Conditions de confidentialité et de sécurité
Dispositions générales
Les Conditions de Protection des Données Personnelles & de Sécurité étaient auparavant contenues dans l’Annexe 1 des Conditions des Services en Ligne.
L’Addendum relatif à la Protection des Données ou DPA (tel que défini dans le Glossaire) énonce les obligations des parties en ce qui concerne le traitement et la sécurité des Données Client, des Données des Services Professionnels et des Données à Caractère Personnel par les Produits. L’Addendum sur la Protection des Données peut être téléchargé via l’adresse https://aka.ms/DPA. En cas de conflit ou d’incohérence entre le DPA et toute autre condition du contrat de licence du Client (y compris les présentes conditions), le DPA prévaudra.
Exceptions au DPA pour les Services en Ligne
Les Conditions de Protection des Données Personnelles et de Sécurité figurant dans le tableau ci-dessous modifient ou complètent le DPA pour chacun des Services en Ligne identifiés.
Famille de Produits | Service en Ligne | Conditions de Protection & de Sécurité |
---|---|---|
Microsoft Azure | Services Azure AI | Services dans des Conteneurs Étant donné que l’environnement d’exploitation des conteneurs installés sur le matériel dédié du Client n’est pas sous le contrôle de Microsoft, les conditions du DPA ne s’appliquent pas à ces conteneurs, sauf dans la mesure où a) des Données à Caractère Personnel sont recueillies dans le cadre du point de terminaison de facturation ou b) des Données Client sont fournies à Microsoft pour une formation sur un modèle personnalisé avant le téléchargement du Service fonctionnant dans le conteneur. |
Configurations de Services et Modèles Personnalisés inactifs Aux fins de conservation et de suppression des données, une configuration de Services ou un modèle personnalisé qui a été inactif peut, à la discrétion de Microsoft, être traité comme un Service en Ligne pour lequel l’abonnement du Client a expiré. Une configuration ou un modèle personnalisé est inactif si, pendant quatre-vingt-dix (90) jours, (1) aucun appel n’est effectué dessus ; (2) il n’a pas été modifié et n’a pas de clé actuellement assignée ; et (3) le Client ne s’y est pas connecté. | ||
Connecteurs d’analyse multi-cloud pour Microsoft Purview | Pour permettre l’interopérabilité des déploiements du Client avec d’autres fournisseurs de cloud, Microsoft peut exploiter au sein de ces autres clouds certaines fonctionnalités d’analyse de données optionnelles et discrètes pour les données du Client hébergées dans ces autres clouds (les « Connecteurs d’analyse multi-cloud pour Microsoft Purview »). Microsoft divulguera dans sa documentation comment le Client peut activer et utiliser les Connecteurs d’analyse multi-cloud pour Microsoft Purview. Pour plus de clarté, les Connecteurs d’analyse multi-cloud pour Microsoft Purview constituent un module complémentaire distinct de Microsoft Purview. Les Connecteurs d’analyse multi-cloud pour Microsoft Purview ne sont pas un service Microsoft Azure Core et les sections suivantes du DPA ne s’appliquent pas aux Connecteurs d’analyse multi-cloud pour Microsoft Purview : « Établissements d’Enseignement », « Contrat Client CJIS », « Entreprise HIPAA » et « Annexe A - Mesures de sécurité ». En ce qui concerne uniquement les Connecteurs d’analyse multi-cloud pour Microsoft Purview, les modifications suivantes du DPA s’appliquent :
Les conditions standard de protection des données proposées par ces autres fournisseurs de clouds régissent votre utilisation des Connecteurs d’analyse multi-cloud pour Microsoft Purview lorsque le module complémentaire est hébergé dans ces autres clouds. | |
Visual Studio App Center | La déclaration de confidentialité disponible à l’adresse https://aka.ms/actestprivacypolicy s’applique à l’utilisation par le Client de Visual Studio App Center Test. Le Client n’est pas autorisé à utiliser Visual Studio App Center Test pour stocker ou traiter des Données à Caractère Personnel. | |
SQL Managed Instance activée par Azure Arc | Les conditions du DPA ne s’appliquent pas au traitement de données dans SQL Managed Instance activée par Azure Arc exécuté dans un environnement en dehors du contrôle de Microsoft, sauf dans la mesure où les Données à Caractère Personnel sont collectées pour permettre les services de gestion d’Azure et pour mesurer l’utilisation à des fins de facturation. | |
Microsoft Genomics | La Déclaration de Confidentialité de Microsoft disponible sur la page https://aka.ms/privacy s'applique à l'utilisation par le Client de Microsoft Genomics et non le DPA, sous réserve que le présent article Microsoft Genomics prévaudra en cas de conflit avec la Déclaration de Confidentialité de Microsoft. Conditions de licence de Broad Microsoft Genomics inclut l’accès au Genetic Analysis Toolkit (GATK) du Broad Institute, Inc. (« Broad »). L’utilisation du GATK et de toute documentation connexe dans le cadre de Microsoft Genomics est soumise au Contrat de Licence Utilisateur Final GATK de Broad (« CLUF Broad » disponible à l’emplacement suivant : https://software.broadinstitute.org/gatk/eula/index?p=Azure). Microsoft peut collecter et partager avec Broad certaines informations statistiques et techniques concernant l'utilisation du GATK par le Client. Le Client autorise Microsoft à communiquer à Broad le statut d’un Client en tant qu'utilisateur du GATK dans Microsoft Genomics. | |
Azure SQL Edge | Les conditions du DPA ne s’appliquent pas à Azure SQL Edge installé sur le dispositif IoT du Client, sauf dans la mesure où des Données à Caractère Personnel sont collectées pour permettre les services de gestion d’Azure et pour mesurer l’utilisation à des fins de facturation, car l’environnement d’exploitation de ces Dispositifs IoT n’est pas sous le contrôle de Microsoft. | |
Azure Stack HCI | Microsoft sera un responsable du traitement des Données à Caractère Personnel lorsque les clients activent la collecte de données de diagnostic Windows comme décrit dans la documentation du Produit. Lorsque Microsoft est un responsable du traitement, Microsoft traitera les présentes Données à Caractère Personnel conformément à la Déclaration de confidentialité de Microsoft disponible à l’adresse aka.ms/privacy et les conditions du DPA ne s’appliquent pas. | |
Azure Stack Hub | Microsoft sera un responsable du traitement des Données à Caractère Personnel lorsque les clients activent la collecte de données de diagnostic Windows comme décrit dans la documentation du Produit. Lorsque Microsoft est un responsable du traitement, Microsoft traitera les présentes Données à Caractère Personnel conformément à la Déclaration de confidentialité de Microsoft disponible à l’adresse aka.ms/privacy et les conditions du DPA ne s’appliquent pas. Si un Client ayant conclu un Contrat Microsoft Cloud ou un Contrat Client Microsoft utilise un logiciel ou des services Azure Stack Hub hébergés par un Revendeur, cette utilisation sera soumise aux politiques de confidentialité de celui-ci, qui peuvent différer de celles de Microsoft. | |
Solution Azure VMware | Transfert des Données des Services Professionnels vers VMware Si le client contacte Microsoft pour une assistance technique relative à la solution Azure VMware et que Microsoft doit faire appel à VMware pour l'aider à résoudre le problème, Microsoft transférera à VMware les Données relatives aux Services Professionnels et les Données à Caractère Personnel contenues dans le cas de support. Le transfert est effectué conformément aux stipulations du Contrat de Transfert de Support entre VMware et Microsoft, qui établit Microsoft et VMware en tant que sous-traitants indépendants des Données des Services Professionnels. Avant tout transfert de Données des Services Professionnels à VMware, Microsoft obtiendra et enregistrera le consentement du client pour le transfert. Contrat relatif au Traitement des Données VMware Une fois les Données des Services Professionnels transférées vers VMware (conformément à la section ci-dessus), le traitement des Données des Services Professionnels, y compris les Données à Caractère Personnel contenues dans le cas de support, par VMware en tant que sous-traitant indépendant sera régi par le Contrat relatif au Traitement des Données de VMware pour les Clients SVA de Microsoft Transférés pour Support Niveau 3. (https://docs.broadcom.com/doc/global-customers-dpa). Le Client donne également l'autorisation de permettre à son ou ses représentants qui demandent une assistance technique pour la Solution Azure VMware de donner son consentement en son nom à Microsoft pour le transfert des Données des Services professionnels à VMware. | |
Bing | Bing | L’Addendum sur la Protection des Données ne s’applique pas à l'utilisation des Services Recherche Bing ou à toute utilisation de Bing au sein d'un Produit. Pour tout composant d'un Produit optimisé par Bing, comme indiqué dans la documentation du produit, la Déclaration de Confidentialité de Microsoft (https://privacy.microsoft.com/privacystatement) s'applique. |
GitHub | Offres GitHub | Nonobstant toute stipulation contraire dans le contrat de licence en volume du Client (y compris les présentes Conditions des Produits et le DPA), la Déclaration de Confidentialité de GitHub disponible à l’adresse https://aka.ms/github_privacy et le Contrat relatif à la Protection des Données GitHub disponible à l’adresse https://aka.ms/github_dpa s’appliqueront à l’utilisation par le Client des Offres GitHub, notamment GitHub Enterprise concédé sous licence autonome ou via Visual Studio Enterprise ou Professional avec GitHub Enterprise. |
Services Office 365 | Office 365 Éducation | Si les Services sont fournis au Client en dehors de l’UE ou de l’AELE et que le Client dispose d’un abonnement à Office 365 Éducation mais n’a pas acquis le module complémentaire Advanced Data Residency for Education, alors, nonobstant la section « Emplacement des Données Client au repos pour les Services en Ligne Core » des Conditions relatives aux Produits, Microsoft peut fournir les Services au locataire Office 365 Éducation du Client, transférer les Données Client et stocker les Données Client au repos n’importe où dans l'Union européenne ou en Amérique du Nord. Si les Services sont fournis au Client dans l’UE ou l’AELE et que le Client dispose d’un abonnement à Office 365 Éducation mais n’a pas acquis le module complémentaire Advanced Data Residency for Education, alors, nonobstant la section « Emplacement des Données Client au repos pour les Services en Ligne Core » des Conditions relatives aux Produits, Microsoft peut fournir les Services au locataire Office 365 Éducation du Client, transférer les Données Client et stocker les Données Client au repos n’importe où dans l’Union européenne. |
Services Microsoft Dynamics 365 | Dynamics 365 Business Central et Dynamics 365 Finance au Danemark | Lois et réglementations en matière de comptabilité Ces conditions s’appliquent uniquement aux Clients possédant une entreprise au Danemark, comme l’exige la Loi sur la comptabilité. Le DPA régit la manière dont Microsoft gère les Données Client dans Dynamics 365 Business Central et Dynamics 365 Finance, à l’exception de la conservation, la suppression et la divulgation des Documents Comptables. En cas de conflit ou d’incohérence entre le DPA et toute autre condition dans le contrat de licence du Client, ces conditions prévaudront. Définitions « Documents Comptables » désigne tous les documents qui composent la comptabilité, y compris les transactions et reçus enregistrés, et autres données (y compris les Données à Caractère Personnel), d’une entreprise que le Client fournit ou qui sont fournis pour le compte du Client dans un Système Comptable Standard Numérique, comme l’exige la Loi sur la comptabilité. Conservation des Données et suppression des Documents Comptables En utilisant Dynamics 365 Business Central ou Dynamics 365 Finance, le Client accepte que Microsoft ou ses affiliés, conformément à leurs obligations légales, puissent copier, stocker et conserver les Documents Comptables du Client pendant 5 ans à compter de la fin de l’exercice financier comportant les transactions et reçus enregistrés (la « Période de Conservation »), même si le Client modifie son système de comptabilité, fait faillite ou est liquidé, comme l’exige la Loi sur la comptabilité. Microsoft stockera les Documents Comptables du Client au repos dans un stockage géré par Microsoft au même endroit que l’équipement informatique principal traitant les Données Client pour ces services ou l’Union européenne. Pendant la Période de Conservation, le Client ne peut pas accéder, extraire, corriger ou supprimer aucun de ses Documents Comptables de ce stockage. Microsoft utilisera les mêmes mesures de sécurité pour protéger les Documents Comptables du Client que celles utilisées pour protéger les autres Données Client. Une fois la Période de Conservation écoulée, Microsoft supprimera les Documents Comptables du Client. Microsoft n’engage pas sa responsabilité en cas de suppression des Documents Comptables du Client. Divulgation des Documents Comptables Microsoft divulguera ou fournira un accès aux Documents Comptables du Client aux Autorités danoises dans la mesure nécessaire pour satisfaire une demande imposant une telle divulgation, comme l’exige la Loi sur la comptabilité. Les autres données qu’un Client stocke dans de tels Systèmes Comptables Standard Numériques ne sont pas sujettes à divulgation. Les Autorités danoises ne sont autorisées à demander des Documents Comptables aux fournisseurs de Systèmes Comptables Standard Numériques que si elles ne parviennent pas à obtenir les informations directement auprès de l’entreprise. Microsoft n’est pas responsable de la divulgation des Documents Comptables du Client à toute Autorité danoise. |
Microsoft Relationship Sales | LinkedIn Sales Navigator LinkedIn Sales Navigator est fourni par LinkedIn Corporation. Le Client est autorisé à utiliser le Service LinkedIn Sales Navigator uniquement pour générer des clients potentiels. Chaque utilisateur de LinkedIn Sales Navigator doit être membre de LinkedIn et accepter d’être lié par le Contrat Utilisateur de LinkedIn disponible à l’adresse https://www.linkedin.com/legal/preview/user-agreement. Nonobstant toute stipulation contraire dans le contrat de licence en volume du Client (y compris les présentes Conditions des Produits), la politique relative aux données personnelles de LinkedIn disponible à l’adresse https://www.linkedin.com/legal/privacy-policy s’appliquera à l’utilisation par le Client du service LinkedIn Sales Navigator. LinkedIn Corporation (en tant que sous-traitant) et le Client (en tant que responsable du traitement) s’engagent à se conformer aux conditions de l’Accord relatif au traitement des données de LinkedIn, disponible à l’adresse https://legal.linkedin.com/dpa. | |
Microsoft 365 | Services Glint Hérités | L'accès aux services Glint Hérités et leur utilisation par le client sont régis par les conditions énoncées dans les derniers Formulaires de Commande LinkedIn actifs du Client pour les services Glint Hérités. Aucune condition de Microsoft, y compris, sans s'y limiter, les conditions relatives aux produits Microsoft, le DPA ou tout accord entre le client et Microsoft ne s'applique aux services Glint Hérités. |
Autres Services en Ligne | Microsoft Intune | Si l'application Intune Company Portal est utilisée pour gérer des appareils, les conditions qui s'appliquent aux Services en Ligne Microsoft Intune (tels que définis dans le tableau des Services en Ligne Core dans les Conditions de Protection des Données Personnelles & de Sécurité des Services en Ligne) s'appliquent à l'utilisation de l'application Intune Company Portal. Les engagements de Microsoft relatifs à Intune Company Portal App ne s'étendent pas au traitement des données, aux politiques ou aux pratiques des prestataires tiers de plateformes mobiles sur lesquelles Intune Company Portal App fonctionne (par exemple, Apple, Google). |
Dispositifs et Applications Gérés | Microsoft Managed Desktop (MMD) intègre des données (y compris des Données Client) à d’autres Produits Microsoft, notamment Windows, Microsoft Entra ID, Microsoft Intune, Microsoft Defender pour Point de Terminaison, Office et d’autres Services en Ligne tels que configurés par le Client, le cas échéant (collectivement, aux fins de cette disposition, les « Services Intégrés MMD »). Une fois les données transférées entre les Services Intégrés MMD, ces données sont régies par les Conditions des Produits applicables au service dans lequel elles résident. |
Produits logiciels exclus du DPA
Sauf indication contraire dans les Conditions Spécifiques au Produit, les conditions du DPA ne s’applique pas à : Fonctionnalités Internet dans les Produits Logiciels, le Système d’Exploitation Windows Desktop, Windows Server et ces Produits Logiciels dans le cadre d’autres Produits. Chacun de ces Produits est régi par les conditions concernant la protection des données à caractère personnel et la sécurité figurant dans les Conditions Spécifiques au Produit applicables.
Produits Tiers
Des conditions distinctes, et notamment des conditions différentes concernant la protection des données à caractère personnel et la sécurité, régissent l’utilisation par le Client de Produits Non Fournis par Microsoft (tels que définis dans les Conditions Universelles de Licence applicables aux Services en Ligne).
Conditions du DPA Exclusions Géographiques
Pour les services en ligne Dynamics 365 et Power Platform, les conditions spécifiques du DPA, telles que notées dans l’annexe A et qui indiquent que « Microsoft stocke des copies des Données Client et des procédures de récupération de données dans un endroit différent de celui où se trouve l’équipement informatique principal traitant les Données Client », ne s’appliquent pas aux zones géographiques suivantes : Émirats arabes unis et Afrique du Sud.
Services en Ligne Core
Le terme « Services en Ligne Core » s’applique uniquement aux services du tableau ci-dessous, à l’exclusion de toute Évaluation.
Services en Ligne | |
---|---|
Microsoft Dynamics 365 Core Services | Les services suivants, chacun en tant que service autonome ou inclus dans un plan ou une application Dynamics 365 : Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations et Dynamics 365 Sales. Dynamics 365 Core Services n’inclut pas (1) Dynamics 365 Services pour les dispositifs et logiciels pris en charge, ce qui inclut, sans s’y limiter, Dynamics 365 pour applications, tablettes, téléphones ou n’importe lequel de ces appareils ; (2) LinkedIn Sales Navigator ; ou (3) sauf définition expresse dans les conditions de licence du service correspondant, tout autre service commercialisé séparément mis à disposition avec ou connecté à Dynamics 365 Core Services. |
Services Office 365 | Les services suivants, chacun en tant que service autonome ou inclus dans un plan ou une suite Office 365 : Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender pour Office 365, Office pour le Web, OneDrive Entreprise, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage et Microsoft 365 Copilot. Les Services Office 365 n’incluent pas les applications Microsoft 365 pour les entreprises, aucune partie d’un service PSTN qui fonctionne hors du contrôle de Microsoft, ni aucun logiciel client ou service commercialisé séparément et disponible avec un plan ou une suite Office 365, comme un service Bing ou un service labellisé « pour Office 365 ». |
Services de Conformité Microsoft 365 | Les services suivants, chacun en tant que service autonome ou inclus dans un plan ou une suite Microsoft 365 : Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, and Microsoft Purview Audit, Microsoft Priva Privacy Risk Management, et Microsoft Priva Subject Rights Request. |
Microsoft Azure Core Services | Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, API Azure pour FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Cache Azure pour Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database pour MySQL, Azure Database pour PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Pare-feu Azure, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map (Classique), Microsoft Purview Data Catalog (Classique), Microsoft Purview Data Estate Insights (Classique), Microsoft Purview Data Policies (Classique), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classique), Media Services, Portail Microsoft Azure, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender pour le Cloud, Service Bus, Connecteur de Services, Service Fabric, Service Azure SignalR, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Stockage, StorSimple, Stream Analytics, Synapse Analytics, Analyse de texte, Traffic Manager, Azure AI Translator, Machines Virtuelles, Virtual Machine Scale Sets, Réseau Virtuel et Passerelle VPN. |
Services en Ligne Microsoft Intune | La partie service cloud de Microsoft Intune. |
Principaux Services de la Plateforme Microsoft Power | Les services suivants, chacun en tant que service autonome ou inclus dans un plan ou une suite Office 365 ou Microsoft Dynamics 365 : Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power pages et Microsoft Copilot Studio. Les principaux services de la Plateforme Microsoft Power excluent l’ensemble des logiciels client, y compris, sans s’y limiter, Power BI Report Server, les applications mobiles Power BI, PowerApps et les applications mobiles Microsoft Power Automate, Power BI Desktop et Power Apps Studio. |
Microsoft Copilot | Microsoft Copilot, utilisé avec un compte professionnel ou scolaire. |
Microsoft Defender Experts | La partie service cloud de Microsoft Defender Experts. |
Microsoft Defender for Cloud Apps | La partie service cloud de Microsoft Defender for Cloud Apps (anciennement Microsoft Cloud App Security). |
Services Microsoft Defender pour point de terminaison | La partie services cloud de Microsoft Defender pour point de terminaison. |
Microsoft Defender pour Identity | La partie services cloud de Microsoft Defender pour Identity. |
Microsoft Defender XDR | La partie service cloud de Microsoft Defender XDR. |
Microsoft Sentinel | La partie service cloud de Microsoft Sentinel. |
Windows 365 | La partie service cloud de Windows 365, à l’exclusion du système d’exploitation Windows exécuté sur les PC Cloud Windows 365. |
Stratégies et Pratiques de Sécurité des Services en Ligne Core.
En plus des pratiques et stratégies de sécurité pour les Services en Ligne dans le DPA, chaque Service en Ligne Core respecte également les normes et les cadres de contrôle indiqués dans le tableau ci-dessous et met en œuvre et maintient les mesures de sécurité énoncées à l’Annexe A du DPA pour la protection des Données du Client.
Service en Ligne | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
---|---|---|
Services Office 365 | Oui | Oui |
Services de Conformité Microsoft 365 | Oui | Oui |
Microsoft Dynamics 365 Core Services | Oui | Oui |
Microsoft Azure Core Services | Varie* | Varie* |
Services en Ligne Microsoft Intune | Oui | Oui |
Principaux Services de la Plateforme Microsoft Power | Oui | Oui |
Microsoft Copilot | Oui | Oui |
Microsoft Defender Experts | Varie* | Varie* |
Microsoft Defender for Cloud Apps | Oui | Oui |
Services Microsoft Defender pour point de terminaison | Oui | Oui |
Microsoft Defender pour Identity | Oui | Oui |
Microsoft Defender XDR | Oui | Oui |
Microsoft Sentinel | Oui | Oui |
Windows 365 | Oui | Oui |
*Le champ d’application actuel est détaillé dans le rapport d’audit et résumé dans le Centre de Gestion de la Confidentialité Microsoft.
Emplacement des Données Client au repos pour les Services en Ligne Core
Pour les Services en Ligne Core, Microsoft entreposera les Données Client au repos dans certaines zones géographiques majeures (chacune, étant une zone géographique) comme suit, sauf disposition contraire dans les conditions spécifiques du Service en Ligne :
- Services Office 365. Si le Client provisionne son tenant en Australie, au Brésil, au Canada, dans l’Union Européenne, en France, en Allemagne, en Inde, au Japon, en Norvège, au Qatar, en Afrique du Sud, en Corée du Sud, en Suède, en Suisse, au Royaume-Uni, aux Émirats arabes unis ou aux États-Unis, Microsoft entreposera les Données Client au repos suivantes uniquement dans cette Zone Géographique : (1) contenu de la messagerie Exchange Online (corps de l’e-mail, entrées de calendrier et contenu des pièces jointes des e-mails), (2) contenu du site SharePoint Online et fichiers stockés dans ce site, (3) fichiers téléchargés sur OneDrive Entreprise, (4) messages de discussion Microsoft Teams (y compris les messages privés, les messages de canal, les messages de réunion et les images utilisées dans les discussions) et pour les clients utilisant les enregistrements de réunion Microsoft Stream (Classic) (sur SharePoint), et (5) tout contenu stocké des interactions avec Microsoft 365 Copilot dans la mesure non incluse dans les engagements précédents. Si le client achète un abonnement Advanced Data Residency, Microsoft stockera certaines données client au repos dans la zone géographique applicable conformément à cette section et à la section « Présentation de la résidence avancée des données et des engagements » de la documentation du produit à l’adresse https://aka.ms/adroverview.
- Services en Ligne Microsoft Intune. Lorsque le Client provisionne un compte tenant Microsoft Intune à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est spécifié dans le Centre de gestion de la confidentialité Microsoft Intune.
- Principaux Services de la Plateforme Microsoft Power. Lorsque le Client provisionne un Service Core de la Plateforme Power à déployer dans une Zone disponible, alors, pour ce service, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est décrit dans le Centre de Gestion de la Confidentialité de la Plateforme Microsoft Power.
- Microsoft Azure Core Services. Si le Client configure un service particulier à déployer dans une Zone, alors, dans le cadre de ce service, Microsoft entreposera les Données Client au repos dans la Zone spécifiée. Certains services sont susceptibles de ne pas permettre au Client de configurer le déploiement dans une Zone particulière ou en dehors des États-Unis et stocker des copies de sauvegarde à d’autres emplacements. Pour plus de détails, reportez-vous au Centre de Gestion de la Confidentialité Microsoft (que Microsoft peut mettre à jour régulièrement, mais sans ajouter d’exceptions pour les Services existants mis sur le marché de manière générale).
- Microsoft Defender for Cloud Apps. Si le Client provisionne son tenant aux États-Unis ou dans l’Union Européenne, Microsoft entreposera les Données Client au repos uniquement dans cette Zone sauf comme décrit dans le Centre de Gestion de la Confidentialité de Microsoft Defender for Cloud Apps.
- Microsoft Dynamics 365 Core Services. Lorsque le Client provisionne un Dynamics 365 Core Service à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est décrit dans le Microsoft Dynamics 365 Trust Center.
- Services Microsoft Defender pour point de terminaison. Lorsque le Client provisionne un tenant Microsoft Defender pour point de terminaison à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est spécifié dans le Centre de Gestion de la Confidentialité Microsoft Defender pour point de terminaison.
- Microsoft Defender pour Identity. Lorsque le Client provisionne un tenant Microsoft Defender pour Identity à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est spécifié dans le Centre de Gestion de la Confidentialité Microsoft Defender pour Identity.
- Microsoft Defender XDR. Lorsque le Client provisionne un tenant Microsoft Defender XDR à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est spécifié dans le Centre de Gestion de la Confidentialité Microsoft Defender XDR.
- Windows 365. Lorsqu’un tenant Windows 365 est déployé dans une zone géographique disponible, alors, pour ce tenant, Microsoft stocke les données client au repos dans cette zone géographique spécifiée. Si le Client fournit des PC Cloud Windows 365 au sein du même tenant à différents zones géographique disponibles, alors, pour chaque PC Cloud, Microsoft stockera les Données Client PC Cloud au repos dans cette zone géographique spécifiée.
Services de Limite de Données de l’UE
Le terme « Limite de Données de l’UE » désigne les ordinateurs, l’environnement informatique et les centres de données physiques Microsoft situés uniquement au sein de l’Union européenne (UE) et de l’Association européenne de libre-échange (AELE). Le terme « Services de Limite de Données de l’UE » s’applique uniquement aux Services en Ligne du tableau ci-dessous, à l’exclusion de toute Évaluation.
Services de Limite de Données de l’UE | |
---|---|
Azure | Services Azure qui permettent le déploiement dans une région au sein de la Limite de Données de l’UE et les services non régionaux suivants : Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service sur Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
Microsoft 365 | Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (sur SharePoint), Microsoft Teams, Microsoft To-Do, Office sur le web, Services en Ligne fournis dans le cadre de Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Communications Compliance, eDiscovery et Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales et Microsoft Viva Topics |
Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power pages, Microsoft Copilot Studio |
Emplacement des Données Client pour les Services de Limite de Données de l’UE
Pour les Services de Limite de Données de l’UE, Microsoft stockera et traitera les Données Client et les Données à Caractère Personnel dans la Limite de Données de l’UE comme détaillé ci-dessous.
Le Client doit configurer les Services de Limite de Données de l’UE comme suit :
- Pour Azure, le Client doit déployer le service dans une région Azure située dans la Limite de Données de l’UE. Consultez Résidence des données dans Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) pour plus d’informations. Pour les services qui ne permettent pas le déploiement dans une région Azure spécifiée, le Client doit suivre les instructions de la section Configuration des services Azure non-régionaux pour la limite de données de l'UE (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Pour Dynamics 365 et Power Platform, si le Client provisionne un tenant avec une adresse de facturation dans l’UE ou l’AELE, ce tenant entrera dans le champ d’application de la Limite de Données de l’UE si ce Client crée également tous ses environnements au sein d’une zone géographique située dans la Limite de Données de l’UE.
- Pour Microsoft 365, si le Client provisionne un tenant dans l'UE ou l'AELE, ce tenant entrera dans le champ d'application de la limite de données de l'UE, à l'exception des tenants pour lesquels le client a également a acheté le module complémentaire Microsoft 365 Multi-Geo Capabilities qui permet aux clients d'étendre la présence des tenants Microsoft 365 à plusieurs régions géographiques ou pays (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
L’utilisation des Services de Limite de Données de l’UE peut entraîner des transferts limités de Données Client ou Données à Caractère Personnel en dehors de la Limite de Données de l’UE, comme indiqué ci-dessous et plus en détail dans la documentation sur la transparence pour la Limite de Données de l’UE disponible à l’adresse https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn ou une adresse ultérieure. De tels transferts seront effectués conformément à l’Addendum sur la Protection des Données et aux Conditions relatives aux Produits.
- Accès à distance. Le personnel de Microsoft situé en dehors de la Limite de Données de l’UE peut accéder à distance aux systèmes de traitement des données dans la Limite de Données de l’UE selon les besoins pour exploiter, dépanner et sécuriser les Services de Limite de Données de l’UE.
- Transferts initiés par le Client. Les Clients peuvent initier des transferts en dehors de la Limite de Données de l’UE, par exemple en accédant aux Services de Limite de Données de l’UE à partir d’emplacements en dehors de la Limite de Données de l’UE, en envoyant un e-mail à un destinataire situé en dehors de la Limite de Données de l’UE ou en utilisant les Services de Limite de Données de l’UE en combinaison avec d’autres services en dehors de la Limite de Données de l’UE.
- Protection des Clients. Microsoft transfère des données limitées en dehors de la Limite de Données de l’UE si nécessaire pour détecter contre les menaces de sécurité et protéger les Clients.
- Données d’annuaire. Microsoft peut répliquer des données d’annuaire Microsoft Entra limitées de Microsoft Entra ID (y compris le nom d’utilisateur et l’adresse e-mail) en dehors de la Limite de Données de l’UE pour fournir le service.
- Transit réseau. Pour réduire la latence de routage et maintenir la résilience du routage, Microsoft utilise des chemins réseau variables qui peuvent occasionnellement entraîner le transit de données en dehors de la Limite de Données de l’UE.
- Qualité et gestion des services et des plateformes. Lorsque cela est nécessaire pour surveiller et maintenir la qualité du service ou pour garantir l'exactitude des mesures statistiques de l'utilisation ou des performances du service, les Données à Caractère Personnel pseudonymisées peuvent être transférées en dehors de la Limite de Données de l’UE.
- Transferts spécifiques à un service. Consultez la documentation sur la transparence référencée ci-dessus pour obtenir des informations sur les transferts applicables à des Services de Limite de Données de l’UE spécifiques.