Assurer la conformité RGPD lors d’une migration Microsoft 365 tenant to tenant exige une préparation rigoureuse et une maîtrise des obligations imposées par le Règlement (UE) 2016/679. Chaque transfert de données personnelles entre tenants constitue un événement à risque que les DSI, architectes et administrateurs doivent encadrer avec méthode.
La protection des données personnelles ne se limite pas à une exigence réglementaire abstraite : elle engage directement la responsabilité des organisations vis-à-vis de la CNIL et de leurs utilisateurs. Dans le cadre d’une transformation numérique, les projets de migration cloud soulèvent des questions de souveraineté numérique qui renforcent la complexité juridique et opérationnelle. Un Data Processing Agreement (DPA) à jour avec Microsoft constitue un prérequis incontournable. Des outils tels que Microsoft Purview, Compliance Manager et Data Loss Prevention offrent des leviers concrets pour maintenir la gouvernance des données sensibles tout au long du projet. Pour approfondir les dimensions sécurité et conformité de ce type de projet, consultez notre guide sur la sécurité et conformité lors d’une migration Microsoft 365 tenant to tenant.
À retenir :
- La conformité RGPD pour la migration Microsoft 365 nécessite une préparation minutieuse et une connaissance des obligations réglementaires.
- Le Data Processing Agreement (DPA) avec Microsoft est essentiel pour encadrer les transferts de données.
- Les bases légales de traitement doivent être identifiées et documentées avant toute migration pour garantir la légalité du projet.
- Une cartographie complète des données avec leur classification est impérative pour évaluer les risques et appliquer les mesures de sécurité requises.
- Les droits des personnes concernées doivent être garantis pendant la migration, et les demandes d’accès ou d’effacement doivent être traitées dans les délais.
- Après la migration, un audit de conformité et une mise à jour du registre des activités sont nécessaires pour assurer une conformité continue avec le RGPD.
Identifier les obligations réglementaires et les bases légales de traitement pendant la migration
Avant de déclencher tout transfert de données entre locataires Microsoft 365, le responsable de traitement doit établir avec précision les bases légales applicables et documenter les obligations issues du Règlement (UE) 2016/679. Cette étape conditionne la licéité de l’ensemble du projet de migration.
Identifier les bases légales de traitement applicables
Le cadre RGPD pour les migrations entre locataires Microsoft 365 impose de rattacher chaque flux de données à une base légale explicite. Trois fondements sont généralement mobilisés dans un contexte B2B : l’exécution d’un contrat (lorsque la migration s’inscrit dans une fusion, une cession ou un changement de prestataire), l’obligation légale (notamment pour la conservation des données RH ou financières), et l’intérêt légitime de l’organisation, à condition que celui-ci ne prime pas sur les droits des personnes concernées. La CNIL recommande de formaliser ce choix avant le lancement du projet, car une base légale insuffisante peut invalider rétroactivement le traitement. Selon Microsoft, les organisations soumises à la réglementation doivent consulter les équipes juridiques et de conformité avant de lancer la migration (Source : Microsoft — date non disponible). Cette recommandation vaut en particulier lorsqu’un joint-controller (co-responsable de traitement) est impliqué, ce qui complexifie la répartition des responsabilités.
Cartographier les données et leur classification
La mise en conformité RGPD d’un projet de migration exige une cartographie exhaustive des données transférées. Quatre grandes catégories doivent être distinguées et évaluées selon leur niveau de sensibilité :
| Catégorie de données | Exemples typiques | Niveau de sensibilité RGPD | Précaution prioritaire |
|---|---|---|---|
| Données RH | Fiches de paie, évaluations, données de santé | Élevé à très élevé | Analyse d’impact RGPD (AIPD) obligatoire si données sensibles |
| Données financières | Coordonnées bancaires, factures clients | Élevé | Chiffrement en transit et au repos |
| Données clients | Contacts, historiques d’achat, CRM | Modéré à élevé | Vérification des consentements et des durées de conservation |
| Données sensibles (art. 9) | Données médicales, opinions syndicales | Très élevé | Base légale spécifique + AIPD systématique |
Cette classification alimente directement l’analyse d’impact RGPD pour le projet de migration Microsoft 365, en permettant de hiérarchiser les risques et d’adapter les mesures techniques. Pour les projets impliquant également d’autres référentiels réglementaires, la démarche rejoint celle décrite dans le cadre de la conformité HIPAA lors d’une migration tenant to tenant.
Mettre en place le registre des activités de traitement lié à la migration
Le registre de traitement pour la migration tenant to tenant constitue une obligation légale directe issue de l’article 30 du Règlement (UE) 2016/679. Il doit documenter la finalité de la migration, les catégories de données traitées, les destinataires (y compris le sous-traitant que représente Microsoft en tant que fournisseur cloud), les transferts hors EEE éventuels, et les mesures de sécurité associées. Les obligations du responsable de traitement en cas de migration de tenant imposent également de mettre à jour ce registre dès lors que le périmètre du projet évolue. Cette rigueur documentaire facilite tout contrôle ultérieur de la CNIL et prépare le terrain pour la phase d’évaluation des risques techniques, qui fera l’objet du prochain chapitre.
Garantir la sécurité et la confidentialité des données personnelles lors du transfert
La protection des données personnelles lors d’une migration Microsoft 365 repose sur des mesures techniques et organisationnelles précises, appliquées dès la phase de préparation jusqu’à la finalisation du transfert. Selon Microsoft, la migration de locataire à locataire avec orchestrateur permet de déplacer des données utilisateur et charges de travail entre locataires Microsoft 365 distincts, ce qui implique une exposition temporaire de données qu’il convient de maîtriser rigoureusement. (Source : Microsoft — date non disponible)
Chiffrement et pseudonymisation : les fondations de la sécurité en transit
Les mécanismes de chiffrement et de pseudonymisation dans Microsoft 365 constituent la première ligne de défense pour la sécurité et la confidentialité des données à caractère personnel. Pendant la migration, les données au repos sont protégées par un chiffrement AES 256 bits géré par Microsoft, tandis que les données en transit bénéficient du protocole TLS. La pseudonymisation, qui consiste à remplacer les identifiants directs par des codes ou des alias, réduit l’impact d’une éventuelle fuite lors de la sécurisation des exports et imports de données pendant la migration. Microsoft Purview Information Protection permet d’appliquer des étiquettes de sensibilité sur les fichiers et les e-mails, garantissant que les restrictions d’accès et le chiffrement persistent après le transfert d’un tenant à l’autre.
Gestion des habilitations avec le modèle Zero Trust et Microsoft Entra ID
L’évaluation des risques de sécurité et de confidentialité lors de la migration impose une révision stricte des droits d’accès. Le Zero Trust Security Model applique le principe de « ne jamais faire confiance, toujours vérifier » : chaque accès est authentifié et autorisé de façon granulaire, indépendamment de la localisation de l’utilisateur. Microsoft Entra ID centralise la gestion des identités et permet de définir des politiques d’accès conditionnel, d’activer l’authentification multifacteur et de limiter les comptes de service utilisés pendant la migration au strict nécessaire. Cette approche réduit considérablement la surface d’attaque et répond aux exigences de protection des données personnelles lors d’un changement de tenant.
| Phase | Mesure technique | Outil Microsoft associé |
|---|---|---|
| Préparation | Inventaire et étiquetage des données sensibles | Microsoft Purview Information Protection |
| Transfert | Chiffrement TLS en transit, AES 256 au repos | Microsoft 365 natif |
| Contrôle des accès | Authentification conditionnelle et MFA | Microsoft Entra ID |
| Prévention des fuites | Politiques DLP actives sur les flux de migration | Microsoft Purview DLP |
Minimisation et anonymisation des jeux de test
Les environnements de recette et de test représentent un risque souvent sous-estimé lors d’une migration. L’utilisation de données réelles dans ces environnements expose l’organisation à des violations du RGPD. Les politiques de minimisation imposent de ne traiter que les données strictement nécessaires, tandis que l’anonymisation irréversible des jeux de test garantit qu’aucune donnée à caractère personnel ne circule hors du périmètre de production. Microsoft Purview DLP peut être configuré pour détecter et bloquer tout transfert non autorisé de données sensibles, y compris vers des environnements de test. Pour approfondir les obligations réglementaires sous-jacentes, la documentation officielle sur le RGPD fournit un cadre de référence utile à consulter en parallèle de la configuration technique.
La mise en œuvre cohérente de ces mesures techniques et organisationnelles constitue le socle indispensable d’une migration conforme. Le chapitre suivant abordera la gouvernance documentaire et les obligations de traçabilité qui encadrent l’ensemble de ce processus.
Gérer les droits des personnes concernées (DSR) pendant et après la migration
Pendant une migration Microsoft 365 tenant to tenant, les droits des personnes concernées restent pleinement exigibles : toute demande d’accès, de rectification, d’effacement ou de portabilité doit pouvoir être traitée dans les délais légaux imposés par le RGPD, même lorsque les données sont en transit entre deux environnements. Anticiper ces situations est une composante essentielle de la conformité données personnelles tenant to tenant.
Le droit à la portabilité et les formats électroniques requis
Parmi les droits fondamentaux encadrés par le RGPD, le droit à la portabilité occupe une place particulière dans les migrations cloud. Selon Microsoft, ce droit « permet à un sujet de demander une copie électronique de ses données en format structuré », lisible par machine et facilement transférable (Source : Microsoft — 2025-07-03). Dans le contexte d’une migration, il est donc indispensable de s’assurer que les exports de données restent disponibles aussi bien depuis le tenant source que depuis le tenant cible, notamment pour les fichiers SharePoint, les boîtes Exchange et les données Teams. Les formats JSON, CSV et PST sont couramment utilisés pour répondre à ces exigences dans la gestion des données personnelles dans un contexte de migration.
Répondre aux DSR via Microsoft Purview et Dynamics 365
Microsoft Purview Compliance Manager et Microsoft Purview eDiscovery constituent les deux piliers opérationnels pour traiter les Data Subject Requests (DSR) au sein d’un environnement Microsoft 365. Microsoft Purview eDiscovery permet de localiser rapidement les données personnelles d’un utilisateur à travers les charges de travail (Exchange, SharePoint, Teams, OneDrive), d’en extraire le contenu et de produire un rapport utilisable pour répondre à une demande d’accès ou d’effacement. Dynamics 365 intègre ses propres outils de gestion des DSR pour les données CRM, avec des exports natifs consultables par les administrateurs de conformité.
Lors d’une migration, il est recommandé de maintenir un accès actif à ces outils sur les deux tenants simultanément pendant la phase de transition, afin qu’aucune requête ne soit perdue ou traitée hors délai. La gestion des droits des personnes concernées dans Microsoft Purview doit faire l’objet d’une procédure documentée, intégrée au plan de projet de migration.
| Type de DSR | Outil Microsoft concerné | Action disponible |
|---|---|---|
| Droit d’accès | Microsoft Purview eDiscovery | Recherche et export des données personnelles |
| Droit à l’effacement | Microsoft Purview Compliance Manager | Suppression ciblée de contenus identifiés |
| Droit à la portabilité | Exchange / SharePoint Admin Center | Export en formats structurés (PST, CSV, JSON) |
| DSR CRM | Dynamics 365 | Export et suppression via le portail d’administration |
Traçabilité, logs d’administration et préparation aux audits CNIL
La capacité à répondre à une requête de la CNIL ou à préparer un audit RGPD post-migration repose sur la qualité des logs d’administration conservés tout au long du projet. Les journaux d’audit unifiés de Microsoft 365 enregistrent les actions d’administration, les accès aux boîtes aux lettres et les modifications de permissions, des éléments cruellement nécessaires pour démontrer la traçabilité des traitements. Il convient de vérifier que la rétention des logs est configurée pour couvrir l’ensemble de la période de migration sur les deux tenants, en tenant compte du plan de réponse aux incidents et notification CNIL en cas de fuite. Ces éléments de preuve constituent le socle d’une défense solide en cas de contrôle réglementaire.
La mise en œuvre rigoureuse de ces dispositifs pose les bases d’une gouvernance durable. Le chapitre suivant aborde les exigences contractuelles et de sous-traitance à formaliser pour sécuriser la chaîne de responsabilité RGPD entre les parties prenantes de la migration.
Consolider la conformité post‑migration et préparer l’audit RGPD
Une fois la migration tenant to tenant achevée, la conformité RGPD Microsoft 365 ne s’arrête pas : elle entre dans une phase de consolidation et de vérification continue. Trois axes structurent cette étape : la mise à jour documentaire, la planification d’un audit formel et la gouvernance technique des données dans Microsoft Purview.
Vérifier le registre de traitement et la documentation finale du projet
La première priorité post‑migration est de s’assurer que le registre des activités de traitement reflète fidèlement le nouvel environnement. Chaque flux de données ayant changé de tenant doit être retracé : bases utilisateurs, boîtes aux lettres Exchange, sites SharePoint, données Teams. Le DPO doit valider que les finalités, les durées de conservation et les sous‑traitants éventuels (notamment Microsoft en qualité de Data Processor) sont correctement documentés. Cette mise à jour est indispensable pour répondre à toute demande de l’autorité de contrôle ou à une demande de droit d’accès d’un utilisateur. À ce titre, selon Microsoft, les administrateurs peuvent exporter les logs système générés via Microsoft Data Log Export pour répondre aux demandes DSR RGPD (Source : Microsoft — 2026-04-08). Cette capacité d’export doit être testée et documentée dans le plan de réponse aux droits des personnes concernées.
Planifier un audit de conformité et une AIPD post‑migration
La mise en conformité RGPD d’un projet de migration M365 implique de programmer un audit structuré dans les semaines suivant la bascule. Cet audit, idéalement conduit par le DPO accompagné d’un référent technique, vérifie que les paramètres de sécurité hérités n’ont pas été altérés, que les droits d’accès sont restreints selon le principe du moindre privilège et que les journaux d’audit sont actifs dans le Microsoft 365 Security & Compliance Center. Si la migration a impliqué un traitement à grande échelle ou des données sensibles, une Analyse d’Impact relative à la Protection des Données (AIPD) post‑migration est recommandée par l’EDPB pour confirmer l’absence de risques résiduels non traités. Les référentiels ISO 27001 peuvent utilement guider la structuration des contrôles techniques à vérifier.
| Contrôle | Outil Microsoft 365 | Fréquence recommandée |
|---|---|---|
| Score de conformité | Microsoft Purview Compliance Manager | Mensuelle |
| Journaux d’audit | Microsoft 365 Security & Compliance Center | Hebdomadaire |
| Droits d’accès | Entra ID – révision des rôles | Trimestrielle |
| Réponse aux DSR | Microsoft Data Log Export | À la demande |
Formaliser la gouvernance avec Microsoft Purview
La gouvernance durable des données repose sur la configuration de politiques de rétention et de labels de confidentialité dans Microsoft Purview. Les contrôles de conformité via Microsoft Purview Compliance Manager permettent de suivre l’évolution du score de conformité et d’affecter des actions correctives à des responsables identifiés. La politique de rétention et conformité eDiscovery pour les données RGPD doit couvrir l’ensemble des charges de travail migrées : Exchange Online, SharePoint, OneDrive et Teams. La préparation d’un audit RGPD post‑migration s’appuie sur ces politiques pour prouver, preuves à l’appui, que les données sont traitées, conservées et supprimées selon les durées légales. Pour approfondir les exigences réglementaires applicables, la documentation officielle de référence est disponible sur Microsoft Learn – RGPD.
La gouvernance mise en place après la migration constitue le socle sur lequel repose la capacité de l’organisation à démontrer sa conformité dans la durée, et non uniquement au moment du projet.
Conclusion
Assurer la conformité RGPD lors d’une migration Microsoft 365 tenant to tenant repose sur une démarche structurée, documentée et continue. La protection des données personnelles lors d’un changement de tenant ne s’improvise pas : elle s’anticipe à chaque étape du projet.
La documentation constitue le socle indispensable. Chaque décision technique, chaque transfert de données et chaque mesure de sécurité doit être consignée pour constituer une preuve de conformité opposable lors d’une préparation d’un audit RGPD post-migration. Le DPO doit être impliqué dès le début et tout au long du cycle, en lien étroit avec les équipes IT et métiers.
Les contrôles de conformité via Microsoft Purview permettent un suivi de conformité continue Microsoft 365 grâce à des tableaux de bord centralisés, des politiques de rétention et des alertes automatisées. Ces outils, combinés au Zero Trust Security Model et aux référentiels tels qu’ISO 27701, renforcent durablement la gouvernance des données. Selon Microsoft, Office 365 supporte la portabilité en offrant des applications qui sauvegardent en format natif machine-readable, facilitant ainsi les droits des personnes concernées (Source : Microsoft — 2025-07-03). Des audits réguliers et la mise à jour systématique du registre RGPD garantissent que la conformité RGPD pour la migration Microsoft 365 reste effective bien au-delà du jour J.
