Principales questions sur la protection des données qu’un client doit poser à son fournisseur de services cloud

Microsoft Office 365 met à la disposition de tous les clients Office 365 des fonctionnalités essentielles de protection des données . L’objectif de cette section consiste à décrire ces fonctionnalités de protection des données et à indiquer dans quelle mesure elles répondent aux standards de protection des données élevés définis par les autorités de l’UE. Le 1er juillet 2012, le groupe de travail article 29 de l’UE, composé des autorités nationales de l’Union européenne en charge de la protection des données, a adopté l’avis 05/2012 sur le cloud computing. Ce dernier souligne les avantages du cloud computing, notamment une efficacité et une sécurité accrues. Dans l’avis, le groupe de travail article 29 insiste sur l’importance de choisir un fournisseur de services cloud transparent concernant ses pratiques en matière de protection des données, et qui respecte la protection des données des données client.

L’avis du groupe de travail article 29 fournit des conseils essentiels pour les utilisateurs actuels et potentiels des services cloud. Il soulève également une série de questions que les clients de services cloud, dans leur rôle de responsable contrôle des données, doivent examiner lors du choix d’un fournisseur de services cloud. Les questions clés sur la protection des données et les réponses d’Office 365 sont mentionnées ici.

Afficher tout

Référence dans l’avis du groupe de travail article 29 : dans la section 4.1 (la première puce sous le titre « Respect des principes de base »), le groupe de travail article 29 indique que « le fournisseurs (de cloud computing doit informer le client) de toutes les questions pertinentes (concernant la protection des données) (...) il est nécessaire que le client ait connaissance de tous les sous-traitants prenant part à la fourniture du service en nuage concerné ainsi que de la localisation de tous les centres de données dans lesquels les données à caractère personnel peuvent être traitées ». Pour sa part, la section 3.4.1.1 (Transparence) souligne l’importance de la transparence dans la relation entre le fournisseur de services cloud et le client.

Office 365 : Microsoft rend facilement accessibles les informations sur ses pratiques en matière de protection des données et de sécurité dans le Centre de gestion de la protection des données d’Office 365. Le Centre de gestion de la protection des données d’Office 365 contient des informations sur le lieu de stockage des données, les personnes habilitées à accéder à celles-ci et les circonstances dans lesquelles les données sont accessibles, ainsi que sur les sous-traitants prenant part à leur traitement.

Référence dans l’avis du groupe de travail article 29 : dans la section 3.4.1.2 (Spécification et limitation des finalités), le groupe de travail article 29 indique clairement que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités » et qu’il incombe aux clients de services cloud de « s’assurer que les données à caractère personnel ne sont pas (illégalement) traitées pour d’autres finalités par le fournisseur d informatique en nuage ».

Office 365 : les services Cloud d’entreprise de Microsoft utilisent les données du client uniquement pour fournir les services. Cela peut inclure des opérations de dépannage afin d’éviter, de détecter et de réparer des problèmes liés à l’exploitation des services, et d’amélioration de fonctionnalités impliquant la détection de menaces émergentes et changeantes pour l’utilisateur, ainsi que la protection contre celles-ci (telles que des logiciels malveillants ou du courrier indésirable). Office 365 ne crée pas de produits publicitaires à partir des données du client. Nous n’analysons pas vos messages électroniques ou vos documents pour produire des analyses, explorer les données, faire de la publicité ou améliorer le service.

Microsoft ne divulguera pas les données du client à une tierce partie (y compris des représentants du système judiciaire, d’autres entités gouvernementale ou de parties civiles, à l’exclusion de nos sous-traitants) sauf à la demande du client ou en cas d’obligation légale.

Référence dans l’avis du groupe de travail article 29 : dans la section 3.4.1.2 (Spécification et limitation des finalités) et la section 3.3.1 (Le client et le fournisseur de services d’informatique en nuage).

Office 365 : les serveurs des services cloud d’entreprise Microsoft sont physiquement et/ou logiquement séparés des serveurs des services en ligne grand public. Les données des entreprises clientes, les données issues des services en ligne grand public Microsoft et les données créées par, ou résultant d’opérations de, Microsoft dans le cadre d’activités d’analyse, d’indexation ou d’exploration de données ne sont pas mélangées sauf en cas d’approbation préalable du client.

Référence dans l’avis du groupe de travail article 29 : dans la section 3.4.1.2 (Spécification et limitation des finalités) et la section 3.3.1 (Le client et le fournisseur de services d’informatique en nuage).

Office 365 : Microsoft n’analyse pas les messages électroniques ou les documents à des fins publicitaires. Les services d’entreprise Microsoft gèrent, analysent et indexent les données du client pour fournir à celui-ci des fonctionnalités enrichies lui permettant d’accéder à ses données et de les organiser. Par exemple, les utilisateurs finaux peuvent facilement rechercher leurs documents et autres contenus dans Office 365.

Référence dans l’avis du groupe de travail article 29 : dans la section 3.4.3 (Mesures techniques et organisationnelles en matière de protection et de sécurité des données).

Office 365 : le service commercial d’Office 365 est logiquement séparé des services en ligne grand public. Les données des entreprises clientes et les données issues des services en ligne grand public Microsoft ne sont pas mélangées sauf en cas d’approbation préalable du client.

Le groupe de travail article 29 conclut que les mécanismes traditionnels de transfert de données hors de l’Espace économique européen présentent des limites quand ils sont appliqués au cloud. Le groupe de travail cite les directives « Safe Harbor », indiquant aux clients de service cloud que le simple engagement de l’importateur de données vis-à-vis des directives « Safe Harbor » risque d’être jugé insuffisant pour les transferts de données vers des fournisseurs basés aux États-Unis. De plus, le groupe de travail article 29 rappelle aux clients de services cloud la nécessité de se conformer à toute obligation légale nationale éventuelle.

Office 365 fournit un contrat de traitement des données (OST) complet et son offre intègre les clauses contractuelles types de l’U.E. en plus de l’auto-certification propre à l’infrastructure « Safe Harbor » États-Unis/U.E. Bien que les clauses contractuelles types soient spécifiquement créées pour les clients situés dans l’U.E., le contrat de traitement des données (OST) est un ajout des bonnes pratiques en matière de protection des données des différents pays et est offert à tous les clients indépendamment de leur localisation géographique ou de leur taille. Les processus qu’Office 365 a créés pour se conformer aux clauses contractuelles types ne sont pas limités aux clients situés dans l’U.E., mais sont disponibles pour tous les clients.