Clauses contractuelles types de l’U.E. : forum aux questions

Afficher tout

Les clauses types de L’UE permettent aux clients de se conformer à la directive sur la protection des données de l’Union européenne concernant les transferts internationaux de données personnelles.

La législation de l’UE sur la protection des données restreint l’exportation de données personnelles à partir de l’Espace économique européen. Les clauses types, clauses contractuelles standard approuvées par la Commission européenne, constituent une façon privilégiée de légitimer le transfert de données personnelles hors de l’Espace économique européen.

Les fournisseurs de service cloud mondiaux offrant un service, une disponibilité et des performances de niveau entreprise, ainsi que des services accessoires tels qu’un support client et technique 24h/24 et 7j/7, ont besoin de souplesse pour déplacer des données personnelles d’un client de l’UE en dehors de l’UE pendant la fourniture du service cloud.

Bien que Microsoft et ses clients puissent s’appuyer sur les principes « Safe Harbor » pour légitimer le transfert de données personnelles à partir de l’UE, certains régulateurs européens de la protection des données ont déclaré que les principes « Safe Harbor » peuvent s’avérer insuffisants pour un environnement de services cloud d’entreprise.

Microsoft est disposé à signer les contrats de traitement des données contenant les clauses types de l’UE avec tous ses clients Office 365 et Microsoft Dynamics CRM Online, indépendamment de la taille du client ou de la valeur de son contrat de service Office 365 ou Microsoft Dynamics CRM Online.

L’intégration des clauses types de l’UE à l’offre implique un investissement, ainsi que la création des contrôles et processus opérationnels permettant de satisfaire aux exigences contraignantes de ces clauses. Pour se conformer à ces dernières, Microsoft a investi dans le développement de contrôles et de processus dépassant ceux requise pour obtenir la certification ISO 27001, et ces contrôles font l’objet d’une évaluation dans notre audit annuel. En outre, nous divulguons entièrement les sous-traitants, le statut de tiers bénéficiaire appliqué aux personnes concernées, ainsi que les mesures de sécurité techniques et organisationnelles. Il est possible que des concurrents n’intégrant pas les clauses types de l’UE à leur offre n’aient pas implémenté ces contrôles et processus, ou qu’ils aient des pratiques commerciales qui les empêchent de respecter ces clauses.

Sauf si un fournisseur de service cloud est prêt à accepter les clauses types de l’UE, un client peut douter du respect par ce fournisseur des contraintes de la directive sur la protection des données de l’UE concernant les transferts de données personnelles à partir de l’UE vers des territoires n’offrant pas une « protection adéquate » des données personnelles. En effet, le groupe de travail article 29 a souligné l’importance d’établir des garanties contractuelles dans la relation entre le responsable du contrôle et le responsable du traitement des données (c’est-à-dire, entre le client et le fournisseur de service cloud), ainsi que l’importance des clauses types de l’UE.

Non. En règle générale, les autorités de l’UE en charge de la protection des données ne considèrent pas le chiffrement comme une substitution aux mesures d’adéquation pour les transferts internationaux des données personnelles.

Les clients doivent prendre en considération l’engagement global du fournisseur de services concernant la confidentialité et la sécurité des données, en plus du respect des clauses types de l’UE. Le fait que le fournisseur de services collabore de façon proactive avec les autorités nationales en charge de la protection des données, ainsi qu’avec le groupe de travail article 29, témoigne de cet engagement et permet de s’assurer que l’offre du fournisseur de services répond aux attentes des clients et des régulateurs.

Microsoft a reçu de la part des autorités européennes en charge de la protection des données de nombreux avis positifs mettant à l’honneur les fonctionnalités robustes qu’offrent Office 365 et Microsoft Dynamics CRM Online en matière de respect des exigences de protection des données, démontrant clairement une fois encore que Microsoft conçoit ses services cloud en accordant une place primordiale à la protection des données.

À ce jour, les autorités en charge de la protection des données en France, en Allemagne (Bavière), au Danemark, en Irlande, au Luxembourg, à Malte et en Espagne ont validé par écrit notre approche des clauses types de l’UE. Ces validations confirment que nous aidons nos clients à répondre aux exigences réglementaires locales concernant le transfert de données personnelles à partir de l’UE vers des territoires qui n’offrent pas une « protection adéquate » des données personnelles.

Un client de l’UE peut passer à Office 365 ou à Microsoft Dynamics CRM Online tout en respectant les exigences de l’UE en matière de protection des données.

Office 365 est un service mutualisé, et Microsoft exécute le service avec les mêmes fonctionnalités, contrôles et processus de protection des données pour tous les clients, y compris ceux qui décident de ne pas signer les clauses types de l’UE.

Was this information helpful?

Great! Any other feedback?

How can we improve it?


To protect your privacy, please do not include contact information in your feedback. Review our privacy policy.

×