Microsoft annonce des modifications aux conditions contractuelles dans le cloud à la suite d'une enquête sur la confidentialité dans l'UE – TechCrunch

Une nouvelle victoire pour la protection des données en Europe: Microsoft a annoncé des modifications des contrats de cloud professionnel suite aux préoccupations en matière de protection de la vie privée soulevées par les autorités de protection des données de l'Union européenne.

Les modifications apportées aux conditions de contact s'appliqueront globalement et à tous ses clients commerciaux – qu'il s'agisse d'une entité du secteur public ou privé, d'une grande ou d'une petite entreprise, a-t-il déclaré aujourd'hui.

Les nouvelles dispositions contractuelles seront proposées à tous les clients du secteur public et des entreprises au début de 2020, ajoute le communiqué.

En octobre, le responsable de la protection des données en Europe a averti que les résultats préliminaires d’une enquête sur les conditions contractuelles applicables aux services infonuagiques de Microsoft avaient suscité de vives inquiétudes quant au respect des règles européennes en matière de protection des données et au rôle du géant de la technologie en tant que processeur de données pour les institutions européennes.

Julie Brill, vice-présidente de Microsoft pour la confidentialité et les affaires réglementaires dans le monde, et responsable de la protection de la vie privée, annonce la mise à jour des dispositions relatives à la confidentialité dans les conditions de services en ligne (OST) de ses contrats de cloud professionnel. résultat de «commentaires de nos clients».

«Les modifications que nous apportons offriront plus de transparence à nos clients en ce qui concerne le traitement des données dans le nuage Microsoft», écrit-elle.

Elle a également déclaré que les modifications reflétaient celles mises au point par Microsoft en consultation avec le ministère néerlandais de la Justice et de la Sécurité – comprenant à la fois des clauses contractuelles modifiées et des sauvegardes et paramétrages techniques – après que ce dernier eut réalisé une évaluation des risques de l’OST de Microsoft plus tôt cette année et soulevé des préoccupations.

Plus précisément, Microsoft accepte de plus grandes responsabilités en matière de protection des données pour les traitements supplémentaires nécessaires à la fourniture de services d'entreprise, tels que la gestion de compte et les rapports financiers, par Brill:

Grâce à la mise à jour OST que nous annonçons aujourd’hui, nous augmenterons nos responsabilités en matière de protection des données pour un sous-ensemble de traitements auquel Microsoft s’engage lorsque nous fournissons des services d’entreprise. Dans la mise à jour OST, nous préciserons que Microsoft assume le rôle de contrôleur de données lorsque nous traitons des données à des fins administratives et opérationnelles spécifiées, afin de fournir les services de cloud couverts par ce cadre contractuel, tels que Azure, Office 365, Dynamics et Intune. Ce sous-ensemble de traitement de données sert à des fins administratives ou opérationnelles telles que la gestion de compte; rapport financier; combattre les cyberattaques sur tout produit ou service Microsoft; et se conformer à nos obligations légales.

À l'heure actuelle, Microsoft se définit comme un processeur de données plutôt que comme un contrôleur de données pour ces fonctions administratives et opérationnelles pouvant être liées à la fourniture de services de cloud computing, tels que sa plateforme Azure.

Toutefois, dans le cadre général européen de la protection des données, un responsable du traitement des données assume les obligations les plus larges en matière de traitement des données à caractère personnel (l'article 5 du RGPD étant responsable de la licéité, de la loyauté et de la sécurité des données traitées) et, partant, d'un risque juridique accru si répondre à la norme.

Ainsi, d’un point de vue réglementaire, la structure actuelle des contrats commerciaux de Microsoft présente un risque pour les institutions européennes que les données des utilisateurs soient traitées selon un niveau de protection juridique inférieur à celui qui est mérité.

Le passage annoncé d'un processeur de données à un contrôleur devrait placer la barre plus haut pour les objectifs associés que Microsoft peut également fournir aux clients commerciaux de ses services cloud.

Pour ce dernier objectif, Microsoft indique qu'il restera le processeur de données, ainsi que pour améliorer et traiter les bogues ou autres problèmes liés au service, assurer la sécurité des services et maintenir les services à jour.

En août, une conférence organisée conjointement par le superviseur de la protection des données de l’UE et le ministère néerlandais a réuni les clients européens des géants du cloud pour travailler à une réponse commune aux risques réglementaires liés à la fourniture de logiciels dans le cloud.

Plus tôt cette année, le ministère néerlandais a obtenu des modifications contractuelles ainsi que des sauvegardes et paramètres techniques dans les contrats modifiés passés avec Microsoft.

«Les seules différences importantes dans les conditions mises à jour (qui seront déployées à l’échelle mondiale pour tous les clients du cloud commercial) concernent les modifications spécifiques au client demandées par le MOJ néerlandais, qui ont dû être adaptées à la base de clients mondiale plus large», écrit Brill.

Le blog de Microsoft souligne également d’autres modifications mondiales liées à la confidentialité qui, selon ses dires, ont été apportées à la suite des réactions du ministère de la Justice néerlandais et d’autres, notamment: la mise en place de nouveaux outils de confidentialité pour les principaux services; modifications spécifiques apportées à Office 365 ProPlus; et une transparence accrue concernant l'utilisation des données de diagnostic.

Traduit de la source : https://techcrunch.com/2019/11/18/microsoft-announces-changes-to-cloud-contract-terms-following-eu-privacy-probe/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.