Office 365

Listes de dix points clés

Les clients ont besoin d’une solution de productivité opérationnelle intrinsèquement sécurisée et fiable.

Listes de dix points clés
Flèche
  • Les clients ont besoin d’une solution de productivité opérationnelle intrinsèquement sécurisée et fiable. Pour vous aider à déterminer la sécurité et la fiabilité des services de productivité dans le Cloud et à choisir un fournisseur de service cloud qui répond à vos attentes en matière de sécurité, nous avons identifié les principales considérations en termes de confidentialité et de sécurité qui doivent guider votre décision.

    Ces trois listes de dix points clés peuvent vous faire gagner du temps et vous aider à prendre une décision fondée.

    Afficher Masquer Principales questions que vous devez poser à un fournisseur de services cloud lorsque vous envisagez d’adopter le cloud pour vos services informatiques et la réponse de Microsoft Office 365 à ces questions
    1. À qui appartiennent les données que nous stockons dans votre service ? Envisagez-vous d’utiliser nos données pour créer des produits publicitaires ?
      En tant que client d’Office 365, vos données vous appartiennent et vous les contrôlez. Nous n’utilisons vos données que pour vous fournir le service auquel vous avez souscris. En tant que fournisseur de services, nous n’analysons pas votre courrier électronique ou vos documents à des fins publicitaires. Pour plus d’informations, voir Comment nous utilisons vos données dans le Centre de gestion de la confidentialité d’Office 365.
    2. Offrez-vous des contrôles de confidentialité dans votre service ?
      Des contrôles de confidentialité sont activés par défaut pour tous les clients du service et nous vous permettons de désactiver et d’activer les fonctionnalités de confidentialité en fonction des besoins de votre organisation. Nous nous engageons via le contrat de traitement des données à respecter contractuellement les promesses faites ici en matière de confidentialité et de sécurité.
    3. Avons-nous une visibilité sur l’emplacement de stockage de nos données dans le service ?
      Nous sommes transparents sur l’emplacement où se trouvent vos données. Pour plus d’informations, voir Emplacement de mes données dans le Centre de gestion de la confidentialité d’Office 365.
    4. Quelle est votre approche en matière de sécurité et quelles fonctionnalités de sécurité proposez-vous pour protéger votre service d’attaques externes ?
      La sécurité est un des principes de conception fondamentaux et une des fonctionnalités clés d’Office 365. Nous nous focalisons sur la sécurité aux niveaux du matériel, des logiciels, de la sécurité physique de nos centres de données, des stratégies et des contrôles et de la vérification par des auditeurs indépendants.

      Dans l’ensemble, il existe deux catégories de fonctionnalités de sécurité : 1) la sécurité intégrée et 2) les contrôles client. La sécurité intégrée représente toutes les mesures que Microsoft prend au nom des clients d’Office 365 pour protéger leurs informations et faire fonctionner un service à haut niveau de disponibilité. Les contrôles client sont des fonctionnalités qui vous permettent de personnaliser Office 365 afin de répondre aux exigences spécifiques de votre organisation. Pour plus d’informations sur les deux types de fonctionnalités de sécurité, voir la section Sécurité dans le Centre de gestion de la confidentialité d’Office 365.
    5. Pouvons-nous retirer nos données de votre service ?
      Vos données vous appartiennent et vous conservez tous les droits et titres de propriétés sur les données que vous stockez dans Office 365. Vous pouvez télécharger une copie de l’ensemble de vos données à tout moment et pour n’importe quelle raison sans assistance de Microsoft. Pour plus d’informations, voir Vos données vous appartiennent dans le Centre de gestion de la confidentialité d’Office 365.
    6. Nous avertissez-vous si la situation évolue et si la sécurité de nos données est compromise ?
      Nous vous avertissons si des changements majeurs interviennent aux niveaux de la sécurité, de la confidentialité et de la conformité du service. De plus, nous vous avertissons rapidement si nous constatons un accès inadéquat à vos données.
    7. Êtes-vous transparent quant à la façon dont vous utilisez nos données et dont vous accédez à celles-ci ?
      Nous partageons les aspects essentiels quant au stockage de données, comme le lieu où se trouvent vos données en termes d’emplacement géographique, qui peut y accéder chez Microsoft et à quel usage nous destinons ces informations en interne. Pour plus d’informations, voir la section Qui peut accéder à vos données dans le Centre de gestion de la confidentialité d’Office 365.

      Notre position concernant l’accès à vos données est la suivante :
      • Nous vous autorisons à tout moment à accéder à vos données client.
      • L’accès aux données client est strictement contrôlé. Des audits d’échantillons et de connexions sont effectués par Microsoft et des tiers pour garantir que l’accès aux données s’effectue uniquement dans le cadre des activités professionnelles appropriées.
      • Nous reconnaissons l’importance particulière du contenu appartenant à nos clients. Si un utilisateur, tel qu’un employé ou un partenaire Microsoft, ou l’un de vos administrateurs, accède à votre contenu via le service, nous vous fournissons, sur votre demande, un rapport relatif à cet accès.
    8. Quels types d’engagements mettez-vous en place en ce qui concerne la sécurité et la confidentialité ?
      Au nom d’Office 365, nous sommes disposés à signer avec chaque client un contrat de traitement des données, un amendement de sécurité, un accord de partenariat HIPAA et les clauses contractuelles types de l’UE. Nous sommes également en conformité avec des normes comme ISO 27001, FISMA et FedRAMP. Pour plus d’informations, voir la section Vérification indépendante du Centre de gestion de la confidentialité d’Office 365.
    9. Comment garantissez-vous la fiabilité de votre service ?
      Nous appliquons des recommandations en matière de conception et de fonctionnement, comme la redondance, la résilience, les services distribués, la surveillance, etc. Nous avons récemment commencé à publier nos données trimestrielles concernant le temps de disponibilité du service. Pour plus d’informations, voir la section Continuité des services du Centre de gestion de la confidentialité d’Office 365.
    10. Quels sont vos engagements concernant la continuité de mon service ?
      Nous offrons un temps de disponibilité de 99,9 % via un contrat de niveau de service garanti financièrement. Si un mois donné un client rencontrait un temps de disponibilité inférieur à 99,9 %, nous le dédommagerions via des avoirs de service.

    Pour plus d’informations et de preuves d’engagement sur la façon dont Microsoft Office 365 offre des garanties concernant les point vus dans les questions ci-dessus, voir le Centre de gestion de la confidentialité d’Office 365.

    Afficher Masquer Les 10 principales fonctionnalités de confidentialité et de sécurité d’Office 365
    1. Nous limitons l’accès au centre de données physique au personnel autorisé et avons implémenté plusieurs niveaux de sécurité physique, tels que des lecteurs biométriques, des détecteurs de mouvement, un accès sécurisé 24h/24, la vidéosurveillance et des alarmes de sécurité.
    2. Nous chiffrons les données à la fois « au repos » et via le réseau quand elles sont transmises entre un centre de données et un utilisateur.
    3. Nous n’exploitons pas vos données et nous n’y accédons pas à des fins publicitaires.
    4. Nous utilisons les données des clients uniquement pour fournir le service ; nous n’accédons jamais au contenu de votre boîte aux lettres sans votre autorisation.
    5. Nous sauvegardons régulièrement vos données.
    6. Nous ne supprimerons pas la totalité des données de votre compte à la fin de votre service tant que vous n’aurez pas eu le temps de profiter de la portabilité des données que nous mettrons à votre disposition.
    7. Le lieu où nous hébergeons vos données client tient compte de votre emplacement.
    8. Nous imposons l’utilisation de mots de passe complexes pour accroître la sécurité de vos données.
    9. Nous vous permettons de désactiver et d’activer les fonctionnalités de confidentialité en fonction de vos besoins.
    10. Nous nous engageons via le contrat de traitement des données à respecter contractuellement les promesses faites ici. Pour plus d’informations sur le contrat de traitement des données, voir la section sur le contrat de traitement des données de la page sur la vérification indépendante.
    Afficher Masquer Les 10 principales normes de conformité d’Office 365
    1. Loi américaine HIPAA (Health Insurance Portability and Accountability Act) : la loi HIPAA impose des contraintes de sécurité, de confidentialité et de création de rapports à nos clients qui peuvent être des « entités couvertes » soumises à la loi concernant le traitement des informations sanitaires protégées. Microsoft a développé Office 365 pour fournir des garanties physiques, administratives et techniques permettant à nos clients de respecter entièrement les exigences de la loi HIPAA. Nous signerons un Accord de partenariat HIPAA (HIPAA BAA) avec tout client. Pour plus d’informations sur l’accord de partenariat HIPAA, voir le Forum Aux Questions HIPAA/HITECH.
    2. Contrats de traitement des données : nous fournissons aux clients des assurances contractuelles supplémentaires par le biais de contrats de traitement des données indiquant la façon dont Microsoft traite et sécurise les données client. En signant des contrats de traitement des données, nous sommes liés à plus de 40 engagements de sécurité spécifiques émanant de réglementations du monde entier. Cliquez ici pour signer. (Les clients détenteurs d’un Accord Entreprise doivent contacter leur représentant commercial pour obtenir un contrat de traitement des données.)
    3. FISMA (Federal Information Security Management Act) : la loi FISMA oblige les agences fédérales étatsuniennes à développer, documenter et implémenter des contrôles pour sécuriser leurs informations et leurs systèmes d’information. Le Forum Aux Questions FISMA explique comment le service Office 365 respecte les processus de sécurité et de confidentialité par rapport à la loi FISMA.
    4. Norme ISO 27001 : la norme ISO 27001 est l’une des références en matière de sécurité proposées au niveau mondial. Office 365 est le premier service cloud public à productivité professionnelle de premier plan à avoir mis en place de façon rigoureuse l’ensemble des contrôles de gestion ainsi que l’ensemble des procédures physiques et logiques définis par la norme ISO 27001.
    5. Clauses contractuelles types de l’Union européenne (UE) : la directive sur la protection des données à caractère personnel, instrument clé de la législation de l’UE en matière de confidentialité et de droits humains, impose à nos clients se trouvant dans un pays de l’UE de légitimer le transfert de données personnelles en dehors de l’UE. Les clauses contractuelles types de l’UE sont reconnues comme étant la méthode de prédilection pour légitimer le transfert de données personnelles en dehors de l’UE pour les environnements de cloud computing. L’intégration des clauses contractuelles types à l’offre implique un investissement, ainsi que la création des contrôles et des processus opérationnels permettant de satisfaire aux exigences contraignantes de ces clauses. Sauf si un fournisseur de service cloud est prêt à accepter les clauses contractuelles types, un client peut penser qu’il peut respecter les contraintes de la directive de l’UE sur la protection des données pour le transfert de données personnelles depuis l’UE vers des juridictions qui n’offrent pas une « protection adéquate » des données personnelles. Le Forum Aux Questions sur les clauses contractuelles types de l’UE décrit l’approche approuvée par un régulateur qui est mise en place par Microsoft en ce qui concerne les clauses contractuelles types de l’UE.
    6. Infrastructure « Safe Harbor » États-Unis/UE : l’infrastructure « Safe Harbor » États-Unis/UE permet également aux clients de transférer légalement des données personnelles en dehors de l’UE dans le cadre de la directive de l’UE sur la protection des données. Office 365 suit les principes et les processus stipulés par l’infrastructure « Safe Harbor » États-Unis/UE.
    7. FERPA (Family Educational Rights and Privacy Act) : la loi FERPA impose des contraintes aux organismes éducatifs des États-Unis concernant l’utilisation ou la divulgation des dossiers scolaires, y compris le courrier électronique et les pièces jointes. Microsoft accepte d’utiliser et de divulguer les restrictions imposées par la loi FERPA qui limite notre utilisation des dossiers scolaires, notamment en s’engageant à ne pas analyser les messages électroniques ou les documents à des fins publicitaires.
    8. Norme SSAE 16 (Statement on Standards for Attestation Engagements No. 16) : Office 365 a fait l’objet d’un audit par des tierces parties indépendantes et peut fournir des rapports SOC 1 SSAE16 Type I et Type II sur la façon dont le service implémente les contrôles.
    9. Loi canadienne PIPEDA (Personal Information Protection and Electronic Documents Act) : la loi canadienne PIPEDA porte sur la façon dont les organisations du secteur privé collectent, utilisent et divulguent les informations personnelles dans le cadre d’une entreprise commerciale. Microsoft respecte la loi PIPEDA à travers notre administration d’Office 365.
    10. Loi GLBA (Gramm-Leach-Bliley Act) : la loi GLBA impose aux institutions financières de mettre en place des processus visant à protéger les informations personnelles non publiques de leurs clients. Cette loi impose des stratégies visant à protéger les informations contre des menaces prévisibles de la sécurité et de l’intégrité des données. Les clients soumis à la loi GLBA peuvent utiliser Office 365 et respecter les contraintes de la loi GLBA.
  • Centre de gestion de la confidentialité d’Office 365

    Ressources supplémentaires

    Principales questions sur la confidentialité