Centre du règlement général sur la protection des données (RGPD)
Conformité au RGPD lors de l'utilisation des services AWS
Le Règlement européen général sur la protection des données (RGPD) protège les droits fondamentaux des résidents l'Union européenne (UE) en matière de respect de la confidentialité et de protection des données personnelles. Le RGPD intègre des exigences très strictes qui améliorent et uniformisent les normes de protection, de sécurité et de conformité des données. Pour en savoir plus, consultez notre FAQ sur le RGPD ci-dessous.
conformément au RGPD, les clients AWS peuvent utiliser tous les services AWS pour traiter les données personnelles (telles que définies dans le RGPD) qui sont téléchargées vers les services AWS de leurs comptes AWS (données client). Outre notre propre conformité, AWS s'engage à offrir des services et des ressources à nos clients pour leur permettre de respecter les exigences RGPD susceptibles de s'appliquer à leurs activités. De nouvelles fonctions sont lancées régulièrement et AWS propose plus de 500 fonctions et services axés sur la sécurité et la conformité. Pour en savoir plus sur les activités d'AWS, lisez notre blog How AWS is helping EU customers navigate the new normal for data protection.
Contrôle des clients
Les clients contrôlent leurs données client. Avec AWS, les clients peuvent :
- Déterminer l'emplacement de stockage de leurs données (type et région géographique du stockage).
- Choisir l'état de sécurisation de leurs données. Nous proposons à nos clients le chiffrement avancé de leurs données en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.
- Gérer l'accès à leurs données et aux services et ressources AWS via des utilisateurs, groupes, autorisations et informations d'identification qu'ils contrôlent eux-mêmes.
Transferts depuis l'Espace économique européen (EEE)
Conformément au RGPD, les clients AWS peuvent continuer d'utiliser les services AWS pour transférer des données client depuis l'EEE vers des pays non membres de l'EEE n'ayant pas reçu une décision d'adéquation de la part de la Commission européenne (États-Unis inclus). Chez AWS, notre plus grande priorité est de protéger les données des clients. Ainsi, nous mettons en œuvre des mesures techniques et organisationnelles rigoureuses pour assurer leur confidentialité, leur intégrité et leur disponibilité, quelle que soit la région AWS choisie par un client. Nous sommes conscients du fait que la transparence est essentielle aux yeux de nos clients. C'est pourquoi nous répertorions les services AWS qui impliquent un transfert de données client sur notre page Web Fonctions de la confidentialité.
Face à l'évolution du cadre règlementaire et législatif, nous ne cesserons jamais de travailler pour nous assurer que nos clients puissent continuer à profiter des avantages des services AWS, où qu'ils soient. Pour en savoir plus, consultez la mise à jour pour les clients sur le bouclier de protection des données UE – États-Unis (français non garanti), nos billets de blog sur l'addendum supplémentaire au DPA d'AWS(français non garanti) et le code de conduite du CISPE sur la protection des données (français non garanti) pour de plus amples informations.
Ressources liées au RGPD
FAQ du RGPD
Présentation et notions de base du RGPD
-
Qu'est-ce que le RGPD ?
Le Règlement général sur la protection des données (RGPD) est une réglementation européenne relative à la protection de la vie privée qui est entrée en vigueur le 25 mai 2018. Le RGPD a remplacé la Directive de l'UE sur la protection des données personnelles, aussi appelée Directive 95/46/CE, et visait l'harmonisation des législations relatives à la protection des données dans l'ensemble de l'Union européenne (UE) en votant une loi unique sur la protection des données personnelles, obligatoire et directement applicable dans tout État membre.
-
À qui s'applique le RGPD ?
Le RGPD s'applique à toutes les organisations établies dans l'UE et à celles établies ou non dans l'UE, qui traitent les données à caractère personnel des personnes concernées dans le cadre de l'offre de biens ou de services aux personnes concernées dans l'UE ou du suivi du comportement qui a lieu au sein de l'UE. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable. Cela inclut les noms, les adresses e-mail et les numéros de téléphone.
-
Est-ce qu'AWS est un sous-traitant ou un responsable du traitement dans le cadre du RGPD ?
AWS tient les rôles de sous-traitant et de responsable du traitement dans le cadre du RGPD.
- AWS en tant que sous-traitant : lorsque les clients utilisent les services AWS pour traiter des données personnelles dans le contenu qu'ils téléchargent vers les services AWS, AWS agit comme sous-traitant. Les clients peuvent utiliser les contrôles disponibles dans les services AWS, notamment les contrôles de configuration de sécurité, afin de gérer les données personnelles. Dans ces circonstances, le client peut agir lui-même comme responsable du traitement ou comme sous-traitant, tandis qu'AWS prend le rôle de sous-traitant. AWS offre un addendum sur le traitement des données (français non garanti) (DPA AWS) conforme au RGPD qui inclut les engagements d'AWS en tant que responsable de traitement. Le DPA d'AWS, qui comprend des clauses contractuelles standards, fait partie des Conditions de service AWS. Il est disponible (français non garanti) automatiquement (français non garanti) pour tous les clients qui en ont besoin pour se conformer au RGPD.
- AWS en tant que responsable du traitement : lorsqu'AWS collecte des données personnelles et détermine les finalités et les moyens du traitement de ces données personnelles (par exemple, lorsqu'AWS stocke des informations de compte, telles que les adresses e-mail fournies durant l'inscription du compte, pour l'enregistrement du compte, l'administration, l'accès aux services ou des informations de contact pour le compte AWS afin de fournir une assistance par des activités de service clientèle), il agit comme responsable du traitement. Consultez la Politique de confidentialité AWS pour en savoir plus sur la façon dont AWS traite les données personnelles en tant que responsable du traitement.
-
Que sont les clauses contractuelles types (SCC) ?
Les SCC sont un mécanisme de transfert de données pré-approuvé en vertu du RGPD, applicable dans tous les États membres de l'UE, qui permet le transfert légal de données personnelles vers des pays en dehors de l'Espace économique européen n'ayant pas reçu de décision d'adéquation de la part de la Commission européenne (pays tiers).
-
Comment AWS intègre-t-elle les SCC dans le DPA du RGPD d'AWS avec les clients ?
Les Conditions de service AWS (français non garanti) incluent les SCC adoptées par la Commission européenne (CE) en juin 2021, et le DPA d'AWS confirme que les SCC s'appliqueront automatiquement chaque fois qu'un client AWS utilise les services AWS pour transférer des données clients vers des pays hors de l'Espace économique européen n'ayant pas reçu de décision d'adéquation de la CE (pays tiers). Dans le cadre des Conditions de service AWS, les nouvelles SCC s'appliqueront automatiquement chaque fois qu'un client utilise les services AWS pour transférer des données clients vers des pays tiers. Les clients qui ont signé un DPA d'AWS peuvent continuer de s'appuyer sur ce dernier, car les nouvelles SCC des Conditions de service AWS remplacent les précédentes versions des SCC. Les clients peuvent donc être assurés que toutes les données client, qu'ils transfèrent vers des pays tiers utilisant les services AWS, bénéficient du même niveau élevé de protection que les données clients reçoivent dans l'EEE. Pour plus d'informations, consultez le billet de blog sur la mise en œuvre des nouvelles clauses contractuelles standards (français non garanti).
AWS et la conformité au RGPD suivent l'arrêt Schrems II et les recommandations du Comité européen de la protection des données (EDPB)
-
Qu'est-ce que l'arrêt Schrems II et les recommandations du Comité européen de la protection des données ?
Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a émis un arrêt concernant le transfert des données personnelles des résidents européens depuis l'EEE (Schrems II). Dans l'arrêt Schrems II, la CJUE a jugé que le bouclier de protection des données UE – États-Unis ne représentait plus un mécanisme valable pour transférer les données personnelles depuis l'EEE vers les États-Unis. Toutefois, dans le même arrêt, la CJUE a confirmé que, sous réserve à l'implémentation des mesures supplémentaires, le cas échéant, les entreprises peuvent continuer à utiliser des clauses contractuelles standard en tant que mécanisme valable pour transférer des données personnelles depuis l'EEE. Le Comité européen de la protection des données (EDPB), un organisme européen composé de représentants des autorités nationales de protection des données, a depuis fournit une liste non exhaustive de mesures supplémentaires dans ses « Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l'UE » (Recommandations de l'EDPB).
Les recommandations de l'EDPB fournissent aux exportateurs de données des exemples de mesures supplémentaires susceptibles d'être mises en place. Consultez la FAQ « Puis-je continuer à utiliser les services AWS à la suite du jugement Schrems II ? » ci-dessous pour en savoir plus sur les ressources de transfert de données AWS.
-
Puis-je continuer à utiliser les services AWS à la suite du jugement Schrems II ?
Oui, les clients AWS peuvent continuer d'utiliser les services AWS pour transférer des données client depuis l'Europe vers des pays non membres de l'EEE n'ayant pas reçu une décision d'adéquation de la part de la Commission européenne. L'arrêt Schrems II a validé l'utilisation des clauses contractuelles standard en tant que mécanisme de transfert des données client en dehors de l'EEE, et les clients AWS peuvent continuer à se fier aux clauses contractuelles standard (CCS) pour le transfert de données client en dehors de l'EEE conformément au RGPD.
- Lieu de traitement. Les clients sélectionnent la région AWS dans laquelle ils souhaitent stocker leurs données client. Vous pouvez consulter la présentation des régions AWS disponibles dans la section Régions et zones de disponibilité. AWS ne traitera pas les données client en dehors de la région AWS sélectionnée par le client, sauf si cela s'avère nécessaire pour fournir les services AWS exécutés par le client ou bien encore pour se conformer à la loi ou à une décision contraignante d'un organisme gouvernemental. Consultez notre page web Fonctions de la confidentialité pour en savoir plus sur les transferts de données dans le cadre des services AWS.
- Sous-traitants. AWS peut avoir recours à des sous-traitants, c'est-à-dire des affiliés AWS ou des tiers, pour aider au traitement des données client, pour remplir nos obligations envers les clients dans le cadre du DPA d'AWS ou pour fournir des services en notre nom. Consultez la Questions fréquentes (FAQ) « Est-ce qu'AWS a recours à des sous-traitants pour traiter les données client ? » ci-dessous pour en savoir plus.
- Outils de transfert. Depuis que l'arrêt Schrems II a validé l'utilisation des clauses contractuelles standards (CCS) comme mécanisme de transfert de données dans des pays situés hors de l'EEE n'ayant pas reçu une décision d'adéquation de la part de la Commission européenne, nos clients peuvent continuer à se fier aux CCS incluses dans le DPA d'AWS (français non garanti) s'ils choisissent de transférer leurs données en dehors de l'EEE conformément au RGPD.
- Mesures supplémentaires.
- Contrôle des clients. Les clients possèdent et contrôle leurs données client en permanence, grâce à des outils simples et puissants qui leur permettent de déterminer si leurs données client doivent être stockées, de sécuriser leurs données client en transit et au repos, de gérer les accès utilisateur à leur ressources AWS ainsi que de modifier, supprimer et récupérer les données client.
- Mesures techniques et organisationnelles. AWS met en œuvre un système élaboré responsable de processus et de contrôles techniques et physiques, visant à éviter tout accès ou toute divulgation non autorisé(e) des données des clients (consultez la page Web Conformité AWS pour en savoir plus). Nous fournissons également plusieurs services avancés de chiffrement et de gestion des clés, dont des services qui permettent aux clients de gérer leurs propres clés. Les clients peuvent utiliser ces services pour protéger leurs données client en transit et au repos. Sans les clés de déchiffrement applicables, les données client chiffrées sont inaccessibles. Que les données client soient chiffrées ou non, nous ne cesserons jamais de travailler avec vigilance pour protéger les données client des accès non autorisés.
- Demandes des forces de l'ordre. AWS dispose de processus internes visant à traiter les demandes que nous recevons des forces de l'ordre. Lorsque nous recevons une demande de données client émanant des forces de l'ordre, nous l'examinons avec soin pour en authentifier l'exactitude et pour vérifier qu'elle est appropriée et conforme à la loi applicable. Sauf si nous avons l'interdiction légale de le faire, AWS notifie les clients avant de divulguer leurs données clients afin qu'ils puissent prendre de nouvelles mesures et obtenir une protection contre la divulgation. Dans l'addendum supplémentaire au DPA d'AWS (addendum supplémentaire), AWS renforce ses engagements contractuels qui visent à traiter des demandes de données client émanant du gouvernement, notamment en s'engageant à (i) utiliser toutes les mesures raisonnables pour rediriger l'organisme gouvernemental qui demande ces données vers le client pertinent, (ii) informer le client dans les plus brefs délais de cette demande si nous avons l'autorisation légale de le faire, y compris en utilisant toutes les mesures raisonnables et légales pour obtenir une dérogation à l'interdiction, si nécessaire, (iii) contester les demandes excessives ou inappropriées, y compris lorsque la demande est en conflit avec la règlementation de l'Union européenne, et (iv) si, après avoir accompli toutes les étapes susmentionnées, AWS est toujours dans l'obligation de divulguer des données client pour répondre à une demande du gouvernement, ne divulguer que la quantité minimum de données client nécessaire pour satisfaire la demande.
- Mesures contractuelles. AWS prend plusieurs engagements contractuels envers les mesures décrites ci-dessus. Ces engagements se reflètent dans le DPA d'AWS et dans l'addendum supplémentaire. Le DPA d'AWS et l'addendum supplémentaire incluent des engagements contractuels de la part d'AWS en ce qui concerne (1) les régions AWS choisies par les clients pour stocker et traiter leurs données, (2) les mesures techniques et organisationnelles qu'AWS a implémenté pour protéger l'infrastructure AWS ainsi que les mesures techniques et organisationnelles que les clients peuvent choisir d'appliquer pour protéger leurs données client, (3) les mesures d'AWS visant à protéger les données client et à informer les clients au cas où un organisme gouvernemental demande à obtenir des données, et (4) la capacité d'AWS à respecter ses obligations telles qu'énoncées dans le DPA d'AWS conformément à la législation applicable du pays tiers dans lequel les données client sont traitées. L'addendum supplémentaire contient également (5) les droits statutaires des personnes pour réclamer des indemnisations en cas de violation de leurs droits qui leur sont accordées par le RGPD.
- Lieu de traitement. Les clients sélectionnent la région AWS dans laquelle ils souhaitent stocker leurs données client. Vous pouvez consulter la présentation des régions AWS disponibles dans la section Régions et zones de disponibilité. AWS ne traitera pas les données client en dehors de la région AWS sélectionnée par le client, sauf si cela s'avère nécessaire pour fournir les services AWS exécutés par le client ou bien encore pour se conformer à la loi ou à une décision contraignante d'un organisme gouvernemental. Consultez notre page web Fonctions de la confidentialité pour en savoir plus sur les transferts de données dans le cadre des services AWS.
-
Est-ce qu'AWS a recours à des sous-traitants pour traiter les données client ?
Oui, AWS peut utiliser trois types de sous-traitants : (1) les entités AWS qui fournissent l'infrastructure sur laquelle les services AWS fonctionnent ; (2) les entités AWS qui prennent en charge des services AWS spécifiques pour lesquels elles peuvent être amenées à traiter les données des clients ; et (3) les tiers avec lesquels AWS a passé un contrat pour fournir des activités de traitement pour des services AWS spécifiques. La page Web Sous-traitants AWS (français non garanti) contient plus d'informations sur les sous-traitants qu'AWS engage conformément au DPA d'AWS afin de fournir des activités de traitement sur les données client au nom des clients. Les sous-traitants pouvant répondre aux besoins des clients varient selon la Région AWS qu'un client sélectionne et les services AWS que le client utilise.
-
Quelle Aide AWS apporte-t-il au client qui effectue des évaluations de transfert de données?
Le livre blanc d’AWS, Comprendre et assurer la conformité aux exigences en matière de transfert des données en vigueur dans l’UE fournit des informations sur les services et ressources qu’offre AWS à ses clients afin de les aider à effectuer des évaluations de transfert de données dans le cadre de l’arrêt « Schrems II » et des recommandations du Conseil européen de la protection des données qui en découlent. Le livre blanc décrit également les mesures supplémentaires principales qui ont été prises et mises à disposition par AWS pour protéger les données des clients.
-
Comment prouver à une autorité de la protection des données que mes services AWS sont conformes au RGPD ?
AWS offre des informations utiles aux clients, notamment plusieurs rapports de conformité réalisés par des auditeurs tiers, qui ont vérifié la conformité d'AWS avec un large nombre de normes et de règlementation de sécurité, afin de certifier les hauts niveaux de conformité maintenus par AWS pour son infrastructure. Ces rapports montrent à nos clients que nous protégeons les données client qu'ils ont choisi de traiter dans AWS. La conformité d'AWS aux normes ISO 27001, 27017 et 27018 sont de bons exemples de cette situation. ISO 27018 contient des contrôles de sécurité qui se concentrent sur la protection des données client.
AWS est également conforme au code de conduite CISPE pour la protection des données. Vous trouverez plus d'informations sur le Code de Conduite CISPE dans la section des questions fréquentes (FAQ) ci-dessous, « AWS se conforme-t-il à un code de conduite approuvé par le RGPD et spécifique aux services d'infrastructure cloud ? »
-
AWS se conforme-t-il au code de conduite CISPE approuvé par le RGPD et spécifique aux services d'infrastructure cloud ?
Oui. En juin 2023, 107 services AWS étaient conformes au code de conduite relatif à la protection des données des fournisseurs de services d'infrastructure cloud en Europe (CISPE). CISPE est une association de leaders du cloud computing au service de millions de clients européens. Le code de conduite de la protection des données du CISPE (code CISPE) est le premier code de conduite paneuropéen sur la protection des données centré sur les fournisseurs de services d'infrastructure cloud. Le code du CISPE a été approuvé par le Comité européen de la protection des données représentant les 27 autorités chargées de la protection des données en Europe, et formellement adopté par l'autorité française de la protection des données, la CNIL, agissant en tant qu’autorité principale de contrôle. En 2017, AWS avait annoncé sa conformité avec une version antérieure du code CISPE.
Le code CISPE aide les clients à s'assurer que leur fournisseur de services d'infrastructure cloud offre des garanties opérationnelles appropriées pour démontrer la conformité au RGPD et protéger les données des clients. Voici quelques-uns des atouts de ce code CISPE :
- Centré sur l’infrastructure cloud : clarification du rôle du fournisseur de services d'infrastructure cloud en vertu du RGPD en ce qui concerne le traitement des données du client, c'est-à-dire toute donnée personnelle traitée au nom du client utilisant le service d'infrastructure cloud.
- Données en Europe : oblige les fournisseurs de services d'infrastructure cloud à donner aux clients le choix d’utiliser des services pour stocker et traiter les données des clients exclusivement dans l'Espace économique européen (EEE).
- Confidentialité des données : le code CISPE garantit aux organisations que leurs fournisseurs de services d’infrastructure cloud répondent aux exigences applicables au traitement des données personnelles en leur nom (données client) en vertu du RGPD.
Le certificat de conformité prouvant le statut de conformité d'AWS est disponible dans le registre public CISPE. La conformité des services AWS répertoriés au code CISPE a été vérifiée de manière indépendante. Le processus de vérification a été mené par Ernst & Young CertifyPoint (EY CertifyPoint), un organisme de surveillance indépendant reconnu dans le monde entier accrédité par la CNIL.
Mesures techniques et organisationnelles
-
Comment le RGPD affecte-t-il le modèle de responsabilité partagée d'AWS ?
Le RGPD ne change pas le modèle de responsabilité partagée d'AWS qui reste valable pour les clients. Le modèle de responsabilité partagée est une approche pratique pour illustrer les responsabilités différentes d'AWS (en tant que sous-traitant) et les clients (en tant que responsables du traitement ou sous-traitants) dans le cadre de la RGPD.
Dans le modèle de responsabilité partagée, AWS est responsable de la sécurisation de l'infrastructure sous-jacente qui prend en charge les services AWS (« la sécurité DU cloud »). Les clients ayant le rôle de responsable du traitement ou de sous-traitant, sont responsables de toutes les données personnelles qu'ils téléchargent vers les services AWS (« la sécurité DANS le cloud »).
Responsabilité d'AWS pour la « sécurité du cloud » : AWS est responsable de la protection de l'infrastructure mondiale exécutant tous les services AWS. Cette infrastructure est composée de matériel, de logiciels, de mises en réseau et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients, notamment des contrôles de configuration de la sécurité pour la gestion du contenu client. AWS fournit différents rapports de conformité de la part d'auditeurs tiers qui ont vérifié sa conformité avec une large gamme de normes et de règlementations de sécurité informatique (pour en savoir plus, consultez la page Web Conformité AWS). Ces rapports montrent à nos clients que nous protégeons les données client. La conformité d'AWS aux normes ISO 27001, 27017 et 27018 sont de bons exemples. ISO 27018 contient des contrôles de sécurité qui se concentrent sur la protection des données client.
Responsabilité des clients pour la « sécurité dans le cloud » : les clients AWS sont responsables de la création de l'architecture et de la sécurisation des applications et des solutions qu'ils choisissent de déployer sur les services AWS. Les clients AWS sont également responsables de la configuration des services AWS de manière à protéger la confidentialité, l'intégrité et les exigences de sécurité de leurs données client. Les responsabilités spécifiques que les clients ont quant à la sécurisation de leurs données client varient selon les services AWS qui les clients choisissent d'utiliser et de la façon dont ces services sont intégrés aux environnements informatiques des clients. Les clients AWS disposent d'une visibilité et d'un contrôle sur leurs données client, et ils peuvent implémenter des contrôles de sécurité flexibles en fonctions de la sensibilité du type des données client. Les clients peuvent faire cela en utilisant leurs propres outils et mesures de sécurité, ou en utilisant les outils et mesures de sécurité qu'AWS ou d'autres fournisseurs mettent à la disposition des clients. Ainsi, les clients peuvent mettre en place des niveaux de sécurité supplémentaires pour les données client les plus sensibles.
AWS met à disposition de ses clients des produits, des outils et des services pouvant être utilisés pour créer l'architecture et sécuriser leurs applications et leurs solutions, et pouvant être déployés pour les aider à gérer les exigences du GPD, dont :
- AWS Identity and Access Management (IAM) permet aux organisations de contrôler de façon sécurisée l'accès aux services et ressources AWS. En utilisant IAM, les clients peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
- AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions dans AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
- Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes AWS et vos charges de travail. Il surveille les activités pouvant indiquer un compte possiblement compromis, comme des appels d'API inhabituels ou des déploiements potentiellement non autorisés. GuardDuty détecte également des instances potentiellement compromises ou des opérations de reconnaissance par des attaquants.
- Amazon Macie est un outil de machine learning permettant de faciliter la détection et la classification des données personnelles stockées dans Amazon S3.
Consultez notre livre blanc, Assurer la conformité au RGPD sur AWS, pour en savoir plus sur l'utilisation des ressources AWS conformément aux RGPD.
-
Les partenaires AWS proposent-ils des produits et services visant à se conformer au RGPD ?
Oui, vous pouvez rechercher « RGPD » dans l'outil AWS Partner Solutions Finder pour les aider à trouver des fournisseurs indépendants de logiciels (ISV), des fournisseurs de services gérés (MSP) et des partenaires intégrateurs de systèmes (SI) proposant des produits et des services destinés à aider à respecter la conformité au RGPD. Les clients peuvent également rechercher des solutions « RGPD » sur AWS Marketplace.
-
AWS offre-t-il des services professionnels pour aider à atteindre la conformité avec le RGPD ?
Oui, l'équipe des services AWS Professional Services propose plusieurs activités pour aider les clients dans la transition vers la conformité au RGPD. Cette équipe certifiée de professionnels de la conformité aide les clients à atteindre, maintenir et automatiser la conformité dans le cloud en combinant les normes de conformité applicables aux fonctionnalités spécifiques des services AWS. Vous trouverez de plus amples informations sur la façon dans les consultants de l'équipe des services AWS Professional Services aident les clients ici.
-
Comment est-ce qu'AWS Support peut m'aider dans ma transition vers la conformité au RGPD ?
Les clients peuvent utiliser AWS Support pour bénéficier de conseils techniques afin de les aider dans leur transition vers la conformité RGPD. Dans le cadre de cette activité, nous avons des équipes d'ingénieurs d'assistance cloud et de gestionnaires techniques de compte (TAM) qui sont entraînées pour aider à identifier et limiter les risques liés à la conformité. Le niveau de support fournit par AWS dépend du programme AWS Support que les clients sélectionnent. Les clients cherchant à comprendre l'intérêt de la formule Premium d'AWS Support peuvent trouver plus d'informations dans l'AWS Support Center, disponible via AWS Management Console, en utilisant les coordonnées indiquées dans le contrat d'assistance entreprise passé avec AWS ou en consultant la page Web AWS Support. Les clients ayant souscrit à la formule Enterprise Support doivent contacter leur TAM pour les questions concernant le RGPD.
Voici deux programmes pouvant aider les clients dans leur poursuite de la conformité RGPD :
- La révision des opérations cloud : disponible pour les clients AWS Enterprise Support, ce programme est conçu pour aider à identifier les brèches dans leur approche de l'exécution dans le cloud. Provenant d'un ensemble de bonnes pratiques opérationnelles tirées de l'expérience d'AWS avec une grande variété de clients représentatifs, ce programme offre une révision des opérations du cloud et des pratiques de gestion associées, ce qui peut aider les organisations dans leur transition vers la conformité RGPD. Le programme utilise une approche en quatre piliers. Il se concentre sur la préparation, la surveillance, l'exécution et l'optimisation des systèmes basés sur le cloud afin d'atteindre une excellence opérationnelle.
- La vérification Well-Architected : ce programme permet aux organisations de comparer leur architecture avec les bonnes pratiques AWS et de construire des architectures qui sont sécurisées, fiables, hautement performantes et rentables. Les vérifications Well-Architected permettent également aux clients de comprendre où leur architecture présente des risques et comment éliminer ces risques avant que les applications ne soient mises en production.
-
Comment est-ce qu'AWS peut aider les clients à respecter leurs obligations dans le cadre du RGPD en ce qui concerne les notifications des violations de données personnelles ?
AWS dispose d'une surveillance des accidents de sécurité et d'un processus de notification des violations de données. Il informera les clients de toute violation de sécurité AWS dans les meilleurs délais et conformément au DPA d'AWS. AWS offre également un certain nombre d'outils aux clients pour comprendre qui a accès à leurs ressources, quand et depuis quel emplacement. Un de ces outils est AWS CloudTrail qui autorise la gouvernance, la conformité, l'audit opérationnel et l'audit de risque d'un compte AWS. Avec AWS CloudTrail, les clients peuvent consigner, surveiller en continu et conserver l'activité de leur compte relative aux actions effectuées sur l'ensemble de leur infrastructure AWS. Cela aide les organisations à comprendre ce qu'il se passe avec leur infrastructure AWS et à prendre des mesures en cas d'activités inhabituelles, immédiatement. Pour plus d'informations sur les autres outils de sécurité qu'AWS propose à ces clients pour les aider à respecter leurs exigences en tant que responsables du traitement des données dans le cadre de la LGPD, consultez la page Web Sécurité dans le cloud AWS.
-
Comment est-ce qu'AWS m'aide à protéger mes données client contre les cyberattaques ?
AWS donne aux clients et aux partenaires APN un certain nombre d'outils pour sécuriser leurs données client et les aider à se protéger des cyberattaques. Un de ces outils est AWS Shield. Il s'agit d'un service géré de protection contre les attaques par déni de service (DDoS) pour protéger les sites Web et les applications s'exécutant sur AWS. AWS Shield Standard est disponible sans engendrer de coûts supplémentaires et offre des fonctions de détection continue et d'atténuation automatique intégrée qui peuvent minimiser les temps d'arrêt et la latence des applications. Pour obtenir des niveaux de protection supérieurs contre les attaques visant des applications Web s'exécutant sur AWS et utilisant les ressources ELB, Amazon CloudFront et Amazon Route 53, les clients et les partenaires APN peuvent souscrire à AWS Shield Advanced. AWS publie et met systématiquement à jour AWS Best Practices for DDoS Resiliency qui peut aider les clients à utiliser AWS afin de concevoir des applications résistantes aux attaques DDoS.
Les autres outils dont AWS dispose pour aider à protéger les données client des cyberattaques sont notamment :
- AWS Identity and Access Management (IAM) permet aux organisations de contrôler de façon sécurisée l'accès aux services et ressources AWS. En utilisant IAM, les clients et les partenaires APN peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
- AWS Config permet aux clients et aux partenaires APN d'activer des règles préintégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
- AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions dans AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
- Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes AWS et vos charges de travail. Il surveille les activités pouvant indiquer un compte possiblement compromis, comme des appels d'API inhabituels ou des déploiements potentiellement non autorisés. GuardDuty détecte également des instances potentiellement compromises ou des opérations de reconnaissance par des attaquants.
-
Quels outils sont disponibles pour m'aider à identifier les données personnelles dans mon contenu sur AWS ?
Amazon Macie est un service entièrement géré de sécurité et de confidentialité des données qui utilise le machine learning et la correspondance de modèles pour identifier et protéger vos données personnelles dans AWS. Face aux volumes croissants de données que doivent gérer les organisations, l'identification et la protection de leurs données personnelles à grande échelle peuvent devenir incroyablement complexes et fastidieuses. Amazon Macie automatise l'identification des données personnelles à grande échelle et réduit les coûts liés à leur protection. Macie inventorie automatiquement les compartiments Amazon S3, répertoriant notamment les compartiments non chiffrés, ceux publiquement accessibles et ceux partagés avec des comptes AWS autres que ceux que vous avez définis dans AWS Organizations. Macie applique ensuite les techniques de machine learning et de correspondance de modèles aux compartiments de votre choix pour identifier les données personnelles et vous envoyer les alertes correspondantes.
Amazon Macie a reçu des certifications de normes reconnues à l'international, comme l'ISO 27017 pour la sécurité cloud et l'ISO 27018 pour la confidentialité du cloud. Les clients et les partenaires APN peuvent également utiliser Macie pour surveiller en continu l'accès à leurs données afin de détecter les activités suspectes en se basant sur les modèles d'accès.
-
Comment est-ce que je peux contrôler l'accès aux données personnelles au sein de mon contenu sur AWS ?
Pour aider les clients avec la conformité au RGPD, AWS dispose d'un certain nombre d'outils afin de contrôler l'accès aux données personnelles se trouvant dans leur contenu sur AWS. Ces outils comprennent notamment :
- Sécurité par défaut signifie que les services AWS sont conçus pour être sécurisés par défaut. Si la configuration par défaut est utilisée, l'accès aux ressources est réservé au propriétaire du compte et à l'administrateur racine.
- AWS Identity and Access Management (IAM) permet aux clients de contrôler de façon sécurisée l'accès aux services et aux ressources AWS. Avec IAM, les organisations peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
- AWS Multi-Factor Authentication ajoute une couche de protection supplémentaire au-dessus du nom d'utilisateur et du mot de passe du compte AWS. AWS propose aux clients la possibilité d'avoir des dispositifs MFA virtuels ou matériels.
- AWS Directory Service permet aux clients d'intégrer et de fédérer des répertoires d'entreprise pour réduire les coûts administratifs et améliorer l'expérience des utilisateurs finaux.
- AWS Config permet aux clients d'activer des règles préintégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
- AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions sur l'ensemble de leur infrastructure AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
- Amazon Macie utilise le machine learning pour aider les clients à éviter les pertes de données en détectant, classant et protégeant automatiquement les données sensibles dans AWS. Ce service entièrement géré surveille en continu l'activité des accès aux données pour les anomalies et génère des alertes détaillées lorsqu'il détecte un risque d'accès non autorisé ou des fuites de données accidentelles (comme des données sensibles qu'un client a rendues accessibles depuis l'extérieur de façon involontaire).
-
Comment chiffrer les données client dans AWS pour éviter les accès non autorisés ?
AWS offre aux clients et aux partenaires APN la possibilité d'ajouter une couche de protection supplémentaire à leurs données client au repos dans le cloud et les aide à respecter la sécurité de leurs obligations de traitement en tant que responsables du traitement dans le cadre du RGPD. Les outils de chiffrement disponible sur AWS comprennent :
- les capacités de chiffrement des données disponibles dans les services de stockage et de base de données d'AWS, comme Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS et Redshift
- les possibilités flexibles de gestion des clés, notamment AWS Key Management Service, qui permettent de choisir entre confier la gestion des clés de chiffrement à AWS et garder le contrôle complet de ses propres clés ;
- les files d'attente de messages chiffrés pour la transmission de données sensibles en utilisant le chiffrement côté serveur pour Amazon SQS.
- les options de stockage matériel et dédié de clés cryptographiques à l'aide d'AWS CloudHSM, qui permettent de répondre à des exigences de conformité particulières.
De plus, AWS propose des API aux clients et aux partenaires APN permettant d'intégrer le chiffrement et la protection des données à n'importe quel service développé ou déployé dans un environnement AWS. -
Quels sont les services qu'AWS propose à ses clients pour les aider à se mettre en conformité avec le RGPD ?
AWS fournit des fonctions et services spécifiques qui aident les clients à respecter les exigences du RGPD :
Contrôle d'accès : restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés
- Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
- Accès granulaire fin aux objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
- Authentification par requête d'API
- Restrictions géographiques
- Jetons d'accès temporaires via AWS Security Token Service
Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS
- Gestion et configuration des ressources avec AWS Config
- Audits de conformité et analyses de sécurité avec AWS CloudTrail
- Identification des difficultés de configuration avec AWS Trusted Advisor
- Fichiers journaux granulaires fins des accès aux objets Amazon S3
- Informations détaillées sur les flux du réseau via Amazon VPC Flow Logs
- Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
- Filtrage et surveillance de l'accès HTTP aux applications avec les fonctions AWS WAF dans AWS CloudFront
Chiffrement : chiffrez des données sur AWS
- Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
- Gestion centralisée des clés via Key Management Service (par région AWS)
- Tunnels IPsec vers AWS avec les passerelles VPN
- Modules HSM dédiés dans le cloud avec AWS CloudHSM
Normes de sécurité et cadre de conformité solides : nous faisons preuve de notre conformité grâce à des normes internationales rigoureuses, telles que :
- ISO 27001 pour les mesures techniques
- ISO 27017 pour la sécurité dans le cloud
- ISO 27018 pour la confidentialité dans le cloud
- SOC 1, SOC 2 et SOC 3, PCI DSS de niveau 1,
- Common Cloud Computing Controls Catalogue (C5) du BSI
- ENS High
AWS et le RGPD/Royaume-Uni
-
Le RGPD s'applique-t-il toujours au Royaume-Uni ?
Le RGPD est un règlement européen, et suite au Brexit, il ne s'applique plus au Royaume-Uni. Le gouvernement britannique a intégré les exigences du RGPD dans ses lois nationales sous forme de « RGPD/Royaume-Uni »
-
Comment les clients peuvent-ils utiliser AWS en conformité avec le RGPD/Royaume-Uni ?
AWS offre un Addendum RGPD/Royaume-Uni au DPA d'AWS (français non garanti), conforme au RGPD/Royaume-Uni, qui inclut les engagements d'AWS en tant que responsable du traitement des données en vertu du RGPD/Royaume-Uni. L'Addendum RGPD/Royaume-Uni fait partie intégrante des Conditions de service AWS et s'applique automatiquement pour tous les clients qui requièrent un accord de traitement des données pour se mettre en conformité avec le RGPD/Royaume-Uni.
-
Comment les clients peuvent-ils transférer les données des clients conformément au RGPD/Royaume-Uni ?
L'Addendum RGPD/Royaume-Uni, partie intégrante des Conditions de service AWS, comprend les SCC adoptées par la CE et l'addendum international de transfert de données (IDTA) publié par le régulateur britannique de la protection des données (l'Information Commissioners Office). L'IDTA modifie les SCC pour s'assurer qu'elles constituent une garantie appropriée en vertu du RGPD/Royaume-Uni pour les transferts internationaux de données vers des pays hors du Royaume-Uni qui n'ont pas été reconnus comme offrant un niveau de protection adéquat des données personnelles (pays tiers du Royaume-Uni). L'Addendum RGPD/Royaume-Uni confirme que les SCC (tels que modifiés par l'IDTA) s'appliqueront automatiquement chaque fois qu'un client utilisera les services AWS pour transférer des données de clients soumises au RGPD/Royaume-Uni (données des clients britanniques) vers des pays tiers du Royaume-Uni. Dans le cadre de l'Addendum RGPD/Royaume-Uni figurant dans les Conditions de service AWS, les SCC (tels que modifiés par l'IDTA) s'appliqueront automatiquement chaque fois qu'un client utilise les services AWS pour transférer des données des clients britanniques vers des pays tiers du Royaume-Uni
AWS et la loi fédérale suisse sur la protection des données
-
Comment les clients peuvent-ils utiliser AWS conformément à la loi fédérale suisse sur la protection des données ?
AWS offre un addendum suisse à l'addendum sur le traitement des données AWS (français non garanti) (« l'addendum suisse ») qui intègre les engagements d'AWS en tant que processeur de données en vertu de la Loi fédérale suisse sur la protection des données (la « FDPA »). L'addendum suisse fait partie des conditions de service AWS (voir la section 1.14.4) et s'applique automatiquement lorsque la FDPA s'applique à l'utilisation par un client des services AWS pour traiter les données du client.
-
Comment les clients peuvent-ils transférer les données des clients conformément à la FDPA ?
L'addendum suisse à l'addendum sur le traitement des données d'AWS(français non garanti), qui fait partie des conditions de service AWS (voir la section 1.14.4), inclut les clauses contractuelles standards (les « SCC ») adoptées par la Commission européenne et modifiées selon les exigences du préposé fédéral suisse à la protection des données et à l'information. L'Addendum suisse confirme que les SCC (tels que modifiés par l'addendum suisse) s'appliqueront automatiquement chaque fois qu'un client utilisera les services AWS pour transférer des données de clients soumises au FDPA vers des pays tiers.
Contact
-
Qui dois-je contacter si j'ai des questions concernant le RGPD et AWS ?
Nous recommandons aux clients ayant des doutes concernant le RGPD de contacter d'abord leur gestionnaire de compte AWS. Si les clients ont souscrit à la formule Enterprise Support, ils peuvent également contacter un gestionnaire technique de compte (TAM). Les TAM travaillent avec les architectes de solution pour aider les clients à identifier les limitations et les risques potentiels. Les GTC et les gestionnaires de compte peuvent également diriger les clients et les partenaires APN vers les ressources spécifiques en se basant sur leur environnement et leurs besoins.AWS dispose également d'équipes de représentants Enterprise Support, de consultants de services professionnels et d'autres membres du personnel afin d'aider sur les questions liées au RGPD. Contactez-nous ici si vous avez des questions.