Guide de conformité et de résidence des données pour le traitement intelligent
État : 03.09.2025 • Temps de lecture : ~12 minutes
Ce guide explique comment Smart Processing utilise des services AI externes, quelles exigences de conformité sont pertinentes selon le pays/région et comment vous pouvez respecter les exigences grâce à la fourniture régionale (résidence des données) et aux options configurables.
Remarque importante (pas de conseils juridiques)
Cet article ne constitue pas un conseil juridique. Vérifiez les exigences avec votre département juridique/de protection des données et concluez les contrats nécessaires (par exemple, DPA, SCCs) avec vos sous-traitants/sous-processeurs.
Aperçu : Quels services AI externes utilise Smart Processing ?
Smart Processing peut – selon le flux de travail configuré – utiliser les services Microsoft suivants :
| Objectif | Service | Principales déclarations concernant le traitement des données |
|---|---|---|
| Classification/Extraction (documents) | Azure AI Document Intelligence | Traitement dans la région de votre emplacement de ressources de service ; les entrées/résultats sont temporairement stockés de manière cryptée et supprimés dans les 24 heures. Les modèles personnalisés restent dans votre région/abonnement. (Microsoft Learn) |
| Classification/Extraction (générique, multimodal) | Azure AI Content Understanding | Traitement dans la région de l'emplacement des ressources de compréhension de contenu ; les données sont temporairement stockées de manière cryptée dans Azure Storage et peuvent être transmises à Azure OpenAI pour un traitement ultérieur (dans le cadre du service). (Microsoft Learn) |
| Modèle AI génératif / Logique de correspondance | Azure OpenAI Service | Les prompts/outputs ne sont pas utilisés pour l'entraînement des modèles OpenAI ou Azure ; traitement dans la géographie choisie (sauf pour les déploiements Global/DataZone, voir ci-dessous) ; journaux de surveillance des abus optionnels, accès aux données spécifiques à la région. (Microsoft Learn) |
Recommandation
Créez toutes les ressources AI (OpenAI, Document Intelligence, Content Understanding) dans la géographie cible où vos données doivent rester (par exemple, UE). Pour une résidence des données stricte, n'utilisez pas de déploiements Globaux (voir ci-dessous). (Microsoft Learn, Microsoft Azure)
Flux de données & types de données dans Smart Processing
| Type de données | Exemples | Flux typique |
|---|---|---|
| Contenu de document | PDF, image, pièce jointe d'e-mail, XML | Téléchargement → Classification/Extraction (DI/CU) → Résultats renvoyés dans BC ; traitement régional pour DI/CU, stockage temporaire, suppression dans les délais. (Microsoft Learn) |
| Champs/Metadata extraits | Champs d'en-tête/de ligne, montants, IDs | Retour à Smart Processing ; utilisation dans des modèles/correspondances ; Archivage optionnel dans Document Central. |
| Prompts/Outputs AI | Suggestions d'appariement, conseils de validation | Traité par Azure OpenAI ; aucun but d'entraînement ; traitement dans la géographie choisie (aucun transfert de données vers OpenAI.com). (Microsoft Learn) |
| Journaux/Diagnostics | Statut, erreurs, surveillance des abus | Côté service (Azure), stockage/revue temporaire en cas de soupçon ; options pour désactiver/ajuster disponibles. (Microsoft Learn) |
Rôles & responsabilités (modèle GDPR typique)
- Votre entreprise : Responsable (Controller) des données personnelles traitées.
- Solution Simova/Smart Processing : Sous-traitant (Processor) au sein de votre environnement BC.
- Microsoft (services Azure) : Sous-sous-traitant, fournissant les fonctions AI configurées (Azure OpenAI, DI, CU).
- Contrats & garanties : Concluez/vérifiez les DPA (Microsoft Products and Services DPA) et pour les transferts de données vers des pays tiers, les clauses contractuelles types (SCCs). (Microsoft Learn, Commission européenne)
Région & résidence des données : comment garder les données « à la maison »
Principe Azure
La plupart des services Azure vous permettent de définir la région/geo pour le stockage et le traitement. Microsoft ne stocke/traite pas les données clients en dehors de la geo choisie, sauf pour la résilience au sein de cette geo. (Microsoft Azure)
Spécificités de l'UE
Avec la Microsoft EU Data Boundary, les données clients et données personnelles pour les services en ligne d'entreprise de Microsoft (y compris Azure, Dynamics 365) sont traitées/stokées au sein de l'UE. (Microsoft Learn, Microsoft)
Points spécifiques aux services
-
Azure OpenAI
-
Prompts/Outputs non utilisés à des fins d'entraînement, aucun transfert vers OpenAI.com ; traitement dans votre géographie, sauf pour les déploiements Globaux ou DataZone (dans ce cas, traitement dans la zone respective, les données au repos restent dans votre geo). (Microsoft Learn)
-
Option de désactiver/ajuster la journalisation de la surveillance des abus (sur demande) ; pour les déploiements EEE, les éventuelles revues humaines sont effectuées par des employés dans l'EEE. (Microsoft Learn)
-
Document Intelligence
-
Traitement dans la région de la ressource ; stockage temporaire (régional) pour analyse asynchrone ; suppression dans les 24 h ; les modèles personnalisés restent dans votre région/abonnement. (Microsoft Learn)
-
Content Understanding
-
Traitement dans la région ; les données sont temporairement cryptées dans Azure Storage et ensuite traitées dans le cadre du service (y compris Azure OpenAI). Veuillez noter les restrictions/régions de prévisualisation. (Microsoft Learn)
Cadre juridique (sélection)
| Juridiction | Thème central | Importance pour vous |
|---|---|---|
| UE (GDPR) | Transferts de données vers des pays tiers | Utilisez des SCCs/garanties appropriées ; vérifiez les DPA et l'évaluation d'impact sur le transfert. (Commission européenne) |
| UE (AI Act) | Application progressive (premiers interdits 02.02.2025, obligations complètes 02.08.2026) | Vérifiez si vos cas d'utilisation sont à haut risque et si les obligations de transparence GPAI s'appliquent. (DLA Piper, Stratégie numérique de l'Europe) |
| Royaume-Uni (UK GDPR) | Transferts internationaux | Utilisez IDTA/Addendum et BCRs pour les transferts vers des pays tiers. (ICO) |
| Suisse (nFADP) | Droit de la protection des données révisé depuis 01.09.2023 | Vérifiez les obligations d'information, DSFA, traitement des commandes, transferts vers des pays tiers. (KMU.admin.ch) |
| États-Unis (Californie, CCPA/CPRA) | Droits des personnes concernées/Opt-out | Veuillez respecter les obligations d'information, les demandes de suppression, les mécanismes d'opt-out (le cas échéant). (Ministère de la Justice de Californie, cppa.ca.gov) |
Liste de contrôle de configuration (recommandée)
- Définir le choix de la région
- Créez toutes les ressources AI (OpenAI, DI, CU) dans la geo cible (par exemple, UE). Évitez « Global » pour une résidence des données stricte ; n'utilisez DataZone que si la zone correspond à votre conformité. (Microsoft Learn, Microsoft Azure)
- Minimisation des données
- Ne capturer que les champs nécessaires ; masquer/écraser les champs sensibles, si possible.
- Vérifier la surveillance des abus (Azure OpenAI)
- Vérifiez le statut de journalisation et – si approuvé – désactivez/ajustez ; documentez le paramètre. (Microsoft Learn)
- Chiffrement & gestion des clés
- Standard : TLS 1.2+ en transit, AES-256 au repos ; utilisez CMK en option, si disponible. (Microsoft Learn)
- Délais de suppression & conservation
- DI : suppression automatique généralement dans les 24 heures ; OpenAI/BC-Copilot : stockage temporaire possible (par exemple, surveillance des abus jusqu'à 24 h) – documentez en interne. (Microsoft Learn)
- Sécurisation contractuelle
- DPA (Microsoft), SCCs pour les transferts vers des pays tiers, contrats de traitement des commandes avec des partenaires. (Microsoft Learn, Commission européenne)
- Utiliser la frontière de données de l'UE (si portée UE)
- Vérifiez si tous les services Microsoft utilisés relèvent de la frontière de données de l'UE. (Microsoft Learn, Microsoft)
Questions fréquentes (FAQ)
Nos données sont-elles utilisées pour l'entraînement ?
Avec Azure OpenAI, les Prompts/Outputs/Embeddings ne sont pas utilisés pour l'entraînement des modèles OpenAI ou Azure et ne sont pas accessibles à d'autres clients ou à OpenAI. (Microsoft Learn)
Les documents restent-ils dans l'UE si nous utilisons des ressources de l'UE ?
Document Intelligence et Content Understanding traitent dans la région de la ressource ; Azure OpenAI traite dans la géographie choisie (veillez aux déploiements Globaux/DataZone). (Microsoft Learn)
Comment abordons-nous les transferts vers l'UE sur le plan juridique ?
Utilisez des SCCs/garanties appropriées pour les pays tiers ; au Royaume-Uni, utilisez IDTA/Addendum. (Commission européenne, ICO)
Simova GmbH stocke-t-elle des données ?
Non. Nous ne traitons aucune donnée en dehors de votre environnement Business Central.