Quels sont les outils et bonnes pratiques pour se conformer au RGPD quand on utilise la suite O365? Présentation utilisée lors de l'aOS Papeete le 06/03/2019

1. 1
aOS Tahiti
06/03/2019

2. RGPD, Comment O365
peut vous aider
Sébastien Paulet
@SP_twit

3. MERCI A NOS SPONSORS
3

4. 4
France
Architecte Solutions
d’Entreprise
SPT Conseil
Conférencier sur
#GED, #Archivage,
#SharePoint,
#Scrum, #Lean,
#Ergonomie
@SP_twit
Blog
https://sppublish.wordpress.
com

6. 6
RGPD :
vocabulaire

7. RGPD
Règlement Général sur la Protection des Données
Porte sur la protection des personnes physiques à l’égard du traitement des
données à caractère personnel, considérée comme un droit fondamental
Entrée en vigueur le 25 mai 2018 pour les citoyens européens
Sanctions administratives allant jusqu’à 10M€/2% CA mondial voire 20M€/4% CA
mondial suivant l’infraction (art. 83)
Sanction pénales déjà prévues en droit français allant jusqu’à 300K€ et 5 ans de
prison.
#aOSPapeete - @SP_Twit

8. Données personnelles
Exemples :
• Nom
• Numéro d’identification (ID)
• Adresse email
• Identifiant utilisateur (UID)
• Emplacement
• Détails bancaires
• Adresse IP
• Opinion politiques, religieuses, données éthniques, activitées syndicales ++
• Cookies
• Messages sur les médias sociaux
• Informations génétiques, physiologiques ou physiques
• Informations médicales
#aOSPapeete - @SP_Twit

9. Sources de contenus dans O365
SHAREPOINT
Teams
OneDrive
Yammer
Groups
Planner
EXCHANGE
#aOSPapeete - @SP_Twit

10. 10
Cloud – Microsoft Sous
Traitant de vos données

11. Responsabilité
Gouvernance des données
et gestion des droits
Responsabilité
SharePoint
Online Hybride
Azure/
IaaS Localement
Points de terminaison
clients
Gestion des comptes et
des accès
Infrastructure d identités
et d annuaires
Contrôles réseau
Applications
Système d exploitation
Réseau physique
Centre de données
physique
ClientMicrosoft
Hôtes physiques
#aOSPapeete - @SP_Twit

12. Engagement contractuel
• Engagement depuis 2014
• Dans les conditions d'utilisation :
"Microsoft s’engage envers l’ensemble de ses clients à appliquer les
Conditions du GDPR à compter du 25 mai 2018. " + une annexe
dédiée
• Revu et approuvé par le G29
#aOSPapeete - @SP_Twit

13. 13
Obligation des entreprises

14. Obligation du responsable des traitements
Article 5 - les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure
de démontrer que celui-ci
TRANSPARENCE
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces
finalités […];
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
FINALITE
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont
inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
MAJ / EXPORT /
SUPPRESSION
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des
finalités pour lesquelles elles sont traitées[…];
DUREE DE
RETENTION
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé
ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées
(intégrité et confidentialité);
SECURITE
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)
#aOSPapeete - @SP_Twit

15. Démarche RGPD sur O365
MISE EN CONFORMITÉ DES PROCESSUS MÉTIERS
MISE EN CONFORMITÉ DE LA SÉCURITÉ
PROCESSUS
QUALITÉ
#aOSPapeete - @SP_Twit

16. 16
Obligation des entreprises

17. Transparence – Disclaimer for external
user
• Disclamer pour les utilisateurs extérieurs (Azure AD Premium)
#aOSPapeete - @SP_Twit

18. Localisation
• Multi geo capability
(5000 users min.
2$/users/mmois)
• Yammer et les
index du moteur de
recherche seront eux
aussi geo localisés.
• Data center FR
#aOSPapeete - @SP_Twit

20. Où sont les miennes
• Tenant administration > Paramètres > Profil de l’organisation
• Connect-MsolService
• (Get-MsolCompanyInformation).AuthorizedServiceInstances
#aOSPapeete - @SP_Twit

21. 21
Finalité

22. Identifier les contenus personnels
• Faites l’inventaire des données personnelles pouvant apparaitre
-> Registre des traitements (si >250 employés ou si traitement
particulier)
#aOSPapeete - @SP_Twit

23. Comment avaler un éléphant?
Une bouchée après l’autre …
Risque
Facilité
#aOSPapeete - @SP_Twit

24. Classer – mise en place d’une politique de
gouvernance
• Définissez des catégories pour vos:
• Teams
• Groups
• Yammer
• SharePoint > Révision des plans de classement
• OneDrive / Mailboxes
afin de mieux pouvoir les organiser
• Nouvelle centrale d’administration SharePoint online avec possibilité
de gérer les Teams/Groups et l’option de partage avec les utilisateurs
externes
#aOSPapeete - @SP_Twit

25. Détecter – Labels / Les Etiquettes unifiées
• Définir les « typologies » de contenus transverses à l’entreprise.
1 seule par contenu
Interface d’administration :
Sécurité et conformité | Classifications |
Etiquettes | Publier les étiquettes
Peut être appliquée manuellement par
l’utilisateur final depuis les programmes
clients ou les interfaces web
Rapport disponibles
#aOSPapeete - @SP_Twit

26. IRM – Information Right Management
• IRM sur O365 (à partir de licence E3)
• Faire porter les permissions définies au
niveau de SharePoint sur le document.
• Système de clef publique/clef privé et
un chiffrement des documents à la
volée (clés publiques RSA 2048 bits, et
SHA-256 pour les signtaures)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work
#aOSPapeete - @SP_Twit

27. Etiquettes unifiées avec IRM
#aOSPapeete - @SP_Twit

28. Détecter – Labels / Etiquettes
automatiques
• Application automatique des Etiquettes sur les contenus sensibles
dans Exchange Online, SharePoint Online, Teams and OneDrive for
Business.
• Gestion : « Sécurité et conformité »
> « Classifications » > « Stratégies
d’étiquettes » > « Appliquer
automatiquement une étiquette »
#aOSPapeete - @SP_Twit

29. Détecter – Protection contre la perte des
données - Data Loss Prevention Policies
• Application de comportements en fonction des étiquettes
• Exemple : Possibilité de bloquer ou alerter
lors de l’accès ou du partage
• Rapports disponibles
#aOSPapeete - @SP_Twit

30. 30
Rétention

31. Records Management - Retention policies
• Durée de rétention par bibliothèque ou par content type dans
SharePoint, par étiquette au niveau d’O365
• Possibilité d’associer une rétention policy à un etiquette :
« XX année/mois/semaine/jours après [métadonnées] » alors
supprimer/déclarer comme enregistrement
• Arrivée annoncée de rétentions basées sur événements (gestion dans
la centrale admin O365)
#aOSPapeete - @SP_Twit

32. 32
MAJ / Export / Suppression

33. DSR / DPC (Data Subject Request /
Demande Personne Concernée)
#aOSPapeete - @SP_Twit

34. eDiscovery
• Recherche cross boites mails / SharePoints / OneDrive
• Possibilité :
• D’exporter
• Geler
• Suspendre les périodes
de rétention
• New! : eDiscovery
sur messages Yammer
#aOSPapeete - @SP_Twit

35. 35
Sécurité

36. Authentification multifacteurs
#aOSPapeete - @SP_Twit

37. Gestion des menaces
#aOSPapeete - @SP_Twit

38. Audit
#aOSPapeete - @SP_Twit

39. Enterprise Mobility + Security
#aOSPapeete - @SP_Twit

40. Azure Security Center
• Détection des intrusions dans le SI
• RGPD : 72 heures pour reporter un incident
#aOSPapeete - @SP_Twit

41. 41
Obligation d’assistance

42. COMPLIANCE MANAGER / Gestionnaire de
conformité
• Normes supportées par Microsoft (GDPR, ISO, etc.)
• Critères et actions à faire coté client
• Informations à saisir directement.
https://servicetrust.microsoft.com/ComplianceManager
#aOSPapeete - @SP_Twit

43. 43
MERCI DE VOTRE ATTENTION !