Réglementations sur la confidentialité des données
Dans le monde entier, de nombreuses lois et réglementations traitent de la protection des données et de la confidentialité. Les deux lois sur la confidentialité les plus appliquées sont le RGPD (Règlement général sur la protection des données) 2016/679 et la loi CCPA (California Consumer Privacy Act) de 2018.
- Le RGPD est un règlement régissant la protection et la confidentialité des données au sein de l’Union européenne (UE) et de l’Espace économique européen (EEE).
- La CCPA est une loi sur la confidentialité de l’état de Californie et la première loi complète sur la confidentialité aux États-Unis.
Cette section décrit les concepts et la terminologie du RGPD, ainsi que la façon dont Microsoft soutient et s’engage à respecter les réglementations en matière de confidentialité des données. La section suivante fournit plus d’informations sur le CCPA et compare les deux réglementations.
Vue d’ensemble
Le RGPD régit l’utilisation et le traitement des données à caractère personnel par les organisations qui proposent des biens et services aux résidents de l’Union européenne ou supervisent leur comportement. Ce règlement donne également aux particuliers certains droits pour gérer leurs données à caractère personnel collectées par une organisation. Le règlement s’applique quel que soit l’endroit où se trouvent les organisations.
Remarque
Le RGPD s’applique plus largement que ce qui peut être apparent à première vue. Contrairement aux lois sur la protection de la vie privée dans d’autres juridictions, ce règlement s’applique aux organisations de toutes tailles et de tous les secteurs, même si elles n’ont pas de présence physique dans l’UE. Collaborez étroitement avec votre équipe juridique pour comprendre si et comment ce règlement s’applique à votre organisation.
L’un des objectifs de ce règlement est de renforcer la protection des données personnelles des résidents de l’UE en mettant l’accent sur la confidentialité et l’utilisation des données personnelles d’un individu. Le règlement met à jour et étend la directive de 1995 sur la protection des données en préservant de nombreux principes établis par la directive, tout en donnant aux individus un meilleur contrôle sur leurs données personnelles. Le règlement impose de nouvelles obligations aux organisations qui collectent, gèrent ou analysent des données personnelles.
Dans le contexte du RGPD, les données ont un cycle de vie qui commence par la collecte des données, se poursuit avec le stockage, le traitement et l’utilisation des données, et se termine par la suppression des données du système. La réglementation définit des exigences en matière de traitement des données et offre des conseils sur leur exécution. Les autorités de régulation disposent de nouvelles compétences pour imposer des amendes importantes aux organisations qui enfreignent la loi. Le RGPD est devenu exécutoire en mai 2018.
Concepts et terminologie
Les concepts et termes suivants sont importants pour comprendre ce règlement.
Les données personnelles sont toutes les données qui se rapportent à une personne physique identifiée ou identifiable. Les données personnelles sont toutes les données liées ou pouvant être liées à une personne identifiable. Les exemples courants de données à caractère personnel incluent le nom, l’adresse, la date de naissance et l’adresse IP. Les informations pseudonymes, qu’elles soient obscures ou techniques, sont également considérées comme des données personnelles si elles sont liées à un individu.
Les données personnelles sensibles sont des données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l’appartenance syndicale. Les données personnelles sensibles incluent également les données génétiques, les données biométriques qui identifient une personne physique, les données de santé ou les données sur la vie sexuelle ou l’orientation sexuelle d’une personne physique. Il existe des obligations plus importantes pour le traitement de ces données.
Un responsable du traitement est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, décide des objectifs et des méthodes de traitement des données personnelles. Les finalités et les moyens du traitement sont déterminés par le responsable du traitement, par le droit de l’Union ou de l’État membre, ou par des critères spécifiques que le droit de l’Union ou de l’État membre prévoit pour la nomination.
Un sous-traitant est une personne physique ou morale, une autorité publique, une agence ou autre organisme qui traite des données à caractère personnel au nom du responsable du traitement.
La base légale du traitement signifie que les organisations doivent être en mesure de pointer vers une base légale pour le traitement des données personnelles. Il existe six bases juridiques pour le traitement, notamment :
- Lorsque le traitement est nécessaire pour exécuter un contrat.
- Lorsqu’une personne a consenti au traitement de ses données.
- Lorsque le traitement est dans l’intérêt légitime de l’organisation, tant que les droits de l’individu ne l’emportent pas sur cet intérêt.
Les droits des sujets des données donnent aux particuliers certains droits en ce qui concerne l’utilisation de leurs données à caractère personnel par l’organisation ou par le responsable du traitement de leurs données personnelles. Dans certaines circonstances, les individus peuvent déposer les demandes de personnes concernées (DSR) suivantes pour leurs données personnelles qu’une organisation stocke, traite et transmet.
- Accéder aux données. Les particuliers ont le droit de savoir si une organisation traite leurs données et, le cas échéant, d’accéder à ces données.
- Le droit de demander une rectification des données. Les particuliers peuvent demander à une entreprise de corriger des données inexactes les concernant.
- Demander la suppression des données. Ce droit, également appelé droit à l’effacement, permet à un individu de demander la suppression de ses données personnelles collectées par une entreprise.
- Le droit de demander un traitement restreint. Un particulier peut demander à une entreprise de supprimer ou de restreindre le traitement de ses données.
- Demander la portabilité des données. Un particulier peut demander à ce que ses données soient transférées vers un autre système de traitement ou une autre entreprise.
- Objet. Un particulier peut refuser que ses données soient utilisées à diverses fins, notamment le marketing direct.
- Le droit de demander à ne pas être soumis à la prise de décision automatisée, y compris le profilage. Des règles strictes sont en place sur l’utilisation des données pour le profilage des personnes et la prise de décisions basées uniquement sur le traitement automatisé.
Support Microsoft
Microsoft pense que la confidentialité est un droit fondamental et aide à protéger et à mettre en œuvre les droits des particuliers en matière de confidentialité. Microsoft s’engage à respecter la conformité réglementaire et fournit de nombreux produits, fonctionnalités et ressources pour aider ses clients à respecter leurs obligations en matière de conformité.
Les responsables du traitement qui utilisent les services en ligne de Microsoft, tels que les organisations et les développeurs, doivent traiter les données personnelles uniquement pour le compte du contrôleur. Les responsables du traitement doivent fournir des garanties suffisantes pour répondre aux exigences de conformité.
Délégué à la protection des données européen désigné
Microsoft a désigné un délégué à la protection des données dans l’UE, qui est un conseiller indépendant pour ses groupes d’ingénierie et métier. Le DPO permet de garantir que tout traitement proposé des données à caractère personnel respecte les exigences légales de l’Union européenne et les normes de l’entreprise Microsoft. La conception du rôle de DPO répond aux critères imposés dans les Articles 37-39.
Le DPO dans l’UE dépend directement du responsable de la confidentialité principal (Chief Privacy Officer) de Microsoft, qui est un cadre senior au sein de la division Corporate and Legal Affairs de Microsoft. Le rôle du DPO dispose d’une autonomie pour exécuter ses fonctions de manière indépendante et non biaisée. Via l’organisation du responsable de la confidentialité principal, le DPO a accès à des ressources de formation et de réponse des clients pour pouvoir effectuer ses tâches.
Engagements et conditions
Les conditions de Microsoft reflètent les engagements suivants que l’article 28 exige pour les sous-traitants. Microsoft prend le parti actif d’offrir ces engagements à tous les clients des services en ligne dans le cadre de leur contrat d’abonnement ainsi qu’aux clients de licence en volume dans le cadre de leur contrat entreprise.
- Ne faire appel à des sous-traitants ultérieurs qu’avec le consentement du responsable du traitement et qu’ils demeurent responsables des sous-traitants ultérieurs.
- Ne traiter les données personnelles, y compris les transferts, que sur instruction du responsable du traitement.
- Veiller à ce que les personnes qui traitent les données à caractère personnel s’engagent à respecter la confidentialité.
- Prendre les mesures techniques et organisationnelles appropriées permettant d’assurer un niveau de sécurité des données à caractère personnel qui soit approprié au risque.
- Aider le responsable du traitement dans le cadre de ses obligations de répondre aux demandes des personnes concernées pour l’exercice de leurs droits en matière de données personnelles.
- Respecter les exigences réglementaires concernant la communication de violations et l’assistance.
- Aider le responsable du traitement au niveau des analyses d’impact relatives à la protection des données et de la consultation avec les autorités de contrôle.
- Supprimer ou retourner les données à caractère personnel au terme de la prestation des services.
- Aider le responsable du traitement à démontrer la conformité.