Aller au contenu
La transformation numérique avec Microsoft

Le GDPR donne aux personnes concernées (celles que les données concernent) un plus grand contrôle de la manière dont leurs données à caractère personnel sont obtenues et utilisées. Par exemple, les personnes concernées peuvent demander que votre entreprise communique des données les concernant, les transfère à d’autres services, corrige des erreurs dans leurs données ou empêche le traitement ultérieur de certaines données dans certains cas. Dans certaines circonstances, une suite doit être donnée à ces demandes dans un délai fixe.

Gouvernance des données

Pour remplir vos obligations à l’égard des personnes concernées, vous devez comprendre les types de données à caractère personnel que votre entreprise traite, les modalités de ce traitement et ses finalités. L’inventaire des données évoqué précédemment constitue une première étape pour y parvenir. Une fois l’inventaire réalisé, il est également important d’élaborer un plan de gouvernance des données et de le mettre en oeuvre. Un plan de gouvernance des données peut vous aider à définir des règles, des rôles et des responsabilités pour l’accès, la gestion et l’utilisation de données à caractère personnel. Il peut aussi contribuer à garantir la conformité de vos pratiques de gestion des données avec le GDPR. Par exemple, le plan de gouvernance des données peut donner à votre entreprise la certitude qu’elle respecte effectivement les demandes de suppression ou de transfert des données formulées par les personnes concernées.

Services cloud Microsoft

Pour appuyer votre stratégie de gouvernance des données, les services cloud de Microsoft sont élaborés selon la méthodologie Microsoft Privacy-by-Design et Privacy-by-Default. Lorsque vous confiez vos données à Azure, Office 365 ou Dynamics 365, vous en restez le seul propriétaire : vous conservez les droits, les titres et les intérêts relatifs aux données enregistrées dans les services.

Les services cloud de Microsoft mettent en place des mesures efficaces qui contribuent à protéger les données de vos clients contre un accès inapproprié ou une utilisation par des tiers non autorisés, comme le décrit le Microsoft Trust Center. Ces mesures prévoient notamment des restrictions d’accès pour le personnel et les sous-traitants de Microsoft et une définition réfléchie des conditions de réponse aux demandes de données clients émanant des autorités. Vous pouvez cependant accéder à vos données clients à tout moment et pour quelque raison que ce soit.

En outre, nous redirigeons les demandes de données émanant des autorités de manière à ce qu’elles vous soient adressées directement, sauf dans les cas où la loi l’interdit, et nous nous sommes opposés à des tentatives des autorités visant l’interdiction de la divulgation de demandes de cet ordre devant les tribunaux.

Afin de contribuer à garantir la bonne gestion des services cloud de Microsoft et de fournir des assurances à nos clients, les services cloud sont soumis au moins une fois par an à des audits sur la conformité avec plusieurs normes internationales de confidentialité des données telles que les normes HIPAA et HITECH, CSA Star Registry et plusieurs normes ISO. Ces rapports sont disponibles à l’adresse https://servicetrust.microsoft.com/Documents/ComplianceReports.

Azure

Azure Active Directory est une solution de gestion des identités et des accès dans le cloud. Elle gère les identités et contrôle les accès à Azure sur site ainsi qu’à d’autres ressources, données et applications dans le cloud. La gestion des identités privilégiées d’Azure Active Directory vous permet d’attribuer des droits d’administration Just-In-Time (JIT) à titre temporaire aux utilisateurs habilités à gérer des ressources Azure.

Le contrôle d’accès basé sur un rôle d’Azure (RBAC) vous aide à gérer l’accès à vos ressources Azure. Vous pouvez ainsi accorder un accès sur la base du rôle attribué à l’utilisateur, ce qui vous permet d’octroyer uniquement les autorisations nécessaires à l’exécution des tâches des utilisateurs avec plus de facilité. Vous pouvez personnaliser le contrôle d’accès basé sur un rôle en fonction du modèle économique et de la tolérance au risque propres à votre entreprise.

Office 365

Différentes fonctionnalités des solutions Office 365 peuvent vous aider à gérer des données à caractère personnel :

  • Des fonctionnalités de gouvernance des données comprises dans le Centre de conformité et sécurité dans Office 365 vous aident à archiver et protéger le contenu dans les boîtes de courrier électronique Exchange Online, les sites SharePoint Online et les emplacements One Drive Entreprise, ainsi qu’à importer des données dans votre organisation Office 365.
  • La fonctionnalité de Conservation d’Office 365 peut vous aider à gérer le cycle de vie des e-mails et des documents en conservant le contenu dont vous avez besoin et en supprimant le contenu lorsqu’il n’est plus nécessaire.
  • Advanced Data Governance utilise des renseignements et des informations assistées par ordinateur pour vous aider à trouver les données les plus importantes pour votre entreprise, à les classer, à les soumettre à des règles et à prendre des mesures de gestion de leur cycle de vie.
  • Les stratégies de gestion des informations de SharePoint Online vous permettent de contrôler la durée de conservation des contenus, d’activer des audits portant sur la manière dont les contenus sont utilisés et d’ajouter des code-barres ou des étiquettes aux documents.
  • La journalisation Exchange Online peut vous aider à remplir les conditions de conformité légale, réglementaire et organisationnelle en enregistrant les communications par e-mail entrantes et sortantes.

Classification des données

La classification constitue un aspect important de tout plan de gouvernance des données. L’adoption d’un système de classification appliqué à l’échelle de toute l’entreprise est une mesure particulièrement utile pour répondre aux demandes des personnes concernées par les données car elle vous permet d’identifier plus rapidement les demandes relatives à des données à caractère personnel et de les traiter.

Nous proposons aujourd’hui des conseils et des outils pour vous aider à déjouer la complexité de la classification des données.

Azure

Le livre blanc Classification des données contient des conseils spécifiques de classification des données pour Azure et présente les principes qui régissent les techniques, le traitement, la terminologie et la mise en oeuvre de la classification des données. La documentation contient également de nombreuses autres informations et des liens utiles..

Dynamics 365

Le Guide de planification de la sécurité et de la conformité de Microsoft Dynamics 365 (en ligne) contient des informations complètes pour comprendre les principales considérations de sécurité et de conformité associées à la planification d’un déploiement Microsoft Dynamics 365 (en ligne) dans des environnements qui peuvent inclure des services d’intégration d’annuaire d’entreprise, comme la synchronisation d’annuaire et l’authentification unique. Il comprend des informations relatives aux stratégies de protection des données et de confidentialité, à la classification des données et à l’impact..

Enterprise Mobility + Security (EMS)

Azure Information Protection peut vous aider à classifier et marquer vos données au moment de leur création ou de leur modification. La protection (chiffrement + authentification + droits d’utilisation) ou les marquages visuels peuvent ensuite être appliqués aux données sensibles. Les marquages de classification et la protection sont permanents. Ils restent sur les données de manière à ce que celles-ci restent identifiables et protégées à tout moment, quels que soient le lieu où elles sont conservées et les destinataires à qui elles sont communiquées.

Office et Office 365

  • La protection contre la perte de données (DLP) d’Office et Office 365 permet d’identifier plus de 80 types courants de données sensibles, y compris des informations financières, médicales et relatives à une personne identifiable. En outre, la DLP permet aux entreprises de configurer des actions à appliquer en cas d’identification pour protéger des informations sensibles et éviter leur divulgation accidentelle.
  • Advanced Data Governance utilise des renseignements et des informations assistées par ordinateur pour vous aider à trouver les données les plus importantes pour votre entreprise, à les classer, à les soumettre à des règles et à prendre des mesures de gestion de leur cycle de vie. Les données sont classées en fonction de l’analyse automatique et des recommandations stratégiques, puis des actions sont appliquées pour protéger les données existantes ou nettoyer ce qui doit l’être. Les données existantes et les sources de données tierces peuvent être assimilées dans Office 365 et classées selon le type de message. La classification par type de message permet d’effectuer des tâches de recherche, de tri et d’exportation sur les différentes sources de données, ce qui simplifie la réalisation d’examens d’e-discovery.

Windows et Windows Server

Le Microsoft Data Classification Toolkit pour Windows Server 2012 R2 fournit des exemples d’expressions de recherche et de règles que vous pouvez utiliser pour soutenir les activités de conformité menées par les professionnels de l’informatique de votre entreprise, les auditeurs, les comptables, les conseils juridiques et d’autres spécialistes de cette matière.

Prochaine étape : Protection