3. aOS Luxembourg
4 décembre 2017
Données personnelles
• Nom
• Numéro d’identification (ID)
• Adresse email
• Identifiant utilisateur (UID)
• Emplacement
• Détails bancaires
• Adresse IP
• Cookies
• Messages sur les médias sociaux
• Informations génétiques, physiologiques ou physiques
• Informations médicales
4. aOS Luxembourg
4 décembre 2017
Sources de contenus dans O365
OneDrive Groups
Teams YammerPlanner
SHAREPOINT EXCHANGE
5. aOS Luxembourg
4 décembre 2017
Speaker presentation
France
Enterprise Solutions
Architect
SPT Conseil
Speaker on
#DMS, #Archiving,
#SharePoint,
#Scrum, #Lean,
#Ergonomy
@SP_twit
Blog
https://sppublish.wordpress.com
7. aOS Luxembourg
4 décembre 2017
Responsabilité
Gouvernance des données
et gestion des droits
Responsabilité
SharePoint
Online Hybride
Azure/
IaaS Localement
Points de terminaison
clients
Gestion des comptes et
des accès
Infrastructure d identités
et d annuaires
Contrôles réseau
Applications
Système d exploitation
Réseau physique
Centre de données
physique
ClientMicrosoft
Hôtes physiques
8. aOS Luxembourg
4 décembre 2017
Engagement contractuel
• Engagement depuis 2014
• Dans les conditions d'utilisation :
"Microsoft s’engage envers l’ensemble de ses clients à appliquer les
Conditions du GDPR à compter du 25 mai 2018. " + une annexe dédiée
• Revu et approuvé par le G29
10. aOS Luxembourg
4 décembre 2017
Obligation du responsable des
traitements
Article 5 - les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que
celui-ci est respecté (responsabilité).
TRANSPARENCE
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement
d'une manière incompatible avec ces finalités […];
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles
sont traitées (minimisation des données);
FINALITE
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les
données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées,
soient effacées ou rectifiées sans tarder (exactitude);
MAJ / EXPORT /
SUPPRESSION
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée
n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées[…];
DUREE DE
RETENTION
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la
protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts
d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et
confidentialité);
SECURITE
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté,
transparence
12. aOS Luxembourg
4 décembre 2017
Transparence
• New! : Disclamer pour les utilisateurs extérieurs
• New! : Multi geo
capability
• New! : Yammer et les
index du moteur de
recherche seront eux aussi
geo localisés.
• New! : Data center FR
Q2 2018
14. aOS Luxembourg
4 décembre 2017
Identifier les contenus personnels
• Faites l’inventaire des données personnelles pouvant apparaitre
-> Registre des traitements
15. aOS Luxembourg
4 décembre 2017
Comment avaler un éléphant?
Une bouchée après l’autre …
Risque
Facilité
16. aOS Luxembourg
4 décembre 2017
Classer – mise en place d’une politique
de gouvernance
• Définissez des catégories pour vos:
• Teams
• Groups
• Yammer
• SharePoint
• OneDrive / Mailboxes
afin de mieux pouvoir les organiser
• New! : nouvelle centrale d’administration SharePoint online avec
possibilité d’ajouter des colonnes sur la liste des collections de sites
17. aOS Luxembourg
4 décembre 2017
Classer – Plan de classement
SharePoint
• Les documents sont la trace d’un process métier
-> Le plan de classement est le reflet de l’organisation du process
métier
18. aOS Luxembourg
4 décembre 2017
Classer – Plan de classement
SharePoint
• Les premiers niveaux « invariants » sont des sous sites ou
des bibliothèques.
• Les classements sur des process mûrs se font avec des
métadonnées
• Pour les « cases management », pensez aux documents sets
• Pour les process moins formels, dossiers/sous dossiers
19. aOS Luxembourg
4 décembre 2017
Classification transverse – Labels /
Etiquettes
• Définissez « Typologie » de contenus transverse à l’entreprise.
• 1 seule par contenu
• Gestion : « Sécurité et conformité »
> « Classifications » > « Etiquettes » > … >
« Publier les étiquettes »
• Peut être appliquée manuellement par
l’utilisateur final depuis les programmes clients
ou les interfaces web
• Rapport disponibles
20. aOS Luxembourg
4 décembre 2017
Détecter – Labels / Etiquettes
automatiques
• Application automatique des Etiquettes sur les contenus sensibles
dans Exchange Online, SharePoint Online, and OneDrive for Business.
• Gestion : « Sécurité et conformité »
> « Classifications » > « Stratégies
d’étiquettes » > « Appliquer
automatiquement une étiquette »
21. aOS Luxembourg
4 décembre 2017
Détecter – Protection contre la perte des
données - Data Loss Prevention Policies
• Application de comportements en fonction des étiquettes
• Exemple : Possibilité de bloquer ou alerter
lors de l’accès ou du partage
• Rapports disponibles
23. aOS Luxembourg
4 décembre 2017
Records Management - Retention
policies
• Durée de rétention par bibliothèque ou par content type ou par
étiquette dans SharePoint
• Formule : « XX année/mois/semaine/jours après [métadonnées] »
alors supprimer/déclarer comme enregistrement
• New! : Arrivée annoncée de rétentions basées sur événements
29. aOS Luxembourg
4 décembre 2017
IRM
• New! : arrivée d’IRM sur O365 (déjà dispo en onPrem)
• Faire porter les permissions définies au
niveau de SharePoint sur le document ou
d’Exchange sur le mail.
• Système de clef publique/clef privé et
un encryptage des documents à la
volée (chiffrement AES avec clefs 128
et 256 bits pour les documents)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-
explore/how-does-it-work
30. aOS Luxembourg
4 décembre 2017
SECURITY SCORE
• Bonnes pratiques pour sécuriser votre tenant.
• Accessible sur https://securescore.office.com/
32. aOS Luxembourg
4 décembre 2017
COMPLIANCE MANAGER
• Normes supportées par Microsoft (GDPR, ISO, etc.)
• Critères et actions faites par Microsoft
• Critères et actions à faire coté client
• Informations à saisir directement,
gestion des tâches, mini workflow
• New! : En beta, disponibilité générale
Q1 2018.
https://servicetrust.microsoft.com/ComplianceManager
34. aOS Luxembourg
4 décembre 2017
Conclusion…
• Nombreux outils déjà présents ou à venir pour répondre à la
réglementation
• Tout ne reposera pas sur le sous traitant
• Critère fort de différentiation avec la concurrence pour Microsoft
• Concerne aussi Azure et SQL
• N’oubliez pas le facteur humain…