Mes signets

Mes événements

  • Start
    Location
    End
    Language
Découvrez-nous

Politique de confidentialité concernant le traitement des données à caractère personnel dans MS Teams

La protection de votre vie privée est de la plus haute importance pour l'Office européen des brevets (OEB). D'où notre engagement à respecter et protéger vos données à caractère personnel et à faire appliquer les droits qui vous appartiennent en tant que personnes concernées. Toutes les données à caractère personnel (c'est-à-dire les données qui peuvent vous identifier directement ou indirectement) seront traitées de manière loyale et licite et avec toutes les précautions voulues.

Ce traitement est soumis aux Directives de l'Office européen des brevets pour la protection des données à caractère personnel. Nous nous efforçons d'aligner notre cadre de protection des données sur les meilleures pratiques actuelles. Un rapport d'audit établi récemment a confirmé que ce cadre était très proche du règlement général de l'UE sur la protection des données (RGPD).

1. Comment et pourquoi traitons-nous des données à caractère personnel vous concernant ?

Nous utilisons aujourd'hui plus largement Microsoft 365 et en particulier Microsoft Teams (MS Teams) pour organiser des réunions virtuelles et des téléconférences à la fois au sein de l'OEB et entre l'OEB et ses partenaires. MS Teams est une application cloud, incluse dans Microsoft 365. Cette application est fournie aux utilisateurs dans le but d'assouplir et d'améliorer la communication et la collaboration, à la fois au sein de l'OEB et entre l'OEB et ses partenaires. Les fonctions de base de Teams sont la messagerie, les conversations, les réunions vidéo et le partage de fichiers en situation professionnelle.

Outre ces capacités de base, MS Teams permet également d'enregistrer des réunions virtuelles et d'utiliser le sous-titrage en direct. Ces fonctions sont accessibles à certaines parties prenantes conformément aux politiques internes relatives à l'utilisation de MS Teams. La présente Politique de confidentialité fournit des informations détaillées sur tous les types de données qui peuvent être traitées avec MS Teams, la nature exacte du traitement de ces données à caractère personnel pouvant varier au cas par cas.

Par exemple, l'enregistrement d'une réunion virtuelle sera possible si la nature de la réunion le permet et si le responsable délégué du traitement des données l'autorise. Les participants seront prévenus, à la fois dans l'invitation et avant la mise en place de l'enregistrement, que la réunion sera enregistrée et ils seront informés qu'ils ont la possibilité de s'y opposer. Les données à caractère personnel sont traitées, c'est-à-dire recueillies et stockées sur les serveurs cloud de Microsoft, pour les besoins liés à la prestation des services précités. Elles ne seront pas utilisées pour prendre automatiquement des décisions quelles qu'elles soient, ni pour établir des profils.

2. Quels types de données à caractère personnel traitons-nous ?

Nous traitons les catégories ou types de données suivants :

  • informations d'identification personnelle : nom d'utilisateur, prénom, nom de famille, adresse de courrier électronique, numéro de téléphone professionnel, profession et langue préférée ;
  • information d'identification électronique : adresses IP, cookies, données de connexion et temps d'accès ;
  • films, photos, enregistrements sonores et vidéos ;
  • métadonnées utilisées pour la maintenance du service fourni ;
  • toutes données (susceptibles d'être) traitées lors d'un partage de fichiers dans le cadre d'activités professionnelles (ex. : messages, images, fichiers, messages vocaux, calendriers de réunions, contacts, etc.).
  • données traitées par des fonctionnalités connectées telles que le sous-titrage en direct et la traduction incorporée des messages.

3. Qui est responsable du traitement des données ?

Le traitement des données à caractère personnel est réalisé sous la responsabilité du Chief Information Officer de l'OEB, qui est membre de la structure Business Information Technology (BIT) et agit en qualité de responsable délégué du traitement des données à l'OEB.

Cependant, chaque fois qu'une autre entité de l'OEB demande à utiliser l'application MS Teams, la structure BIT agira en qualité de sous-traitant. Dans cette situation, l'entité en question agira en qualité de responsable délégué du traitement des données.  

Les données à caractère personnel sont traitées par un prestataire de services extérieur à l'OEB, Microsoft, pour les activités suivantes :

  • Soutien à l'utilisateur final et résolution de problèmes pour les applications et fonctions de Microsoft 365 liées à la conduite de réunions virtuelles et de téléconférences
  • Suivi des modifications auprès des utilisateurs et des groupes
  • Gestion des contenus chargés dans MS Teams, y compris des politiques de conservation des données
  • Gestion des paramètres de MS Teams
  • Soutien, exploitation et maintenance des services en ligne de l'OEB

Pour plus de détails sur la manière dont nous traitons les données à caractère personnel dans tous les services Microsoft 365, voir la Politique de confidentialité concernant le traitement des données à caractère personnel dans Microsoft 365.

Pour en savoir plus sur le traitement des données à caractère personnel par Microsoft, voir la Déclaration de confidentialité Microsoft.

4. Qui a accès à vos données à caractère personnel et à qui sont-elles divulguées ?

Les personnes suivantes ont accès aux données à caractère personnel lorsqu'elles ont besoin de les connaître :

  • personnel de l'OEB et utilisateurs externes faisant partie de l'équipe MS Teams dans laquelle ont lieu les échanges d'informations ;
  • personnel de la structure BIT de l'OEB et de Microsoft intervenant dans le traitement des données nécessaire à la fourniture du service.

Lorsqu'une réunion virtuelle est enregistrée, l'enregistrement peut éventuellement être transmis à l'OEB dans son ensemble ou en dehors de l'OEB, en fonction de la réunion. Dans l'un comme l'autre de ces cas de figure, l'organisateur de la réunion informera comme il se doit la personne concernée des détails de l'opération de traitement des données. Les données à caractère personnel sont stockées dans l'Union européenne (UE), conformément à la configuration d'applications mise en œuvre par l'OEB.

Elles ne sont utilisées à aucune autre fin et ni divulguées à aucune autre personne quelle qu'elle soit.

5. Comment protégeons-nous et préservons-nous vos données à caractère personnel ?

Nous prenons les mesures techniques et organisationnelles nécessaires pour préserver et protéger vos données à caractère personnel contre la destruction, la perte, la modification et la divulgation ou l'accès non autorisé(e), accidentels ou illicites.

MS Teams a été configuré pour préserver la confidentialité des informations que vous échangez, par un cryptage mis en place pendant toutes les communications et pendant le stockage. Les accès anonymes ne sont pas autorisés. Toute information ajoutée à un groupe dans MS Teams, que ce soit lors de discussions en ligne (chat), de vidéoconférences ou d'un partage de fichiers, ne sera accessible qu'aux utilisateurs et groupes cités au paragraphe 4 ci-dessus.

Les données à caractère personnel sont recueillies et traitées conformément aux politiques de l'OEB en matière de sécurité de l'information.

Les centres de données Microsoft sont certifiés conformes à plusieurs normes de sécurité : ISO 27001, SOC1 et SOC2, NIST Cybersecurity Framework (CSF), ISO 27017 et ISO 27018 (code de bonnes pratiques pour la protection des informations personnelles identifiables dans l'informatique en nuage).

Microsoft a mis en œuvre un certain nombre de garanties pour assurer la disponibilité des informations. Les données sont copiées au minimum dans deux centres de données de la même région. Elles font l'objet de contrôles de redondance et de sauvegardes qui sont cryptées avant leur transmission et leur stockage.

Les centres de données appliquent des mesures physiques et logiques de surveillance de la sécurité, notamment les suivantes :

  • vidéosurveillance des périmètres,
  • surveillance sismique et environnementale des bâtiments ;
  • surveillance des menaces de sécurité : vers, attaques par déni de service, accès non autorisés et tout autre type d'activité illicite.

Microsoft a intégré une liste de plus de 700 garanties dans ses systèmes, serveurs et centres de données. Il s'agit notamment de garanties contre la destruction, la perte, l'accès non autorisé, la modification ou la divulgation accidentels ou illicites. Ces contrôles internes sont soumis à un audit une fois par an. Les informations concernant cet audit peuvent être fournies si nécessaire, dans le cadre d'un accord de confidentialité. Les informations sont cryptées pendant les périodes où elles ne sont pas utilisées ou pendant leur transit.

Comme indiqué précédemment, les données à caractère personnel sont stockées dans l'UE selon la configuration des applications mise en œuvre par l'OEB. Il peut arriver toutefois que des sous-traitants se trouvant dans d'autres pays aient accès à ces données pour effectuer des opérations nécessaires de maintenance, de soutien ou d'exploitation des services hébergés sur le cloud, et en fonction des compétences disponibles. L'accès autorisé est toujours temporaire et ne s'applique qu'aux données nécessaires à la procédure spécifique de maintenance, de soutien ou d'exploitation en cours. Les garanties suivantes sont appliquées :

  • Pour tous les transferts vers des pays tiers, Microsoft utilise les clauses contractuelles standard de l'UE concernant le transfert de données avec des sous-traitants.
  • Microsoft demande aux sous-traitants de rejoindre son Programme de garantie de la confidentialité et de la sécurité des fournisseurs. Ce programme vise à normaliser et à renforcer les pratiques de traitement des données et à s'assurer que les systèmes et processus opérationnels des fournisseurs sont alignés sur ceux de Microsoft.

5.1 Mesures spécifiques concernant l'enregistrement des réunions MS Teams

Lorsqu'une réunion virtuelle est enregistrée, les participants peuvent limiter le traitement de leurs données à caractère personnel en activant ou en désactivant leur microphone et leur caméra. En outre, s'il existe des motifs légitimes, les participants peuvent également demander, via la fonction de messagerie instantanée, la suspension temporaire de l'enregistrement. Ils peuvent ainsi continuer de participer à la réunion sans être enregistrés.

6. Quels sont vos droits sur vos données ?

Vous avez les droits suivants sur vos données.

6.1. Droit d'accès

Vous avez le droit de demander à ce qu'il vous soit confirmé si vos données à caractère personnel font ou non l'objet d'un traitement. Si tel est le cas, vous avez également le droit de demander à accéder à vos données ainsi qu'aux informations concernant la finalité du traitement ou les catégories de données à caractère personnel concernées.

6.2. Droit de rectification

Vous avez le droit de demander la rectification de données à caractère personnel inexactes.

6.3. Droit au blocage du traitement

Vous avez le droit de demander à l'OEB de restreindre le traitement de vos données à caractère personnel dans certaines circonstances, par exemple si vous estimez que le traitement est incorrect ou illicite.

6.4. Droit d'effacement

Vous avez le droit de demander l'effacement de vos données à caractère personnel sans retard, dans certaines circonstances, par exemple si vos données à caractère personnel ne répondent plus à l'objectif dans lequel elles ont été recueillies ou si elles ont été traitées de manière illicite.

6.5. Droit d'opposition

Vous avez le droit de vous opposer au traitement de vos données à caractère personnel dans certaines circonstances.

Vous pouvez faire valoir les droits précités en écrivant au Chief Information Officer de l'OEB à l'adresse suivante : CIO_CTO_Office@epo.org.

7. Sur quelle base juridique est fondé le traitement de vos données ?

Le traitement des données est fondé sur l'article 5(a) des Directives pour la protection des données à caractère personnel à l'Office européen des brevets.

Pour certains enregistrements de réunions virtuelles où la personne concernée (par exemple : un intervenant extérieur lors d'une réunion en ligne qui est organisée par l'OEB et sera enregistrée) a donné son consentement, le traitement peut être fondé sur l'article 5(e) de ces Directives.

8. Pendant combien de temps vos données sont-elles stockées ?

Les données résultant de l'enregistrement d'une réunion MS Teams peuvent être conservées pendant plus d'un an selon la nature de la réunion. La période de conservation des données est définie en fonction de la finalité de l'enregistrement. Si l'enregistrement devient obsolète avant la fin de cette période, il sera supprimé. De plus amples informations sur la période de conservation des données figureront dans une déclaration spécifique de protection des données et/ou dans une clause de non-responsabilité, envoyées avec l'invitation à la réunion.

9. Contacts

Pour toutes questions concernant le traitement de vos données à caractère personnel, veuillez écrire au Chief Information Officer de l'OEB à l'adresse suivante : CIO_CTO_Office@epo.org.

Vous pouvez également contacter le responsable de la protection des données à l'adresse suivante : dpo@epo.org.

Les personnes concernées souhaitant exercer leurs droits se rapportant à des réunions virtuelles enregistrées se déroulant via MS Teams peuvent le faire en contactant l'organisateur de l'événement en question.

Partager l’information ...