Quels sont les outils et bonnes pratiques pour se conformer au RGPD quand on utilise la suite O365? Présentation utilisée lors de l'aOS Papeete le 06/03/2019
7. RGPD
Règlement Général sur la Protection des Données
Porte sur la protection des personnes physiques à l’égard du traitement des
données à caractère personnel, considérée comme un droit fondamental
Entrée en vigueur le 25 mai 2018 pour les citoyens européens
Sanctions administratives allant jusqu’à 10M€/2% CA mondial voire 20M€/4% CA
mondial suivant l’infraction (art. 83)
Sanction pénales déjà prévues en droit français allant jusqu’à 300K€ et 5 ans de
prison.
#aOSPapeete - @SP_Twit
8. Données personnelles
Exemples :
• Nom
• Numéro d’identification (ID)
• Adresse email
• Identifiant utilisateur (UID)
• Emplacement
• Détails bancaires
• Adresse IP
• Opinion politiques, religieuses, données éthniques, activitées syndicales ++
• Cookies
• Messages sur les médias sociaux
• Informations génétiques, physiologiques ou physiques
• Informations médicales
#aOSPapeete - @SP_Twit
9. Sources de contenus dans O365
SHAREPOINT
Teams
OneDrive
Yammer
Groups
Planner
EXCHANGE
#aOSPapeete - @SP_Twit
11. Responsabilité
Gouvernance des données
et gestion des droits
Responsabilité
SharePoint
Online Hybride
Azure/
IaaS Localement
Points de terminaison
clients
Gestion des comptes et
des accès
Infrastructure d identités
et d annuaires
Contrôles réseau
Applications
Système d exploitation
Réseau physique
Centre de données
physique
ClientMicrosoft
Hôtes physiques
#aOSPapeete - @SP_Twit
12. Engagement contractuel
• Engagement depuis 2014
• Dans les conditions d'utilisation :
"Microsoft s’engage envers l’ensemble de ses clients à appliquer les
Conditions du GDPR à compter du 25 mai 2018. " + une annexe
dédiée
• Revu et approuvé par le G29
#aOSPapeete - @SP_Twit
14. Obligation du responsable des traitements
Article 5 - les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure
de démontrer que celui-ci
TRANSPARENCE
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces
finalités […];
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
FINALITE
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont
inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
MAJ / EXPORT /
SUPPRESSION
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des
finalités pour lesquelles elles sont traitées[…];
DUREE DE
RETENTION
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé
ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées
(intégrité et confidentialité);
SECURITE
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)
#aOSPapeete - @SP_Twit
15. Démarche RGPD sur O365
MISE EN CONFORMITÉ DES PROCESSUS MÉTIERS
MISE EN CONFORMITÉ DE LA SÉCURITÉ
PROCESSUS
QUALITÉ
#aOSPapeete - @SP_Twit
17. Transparence – Disclaimer for external
user
• Disclamer pour les utilisateurs extérieurs (Azure AD Premium)
#aOSPapeete - @SP_Twit
18. Localisation
• Multi geo capability
(5000 users min.
2$/users/mmois)
• Yammer et les
index du moteur de
recherche seront eux
aussi geo localisés.
• Data center FR
#aOSPapeete - @SP_Twit
19.
20. Où sont les miennes
• Tenant administration > Paramètres > Profil de l’organisation
• Connect-MsolService
• (Get-MsolCompanyInformation).AuthorizedServiceInstances
#aOSPapeete - @SP_Twit
22. Identifier les contenus personnels
• Faites l’inventaire des données personnelles pouvant apparaitre
-> Registre des traitements (si >250 employés ou si traitement
particulier)
#aOSPapeete - @SP_Twit
23. Comment avaler un éléphant?
Une bouchée après l’autre …
Risque
Facilité
#aOSPapeete - @SP_Twit
24. Classer – mise en place d’une politique de
gouvernance
• Définissez des catégories pour vos:
• Teams
• Groups
• Yammer
• SharePoint > Révision des plans de classement
• OneDrive / Mailboxes
afin de mieux pouvoir les organiser
• Nouvelle centrale d’administration SharePoint online avec possibilité
de gérer les Teams/Groups et l’option de partage avec les utilisateurs
externes
#aOSPapeete - @SP_Twit
25. Détecter – Labels / Les Etiquettes unifiées
• Définir les « typologies » de contenus transverses à l’entreprise.
1 seule par contenu
Interface d’administration :
Sécurité et conformité | Classifications |
Etiquettes | Publier les étiquettes
Peut être appliquée manuellement par
l’utilisateur final depuis les programmes
clients ou les interfaces web
Rapport disponibles
#aOSPapeete - @SP_Twit
26. IRM – Information Right Management
• IRM sur O365 (à partir de licence E3)
• Faire porter les permissions définies au
niveau de SharePoint sur le document.
• Système de clef publique/clef privé et
un chiffrement des documents à la
volée (clés publiques RSA 2048 bits, et
SHA-256 pour les signtaures)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work
#aOSPapeete - @SP_Twit
28. Détecter – Labels / Etiquettes
automatiques
• Application automatique des Etiquettes sur les contenus sensibles
dans Exchange Online, SharePoint Online, Teams and OneDrive for
Business.
• Gestion : « Sécurité et conformité »
> « Classifications » > « Stratégies
d’étiquettes » > « Appliquer
automatiquement une étiquette »
#aOSPapeete - @SP_Twit
29. Détecter – Protection contre la perte des
données - Data Loss Prevention Policies
• Application de comportements en fonction des étiquettes
• Exemple : Possibilité de bloquer ou alerter
lors de l’accès ou du partage
• Rapports disponibles
#aOSPapeete - @SP_Twit
31. Records Management - Retention policies
• Durée de rétention par bibliothèque ou par content type dans
SharePoint, par étiquette au niveau d’O365
• Possibilité d’associer une rétention policy à un etiquette :
« XX année/mois/semaine/jours après [métadonnées] » alors
supprimer/déclarer comme enregistrement
• Arrivée annoncée de rétentions basées sur événements (gestion dans
la centrale admin O365)
#aOSPapeete - @SP_Twit
42. COMPLIANCE MANAGER / Gestionnaire de
conformité
• Normes supportées par Microsoft (GDPR, ISO, etc.)
• Critères et actions à faire coté client
• Informations à saisir directement.
https://servicetrust.microsoft.com/ComplianceManager
#aOSPapeete - @SP_Twit