1. aOS Réunion
26 Octobre 2017
RGPD : Comment O365 va vous aider?
@SP_twit – Sébastien Paulet – SPT Conseil
2. aOS Maurice & Réunion
24 et 26 Octobre 2017
Speaker presentation
France
Enterprise Solutions
Architect
SPT Conseil
Speaker on
#DMS, #Archiving,
#SharePoint,
#Scrum, #Lean,
#Ergonomy
@SP_twit
Blog
https://sppublish.wordpress.com
3. aOS Maurice & Réunion
24 et 26 Octobre 2017
Agenda
GDPRISCOMING
25MAI2018
4. aOS Maurice & Réunion
24 et 26 Octobre 2017
Données personnelles
• Nom
• Numéro d’identification (ID)
• Adresse email
• Identifiant utilisateur (UID)
• Emplacement
• Détails bancaires
• Adresse IP
• Cookies
• Messages sur les médias sociaux
• Informations génétiques, physiologiques ou physiques
• Informations médicales
5. aOS Maurice & Réunion
24 et 26 Octobre 2017
Sources de contenus dans O365
SHAREPOINT
Teams
OneDrive
Yammer
Groups
Planner
EXCHANGE
6. aOS Maurice & Réunion
24/26 Octobre 2017
Cloud – Microsoft sous-traitant de vos données
7. aOS Maurice & Réunion
24 et 26 Octobre 2017
Engagement contractuel
• Engagement depuis 2014
• Dans les conditions d'utilisation :
"Microsoft s’engage envers l’ensemble de ses clients à appliquer les
Conditions du GDPR à compter du 25 mai 2018. " + une annexe dédiée
• Revu et approuvé par le G29
8. aOS Maurice & Réunion
24 et 26 Octobre 2017
Responsabilité
Gouvernance des données
et gestion des droits
Responsabilité
SharePoint
Online Hybride
Azure/
IaaS Localement
Points de terminaison
clients
Gestion des comptes et
des accès
Infrastructure d identités
et d annuaires
Contrôles réseau
Applications
Système d exploitation
Réseau physique
Centre de données
physique
ClientMicrosoft
Hôtes physiques
9. aOS Maurice & Réunion
24/26 Octobre 2017
Vos obligations
10. aOS Maurice & Réunion
24 et 26 Octobre 2017
Obligation du responsable des
traitements
Article 5 - les données à caractère personnel doivent être :
• a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
-> TRANSPARENCE
• b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible
avec ces finalités […];
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des
données);
-> FINALITE
• d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel
qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
-> MAJ/EXPORT/SUPPRESSION
• e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au
regard des finalités pour lesquelles elles sont traitées[…];
-> DUREE DE RETENTION
• f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non
autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou
organisationnelles appropriées (intégrité et confidentialité);
-> SECURITE
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté
(responsabilité).
11. aOS Maurice & Réunion
24/26 Octobre 2017
Vos obligations - Transparence
12. aOS Maurice & Réunion
24 et 26 Octobre 2017
Transparence
• New! : Disclamer pour les utilisateurs extérieurs
• New! : Multi geo
capability
• New! : Yammer et les
index du moteur de
recherche seront eux aussi
geo localisés.
• New! : Data center FR
Q2 2018
13. aOS Maurice & Réunion
24/26 Octobre 2017
Vos obligations - FINALITE
14. aOS Maurice & Réunion
24 et 26 Octobre 2017
Identifier les contenus personnels
• Faites l’inventaire des données personnelles pouvant apparaitre
-> Registre des traitements (si >250 employés ou si traitement
particulier)
15. aOS Maurice & Réunion
24 et 26 Octobre 2017
Comment avaler un éléphant?
Une bouchée après l’autre …
Risque
Facilité
16. aOS Maurice & Réunion
24 et 26 Octobre 2017
Classer – mise en place d’une politique
de gouvernance
• Définissez des catégories pour vos:
• Teams
• Groups
• Yammer
• SharePoint
• OneDrive / Mailboxes
afin de mieux pouvoir les organiser
• New! : nouvelle centrale d’administration SharePoint online avec
possibilité d’ajouter des colonnes sur la liste des collections de sites
17. aOS Maurice & Réunion
24 et 26 Octobre 2017
Classer – Plan de classement
SharePoint
• Les documents sont la trace d’un process métier
-> Le plan de classement est le reflet de l’organisation du process
métier
18. aOS Maurice & Réunion
24 et 26 Octobre 2017
Classer – Plan de classement
SharePoint
• Les premiers niveaux « invariants » sont des sous sites ou
des bibliothèques.
• Les classements sur des process mûrs se font avec des
métadonnées
• Pour les « cases management », pensez aux documents sets
• Pour les process moins formels, dossiers/sous dossiers
19. aOS Maurice & Réunion
24 et 26 Octobre 2017
Détecter – Labels / Etiquettes
• Définissez « Typologie » de contenus transverse à l’entreprise.
• 1 seule par contenu
• Gestion : « Sécurité et conformité »
> « Classifications » > « Etiquettes » > … >
« Publier les étiquettes »
• Peut être appliquée manuellement par
l’utilisateur final depuis les programmes clients
ou les interfaces web
• Rapport disponibles
20. aOS Maurice & Réunion
24 et 26 Octobre 2017
Détecter – Labels / Etiquettes
automatiques
• Application automatique des Etiquettes sur les contenus sensibles
dans Exchange Online, SharePoint Online, and OneDrive for Business.
• Gestion : « Sécurité et conformité »
> « Classifications » > « Stratégies
d’étiquettes » > « Appliquer
automatiquement une étiquette »
21. aOS Maurice & Réunion
24 et 26 Octobre 2017
Détecter – Protection contre la perte des
données - Data Loss Prevention Policies
• Application de comportements en fonction des étiquettes
• Exemple : Possibilité de bloquer ou alerter
lors de l’accès ou du partage
• Rapports disponibles
22. aOS Maurice & Réunion
24/26 Octobre 2017
Vos obligations - RETENTION
23. aOS Maurice & Réunion
24 et 26 Octobre 2017
Records Management - Retention
policies
• Durée de rétention par bibliothèque ou par content type dans
SharePoint
• Possibilité d’associer une rétention policy à un etiquette :
« XX année/mois/semaine/jours après [métadonnées] » alors
supprimer/déclarer comme enregistrement
• New! : Arrivée annoncée de rétentions basées sur événements
24. aOS Maurice & Réunion
24/26 Octobre 2017
Vos obligations -
MAJ/EXPORT/SUPPRESSION
25. aOS Maurice & Réunion
24 et 26 Octobre 2017
eDiscovery
• Recherche cross boites mails/SharePoints
• Possibilité :
• D’exporter
• Geler
• Suspendre les périodes
de rétention
• New! : eDiscovery
sur messages Yammer
26. aOS Maurice & Réunion
24/26 Octobre 2017
Vos obligations - SECURITE
27. aOS Maurice & Réunion
24 et 26 Octobre 2017
Gestion des menaces
29. aOS Maurice & Réunion
24 et 26 Octobre 2017
IRM
• New! : arrivée d’IRM sur O365 (déjà dispo en onPrem)
• Faire porter les permissions définies au
niveau de SharePoint sur le document.
• Système de clef publique/clef privé et
un encryptage des documents à la
volée (chiffrement AES avec clefs 128
et 256 bits pour les documents)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-
explore/how-does-it-work
30. aOS Maurice & Réunion
24 et 26 Octobre 2017
SECURITY SCORE
• Bonnes pratiques pour sécuriser votre tenant.
• Accessible sur https://securescore.office.com/
31. aOS Maurice & Réunion
24/26 Octobre 2017
Au delà – Obligation d’assistance
32. aOS Maurice & Réunion
24 et 26 Octobre 2017
COMPLIANCE MANAGER
• Normes supportées par Microsoft (GDPR, ISO, etc.)
• Critères et actions à faire coté client
• Informations à saisir directement.
• New! : Disponibilité générale Q1 2018.
34. aOS Maurice & Réunion
24 et 26 Octobre 2017
Conclusion…
• Nombreux outils déjà présents ou a venir pour répondre à la loi
• Tout ne reposera pas sur le sous traitant
• Critère fort de différentiation avec la concurrence pour Microsoft
• Concerne aussi Azure et SQL
• N’oubliez pas le facteur humain…
35. aOS Maurice & Réunion
24/26 Octobre 2017
Thanks to our sponsors!
Merci à nos sponsors
Platinum