Principales questions en matière de confidentialité qu’un client doit poser à son fournisseur de services cloud

Microsoft Office 365 met à la disposition de tous les clients Office 365 des fonctionnalités de protection des données essentielles. L’objectif de cette section consiste à décrire ces fonctionnalités de protection des données et à indiquer dans quelle mesure elles répondent aux standards de protection des données élevés définis par les autorités de l’U.E. Le 1er juillet 2012, le groupe de travail Article 29 de l’U.E. (Groupe de l’article 29) (groupe composé des autorités nationales de l’Union européenne en charge de la protection des données) a adopté l’avis 05/2012 sur l’informatique en nuage. Ce dernier souligne les avantages de l’informatique en nuage, notamment une efficacité et une sécurité accrues. Dans l’avis, le Groupe de l’article 29 insiste sur l’importance de choisir un fournisseur de services cloud transparent concernant ses pratiques en matière de protection des données et qui respecte la protection des données du client.
L’avis du Groupe de l’article 29 fournit une aide essentielle pour les utilisateurs actuels et potentiels des services cloud. En outre, il soulève une série de questions que les clients de services cloud, en tant que responsables du traitement, doivent prendre en considération quand ils choisissent un fournisseur de services cloud. Les questions clés sur la protection des données et les réponses Office 365 sont indiquées ici.
AfficherMasquer
Le fournisseur de services cloud présente-t-il sur un support unique des informations complètes et compréhensibles sur ses pratiques en matière de protection des données et de sécurité ? Ces informations traitent-elles de sujets importants tels que le lieu de stockage des données, les personnes habilitées à accéder à celles-ci et les circonstances dans lesquelles les données sont accessibles, ainsi que les sous-traitants prenant part au traitement des données ?
Référence dans l’avis du Groupe de l’article 29 : dans la section 4.1 (la première puce sous le titre « Respect des principes fondamentaux de protection des données »), le Groupe de l’article 29 indique que « les fournisseurs d’informatique en nuage devraient informer leurs clients de tous les aspects pertinents (concernant la protection des données) de leurs services … en particulier, les clients devraient être informés de tous les sous-traitants prenant part à la fourniture du service en nuage concerné ainsi que des lieux où les données à caractère personnel sont susceptibles d’être stockées ou traitées par le fournisseur d’informatique en nuage et/ou ses sous-traitants». Pour sa part, la section 3.4.1.1 (Transparence) souligne l’importance de la transparence dans la relation entre le fournisseur de services cloud et le client.
Office 365 : Microsoft rend facilement accessibles les informations sur ses pratiques en matière de protection des données et sécurité dans le Centre de gestion de la protection des données d’Office 365. Le Centre de gestion de la protection des données d’Office 365 contient des informations sur le lieu de stockage des données, les personnes habilitées à accéder à celles-ci et les circonstances dans lesquelles les données sont accessibles, ainsi que sur les sous-traitants prenant part au traitement des données.
AfficherMasquer
Le fournisseur de services cloud utilise-t-il les données du client à une autre fin que la fourniture du service et d’une manière différente de celle employée pour la fourniture du service ? Si tel est le cas, à quelles fins spécifiques ? Par exemple, les données du client seront-elles traitées pour créer des profils qui seront utilisés à des fins publicitaires ou à des fins commerciales, ou divulguées d’une manière ou d’une autre à des tierces parties (autres que les sous-traitants ou des organismes devant utiliser ces informations dans le cadre d’une procédure juridique) ?
Référence dans l’avis du Groupe de l’article 29 : dans la section 3.4.1.2 (Spécification et limitation des finalités), le Groupe de l’article 29 indique clairement que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités » et qu’il incombe aux clients de services cloud de « s’assurer que les données à caractère personnel ne sont pas (illégalement) traitées pour d’autres finalités par le fournisseur d’informatique en nuage ».
Office 365 : les services cloud d’entreprise de Microsoft utilisent les données du client uniquement pour fournir les services. Cela peut inclure des opérations de dépannage afin d’éviter, de détecter et de réparer les problèmes liés à l’exploitation des services et l’amélioration de fonctionnalités qui impliquent la détection de menaces émergentes et changeantes pour l’utilisateur, ainsi que la protection contre celles-ci (telles que les logiciels malveillants ou le courrier indésirable). Office 365 ne crée pas de produits publicitaires à partir des données du client. Nous n’analysons pas vos messages électroniques ou vos documents pour produire des analyses, explorer les données, faire de la publicité ou améliorer le service.
Microsoft ne divulguera pas les données du client à une tierce partie (même dans le cadre de l’application d’une loi, à une autre entité gouvernementale ou à une partie civile, à l’exclusion de nos sous-traitants) sauf à la demande du client ou en cas d’obligation légale.
AfficherMasquer
Si le fournisseur de services cloud propose des services aux entreprises et des services grand public, combine-t-il les données des entreprises clientes avec les données collectées dans le cadre des services grand public ? Si tel est le cas, de quelles façons et à quelles fins ?
Référence dans l’avis du Groupe de l’article 29 : section 3.4.1.2 (Spécification et limitation des finalités) et section 3.3.1 (Le client et le fournisseur de services d’informatique en nuage).
Office 365 : les serveurs des services cloud d’entreprise Microsoft sont physiquement et/ou logiquement séparés des serveurs des services en ligne grand public. Les données des entreprises clientes, les données issues des services en ligne grand public Microsoft et les données créées par, ou résultant d’opérations de, Microsoft dans le cadre d’activités d’analyse, d’indexation ou d’exploration de données ne sont pas mélangées sauf en cas d’approbation préalable du client.
AfficherMasquer
Le fournisseur de services cloud analyse-t-il ou explore-t-il le contenu du client, tel que les communications par messagerie électronique ou les documents ? Si tel est le cas, à quelles fins ?
Référence dans l’avis du Groupe de l’article 29 : section 3.4.1.2 (Spécification et limitation des finalités) et section 3.3.1 (Le client et le fournisseur de services d’informatique en nuage).
Office 365 : Microsoft n’analyse pas les messages électroniques ou les documents à des fins publicitaires. Les services d’entreprise Microsoft gèrent, analysent et indexent les données du client pour fournir à celui-ci des fonctionnalités enrichies lui permettant d’accéder à ses données et de les organiser. Par exemple, les utilisateurs finaux peuvent facilement rechercher leurs documents et autre contenu dans Office 365.
AfficherMasquer
Si le fournisseur de services cloud offre également des services grand public, mélange-t-il les données d’entreprise et les données collectées auprès de ces services ?
Référence dans l’avis du Groupe de l’article 29 : section 3.4.3 (Mesures techniques et organisationnelles en matière de protection et de sécurité des données).
Office 365 : le service commercial d’Office 365 est logiquement séparé des services en ligne grand public. Les données des entreprises clientes et les données issues des services en ligne grand public Microsoft ne sont pas mélangées sauf en cas d’approbation préalable du client.
AfficherMasquer
Le fournisseur de services cloud applique-t-il des protections adéquates aux transferts de données dans le cloud ?
Le Groupe de l’article 29 conclut que les mécanismes traditionnels de transfert de données hors de l’Espace économique européen présentent des « limites » quand ils sont appliqués au cloud. Le Groupe de l’article 29 cite les directives « Safe Harbor », indiquant aux clients de service cloud que le simple engagement de l’importateur de données vis-à-vis des directives « Safe Harbor » risque d’être jugé insuffisant pour les transferts de données vers des fournisseurs basés aux États-Unis. De plus, le Groupe de l’article 29 rappelle aux clients de services cloud la nécessité de se conformer à toute obligation légale nationale éventuelle.
Office 365 fournit un contrat de traitement des données (OST) complet et son offre intègre les clauses contractuelles types de l’U.E. en plus de l’auto-certification propre à l’infrastructure « Safe Harbor » États-Unis/U.E. Bien que les clauses contractuelles types soient spécifiquement créées pour les clients situés dans l’U.E., le contrat de traitement des données (OST) est un ajout des bonnes pratiques en matière de protection des données des différents pays et est offert à tous les clients indépendamment de leur localisation géographique ou de leur taille. Les processus qu’Office 365 a créés pour se conformer aux clauses contractuelles types ne sont pas limités aux clients situés dans l’U.E., mais sont disponibles pour tous les clients.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"}, {"functionName":"PinnedNav","params":"#pmgPDN|#pmgPinnedNavStart|top|.pmg-pinned-nav-highlighted|false||680|.pmg-pinned-end-point"},

{"functionName":"CustomTooltip","params":""},{"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"}]}