Loupe

RGPD et conformité : comment Microsoft facilite le respect du Règlement Général sur la Protection des Données ?

Le Règlement Général sur la Protection des Données (RGPD) impose de nouvelles règles pour les organisations du monde entier qui commercialisent des produits et des services aux membres de l’Union européenne (UE), ou qui collectent et analysent des données pour les résidents de l’UE. 

Les données à caractère personnel englobent toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Les données personnelles peuvent prendre plusieurs formes : nom, adresse, numéro de téléphone, adresse e-mail, numéro de passeport/CNI, numéro de sécurité sociale (ou équivalent), informations médicales, données de localisation/GPS, cookies, etc. 

Précédemment, nous vous parlions des 6 étapes à respecter pour être conforme au RGPD. Dans cet article, Openhost, certifié “Solution Partner for Modern Work”, vous apporte de précieux conseils pour vous aider à respecter vos obligations envers le RGPD grâce aux produits Microsoft 365 et Azure.  

Rappel sur le RGPD

Le RGPD, ou Règlement général sur la Protection des Données, est une législation de l’Union européenne qui est entrée en vigueur le 25 mai 2018. Son objectif principal est de renforcer la protection des données personnelles des citoyens de l’Union européenne (UE) et de l’Espace économique européen (EEE). Le RGPD remplace la directive sur la protection des données de 1995 et introduit des règles plus strictes en matière de collecte, de traitement et de stockage des données personnelles. 

Voici quelques points clé à retenir sur le RGPD : 

Le RGPD vise à garantir aux individus un meilleur contrôle sur leurs données personnelles tout en imposant des obligations plus strictes aux entreprises qui traitent ces données. 

Stop aux idées reçues ! 🛑

« Le RGPD est une norme de certification. »

➡️ C’est faux : Le RGPD est une loi qui impose aux entreprises de respecter un certain nombre d’obligations sous peine de sanctions. 


« Si mon organisation ne se situe pas dans l’Union européenne, je ne suis pas concerné(e) par le RGPD. »
➡️ C’est faux : Le RGPD s’applique aux traitements des données à caractère personnel, que le traitement ait lieu ou non sur le territoire de l’UE, dès lors que le traitement s’applique à des données relatives à des personnes se trouvant sur le territoire de l’Union européenne. 


« Le RGPD ne s’applique pas aux données BtoB. »

➡️ C’est faux : Si les coordonnées d’une personne morale n’entrent pas dans le périmètre du RGPD, les coordonnées du représentant légal, du chef de projet, ou du commercial avec qui vous êtes en contact constituent bien des données à caractère personnel. Exemple : Une adresse email générique comme “contact@entreprise.fr” ne constitue pas une donnée à caractère personnel, alors que nom.prenom@entreprise.fr en est une. 

Quelles sont vos obligations en tant qu’entreprise dans le traitement des données personnelles ? 

Le RGPD vise à protéger les droits fondamentaux et les libertés des personnes physiques en ce qui concerne le traitement de leurs données personnelles. Il impose des obligations aux organisations qui collectent, traitent et stockent ces données, afin de garantir un traitement transparent, équitable et légitime des informations personnelles.  

En tant qu’entreprise, vous jouez un rôle essentiel dans le traitement des données appartenant à vos employés, vos clients, vos prospects, vos utilisateurs, vos patients, etc. Le respect de la vie privée, la sécurité des données et la conformité aux réglementations en vigueur sont des responsabilités importantes pour tout dirigeant d’entreprise ou responsable de données. Microsoft ne fait pas exception à cette règle : 

Comment Openhost peut vous aider à respecter vos obligations envers le RGPD grâce aux solutions Microsoft ? 

En tant que partenaire Microsoft, certifié Solution Partner for Modern Work, le rôle d’Openhost est d’accompagner ses clients dans le respect de leurs obligations en matière de sécurité, de confidentialité et de conformité grâce aux solutions Microsoft 365 et Azure.  

Les données personnelles peuvent inclure des informations stockées dans les bases de données client, les formulaires d’enquêtes, le contenu de messagerie, des photos ou des vidéos, des programmes de fidélité ou des enregistrements RH. Les données personnelles pouvant être situées dans de nombreux endroits différents, la création d’un inventaire complet est un défi important. 

Les solutions de travail modernes de Microsoft incluent des outils et des services permettant aux entreprises de simplifier le processus et de mettre en place des mesures de protection adaptées à leurs propres problématiques RGPD

Gestionnaire de conformité Microsoft Purview 

Le gestionnaire de conformité Microsoft Purview (Microsoft Compliance Manager) est un outil spécifique développé par Microsoft pour aider les organisations à gérer leur conformité aux réglementations telles que le Règlement Général sur la Protection des données (RGPD). 

Ce service fait partie des solutions de conformité plus larges fournies par Microsoft 365. Voici quelques détails clé sur le Microsoft Compliance Manager : 

Tableau de bord du Gestionnaire de conformité dans Microsoft Purview
Tableau de bord du Gestionnaire de conformité dans Microsoft Purview

Quelques outils mis à disposition par Microsoft pour améliorer votre mise en conformité au RGPD 

Voici quelques actions recommandées et rendues possibles par Microsoft pour faciliter votre mise en conformité au RGPD :

Exemple : Vous pouvez créer une politique de sécurité personnalisée permettant le blocage des emails sortants qui contiendraient des n° de sécurité sociale, n° de carte d’identité, n° de passeport, n° de carte bleue. Ainsi, si un email contient ne serait-ce qu’une seule de ces infos dans le corps du mail ou dans une PJ, alors le mail sera refusé à l’envoi et votre administrateur en sera notifié. 

À travers ses solutions intégrées et ses outils dédiés à la confidentialité des données, Microsoft simplifie significativement la tâche des organisations cherchant à respecter les normes strictes en matière de protection des données. En tant que partenaire Microsoft de confiance et certifié, Openhost facilite l’appréhension de ces outils 

Contactez-nous

Le Règlement Général sur la Protection des Données RGPD (en anglais « General Data Protection Regulation » ou  GDPR) implique la mise en place de nouvelles procédures pour toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, établie sur le territoire de l’Union européenne ou ciblant directement des résidents européens. Depuis le 25 Mai 2018, son application est obligatoire. Cette nouvelle réglementation européenne renforce les droits des citoyens et impose certaines obligations sur la protection des données personnelles.

Voici la liste des 6 étapes à respecter pour être conforme au RGPD !

6 étapes pour une entreprise conforme avec le RGPD

L’application du RGPD entraine la disparition de nombreuses formalités déjà présentes auprès de la CNIL. Non le RGPD n’est pas un big bang car il existait donc déjà une certaine régulation sur les données personnelles. Cependant il est essentiel de bien comprendre les bases de ce nouveau règlement européen sur la protection des données pour partir du bon pied et éviter une confusion générale.

La responsabilité des organisations et entreprises sur les données privées est renforcée avec le RGPD. Il sera donc nécessaire de déployer une gestion raisonnée des données, d’assurer une protection optimale de ces données et être en mesure de le démontrer en documentant votre conformité.

1 – Désignez votre délégué à la protection des données personnelles (DPO)

La gouvernance des données personnelles de votre organisation doit être centralisée auprès d’un personnage central : le DPO, le délégué à la protection des données. Ce DPO agit comme responsable du RGPD dans le sens où il a une mission d’information, de conseil et de contrôles avec tous vos collaborateurs en interne. Il est impératif de réaliser un comité de consultation et de prise de décision sur le RGPD dont le DPO sera bien évidemment une pierre centrale.

La désignation d’un délégué à la protection des données DPO n’est pas une obligation légale mais elle est fortement recommandée pour des structures de plus de 50 collaborateurs dont la gestion du RGPD est essentielle. Cette personne s’assure donc de la mise en conformité au RGPD. Votre délégué sera une pierre centrale pour assimiler et respecter les obligations de ce nouveau règlement européen. Il pourra ainsi dialoguer de manière sereine avec les autorités de régulation des traitements et ainsi diminuer les risques de non conformité.

Le rôle du DPO (Délégué à la protection des données)

Le délégué à la protection des données possède plusieurs missions principales, à savoir :

Le délégué à la protection des données personnelles se doit donc de pouvoir s’informer sur les nouvelles obligations, de se former à la méthodologie de mise en conformité et évaluation de celle-ci, de réaliser un inventaire des traitements des données personnelles et de sensibiliser les responsables de chaque pôle pour mettre en place des actions efficaces.

2 – Cartographiez les traitements des données personnelles

Recenser de manière précise tous les traitements de données personnelles réalisées par votre entreprise est un des premiers chantiers à réaliser pour le DPO. Pour récapituler tous ces traitements de données réalisés en interne, il est nécessaire de réaliser un registre des traitements pour être transparent sur ce sujet.

Les entreprises devront donc à l’avenir tenir une documentation complète interne sur les traitements des données personnelles ayant lieu dans leur périmètre d’activité. L’idée est de pouvoir identifier les traitements, de connaitre les sous-traitants intervenant sur ces traitements et de s’assurer que ces traitements respectent les obligations du RGPD.

Pour résumer, il sera donc nécessaire de recenser ces différents points :

Chacun de ces traitements de données poussent donc à se poser de multiples questions :

3 – Définissez et organisez les actions de conformité à mener

Après avoir désigné un responsable et listé les traitements des données dans l’entreprise et auprès des sous-traitants, il est nécessaire de mettre en place des actions de conformité au RGPD. Il est nécessaire de prioriser les chantiers en fonction des risques que les traitements font peser sur les droits et libertés des personnes.

Pour cela, voici une liste des points sur lesquels il est nécessaire de se pencher :

Certaines catégories de données nécessitent une attention spécifique car elles sont considérées comme plus sensibles : données relevant de l’origine ethnique, des convictions religieuses ou politiques et philosophiques, sur la santé, génétiques ou biométriques, tout ce qui touche aux mineurs, concernant les infractions pénales et sur l’orientation sexuelle.

En cas de transfert des données hors de l’UE

Dans le cas où vos traitements impliquent l’hébergement ou le transit des données hors de l’Union Européenne, certaines mesures supplémentaires s’appliquent :

4 – Identifiez les risques avec le PIA

Une fois les différents traitements de données identifiés et organisés en fonction des risques plus ou moins élevés pour les droits et libertés des personnes, il faudra réaliser une analyse d’impact pour les données sensibles. Cet analyse d’impact sur la protection des données personnelles (PIA, Privacy Impact Assesment) conditionnera les futurs traitements de ces données.

L’analyse d’impact sur la protection des données personnelles (PIA)

Elle se présente sous la forme d’une étude visant à définir des traitements de données respectant la vie privée des personnes. Cette étude est essentielles car elle garantit une bonne partie de la conformité RGPD de votre entreprise.

Le PIA est construit sous forme d’outil d’évaluation avec 2 axes principaux :

L’analyse d’impact PIA doit contenir :

Quand doit-on mener un PIA, pour quels traitements et données ?

Le PIA est à réaliser avant toute mise en place de traitements de données. Les analyses d’impact se doivent d’être revues régulièrement pour pouvoir corriger les mesures mises en place, notamment en cas de changements majeurs sur l’exécution des traitements (changement de sous-traitant par exemple si celui est concerné par le PIA).

Le PIA est obligatoire pour tous les traitements engendrant des risques élevés pour les droits et libertés des personnes donc dès lors qu’un traitement touche à des données sensibles (article 35 RGPD). Une liste de critères d’évaluation a été défini pour déterminer si un PIA est obligatoire sur un traitement, les 9 critères du PIA ont été définis dans les lignes obligatoires du G29. Si votre traitement regroupe 2 critères minimum alors il est nécessaire de réaliser un PIA.

Élaboration de l’analyse d’impact (PIA), qui dois s’en charger ?

5 – Mise en place de processus internes pour le traitement des données personnelles

Mettre en place des procédures internes pour garantir un haut niveau de protection des données est un point essentiel pour assurer sa bonne conformité au RGPD. Il est nécessaire de prendre en compte un ensemble d’évènements ayant un impact sur les traitements identifiés. Ces évènements et risques sont de diverses natures : accès aux données, failles de sécurité, gérer les demandes de rectification, changements sous-traitants, etc.

Pour organiser vos processus en interne, il est donc nécessaire de :

Un service de télécommunication des notifications de violations des données personnelles devrait être disponible d’ici Mai 2018 sur le site de la CNIL. En attendant voici le formulaire à remplir en cas de violation des données.

6 – Faites preuve de conformité en documentant toutes vos actions !

Documenter sa conformité est une des étapes clés pour respecter le RGPD. Il est donc nécessaire de constituer et rassembler tous les différents éléments évoqués dans notre article. Ce dossier doit être réévaluer et actualiser de manière régulière pour suivre la vie des traitements et toutes modifications qui pourraient intervenir.

La composition du dossier de conformité au RGPD

Documents sur les traitements des données personnelles :

Informer les personnes propriétaires des données personnelles traitées :

Contrats définissant les rôles et responsabilités des acteurs :

Une fois toutes ces étapes remplies, votre dossier documentaire démontre votre conformité au RGPD ! Si vous souhaitez aller plus loin dans l’analyse de votre sécurité informatique pour empêcher toutes intrusions et attaques informatiques, nous pouvons vous accompagner dans un audit de sécurité informatique.

Notre équipe fait tous les jours face aux problématiques de sécurisation des accès et protection des données, Openhost possède donc une expérience riche en la matière que nous serons ravi de partager en vous accompagnant sur vos projets !

Les flux de données à caractère personnel à destination ou en provenance de pays situés en dehors de l’Union Européenne sont nécessaires pour la croissance du commerce international et pour favoriser les coopérations inter-étatiques. Malgré tout, il importe de rappeler qu’avec le RGPD (Règlement Européen sur la Protection des Données), les données qui font l’objet d’un transfert en dehors de l’UE doivent se faire dans les conditions prévues par le RGPD. Mais avant de rappeler ses conditions, retour sur la notion de transfert de données à caractère personnel.

Découvrez comment la protection contre la perte de données offerte par Microsoft 365 vous aide à vous mettre en conformité.
> En savoir plus

Transferts de données hors de l’UE : les notions fondamentales

Tout transfert de données hors de l’Union Européenne doit se faire dans le respect des conditions prévues par le RGPD. Mais que signifie vraiment la notion de transfert ? Et bien, cette notion n’est pas explicitement définie par le nouveau règlement sur la protection des données. Mais la CNIL en a donné plusieurs définitions, et la suivante est la plus pertinente et la plus simple :

« On parle de transfert de données personnelles lorsque les données personnelles sont transférées depuis le territoire européen vers un ou des pays situés hors de l’UE. Le transfert peut s’effectuer, par copie, par déplacement de données, par l’intermédiaire d’un réseau ou d’un support à un autre ».

C’est dans ces situations que les dispositions du RGPD relatives aux transferts hors de l’UE s’appliqueront.

Quelles sont les conditions à respecter lors d’un transfert de données hors de l’UE ?

Le destinataire des données offre un niveau de protection adéquat

Tout d’abord, ce type de transfert de données à caractère personnel ne pose aucun problème, c’est-à-dire, ne nécessite aucune autorisation particulière, si le pays tiers ou l’organisation internationale (destinataire) a été considéré par la Commission européenne comme offrant un niveau de protection adéquat. Les pays reconnus comme ayant un niveau de protection adéquat des données à caractère personnel sont :

Les états appartenant à l’espace économique européen qui sont la Norvège, l’Islande et le Liechtenstein ont aussi un niveau de protection adéquat.

Pour les entreprises américaines, celles qui appliquent les principes issus de l’accord EU-US Privacy Shield sont considérées par la Commission européenne comme offrant un niveau de protection des données adéquat.

Nécessité d’une autorisation de la CNIL

Ensuite, il y a des cas où les transferts de données hors de l’UE ne seront légaux que suite à une autorisation de la CNIL : une clause contractuelle entre le responsable du traitement (ou sous-traitant) l’organisme hors de l’UE le prévoit…

Aucune autorisation particulière ne sera pas par contre nécessaire si des mécanismes assurant des garanties appropriées ont été mis en place : existence d’un instrument juridique contraignant entre les parties concernées, existence de binding corporate rules…

Dérogations pour situations particulières

Les transferts de données hors de l’UE peuvent également être réalisés dans des situations particulières : consentement de la personne concernée, transfert indispensable à la bonne exécution du contrat entre la personne concernée et le responsable de traitement, transfert nécessaire pour la constatation, l’exercice ou la défense d’un droit devant la justice… La précédente liste n’est pas exhaustive.

Des conditions cumulatives

Si aucune des situations précédentes n’est applicable, le RGPD prévoit qu’un transfert de données à destination d’un pays ou d’une organisation hors de l’UE est possible si les conditions qui suivent sont cumulativement respectées :