Office 365 en accord avec le RGPD ? Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018, chaque outil traitant des données personnelles est sous haute surveillance. Office 365 de Microsoft, une suite bureautique largement utilisée, n’échappe pas à cette règle. En septembre 2020, la Datenschutzkonferenz (DSK), autorité allemande équivalente à la CNIL, a mis en lumière des lacunes dans la conformité d’Office 365 au RGPD pour les établissements scolaires. Malgré des améliorations depuis, un rapport de la DSK en novembre 2022 a jugé ces efforts insuffisants, poussant à des restrictions dans les écoles en France et en Allemagne. Voir notre article
Pourtant, Office 365 reste un outil de choix, particulièrement avec l’essor du télétravail. Comment alors sécuriser son utilisation tout en respectant le RGPD ? Cet article vise à éclairer les zones d’ombre et à proposer des solutions pratiques.
Qu’est-ce que Office 365 ?
On ne présente plus la suite, Office 365 est une suite professionnelle proposée par Microsoft. Elle intègre des applications et des services variés : Word, Excel, PowerPoint (suite bureautique), Outlook (email), Exchange Online (outil collaboratif), OneDrive (stockage en ligne), SharePoint (applications web et portails), et d’autres services. Disponible en mode Saas, Office 365 offre un accès en ligne et mobile, permettant un travail collaboratif et flexible.
La Conformité d’Office 365 au RGPD
Le Rapport de la DSK
Le rapport de la DSK a souligné plusieurs problèmes de conformité d’Office 365 au RGPD, cependant il faut prendre en compte qu’elle ne concerne que les établissements scolaires :
- Descriptions insuffisantes des finalités de traitement et des catégories de données personnelles ;
- Manque de clarté sur le rôle de Microsoft en tant que responsable de traitement ou sous-traitant ;
- Bases légales des traitements mal définies ;
- Transferts de données vers les États-Unis non conformes à l’arrêt Schrems II.
Réponses de Microsoft
En réaction, Microsoft a ouvert des datacenters en France pour héberger les données d’Office 365 et affirmé sa résistance à toute demande d’accès des autorités américaines. Cependant, le transfert de données vers les USA demeure une préoccupation.
Sécuriser Office 365 en Accord avec le RGPD
1. Sauvegarder régulièrement ses données
Une sauvegarde régulière des données est cruciale. Il est recommandé de :
- Établir un plan de sauvegarde clair ;
- Utiliser des solutions de sauvegarde dédiées, isolant les données sauvegardées des données en production.
2. Gérer les identités numériques et les accès
Une gestion rigoureuse des accès est essentielle :
- Utiliser des mots de passe sécurisés et les renouveler régulièrement ;
- Activer l’authentification multifacteurs ;
- Contrôler l’accès basé sur les rôles et sécuriser les comptes administrateurs.
3. Surveillance constante d’Office 365
Le Centre de sécurité d’Office 365 et l’outil Degré de sécurisation Microsoft sont des ressources précieuses pour :
- Surveiller les activités et recevoir des alertes de sécurité ;
- Appliquer des recommandations de sécurité.
4. Protection contre les menaces de sécurité
Il est conseillé d’utiliser :
- Exchange Online Protection pour la messagerie ;
- Des outils supplémentaires comme Azure Security Center et Microsoft Cloud App Security.
5. Mise à jour régulière des paramètres de sécurité
Les paramètres de sécurité d’Office 365 doivent être réévalués et mis à jour régulièrement pour contrer l’évolution des menaces de piratage.
Nos liens
Office 365 conforme au RGPD ?(S’ouvre dans un nouvel onglet)
Les rôles et responsabilités du Data Protection Officer Externalisé(S’ouvre dans un nouvel onglet)
Accord de traitement de données avec les sous-traitants(S’ouvre dans un nouvel onglet)