA (Microsoft Online Services Data Protection addendum).

Lorsque Microsoft fait appel à un fournisseur pour fournir certains aspects de nos services en ligne qui peuvent exiger que le fournisseur utilise ou traite ces données, le fournisseur est identifié comme un « sous-traitant ». Tous les sous-traitants doivent adhérer au programme DSPA (Microsoft Supplier Security and Privacy Assurance) avant d’être autorisés à traiter des données pour le compte de Microsoft.

Le programme SSPA de Microsoft est un programme d'entreprise conçu pour normaliser et renforcer les pratiques de traitement des données en fixant des exigences de confidentialité et de sécurité pour les fournisseurs de Microsoft. Le programme de la SSPA exige que les fournisseurs illustrent la conformité aux stratégies strictes de confidentialité et de sécurité de Microsoft, aux obligations légales et aux attentes des clients. Pour protéger les données clientes et personnelles, Microsoft exige que tous les sous-traitant se conforment au programme de la SSPA.

Offres de tiers

Les clients peuvent utiliser les offres de tiers disponibles via des plateformes telles que les magasins d'applications Office et SharePoint comme services supplémentaires facultatifs. L’administrateur informatique détermine si les utilisateurs finaux peuvent utiliser ces offres supplémentaires. Certains de ces services sont gérés par Microsoft Corporation et d'autres sont gérés par des éditeurs d'applications tiers. Les applications tierces sont soumises aux conditions générales et déclarations de confidentialité de l’éditeur de l’application. Les clients devront évaluer les risques liés à l’utilisation d'offres de tiers par rapport aux priorités de l’entreprise.

Rapport des demandes d’application des lois

Microsoft n’octroie à aucune administration (y compris aux forces de l’ordre ou aux autres entités gouvernementales) un accès direct ou sans entrave aux données client. Si un tiers souhaite obtenir des données sur les clients, il doit suivre la procédure légale applicable, ce qui signifie qu'il doit nous servir une demande légale valide de contenu ou d'informations sur les abonnés ou d'autres données non liées au contenu. Pour les demandes non gouvernementales, nous avons besoin du consentement légal particulier du propriétaire du compte pour diffuser le contenu et, pour toutes les demandes, nous fournissons un avis au propriétaire du compte, sauf si la loi l'interdit. Microsoft ne fournit à aucun gouvernement les clés de chiffrement de plateforme ni ne donne aux gouvernements la possibilité de rompre le chiffrement activé par le client.

Si un gouvernement souhaite obtenir des données client, il doit suivre les procédures juridiques applicables, notamment :

  • Toutes les demandes juridiques concernant les données client doivent cibler des comptes et des identifiants spécifiques.
  • L'équipe de conformité juridique de Microsoft examine toutes les demandes juridiques pour s'assurer qu'elles sont valides, rejette celles qui ne le sont pas et fournit uniquement des données spécifiques en réponse.
  • Si Microsoft est contraint par la loi de divulguer des données client, le client reçoit rapidement une notification et une copie de la demande juridique, à moins que la loi n'interdise à Microsoft de le faire.

Si vous souhaitez en savoir plus