Politique de confidentialité concernant le traitement des données à caractère personnel dans Microsoft 365

La protection de votre vie privée est de la plus haute importance pour l'Office européen des brevets (OEB). D'où notre engagement à respecter et protéger vos données à caractère personnel et à faire appliquer les droits qui vous appartiennent en tant que personnes concernées. Toutes les données à caractère personnel (c'est-à-dire les données qui peuvent vous identifier directement ou indirectement) seront traitées de manière loyale et licite et avec toutes les précautions voulues.

Ce traitement est soumis aux Directives de l'Office européen des brevets pour la protection des données à caractère personnel. Nous nous efforçons d'aligner notre cadre de protection des données sur les meilleures pratiques actuelles. Un rapport d'audit établi récemment a confirmé que ce cadre était très proche du règlement général de l'UE sur la protection des données (RGPD).

1. Comment et pourquoi traitons-nous des données à caractère personnel vous concernant ?

Nous utilisons aujourd'hui plus largement Microsoft 365, qui comprend des services cloud tels que OneDrive, MS Teams et MS Forms. La série d'applications incluses dans Microsoft 365 est fournie aux utilisateurs dans le but d'assouplir et d'améliorer la communication et la collaboration, à la fois au sein de l'OEB et entre l'OEB et ses partenaires extérieurs.

Pour assurer les services précités, il est indispensable de traiter, c'est-à-dire de recueillir et de stocker des données à caractères personnel dans les serveurs cloud de Microsoft.

Ce traitement ne sera pas utilisé pour prendre automatiquement des décisions quelles qu'elles soient, ni pour établir des profils.

2. Quels types de données à caractère personnel traitons-nous ?

Nous traitons les catégories ou types de données suivants :

  • informations d'identification personnelle : nom d'utilisateur, prénom, nom de famille, adresse de courrier électronique, numéro de téléphone professionnel, profession et langue préférée ;
  • information d'identification électronique : adresses IP, cookies, données de connexion et temps d'accès ;
  • métadonnées utilisées pour la maintenance du service fourni ;
  • toutes données (pouvant être) traitées lors d'un partage de fichiers dans le cadre d'activités professionnelles (ex. : messages, images, fichiers, messages vocaux, calendriers de réunions, contacts et équivalents).

3. Qui est responsable du traitement des données ?

Le traitement des données à caractère personnel est réalisé sous la responsabilité du Chief Information Officer de l'OEB, qui est membre de la structure Business Information Technology (BIT) et agit en qualité de responsable délégué du traitement des données à l'OEB.


Les données à caractère personnel sont traitées par un prestataire de services extérieur à l'OEB, Microsoft, pour les activités suivantes :

  • Soutien à l'utilisateur final et résolution de problèmes pour les applications et fonctions de Microsoft 365
  • Suivi des modifications auprès des utilisateurs et des groupes
  • Gestion des contenus chargés dans Microsoft 365, y compris des politiques de conservation des données
  • Gestion des paramètres de Microsoft 365
  • Soutien, exploitation et maintenance des services en ligne de l'OEB


Pour plus de détails sur la manière dont nous traitons les données à caractère personnel dans tous les services Microsoft 365, voir la Politique de confidentialité concernant le traitement des données à caractère personnel dans Microsoft 365.

Pour en savoir plus sur le traitement des données à caractère personnel par Microsoft, voir la Déclaration de confidentialité Microsoft.

4. Qui a accès à vos données à caractère personnel et à qui sont-elles divulguées ?

Les personnes suivantes ont accès aux données à caractère personnel lorsqu'elles ont besoin de les connaître :

  • personnel de l'OEB et utilisateurs externes inscrits dans les services de Microsoft 365 utilisés pour les échanges d'informations ;
  • personnel de BIT et de Microsoft intervenant dans le traitement des données nécessaire à la fourniture du service.

Les données à caractère personnel sont stockées dans l'Union européenne (UE), conformément à la configuration des applications mise en œuvre par l'OEB.

Elles ne sont utilisées à aucune autre fin et ni divulguées à aucune autre personne quelle qu'elle soit.

5. Comment protégeons-nous et préservons-nous vos données à caractère personnel ?

Nous prenons les mesures techniques et organisationnelles nécessaires pour préserver et protéger vos données à caractère personnel contre la destruction, la perte, la modification et la divulgation ou l'accès non autorisé(e), accidentels ou illicites.

Microsoft 365 a été configuré pour préserver la confidentialité des informations que vous échangez, par un cryptage mis en place pendant toutes les communications et pendant le stockage. Les accès anonymes ne sont pas autorisés. Toute information ajoutée dans Microsoft 365, que ce soit lors de discussions en ligne (chat), de vidéoconférences ou d'un partage de fichiers, ne sera accessible qu'aux utilisateurs et groupes cités au paragraphe 4 ci-dessus.

Les centres de données Microsoft sont certifiés conformes à plusieurs normes de sécurité : ISO 27001, SOC1 et SOC2, NIST Cybersecurity Framework (CSF), ISO 27017 et ISO 27018 (code de bonnes pratiques pour la protection des informations personnelles identifiables dans l'informatique en nuage).

Microsoft a mis en œuvre un certain nombre de garanties pour assurer la disponibilité des informations. Les données sont copiées au minimum dans deux centres de données de la même région. Elles font l'objet de contrôles de redondance et de sauvegardes qui sont cryptées avant leur transmission et leur stockage.

Les centres de données appliquent des mesures physiques et logiques de surveillance de la sécurité, notamment les suivantes :

  • vidéosurveillance des périmètres,
  • surveillance sismique et environnementale des bâtiments ;
  • surveillance des menaces de sécurité : vers, attaques par déni de service, accès non autorisés et tout autre type d'activité illicite.

Microsoft a intégré une liste de plus de 700 garanties dans ses systèmes, serveurs et centres de données. Il s'agit notamment de garanties contre la destruction, la perte, l'accès non autorisé, la modification ou la divulgation accidentels ou illicites. Ces contrôles internes sont soumis à un audit une fois par an. Les informations concernant cet audit peuvent être fournies si nécessaire, dans le cadre d'un accord de confidentialité. Les informations sont cryptées pendant les périodes où elles ne sont pas utilisées ou pendant leur transit.

Comme indiqué précédemment, les données à caractère personnel sont stockées dans l'UE selon la configuration des applications mise en œuvre par l'OEB. Il peut arriver toutefois que des sous-traitants se trouvant dans d'autres pays aient accès à ces données pour effectuer des opérations nécessaires de maintenance, de soutien ou d'exploitation des services hébergés sur le cloud, et en fonction des compétences disponibles. L'accès autorisé est toujours temporaire et ne s'applique qu'aux données nécessaires à la procédure spécifique de maintenance, de soutien ou d'exploitation en cours. Les garanties suivantes sont appliquées :

  • Pour tous les transferts vers des pays tiers, Microsoft utilise les clauses contractuelles standard de l'UE concernant le transfert de données avec des sous-traitants.
  • Microsoft demande aux sous-traitants de rejoindre son Programme de garantie de la confidentialité et de la sécurité des fournisseurs. Ce programme vise à normaliser et à renforcer les pratiques de traitement des données et à s'assurer que les systèmes et processus opérationnels des fournisseurs sont alignés sur ceux de Microsoft.

6. Comment pouvez-vous accéder à vos données, les rectifier et les recevoir, limiter leur traitement ou vous opposer à leur traitement ?

Conformément à l'article 14 des Directives de l'Office européen des brevets pour la protection des données à caractère personnel, vous avez le droit d'accéder à vos données à caractère personnel, de les rectifier et de les recevoir, ainsi que de limiter leur traitement et de vous y opposer.

Pour faire valoir l'un quelconque de ces droits, veuillez envoyer votre demande, accompagnée des précisions nécessaires, au Chief Information Officer de l'OEB, à l'adresse suivante : CIO_CTO_Office@epo.org.

Nous répondrons à votre demande sans retard et dans tous les cas dans les trois mois à compter de la réception de la demande. Toutefois, comme stipulé à l'article 14(7) des Directives de l'Office européen des brevets pour la protection des données à caractère personnel, ce délai peut être prorogé si nécessaire, en raison de la complexité des demandes reçues et de leur nombre. Toute prorogation du délai ainsi que les motifs vous seront notifiés dans le mois suivant la réception de votre demande.

7. Sur quelle base juridique est fondé le traitement de vos données ?

Le traitement des données est fondé sur l'article 5(a) des Directives de l'Office européen des brevets pour la protection des données à caractère personnel.

Les données à caractère personnel sont recueillies et traitées conformément aux politiques de l'OEB en matière de sécurité de l'information.

8. Pendant combien de temps vos données sont-elles stockées ?

Selon la politique standard de Microsoft concernant Microsoft 365, les données peuvent être récupérées jusqu'à 93 jours après leur suppression par l'utilisateur.

9. Contact information

Pour toutes questions concernant le traitement de vos données à caractère personnel, veuillez écrire au Chief Information Officer de l'OEB à l'adresse suivante : CIO_CTO_Office@epo.org.

Vous pouvez également contacter le responsable de la protection des données à l'adresse suivante : dataprotection@epo.org.

Quick Navigation