3. aOS Nouméa
28 février 2019
Présentation du conférencier
France
Architecte Solutions
d’Entreprise
SPT Conseil
Conférencier sur
#GED, #Archivage,
#SharePoint,
#Scrum, #Lean,
#Ergonomie
@SP_twit
Blog
https://sppublish.wordpress.com
6. aOS Nouméa
28 février 2019
RGPD
Règlement Général sur la Protection des Données
Porte sur la protection des personnes physiques à l’égard du traitement des
données à caractère personnel, considérée comme un droit fondamental
Entrée en vigueur le 25 mai 2018 pour les citoyens européens, prévu Juin 2019
pour la Nouvelle Calédonie
Sanctions administratives allant jusqu’à 10M€/2% CA mondial voire 20M€/4% CA
mondial suivant l’infraction (art. 83)
Sanction pénales déjà prévues en droit français allant jusqu’à 300K€ et 5 ans de
prison.
7. aOS Nouméa
28 février 2019
Données personnelles
Exemples :
• Nom
• Numéro d’identification (ID)
• Adresse email
• Identifiant utilisateur (UID)
• Emplacement
• Détails bancaires
• Adresse IP
• Opinion politiques, religieuses, données éthniques, activitées syndicales ++
• Cookies
• Messages sur les médias sociaux
• Informations génétiques, physiologiques ou physiques
• Informations médicales
8. aOS Nouméa
28 février 2019
Sources de contenus dans O365
SHAREPOINT
Teams
OneDrive
Yammer
Groups
Planner
EXCHANGE
9. aOS Nouméa
28 février 2019
aOS Nouméa
28 février 2019
Cloud – Microsoft Sous Traitant de vos
données
10. aOS Nouméa
28 février 2019
Responsabilité
Gouvernance des données
et gestion des droits
Responsabilité
SharePoint
Online Hybride
Azure/
IaaS Localement
Points de terminaison
clients
Gestion des comptes et
des accès
Infrastructure d identités
et d annuaires
Contrôles réseau
Applications
Système d exploitation
Réseau physique
Centre de données
physique
ClientMicrosoft
Hôtes physiques
11. aOS Nouméa
28 février 2019
Engagement contractuel
• Engagement depuis 2014
• Dans les conditions d'utilisation :
"Microsoft s’engage envers l’ensemble de ses clients à appliquer les
Conditions du GDPR à compter du 25 mai 2018. " + une annexe
dédiée
• Revu et approuvé par le G29
13. aOS Nouméa
28 février 2019
Obligation du responsable des
traitements
Article 5 - les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est
en mesure de démontrer que celui-ci
TRANSPARENCE
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces
finalités […];
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
FINALITE
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont
inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
MAJ / EXPORT /
SUPPRESSION
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des
finalités pour lesquelles elles sont traitées[…]; DUREE DE RETENTION
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou
illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité
et confidentialité);
SECURITE
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)
14. aOS Nouméa
28 février 2019
Démarche RGPD sur O365
MISE EN CONFORMITÉ DES PROCESSUS MÉTIERS
MISE EN CONFORMITÉ DE LA SÉCURITÉ
PROCESSUS
QUALITÉ
16. aOS Nouméa
28 février 2019
Transparence – Disclaimer for external
user
• Disclamer pour les utilisateurs extérieurs (Azure AD Premium)
17. aOS Nouméa
28 février 2019
Localisation
• Multi geo capability
(5000 users min.
2$/users/mmois)
• Yammer et les
index du moteur de
recherche seront eux
aussi geo localisés.
• Data center FR
19. aOS Nouméa
28 février 2019
Où sont les miennes
• Tenant administration > Paramètres > Profil de l’organisation
• Connect-MsolService
• (Get-MsolCompanyInformation).AuthorizedServiceInstances
21. aOS Nouméa
28 février 2019
Identifier les contenus personnels
• Faites l’inventaire des données personnelles pouvant apparaitre
-> Registre des traitements (si >250 employés ou si traitement
particulier)
22. aOS Nouméa
28 février 2019
Comment avaler un éléphant?
Une bouchée après l’autre …
Risque
Facilité
23. aOS Nouméa
28 février 2019
Classer – mise en place d’une politique
de gouvernance
• Définissez des catégories pour vos:
• Teams
• Groups
• Yammer
• SharePoint > Révision des plans de classement
• OneDrive / Mailboxes
afin de mieux pouvoir les organiser
• Nouvelle centrale d’administration SharePoint online avec possibilité
de gérer les Teams/Groups et l’option de partage avec les utilisateurs
externes
24. aOS Nouméa
28 février 2019
Détecter – Labels / Les Etiquettes
unifiées
• Définir les « typologies » de contenus transverses à l’entreprise.
1 seule par contenu
Interface d’administration :
Sécurité et conformité | Classifications |
Etiquettes | Publier les étiquettes
Peut être appliquée manuellement par
l’utilisateur final depuis les programmes
clients ou les interfaces web
Rapport disponibles
25. aOS Nouméa
28 février 2019
IRM – Information Right Management
• IRM sur O365 (à partir de licence E3)
• Faire porter les permissions définies au
niveau de SharePoint sur le document.
• Système de clef publique/clef privé et
un chiffrement des documents à la
volée (clés publiques RSA 2048 bits, et
SHA-256 pour les signtaures)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-
work
27. aOS Nouméa
28 février 2019
Détecter – Labels / Etiquettes
automatiques
• Application automatique des Etiquettes sur les contenus sensibles
dans Exchange Online, SharePoint Online, Teams and OneDrive for
Business.
• Gestion : « Sécurité et conformité »
> « Classifications » > « Stratégies
d’étiquettes » > « Appliquer
automatiquement une étiquette »
28. aOS Nouméa
28 février 2019
Détecter – Protection contre la perte des
données - Data Loss Prevention Policies
• Application de comportements en fonction des étiquettes
• Exemple : Possibilité de bloquer ou alerter
lors de l’accès ou du partage
• Rapports disponibles
30. aOS Nouméa
28 février 2019
Records Management - Retention
policies
• Durée de rétention par bibliothèque ou par content type dans
SharePoint, par étiquette au niveau d’O365
• Possibilité d’associer une rétention policy à un etiquette :
« XX année/mois/semaine/jours après [métadonnées] » alors
supprimer/déclarer comme enregistrement
• Arrivée annoncée de rétentions basées sur événements (gestion dans
la centrale admin O365)
41. aOS Nouméa
28 février 2019
COMPLIANCE MANAGER /
Gestionnaire de conformité
• Normes supportées par Microsoft (GDPR, ISO, etc.)
• Critères et actions à faire coté client
• Informations à saisir directement.
https://servicetrust.microsoft.com/ComplianceManager