Conditions de confidentialité et de sécurité
Dispositions générales
Les Conditions de Protection des Données Personnelles & de Sécurité étaient auparavant contenues dans l’Annexe 1 des Conditions des Services en Ligne.
L’Addendum relatif à la Protection des Données ou DPA (tel que défini dans le Glossaire) énonce les obligations des parties en ce qui concerne le traitement et la sécurité des Données Client, des Données des Services Professionnels et des Données à Caractère Personnel par les Produits. L’Addendum sur la Protection des Données peut être téléchargé via l’adresse https://aka.ms/DPA. En cas de conflit ou d’incohérence entre le DPA et toute autre condition du contrat de licence du Client (y compris les présentes conditions), le DPA prévaudra.
Services en Ligne exclus du DPA
Sauf indication contraire dans les Conditions Spécifiques au Produit, les conditions du DPA ne s’applique pas à : Plateforme Bing Maps Mobile Asset Management, Bing Maps Transactions and Users, Services Recherche Bing, Services Azure AI dans des conteneurs installés sur le matériel dédié du Client, Microsoft Copilot avec protection des données commerciales (auparavant Bing Chat Enterprise), Offres GitHub, LinkedIn Sales Navigator, Microsoft Defender pour IoT (excluant toute fonctionnalité connectée au Cloud), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, connexion de données Microsoft Graph pour fournisseurs de logiciels indépendants (ISV), Microsoft Genomics et Visual Studio App Center Test. Chacun de ces Services en Ligne est régi par les conditions concernant la protection des données à caractère personnel et la sécurité figurant dans les Conditions Spécifiques au Produit applicables.
Produits logiciels exclus du DPA
Sauf indication contraire dans les Conditions Spécifiques au Produit, les conditions du DPA ne s’applique pas à : Fonctionnalités Internet dans les Produits Logiciels, le Système d’Exploitation Windows Desktop, Windows Server et ces Produits Logiciels dans le cadre d’autres Produits. Chacun de ces Produits est régi par les conditions concernant la protection des données à caractère personnel et la sécurité figurant dans les Conditions Spécifiques au Produit applicables.
Produits Tiers
Des conditions distinctes, et notamment des conditions différentes concernant la protection des données à caractère personnel et la sécurité, régissent l’utilisation par le Client de Produits Non Fournis par Microsoft (tels que définis dans les Conditions Universelles de Licence applicables aux Services en Ligne).
Conditions du DPA Exclusions Géographiques
Pour les services en ligne Dynamics 365 et Power Platform, les conditions spécifiques du DPA, telles que notées dans l’annexe A et qui indiquent que « Microsoft stocke des copies des Données Client et des procédures de récupération de données dans un endroit différent de celui où se trouve l’équipement informatique principal traitant les Données Client », ne s’appliquent pas aux zones géographiques suivantes : Émirats arabes unis et Afrique du Sud.
Services en Ligne Core
Le terme « Services en Ligne Core » s’applique uniquement aux services du tableau ci-dessous, à l’exclusion de toute Évaluation.
| Services en Ligne | |
|---|---|
| Microsoft Dynamics 365 Core Services | Les services suivants, chacun en tant que service autonome ou inclus dans un plan ou une application Dynamics 365 : Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations et Dynamics 365 Sales. Dynamics 365 Core Services n’inclut pas (1) Dynamics 365 Services pour les dispositifs et logiciels pris en charge, ce qui inclut, sans s’y limiter, Dynamics 365 pour applications, tablettes, téléphones ou n’importe lequel de ces appareils ; (2) LinkedIn Sales Navigator ; ou (3) sauf définition expresse dans les conditions de licence du service correspondant, tout autre service commercialisé séparément mis à disposition avec ou connecté à Dynamics 365 Core Services. |
| Services Office 365 | Les services suivants, chacun en tant que service autonome ou inclus dans un plan ou une suite Office 365 : Cortana, Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender pour Office 365, Office pour le Web, OneDrive Entreprise, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise et Microsoft Copilot pour Microsoft 365. Les Services Office 365 n’incluent pas les applications Microsoft 365 pour les entreprises, aucune partie d’un service PSTN qui fonctionne hors du contrôle de Microsoft, ni aucun logiciel client ou service commercialisé séparément et disponible avec un plan ou une suite Office 365, comme un service Bing ou un service labellisé « pour Office 365 ». |
| Services de Conformité Microsoft 365 | Les services suivants, chacun en tant que service autonome ou inclus dans un plan ou une suite Microsoft 365 : Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, and Microsoft Purview Audit, Microsoft Priva Privacy Risk Management, et Microsoft Priva Subject Rights Request. |
| Microsoft Azure Core Services | Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, API Azure pour FHIR, Azure App Configuration, Azure AI Bot Service, Cache Azure pour Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database pour MySQL, Azure Database pour PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Pare-feu Azure, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classique), Media Services, Portail Microsoft Azure, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender pour le Cloud, Service Bus, Connecteur de Services, Service Fabric, Service Azure SignalR, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Stockage, StorSimple, Stream Analytics, Synapse Analytics, Analyse de texte, Traffic Manager, Azure AI Translator, Machines Virtuelles, Virtual Machine Scale Sets, Réseau Virtuel et Passerelle VPN. |
| Microsoft Defender for Cloud Apps | La partie service cloud de Microsoft Defender for Cloud Apps (anciennement Microsoft Cloud App Security). |
| Services en Ligne Microsoft Intune | La partie service cloud de Microsoft Intune. |
| Principaux Services de la Plateforme Microsoft Power | Les services suivants, chacun en tant que service autonome ou inclus dans un plan ou une suite Office 365 ou Microsoft Dynamics 365 : Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power pages et Microsoft Copilot Studio. Les principaux services de la Plateforme Microsoft Power excluent l’ensemble des logiciels client, y compris, sans s’y limiter, Power BI Report Server, les applications mobiles Power BI, PowerApps et les applications mobiles Microsoft Power Automate, Power BI Desktop et Power Apps Studio. |
| Services Microsoft Defender pour point de terminaison | La partie services cloud de Microsoft Defender pour point de terminaison. |
| Microsoft Defender pour Identity | La partie services cloud de Microsoft Defender pour Identity. |
| Microsoft Defender XDR | La partie service cloud de Microsoft Defender XDR. |
| Windows 365 | La partie service cloud de Windows 365, à l’exclusion du système d’exploitation Windows exécuté sur les PC Cloud Windows 365. |
Stratégies et Pratiques de Sécurité des Services en Ligne Core.
En plus des pratiques et stratégies de sécurité pour les Services en Ligne dans le DPA, chaque Service en Ligne Core respecte également les normes et les cadres de contrôle indiqués dans le tableau ci-dessous et met en œuvre et maintient les mesures de sécurité énoncées à l’Annexe A du DPA pour la protection des Données du Client.
| Service en Ligne | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
|---|---|---|
| Services Office 365 | Oui | Oui |
| Services de Conformité Microsoft 365 | Oui | Oui |
| Microsoft Dynamics 365 Core Services | Oui | Oui |
| Microsoft Azure Core Services | Varie* | Varie* |
| Microsoft Defender for Cloud Apps | Oui | Oui |
| Services en Ligne Microsoft Intune | Oui | Oui |
| Principaux Services de la Plateforme Microsoft Power | Oui | Oui |
| Services Microsoft Defender pour point de terminaison | Oui | Oui |
| Microsoft Defender pour Identity | Oui | Oui |
| Microsoft Defender XDR | Oui | Oui |
| Windows 365 | Oui | Oui |
*Le champ d’application actuel est détaillé dans le rapport d’audit et résumé dans le Centre de Gestion de la Confidentialité Microsoft.
Emplacement des Données Client au repos pour les Services en Ligne Core
Pour les Services en Ligne Core, Microsoft entreposera les Données Client au repos dans certaines zones géographiques majeures (chacune, étant une zone géographique) comme suit, sauf disposition contraire dans les conditions spécifiques du Service en Ligne :
- Services Office 365. Si le Client provisionne son tenant en Australie, au Brésil, au Canada, dans l’Union Européenne, en France, en Allemagne, en Inde, au Japon, en Norvège, au Qatar, en Afrique du Sud, en Corée du Sud, en Suède, en Suisse, au Royaume-Uni, aux Émirats arabes unis ou aux États-Unis, Microsoft entreposera les Données Client au repos suivantes uniquement dans cette Zone Géographique : (1) contenu de la messagerie Exchange Online (corps de l’e-mail, entrées de calendrier et contenu des pièces jointes des e-mails), (2) contenu du site SharePoint Online et fichiers stockés dans ce site, (3) fichiers téléchargés sur OneDrive Entreprise, (4) messages de discussion Microsoft Teams (y compris les messages privés, les messages de canal, les messages de réunion et les images utilisées dans les discussions) et pour les clients utilisant les enregistrements de réunion Microsoft Stream (Classic) (sur SharePoint), et (5) tout contenu stocké des interactions avec Microsoft Copilot pour Microsoft 365 dans la mesure non incluse dans les engagements précédents. Si le client achète un abonnement Advanced Data Residency, Microsoft stockera certaines données client au repos dans la zone géographique applicable conformément à cette section et à la section « Présentation de la résidence avancée des données et des engagements » de la documentation du produit à l’adresse https://aka.ms/adroverview.
- Services en Ligne Microsoft Intune. Lorsque le Client provisionne un compte tenant Microsoft Intune à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est spécifié dans le Centre de gestion de la confidentialité Microsoft Intune.
- Principaux Services de la Plateforme Microsoft Power. Lorsque le Client provisionne un Service Core de la Plateforme Power à déployer dans une Zone disponible, alors, pour ce service, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est décrit dans le Centre de Gestion de la Confidentialité de la Plateforme Microsoft Power.
- Microsoft Azure Core Services. Si le Client configure un service particulier à déployer dans une Zone, alors, dans le cadre de ce service, Microsoft entreposera les Données Client au repos dans la Zone spécifiée. Certains services sont susceptibles de ne pas permettre au Client de configurer le déploiement dans une Zone particulière ou en dehors des États-Unis et stocker des copies de sauvegarde à d’autres emplacements. Pour plus de détails, reportez-vous au Centre de Gestion de la Confidentialité Microsoft (que Microsoft peut mettre à jour régulièrement, mais sans ajouter d’exceptions pour les Services existants mis sur le marché de manière générale).
- Microsoft Defender for Cloud Apps. Si le Client provisionne son tenant aux États-Unis ou dans l’Union Européenne, Microsoft entreposera les Données Client au repos uniquement dans cette Zone sauf comme décrit dans le Centre de Gestion de la Confidentialité de Microsoft Defender for Cloud Apps.
- Microsoft Dynamics 365 Core Services. Lorsque le Client provisionne un Dynamics 365 Core Service à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est décrit dans le Microsoft Dynamics 365 Trust Center.
- Services Microsoft Defender pour point de terminaison. Lorsque le Client provisionne un tenant Microsoft Defender pour point de terminaison à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est spécifié dans le Centre de Gestion de la Confidentialité Microsoft Defender pour point de terminaison.
- Microsoft Defender pour Identity. Lorsque le Client provisionne un tenant Microsoft Defender pour Identity à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est spécifié dans le Centre de Gestion de la Confidentialité Microsoft Defender pour Identity.
- Microsoft Defender XDR. Lorsque le Client provisionne un tenant Microsoft Defender XDR à déployer dans une Zone disponible, Microsoft entreposera les Données Client au repos dans cette Zone spécifiée, à l’exception de ce qui est spécifié dans le Centre de Gestion de la Confidentialité Microsoft Defender XDR.
- Windows 365. Lorsqu’un tenant Windows 365 est déployé dans une zone géographique disponible, alors, pour ce tenant, Microsoft stocke les données client au repos dans cette zone géographique spécifiée. Si le Client fournit des PC Cloud Windows 365 au sein du même tenant à différents zones géographique disponibles, alors, pour chaque PC Cloud, Microsoft stockera les Données Client PC Cloud au repos dans cette zone géographique spécifiée.
Services de Limite de Données de l’UE
Le terme « Limite de Données de l’UE » désigne les ordinateurs, l’environnement informatique et les centres de données physiques Microsoft situés uniquement au sein de l’Union européenne (UE) et de l’Association européenne de libre-échange (AELE). Le terme « Services de Limite de Données de l’UE » s’applique uniquement aux Services en Ligne du tableau ci-dessous, à l’exclusion de toute Évaluation.
| Services de Limite de Données de l’UE | |
|---|---|
| Azure | Services Azure qui permettent le déploiement dans une région au sein de la Limite de Données de l’UE et les services non régionaux suivants : Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service sur Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (sur SharePoint), Microsoft Teams, Microsoft To-Do, Office sur le Web, Services en Ligne fournis dans le cadre de Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Microsoft Copilot pour Microsoft 365, Communications Compliance, eDiscovery et Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales et Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power pages, Microsoft Copilot Studio |
Emplacement des Données Client pour les Services de Limite de Données de l’UE
Pour les Services de Limite de Données de l’UE, Microsoft stockera et traitera les Données Client et les Données à Caractère Personnel dans la Limite de Données de l’UE comme détaillé ci-dessous.
Le Client doit configurer les Services de Limite de Données de l’UE comme suit :
- Pour Azure, le Client doit déployer le service dans une région Azure située dans la Limite de Données de l’UE. Consultez Résidence des données dans Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) pour plus d’informations. Pour les services qui ne permettent pas le déploiement dans une région Azure spécifiée, le Client doit suivre les instructions de la section Configuration des services Azure non-régionaux pour la limite de données de l'UE (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Pour Dynamics 365 et Power Platform, si le Client provisionne un tenant avec une adresse de facturation dans l’UE ou l’AELE, ce tenant entrera dans le champ d’application de la Limite de Données de l’UE si ce Client crée également tous ses environnements au sein d’une zone géographique située dans la Limite de Données de l’UE.
- Pour Microsoft 365, si le Client provisionne un tenant dans l'UE ou l'AELE, ce tenant entrera dans le champ d'application de la limite de données de l'UE, à l'exception des tenants pour lesquels le client a également a acheté le module complémentaire Microsoft 365 Multi-Geo Capabilities qui permet aux clients d'étendre la présence des tenants Microsoft 365 à plusieurs régions géographiques ou pays (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
L’utilisation des Services de Limite de Données de l’UE peut entraîner des transferts limités de Données Client ou Données à Caractère Personnel en dehors de la Limite de Données de l’UE, comme indiqué ci-dessous et plus en détail dans la documentation sur la transparence pour la Limite de Données de l’UE disponible à l’adresse https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn ou une adresse ultérieure. De tels transferts seront effectués conformément à l’Addendum sur la Protection des Données et aux Conditions relatives aux Produits.
- Accès à distance. Le personnel de Microsoft situé en dehors de la Limite de Données de l’UE peut accéder à distance aux systèmes de traitement des données dans la Limite de Données de l’UE selon les besoins pour exploiter, dépanner et sécuriser les Services de Limite de Données de l’UE.
- Transferts initiés par le Client. Les Clients peuvent initier des transferts en dehors de la Limite de Données de l’UE, par exemple en accédant aux Services de Limite de Données de l’UE à partir d’emplacements en dehors de la Limite de Données de l’UE, en envoyant un e-mail à un destinataire situé en dehors de la Limite de Données de l’UE ou en utilisant les Services de Limite de Données de l’UE en combinaison avec d’autres services en dehors de la Limite de Données de l’UE.
- Protection des Clients. Microsoft transfère des données limitées en dehors de la Limite de Données de l’UE si nécessaire pour détecter contre les menaces de sécurité et protéger les Clients.
- Données d’annuaire. Microsoft peut répliquer des données d’annuaire Microsoft Entra limitées de Microsoft Entra ID (y compris le nom d’utilisateur et l’adresse e-mail) en dehors de la Limite de Données de l’UE pour fournir le service.
- Transit réseau. Pour réduire la latence de routage et maintenir la résilience du routage, Microsoft utilise des chemins réseau variables qui peuvent occasionnellement entraîner le transit de données en dehors de la Limite de Données de l’UE.
- Qualité et gestion des services et des plateformes. Lorsque cela est nécessaire pour surveiller et maintenir la qualité du service ou pour garantir l'exactitude des mesures statistiques de l'utilisation ou des performances du service, les Données à Caractère Personnel pseudonymisées peuvent être transférées en dehors de la Limite de Données de l’UE.
- Transferts spécifiques à un service. Consultez la documentation sur la transparence référencée ci-dessus pour obtenir des informations sur les transferts applicables à des Services de Limite de Données de l’UE spécifiques.