L’ID d’abonnement Azure, l’ID de locataire AAD et l’ID client de l’application AAD sont-ils considérés comme des secrets/données personnelles ?
En définitive, vous devriez déterminer ce qu’il faut journaliser et comment, d’un point de vue conformité/confidentialité/sécurité, en vous basant sur des examens officiels et des certifications de conformité/confidentialité/sécurité au sein de votre entreprise ou par des tiers.
Cet avertissement étant posé :
-
L’ID de locataire et l’ID client de l’application ne sont généralement pas considérés comme des données personnelles ni comme des secrets.
-
Pas des données personnelles car, seuls, ils ne vous diront pas qui est l’utilisateur.
-
Pas des secrets car ils sont très faciles à obtenir. Toute personne tentant de se connecter à votre application sera exposée à ces identifiants car ils sont inclus dans la requête d’autorisation.
-
L’ID d’abonnement Azure n’est généralement pas considéré comme une donnée personnelle, bien que selon votre sensibilité, il puisse être considéré comme un secret.
-
Pas une donnée personnelle car, seul, il ne vous dit pas qui est l’utilisateur.
-
Pourrait être un secret car il n’est pas facilement disponible publiquement pour tout le monde. Pourrait être considéré comme N’ÉTANT PAS un secret car rien ne peut être fait avec sans avoir également un jeton d’un utilisateur ou d’une application autorisé(e).
Notez que certaines entreprises et examens de confidentialité considèrent souvent ces 3 points de données comme des informations identifiables d’organisation (OII) et ont parfois des politiques de traitement pour celles-ci (moins strictes que pour les données personnelles cependant).