Clauses contractuelles types de l’UE : forum aux questions

 
Afficher tout

Les clauses contractuelles types de l’U.E. permettent aux clients de se conformer à la directive sur la protection des données établie par l’Union européenne, et après le 25 mai 2018, au Règlement général sur la protection des données (RGPD), en utilisant les clauses contractuelles types de l’U.E.

Les clauses contractuelles types, émises par la Commission européenne, contiennent les dispositions nécessaires à la protection des données personnelles transférées à l’échelle internationale et constituent un mécanisme juridique visant à légitimer les transferts internationaux.

Les fournisseurs de services cloud mondiaux offrant un service, une disponibilité et des performances de niveau entreprise, ainsi que des services accessoires tels qu’un support client et technique 24h/24 et 7j/7, ont besoin de souplesse pour déplacer des données personnelles d’un client de l’U.E. vers le monde entier pendant la fourniture du service cloud.

Microsoft a certifié au Département du Commerce américain son adhésion aux principes du bouclier de protection des données et entend s’appuyer sur ce cadre pour légitimer les transferts internationaux des données personnelles de l’U.E.

Les clauses contractuelles types de l’U.E sont incluses dans les Conditions des Services en Ligne de Microsoft accessibles à tous les clients. Les clients ne doivent donc rien faire pour obtenir les clauses contractuelles types de l’U.E. Ils peuvent toutefois se retirer des clauses contractuelles types de l’U.E en suivant les instructions des Conditions des Services en Ligne.

Il est important de noter que les clauses contractuelles types de l’U.E. que nous proposons sont spécifiquement conçues pour protéger les transferts de données entre les entités de contrôle de l’U.E. et les entités de traitement des données établies en dehors de l’Espace économique européen. En matière de services en ligne, Microsoft est une entité de traitement des données (ou sous-traitant) agissant pour le compte de ses clients afin de traiter les données client, données de support et données personnelles.

En adhérant aux clauses contractuelles types de l’U.E. en tant qu’entité de traitement des données, Microsoft assure à ses clients le plein contrôle de leurs données et le traitement de ces dernières conformément aux exigences contraignantes de protection des données.

Les clauses contractuelles types de l’U.E. englobent les exigences en matière de protection des données qui impliquent que les fournisseurs de services cloud gèrent les données client conformément aux stricts contrôles techniques et organisationnels. À des fins de conformité aux clauses contractuelles types de l’U.E., Microsoft a réalisé (et continue de réaliser) d’importants investissements d’ingénierie et opérationnels pour se conformer aux exigences en matière de sécurité et de confidentialité des données définies par les clauses contractuelles types de l’U.E. Nos investissements comprennent des contrôles d’ingénierie et des processus dépassant ceux requis pour obtenir la certification ISO 27001, et ces contrôles font l’objet d’une évaluation dans notre audit annuel. En outre, nous divulguons nos sous-traitants, ainsi que les mesures de sécurité techniques et organisationnelles que nous prenons pour protéger les données client. Il est possible que les fournisseurs de services cloud n’intégrant pas les clauses contractuelles types de l’U.E. à leur offre n’aient pas implémenté ces contrôles et processus, ou qu’ils aient des pratiques commerciales qui les empêchent de respecter ces clauses.

Les clauses contractuelles types de l’U.E. permettent aux clients de s’assurer que leurs données sont correctement protégées. Sauf si un fournisseur de services cloud est prêt à accepter les clauses contractuelles types de l’U.E., un client peut douter du respect par ce fournisseur des pratiques de protection des données. Les clauses contractuelles types de l’U.E. aident aussi les clients de services cloud à se conformer aux exigences en matière de transferts de données internationaux. En effet, le groupe de travail article 29 a souligné l’importance d’établir des garanties contractuelles dans la relation entre le responsable du contrôle et le responsable du traitement des données (c’est-à-dire, entre le client et le fournisseur de services cloud), ainsi que l’importance des clauses contractuelles types de l’U.E.

Non. En règle générale, les autorités de l’U.E. en charge de la protection des données ne considèrent pas le chiffrement comme une substitution aux mesures d’adéquation pour les transferts internationaux des données personnelles de l’U.E.

Les clients doivent savoir si le fournisseur de services cloud adhère aux clauses contractuelles types de l’U.E. en tant qu’entité de contrôle ou de traitement des données. Microsoft adhère aux clauses contractuelles types de l’U.E. en tant qu’entité de traitement des données, assurant ainsi à ses clients le traitement de leurs données conformément à leurs instructions.

Si les fournisseurs de services cloud adhèrent aux clauses contractuelles types de l’U.E. en tant qu’entités de traitement des données, les clients doivent prendre en considération l’engagement global du fournisseur de services concernant la confidentialité et la sécurité des données, en plus du respect des clauses contractuelles types de l’U.E. Une collaboration proactive avec les autorités nationales en charge de la protection des données, ainsi qu’avec le groupe de travail article 29, témoigne de cet engagement et permet de s’assurer que l’offre du fournisseur de services répond aux attentes des clients et des régulateurs.

Microsoft a reçu de la part des autorités européennes en charge de la protection des données de nombreux avis positifs mettant à l’honneur les fonctionnalités robustes qu’offrent Office 365 et Microsoft Dynamics CRM Online en matière de respect des exigences de protection des données, démontrant clairement une fois encore que Microsoft conçoit ses services cloud en accordant une place primordiale à la conformité.

À ce jour, les autorités en charge de la protection des données en France, en Allemagne (Bavière), au Danemark, en Irlande, au Luxembourg, à Malte et en Espagne ont validé par écrit notre approche de traitement des clauses contractuelles types de l’U.E. Ces validations confirment que nous aidons nos clients à répondre aux exigences réglementaires locales concernant le transfert de données personnelles à partir de l’U.E. vers des territoires qui n’offrent pas une « protection adéquate » des données personnelles.

Un client de l’U.E. peut passer à Office 365 ou à Microsoft Dynamics CRM Online tout en respectant les exigences de l’U.E. en matière de protection des données.

Microsoft offre à tous ses clients les avantages et la protection des clauses contractuelles types de l’U.E. Office 365 est un service mutualisé, et Microsoft exécute le service avec les mêmes fonctionnalités, contrôles et processus de protection des données pour tous les clients, y compris ceux qui ont décidé de se retirer des clauses contractuelles types de l’U.E.