Questions principales sur la confidentialité qu’un client doit poser à son fournisseur de services cloud

Microsoft Office 365 met à la disposition de tous les clients Office 365 des fonctionnalités de confidentialité essentielles. L’objectif de cette section consiste à décrire ces fonctionnalités de confidentialité et à indiquer dans quelle mesure elles répondent aux standards de confidentialité élevés définis par les autorités de l’UE. Le 1er juillet 2012, le groupe de travail Article 29 de l’UE (WP29) — groupe composé des autorités nationales de l’Union européenne en charge de la protection des données — a adopté l’avis 05/2012 sur l’informatique en nuage. Ce dernier souligne les avantages de l’informatique en nuage, notamment une efficacité et une sécurité accrues. Dans l’avis, le groupe WP29 insiste sur l’importance de choisir un fournisseur de services cloud transparent concernant ses pratiques en matière de protection des données et qui respecte la confidentialité des données du client.

L’avis du groupe WP29 fournit une aide essentielle pour les utilisateurs actuels et potentiels des services cloud. En outre, il soulève une série de questions que les clients de services cloud, en tant que contrôleurs de données, doivent prendre en considération quand ils choisissent un fournisseur de services cloud. Les questions clés sur la confidentialité et les réponses Office 365 sont indiquées ici.

Référence dans l’avis du groupe WP29 : dans la section 4.1 (la première puce sous le titre « Respect des principes fondamentaux de protection des données »), le groupe WP29 indique que « les fournisseurs d’informatique en nuage devraient informer leurs clients de tous les aspects pertinents (concernant la protection des données) de leurs services … en particulier, les clients devraient être informés de tous les sous-traitants prenant part à la fourniture du service en nuage concerné ainsi que des lieux où les données à caractère personnel sont susceptibles d’être stockées ou traitées par le fournisseur d’informatique en nuage et/ou ses sous-traitants.» Pour sa part, la section 3.4.1.1 (Transparence) souligne l’importance de la transparence dans la relation entre le fournisseur de services cloud et le client.

Office 365 : Microsoft rend facilement accessibles les informations sur ses pratiques en matière de confidentialité et sécurité dans le Centre de gestion de la confidentialité d’Office 365. Le Centre de gestion de la confidentialité d’Office 365 contient des informations sur le lieu de stockage des données, les personnes habilitées à accéder à celles-ci et les circonstances dans lesquelles les données sont accessibles, ainsi que sur les sous-traitants prenant part au traitement des données.
Référence dans l’avis du groupe WP29 : section 3.4.1.2 (Spécification et limitation des finalités). Le groupe WP29 indique clairement que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités » et qu’il incombe aux clients de services cloud de « s’assurer que les données à caractère personnel ne sont pas (illégalement) traitées pour d’autres finalités par le fournisseur d’informatique en nuage. »

Office 365 : les services cloud d’entreprise Microsoft utilisent les données du client uniquement pour fournir les services. Cela peut inclure des opérations de dépannage afin d’éviter, de détecter et de réparer les problèmes liés à l’exploitation des services et l’amélioration de fonctionnalités qui impliquent la détection de menaces émergentes et changeantes pour l’utilisateur, ainsi que la protection contre celles-ci (telles que les logiciels malveillants ou le courrier indésirable). Office 365 ne crée pas de produits publicitaires à partir des données du client. Nous n’analysons pas votre courrier électronique ou vos documents pour produire des analyses, explorer les données, faire de la publicité ou améliorer le service.

Microsoft ne divulguera pas les données du client à une tierce partie (même dans le cadre de l’application d’une loi, à une autre entité gouvernementale ou à une partie civile, à l’exclusion de nos sous-traitants) sauf à la demande du client ou en cas d’obligation légale.
Référence dans l’avis du groupe de travail Article 29 : section 3.4.1.2 (Spécification et limitation des finalités) et section 3.3.1 (Le client et le fournisseur de services d’informatique en nuage).

Office 365 : les serveurs des services cloud d’entreprise Microsoft sont physiquement et/ou logiquement séparés des serveurs des services en ligne grand public. Les données des entreprises clientes, les données dans les services en ligne grand public Microsoft et les données créées par, ou résultant d’opérations de, Microsoft dans le cadre d’activités d’analyse, d’indexation ou d’exploration de données ne sont pas mélangées sauf en cas d’approbation préalable du client.
Référence dans l’avis du groupe de travail Article 29 : section 3.4.1.2 (Spécification et limitation des finalités) et section 3.3.1 (Le client et le fournisseur de services d’informatique en nuage).

Office 365 : Microsoft n’analyse pas les messages électroniques ou les documents à des fins publicitaires. Les services d’entreprise Microsoft gèrent, analysent et indexent les données du client pour fournir à celui-ci des fonctionnalités enrichies lui permettant d’accéder à ses données et de les organiser. Par exemple, les utilisateurs finaux peuvent facilement rechercher leurs documents et autre contenu dans Office 365.
Référence dans l’avis du groupe WP29 : section 3.4.3 (Mesures techniques et organisationnelles en matière de protection et de sécurité des données).

Office 365 : le service commercial d’Office 365 est logiquement séparé des services en ligne grand public. Les données des entreprises clientes et les données dans les services en ligne grand public Microsoft ne sont pas mélangées sauf en cas d’approbation préalable du client.
Le groupe WP29 conclut que les mécanismes traditionnels de transfert de données hors de l’Espace économique européen présentent des « limites » quand ils sont appliqués au cloud. Le groupe WP29 cite les directives « Safe Harbor », indiquant aux clients de service cloud que le simple engagement de l’importateur de données vis-à-vis des directives « Safe Harbor » risque d’être jugé insuffisant pour les transferts de données vers des fournisseurs basés aux États-Unis. En outre, le groupe WP29 rappelle aux clients de services cloud la nécessité de se conformer à toute obligation légale nationale éventuelle.

Office 365 fournit un contrat de traitement des données complet et son offre intègre les clauses contractuelles types de l’UE en plus de l’auto-certification propre à l’infrastructure « Safe Harbor » États-Unis/UE. Bien que les clauses contractuelles types soient spécifiquement créées pour les clients situés dans l’UE, le contrat de traitement des données est un ajout des meilleures pratiques en matière de confidentialité des différents pays et est offert à tous les clients indépendamment de leur localisation géographique ou de leur taille. Les processus qu’Office 365 a créés pour se conformer aux clauses contractuelles types ne sont pas limités aux clients situés dans l’UE, mais sont disponibles pour tous les clients.