Le Blog (Vert) d'Arnaud JUND

Office 365, confidentialité des données

Voilà un vaste sujet, la confidentialité des données.  Surtout lorsque comme moi, vos données sont en ligne sur un système d’hébergement mutualisé, le Cloud, Office 365.

Dans le cadre d’Office 365, Microsoft est très attentif à cela, car il ne faudrait pas que vos données d’entreprises, soient accessibles à quiconque qui n’est pas autorisé à les consulter.

Vous trouverez tout un ensemble d’articles sur ce sujet :
http://www.microsoft.com/online/legal/v2/?docid=21&langid=fr-fr

Obligations de Microsoft :
- Restrictions d'utilisation des données : Microsoft n'utilise vos données que dans le cadre de la prestation des services de votre choix.
- Accès d'administration : Microsoft vous fournit des informations sur les accès à vos données non publiques.
- Limites géographiques : Microsoft s'engage à partager les informations sur les emplacements de données.
- Sécurité, audits et certifications : Microsoft bénéficie des audits et des certifications de tiers qui garantissent que la conception et le fonctionnement de ses services respectent les mesures de protection les plus strictes.
- Conformité aux règlementations : Microsoft s'engage pour la transparence afin de vous aider à respecter les règlementations.

Regardons plus en détail la notion de restriction sur l’utilisation de vos données. 

Microsoft utilise vos données uniquement pour les services que vous payez : la maintenance et la prestation de Microsoft Online Services. Microsoft dispose d'une politique dont le respect garantit que vos données ne seront pas utilisées à d'autres fins. Les services professionnels de Microsoft sont conçus et gérés de manière complètement dissociée par rapport aux services grand public Microsoft. Certaines données sont stockées ou traitées sur les systèmes qui utilisent à la fois les services professionnels et grand public. Néanmoins, les données des services professionnels ne sont pas partagées sur les systèmes utilisés pour la publicité.

http://www.microsoft.com/online/legal/v2/?docid=23&langid=fr-fr

Les données d’utilisation ne peuvent être exploitées par Microsoft que pour la gestion et le dépannage de service, et aussi à des fins de protections en terme de sécurité.

Que sont les données d’utilisations ?
Les données d'utilisation désigne les informations relatives à l'utilisation du service par le client (p. ex., la quantité de la bande passante ou de l'espace de stockage utilisée, les fonctionnalités utilisées). Les données d'utilisation peuvent inclure les métadonnées sur les fichiers, les documents ou les données que le client stocke ou traite via le service. Elles sont également limitées aux métadonnées qui peuvent être décelées sans ouvrir les fichiers, les documents ou le corps du message (p. ex., le nom, la taille et le format du fichier).

Si on pousse la réflexion un peu plus loin, on peut considérer que le nombre d’éléments indexés dans mon environnement SharePoint Online et le nombre d’utilisateurs de ma plateforme sont des données d’utilisation, et donc elles n’ont pas à être exploitée sans mon autorisation …

Et c’est là, qu’il y a, je pense, un vrai problème avec SharePoint Online.

Dans les interfaces d’administration de SharePoint Online, on peut consulter la manière dont sont configurés les étendus de recherche “Search Scope” et là c’est une réelle surprise.

Cette capture d’écran a été faite depuis mon site SharePoint Online, ce dernier est vide, aucun contenu, et nous ne sommes que 3 utilisateurs à y avoir accès.

146.000 éléments indexés, dont 43.300 profils utilisateurs.  D’où viennent ces données ?

J’ai remonté cette information au support de Microsoft, et pour eux cela semble normal.  Ces informations sont générées sur base de toutes les informations disponibles sur le serveur qui héberge mon environnement SharePoint Online.

Mais n’est-ce pas en contradiction avec les règles de restriction sur l’utilisation de mes données ?
Qu’en pensez-vous ?