RGPD : Comment o365 va vous aider? 26-10-2017 #aOSLaRéunion

aOS Réunion26 Octobre 2017

RGPD : Comment O365 va vous aider?

@SP_twit – Sébastien Paulet – SPT Conseil

aOS Maurice & Réunion24 et 26 Octobre 2017

Speaker presentation

France

Enterprise Solutions

Architect

SPT Conseil

Speaker on

#DMS, #Archiving,

#SharePoint,

#Scrum, #Lean,

#Ergonomy

@SP_twit

Bloghttps://sppublish.wordpress.com


Agenda

GDPR IS COMING

25 MAI 2018


Données personnelles

• Nom

• Numéro d’identification (ID)

• Adresse email

• Identifiant utilisateur (UID)

• Emplacement

• Détails bancaires

• Adresse IP

• Cookies

• Messages sur les médias sociaux

• Informations génétiques, physiologiques ou physiques

• Informations médicales


Sources de contenus dans O365

SHAREPOINT

Teams

OneDrive

Yammer

Groups

Planner

EXCHANGE

aOS Maurice & Réunion 24/26 Octobre 2017

Cloud – Microsoft sous-traitant de vos données


Engagement contractuel

• Engagement depuis 2014

• Dans les conditions d'utilisation :

"Microsoft s’engage envers l’ensemble de ses clients à appliquer les Conditions du GDPR à compter du 25 mai 2018. " + une annexe dédiée

• Revu et approuvé par le G29


Responsabilité

Gouvernance des données

et gestion des droits

Responsabilité

SharePoint

Online Hybride

Azure/

IaaS Localement

Points de terminaison

clients

Gestion des comptes et

des accès

Infrastructure d identités

et d annuaires

Contrôles réseau

Applications

Système d exploitation

Réseau physique

Centre de données

physique

ClientMicrosoft

Hôtes physiques


Vos obligations


Obligation du responsable des traitementsArticle 5 - les données à caractère personnel doivent être :

• a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence); -> TRANSPARENCE

• b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités […]; c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); -> FINALITE

• d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude); -> MAJ/EXPORT/SUPPRESSION

• e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées[…]; -> DUREE DE RETENTION

• f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité); -> SECURITE

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).


Vos obligations - Transparence


Transparence

• New! : Disclamer pour les utilisateurs extérieurs

• New! : Multi geocapability

• New! : Yammer et les index du moteur de recherche seront eux aussi geo localisés.

• New! : Data center FR Q2 2018


Vos obligations - FINALITE


Identifier les contenus personnels

• Faites l’inventaire des données personnelles pouvant apparaitre

-> Registre des traitements (si >250 employés ou si traitement particulier)


Comment avaler un éléphant?

Une bouchée après l’autre …

Risque

Facilité


Classer – mise en place d’une politique de gouvernance• Définissez des catégories pour vos:

• Teams

• Groups

• Yammer

• SharePoint

• OneDrive / Mailboxes

afin de mieux pouvoir les organiser

• New! : nouvelle centrale d’administration SharePoint online avec possibilité d’ajouter des colonnes sur la liste des collections de sites


Classer – Plan de classement SharePoint• Les documents sont la trace d’un process métier

-> Le plan de classement est le reflet de l’organisation du process métier


Classer – Plan de classement SharePoint

• Les premiers niveaux « invariants » sont des sous sites ou des bibliothèques.

• Les classements sur des process mûrs se font avec des métadonnées

• Pour les « cases management », pensez aux documents sets

• Pour les process moins formels, dossiers/sous dossiers


Détecter – Labels / Etiquettes

• Définissez « Typologie » de contenus transverse à l’entreprise.

• 1 seule par contenu

• Gestion : « Sécurité et conformité »> « Classifications » > « Etiquettes » > … >« Publier les étiquettes »

• Peut être appliquée manuellement par l’utilisateur final depuis les programmes clientsou les interfaces web

• Rapport disponibles


Détecter – Labels / Etiquettes automatiques• Application automatique des Etiquettes sur les contenus sensibles

dans Exchange Online, SharePoint Online, and OneDrive for Business.

• Gestion : « Sécurité et conformité »> « Classifications » > « Stratégies d’étiquettes » > « Appliquer automatiquement une étiquette »


Détecter – Protection contre la perte des données - Data Loss Prevention Policies

• Application de comportements en fonction des étiquettes

• Exemple : Possibilité de bloquer ou alerter lors de l’accès ou du partage

• Rapports disponibles


Vos obligations - RETENTION


Records Management - Retentionpolicies• Durée de rétention par bibliothèque ou par content type dans

SharePoint

• Possibilité d’associer une rétention policy à un etiquette : « XX année/mois/semaine/jours après [métadonnées] » alors supprimer/déclarer comme enregistrement

• New! : Arrivée annoncée de rétentions basées sur événements


Vos obligations -MAJ/EXPORT/SUPPRESSION


eDiscovery

• Recherche cross boites mails/SharePoints

• Possibilité :• D’exporter• Geler• Suspendre les périodes

de rétention

• New! : eDiscovery sur messages Yammer


Vos obligations - SECURITE


Gestion des menaces


AUDIT


IRM

• New! : arrivée d’IRM sur O365 (déjà dispo en onPrem)

• Faire porter les permissions définies au niveau de SharePoint sur le document.

• Système de clef publique/clef privé et un encryptage des documents à la volée (chiffrement AES avec clefs 128 et 256 bits pour les documents)

• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work

https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work


SECURITY SCORE

• Bonnes pratiques pour sécuriser votre tenant.

• Accessible sur https://securescore.office.com/

https://securescore.office.com/


Au delà – Obligation d’assistance


COMPLIANCE MANAGER

• Normes supportées par Microsoft (GDPR, ISO, etc.)

• Critères et actions à faire coté client

• Informations à saisir directement.

• New! : Disponibilité générale Q1 2018.


Conclusion


Conclusion…

• Nombreux outils déjà présents ou a venir pour répondre à la loi

• Tout ne reposera pas sur le sous traitant

• Critère fort de différentiation avec la concurrence pour Microsoft

• Concerne aussi Azure et SQL

• N’oubliez pas le facteur humain…


Thanks to our sponsors!Merci à nos sponsors

Platinum

Software

RGPD : Comment o365 va vous aider? 26-10-2017 #aOSLaRéunion