RGPD et conformité : comment Microsoft facilite le respect du Règlement Général sur la Protection des Données ?

Le Règlement Général sur la Protection des Données (RGPD) impose de nouvelles règles pour les organisations du monde entier qui commercialisent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE. 

Les données à caractère personnel englobent toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Les données personnelles peuvent prendre plusieurs formes : nom, adresse, numéro de téléphone, adresse e-mail, numéro de passeport/CNI, numéro de sécurité sociale (ou équivalent), informations médicales, données de localisation/GPS, cookies, etc. 

Précédemment, nous vous parlions des 6 étapes à respecter pour être conforme au RGPD. Dans cet article, Openhost, certifié “Solution Partner for Modern Work”, vous apporte de précieux conseils pour vous aider à respecter vos obligations envers le RGPD grâce aux produits Microsoft 365 et Azure.  

Rappel sur le RGPD

Le RGPD, ou Règlement général sur la Protection des Données, est une législation de l’Union européenne qui est entrée en vigueur le 25 mai 2018. Son objectif principal est de renforcer la protection des données personnelles des citoyens de l’Union européenne (UE) et de l’Espace économique européen (EEE). Le RGPD remplace la directive sur la protection des données de 1995 et introduit des règles plus strictes en matière de collecte, de traitement et de stockage des données personnelles. 

Voici quelques points clé à retenir sur le RGPD : 

• Portée extraterritoriale : Le RGPD s’applique non seulement aux entreprises établies dans l’UE, mais aussi à celles situées en dehors de l’UE qui traitent les données personnelles de résidents de l’UE. C’est le cas de Microsoft. 
   
• Consentement : Les entreprises doivent obtenir un consentement explicite et spécifique avant de collecter, traiter ou stocker des données personnelles. 
  Par exemple, une case à cocher à la fin d’un formulaire de contact “En soumettant ce formulaire, j’accepte que les informations saisies dans ce formulaire soient utilisées, exploitées, traitées pour permettre de me recontacter.” 
   
• Droits des personnes concernées : Les individus ont le droit d’accéder à leurs données personnelles, de les corriger, de les supprimer et de s’opposer à leur traitement. 
   
• Responsabilité des entreprises : Les entreprises sont tenues de mettre en place des mesures de sécurité appropriées pour protéger les données personnelles, et elles doivent notifier les violations de données dans les 72 heures suivant leur découverte. Les solutions Microsoft 365 et Azure peuvent vous aider pour cela. 
   
• Délégué à la protection des données (DPD) : Certains organismes sont tenus de nommer un DPD chargé de superviser la conformité au RGPD. C’est notamment le cas des grands groupes.

Le RGPD vise à garantir aux individus un meilleur contrôle sur leurs données personnelles tout en imposant des obligations plus strictes aux entreprises qui traitent ces données. 

Stop aux idées reçues ! 🛑

« Le RGPD est une norme de certification. »

➡️ C’est faux : Le RGPD est une loi qui impose aux entreprises de respecter un certain nombre d’obligations sous peine de sanctions. 


« Si mon organisation ne se situe pas dans l’Union européenne, je ne suis pas concerné(e) par le RGPD. »
➡️ C’est faux : Le RGPD s’applique aux traitements des données à caractère personnel, que le traitement ait lieu ou non sur le territoire de l’UE, dès lors que le traitement s’applique à des données relatives à des personnes se trouvant sur le territoire de l’Union européenne. 


« Le RGPD ne s’applique pas aux données BtoB. »

➡️ C’est faux : Si les coordonnées d’une personne morale n’entrent pas dans le périmètre du RGPD, les coordonnées du représentant légal, du chef de projet, ou du commercial avec qui vous êtes en contact constituent bien des données à caractère personnel. Exemple : Une adresse email générique comme “contact@entreprise.fr” ne constitue pas une donnée à caractère personnel, alors que nom.prenom@entreprise.fr en est une. 

Quelles sont vos obligations en tant qu’entreprise dans le traitement des données personnelles ? 

Le RGPD vise à protéger les droits fondamentaux et les libertés des personnes physiques en ce qui concerne le traitement de leurs données personnelles. Il impose des obligations aux organisations qui collectent, traitent et stockent ces données, afin de garantir un traitement transparent, équitable et légitime des informations personnelles.  

En tant qu’entreprise, vous jouez un rôle essentiel dans le traitement des données appartenant à vos employés, vos clients, vos prospects, vos utilisateurs, vos patients, etc. Le respect de la vie privée, la sécurité des données et la conformité aux réglementations en vigueur sont des responsabilités importantes pour tout dirigeant d’entreprise ou responsable de données. Microsoft ne fait pas exception à cette règle : 

• Consentement et transparence : Vous devez obtenir le consentement des individus concernés avant de collecter, traiter ou stocker leurs données personnelles. Il est également primordial d’être transparent sur la manière dont les données seront utilisées.  
• Gestion des accès et des autorisations : Vous devez mettre en place des contrôles d’accès pour vous assurer que seules les personnes autorisées ont accès aux données. Cela implique de définir et de gérer les niveaux d’autorisation en fonction des rôles et des responsabilités au sein de votre organisation.  
• Sécurité des données : Vous devez mettre en œuvre des mesures de sécurité pour protéger les données contre les accès non autorisés, les pertes de données et les cyberattaques. Cela peut inclure le chiffrement, la gestion des mots de passe, la surveillance des activités suspectes, etc.  
• Gestion des risques : Vous devez évaluer régulièrement les risques associés à la collecte et au traitement des données. Cela implique de mettre en place des procédures de gestion des risques, d’identifier les vulnérabilités potentielles et de prendre des mesures pour les atténuer.  
• Formation et sensibilisation : Vous devez former vos équipes aux meilleures pratiques en matière de protection des données et les sensibiliser à l’importance de la confidentialité et de la sécurité des données.  
• Réponse aux incidents : En cas de violation de données ou d’incident de sécurité, vous devez mettre en œuvre un plan de continuité, notifier les parties concernées et coopérer avec les autorités de réglementation selon les exigences légales.  

Les entreprises peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu, pour non-respect de certaines exigences du RGPD. D’autres recours peuvent augmenter votre risque si vous ne parvenez pas à respecter les exigences du RGPD. 

Comment Openhost peut vous aider à respecter vos obligations envers le RGPD grâce aux solutions Microsoft ? 

En tant que partenaire Microsoft, certifié Solution Partner for Modern Work, le rôle d’Openhost est d’accompagner ses clients dans le respect de leurs obligations en matière de sécurité, de confidentialité et de conformité grâce aux solutions Microsoft 365 et Azure.  

Les données personnelles peuvent inclure des informations stockées dans les bases de données client, les formulaires d’enquêtes, le contenu de messagerie, des photos ou des vidéos, des programmes de fidélité ou des enregistrements RH. Les données personnelles pouvant être situées dans de nombreux endroits différents, la création d’un inventaire complet est un défi important. 

Les solutions de travail modernes de Microsoft incluent des outils et des services permettant aux entreprises de simplifier le processus et de mettre en place des mesures de protection adaptées à leurs propres problématiques RGPD. 

Gestionnaire de conformité Microsoft Purview 

Le gestionnaire de conformité Microsoft Purview (Microsoft Compliance Manager) est un outil spécifique développé par Microsoft pour aider les organisations à gérer leur conformité aux réglementations telles que le Règlement Général sur la Protection des données (RGPD). 

Ce service fait partie des solutions de conformité plus larges fournies par Microsoft 365. Voici quelques détails clé sur le Microsoft Compliance Manager : 

• Évaluations : Compliance Manager (CM) permet aux organisations d’effectuer des évaluations de conformité, en se basant sur des normes et des réglementations existantes, notamment le Règlement Général sur la Protection des Données.  
  Remarque : Vos administrateurs peuvent également utiliser l’évaluation personnalisée pour répondre aux besoins de conformité propres à votre entreprise. 
   
• Actions recommandées : CM fournit des recommandations spécifiques sur les actions à entreprendre par vos administrateurs pour améliorer la conformité de votre organisation. Certaines actions sont également gérées directement par Microsoft. 
   
• Tableau de bord et rapports : Le tableau de bord du gestionnaire de conformité affiche le score de conformité actuel de l’organisation et permet aux administrateurs d’affecter, de tester et de surveiller les activités de conformité. 
   
• Mises à jour continues : Microsoft met régulièrement à jour Compliance Manager pour refléter les changements dans les réglementations et les meilleures pratiques, ce qui est crucial compte tenu de l’évolution constante du paysage réglementaire. 

Quelques outils mis à disposition par Microsoft pour améliorer votre mise en conformité au RGPD 

Voici quelques actions recommandées et rendues possibles par Microsoft pour faciliter votre mise en conformité au RGPD :

• Activez l’Authentification Multifacteur pour tous les comptes utilisateurs et administrateurs. 
   
• Déployez Microsoft Defender for Endpoints sur tous les ordinateurs en guise de protection contre les virus, de prévention des fuites de données, ainsi que de réponse à ces attaques. 
   
• Configurez des stratégies de protection contre la perte de données (DLP) pour identifier, surveiller et protéger automatiquement les données sensibles comprises dans : 
  • Les services Microsoft 365 (Teams, Exchange, SharePoint, OneDrive…) 
  • Les applications Office (Word, Excel, PowerPoint…) 
  • Les applications Cloud non-Microsoft 
  • PowerBi, 
  • Etc. 

Exemple : Vous pouvez créer une politique de sécurité personnalisée permettant le blocage des emails sortants qui contiendraient des n° de sécurité sociale, n° de carte d’identité, n° de passeport, n° de carte bleue. Ainsi, si un email contient ne serait-ce qu’une seule de ces infos dans le corps du mail ou dans une PJ, alors le mail sera refusé à l’envoi et votre administrateur en sera notifié. 

• Implémentez Microsoft Defender pour Office 365 pour protéger votre boîte de réception des emails de phishing et des documents Office contenant des pièces jointes et d’autres liens malveillants. 
   
• Protégez les données stockées sur tous les appareils que vos salariés utilisent grâce à Microsoft Intune. 
   
• Déployez des stratégies d’accès conditionnel dans Microsoft Entra ID (anciennement Azure Active Directory) pour vous assurer que les informations sensibles sont stockées et consultées conformément à votre stratégie d’entreprise. 
   
• Utilisez des étiquettes de confidentialité pour identifier automatiquement les informations personnelles dans les messages électroniques et les documents et mettez en place des stratégies de rétention pour conserver les données personnelles aussi longtemps que nécessaire. 

À travers ses solutions intégrées et ses outils dédiés à la confidentialité des données, Microsoft simplifie significativement la tâche des organisations cherchant à respecter les normes strictes en matière de protection des données. En tant que partenaire Microsoft de confiance et certifié, Openhost facilite l’appréhension de ces outils