Confidentialité des données en Indonésie
Protégez vos données
Gagner la confiance de nos clients est le socle de notre activité chez AWS, et nous savons à quel point vous nous faites confiance pour la protection de vos ressources les plus vitales et sensibles: vos données. Cette confiance, nous la gagnons en collaborant étroitement avec vous afin de comprendre vos besoins en matière de protection des données et en offrant la gamme de services, d'outils et l'expertise la plus complète pour vous aider à protéger vos données. À cette fin, nous fournissons les mesures techniques, opérationnelles et contractuelles nécessaires pour la protection de vos données. Grâce à AWS, vous pouvez gérer les contrôles de confidentialité de vos données, contrôler la manière dont elles sont utilisées, qui y a accès et comment elles sont chiffrées. Nous garantissons cela grâce à l'environnement de cloud computing le plus flexible et le plus sécurisé disponible à ce jour.
Notre engagement envers vous
Contrôle des données
Vous avez le contrôle de vos données grâce à AWS et à ses services et outils qui permettent de déterminer l'emplacement du stockage de vos données, la manière dont elles sont sécurisées et qui y a accès. Des services tels que AWS Identity and Access Management (IAM) vous autorisent à gérer de façon sécurisée l'accès aux services et aux ressources AWS. AWS CloudTrail et Amazon Macie permettent la gouvernance, la conformité, la détection et l'audit, tandis qu'AWS CloudHSM et AWS Key Management Service (KMS) vous permettent de générer et de gérer les clés de chiffrement de manière sécurisée.
Confidentialité des données
Souveraineté des données
Vous pouvez choisir de stocker les données de vos clients dans l'une ou plusieurs de nos régions AWS dans le monde. Vous pouvez également utiliser les services AWS en ayant la certitude que les données client restent dans la région AWS que vous avez choisie. Un petit nombre de services AWS impliquent le transfert de données, par exemple pour développer et améliorer ces services (services pour lesquels vous pouvez refuser le transfert) ou parce que le transfert est une partie essentielle du service (par exemple un service de diffusion de contenu). Nos systèmes sont conçus pour empêcher et interdire au personnel AWS d'accéder à distance aux données clients à quelque fin que ce soit, y compris pour les activités de maintenance, à moins que cet accès ne soit demandé par vous ou qu'il ne soit nécessaire pour prévenir des fraudes et des abus ou en cas d'obligation légale Si nous recevons une demande d'application de la loi pour les données client de la part d'organismes gouvernementaux, nous nous engageons à contester les demandes que nous estimons trop larges, contraires à la loi, ou lorsque nous avons un motif approprié pour le faire. Nous fournissons également un rapport des demandes d'informations semestriel qui décrit les types et le nombre de demandes d'informations que reçoit AWS concernant l'application de la loi.
Sécurité
La sécurité est notre plus grande priorité chez AWS, et la sécurité dans le cloud est une responsabilité partagée entre AWS et ses clients. Parmi nos clients figurent des prestataires de services financiers et de soins de santé ainsi que des agences gouvernementales qui nous confient certaines de leurs données les plus sensibles. Vous pouvez améliorer votre capacité à répondre aux exigences de sécurité, de confidentialité et de conformité de base grâce à nos services complets, que ce soit au moyen d'Amazon GuardDuty ou du système AWS Nitro, plateforme sous-jacente de nos instances EC2. En outre, les services tels qu'AWS CloudHSM et AWS Key Management Service vous permettent de générer et de gérer le chiffrement des clés de manière sécurisée. AWS Config et AWS CloudTrail offrent des possibilités de surveillance et de journalisation pour la conformité et les audits.
Présentation
L'Indonésie a promulgué sa loi sur la protection des données personnelles (loi de la République d'Indonésie numéro 27 année 2022) (loi PDP) le 17 octobre 2022. La loi PDP s'applique aux personnes résidant (i) en Indonésie ; et (ii) en dehors de l'Indonésie si leurs actions ont des conséquences juridiques en Indonésie ou pour les personnes indonésiennes concernées par ces données à l'étranger.
La loi PDP fait la distinction entre le contrôleur de données et le processeur de données, et applique à chacun d'eux des obligations différentes en matière de traitement des données. Un responsable du traitement des données est une personne qui détermine les objectifs du traitement des données à caractère personnel et en exerce le contrôle. Un processeur de données est une personne qui traite les données sur instruction d'un responsable du traitement. À un haut niveau, certaines des principales obligations des contrôleurs de données incluent les suivantes :
- Traiter les données personnelles conformément aux bases juridiques spécifiées pour le traitement, y compris le consentement de la personne concernée, la nécessité contractuelle et l'intérêt légitime
- Mise en œuvre de mesures de sécurité appropriées pour protéger les données personnelles de toute divulgation non autorisée
- Respect des droits des personnes concernées, y compris les droits d'accéder à leurs données personnelles et de les corriger, et les demandes de suppression de leurs données personnelles
- Transférer des données personnelles en dehors de l'Indonésie uniquement lorsque les conditions de ce transfert sont remplies
Pour les responsables du traitement des données, la loi PDP exige que le traitement des données à caractère personnel ne soit effectué que conformément aux instructions du responsable du traitement des données. La loi PDP ne prévoit pas d'exigences en matière de localisation des données.
Les règlementations existantes en matière de protection des données sont énoncées dans la loi n° 11 de 2008 sur les informations et les transactions électroniques, le règlement gouvernemental n° 71 de 2019 sur la fourniture de systèmes et de transactions électroniques (GR 71) (qui a modifié le règlement gouvernemental n° 82 de 2012 concernant les systèmes électroniques et le fonctionnement des transactions) et le règlement n° 20 de 2016 du Ministère des Communications et de l'Informatique concernant la protection des données à caractère personnel dans un système électronique (règlement ministériel n° 20) restent en vigueur dans la mesure où elles ne sont pas en contradiction avec la loi PDP.
AWS veille au respect de votre confidentialité et à la sécurité de vos données. Chez AWS, la sécurité commence par notre infrastructure de base. Taillée sur mesure pour le cloud et conçue pour répondre aux exigences de sécurité les plus strictes au monde, notre infrastructure est surveillée 24 h/24 et 7 j/7 afin de garantir la confidentialité, l'intégrité et la disponibilité des données de nos clients. Les mêmes experts en sécurité de classe mondiale qui surveillent cette infrastructure construisent et maintiennent également notre vaste sélection de services de sécurité novateurs, qui peuvent vous aider à respecter plus simplement vos propres exigences de sécurité et de réglementation. En tant que client d'AWS, quelle que soit votre taille ou votre localisation, vous bénéficiez de tous les avantages de notre expérience, testée dans les cadres d'assurance les plus stricts mis en place par des organismes indépendants.
AWS met en œuvre et maintient des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure du cloud AWS en vertu de certifications et de cadres d'assurance de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, PCI DSS de niveau 1, et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.
Par exemple, la norme ISO 27018 est le premier code de pratique international axé sur la protection des données personnelles dans le cloud. Il repose sur la norme ISO 27002 de sécurité de l'information et fournit des conseils de mise en œuvre sur les contrôles ISO 27002 applicables aux données d'identification personnelle (PII) traitées par les fournisseurs de services cloud public. Cela prouve aux clients qu'AWS dispose d'un système de contrôles spécifiquement dédié au respect de la confidentialité de leur contenu.
Ces mesures techniques et organisationnelles complètes d’AWS sont conformes aux exigences réglementaires standard qui visent à protéger les données personnelles. Les clients qui utilisent les services AWS conservent le contrôle de leur contenu et sont responsables de la mise en œuvre de mesures de sécurité supplémentaires en fonction de leurs besoins spécifiques, y compris la classification du contenu, le chiffrement, la gestion des accès et les identifiants de sécurité.
Étant donné qu'AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la loi PDP, les clients sont, en fin de compte, responsables de leur conformité à la loi PDP et à la réglementation associée. Le contenu de cette page complète les ressources existantes en matière de confidentialité des données pour vous aider à mettre vos exigences en adéquation avec le modèle de responsabilité partagée d'AWS lorsque vous stockez et traitez des données personnelles au moyen de services AWS.
-
Quel rôle joue le client dans la sécurisation de son contenu ?
Dans le cadre dumodèle de responsabilité partagée d'AWS, les clients AWS gardent le contrôle du type de sécurité qu'ils choisissent de mettre en place afin de protéger leurs propres contenus, plates-formes, applications, systèmes et réseaux, de la même manière que s'ils plaçaient leurs applications dans un centre de données sur site. Les clients peuvent s'appuyer sur les mesures et contrôles de sécurité techniques et organisationnels offerts par AWS pour gérer leurs propres exigences de conformité. Les clients peuvent utiliser des méthodes courantes pour protéger leurs données, telles que le chiffrement et l'authentification multi-facteurs (MFA), outre les fonctions de sécurité d'AWS telles qu'AWS Identity and Access Management.
Lorsqu'il évalue la sécurité d'une solution de cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :
- les mesures de sécurité qu'AWS met en œuvre et exploite - « sécurité du cloud », et
- les mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité de leur contenu et de leurs applications qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».
-
Qui peut accéder au contenu des clients ?
Le contenu reste la propriété des clients et sous le contrôle de ceux-ci, lesquels choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. AWS n'a aucune visibilité sur le contenu des clients et n'accède ni n'utilise celui-ci, sauf pour fournir les services AWS sélectionnés par un client ou lorsque cela est nécessaire pour se conformer à la loi ou à un obligation légale contraignante.
Les clients qui utilisent les services AWS gardent le contrôle de leur contenu dans l'environnement AWS. Ils peuvent :
- déterminer le lieu où il sera localisé, par exemple le type d'environnement de stockage et l'emplacement géographique de ce stockage ;
- contrôler le format de leur contenu, par exemple en texte brut, masqué, anonyme ou chiffré, en utilisant le mécanisme de chiffrement fourni par AWS ou un mécanisme du choix du client ;
- gérer les autres contrôles d'accès, tels que la gestion d'identité et d'accès, et les informations d'identification de sécurité ;
- déterminer s'il faut utiliser SSL, Virtual Private Cloud et d'autres mesures de sécurité réseau pour empêcher tout accès non autorisé.
Les clients AWS contrôlent ainsi l'intégralité du cycle de vie de leur contenu sur AWS, et gèrent ce contenu selon leurs propres besoins spécifiques, notamment en ce qui concerne la classification de contenu, le contrôle d'accès, la conservation et la suppression.
-
Où le contenu des clients est-il stocké ?
Les centres de données AWS sont conçus sous forme de clusters dans divers endroits du monde. Nous appelons « région » chacun de nos clusters de centres de données dans un emplacement donné.
Les clients AWS choisissent la ou les régions AWS où leur contenu sera stocké. Cela permet aux clients qui ont des exigences spécifiques en termes de géographie d'établir leurs environnements dans l'emplacement ou les emplacements de leur choix.
Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, mais AWS ne transfère pas leur contenu en dehors de la ou des régions de leur choix, sauf pour fournir les services demandés par les clients ou pour respecter la loi en vigueur.
-
Comment AWS sécurise-t-il ses centres de données ?
La stratégie de sécurité du centre de données AWS est composée de contrôles de sécurité évolutifs et de multiples couches de défense qui aident à protéger vos informations. Par exemple, AWS gère avec attention les risques potentiels d'inondation et d'activité sismique. Nous utilisons des barrières physiques, des gardes de sécurité, une technologie de détection des menaces et un processus de filtrage approfondi pour limiter l'accès aux centres de données. Nous sauvegardons nos systèmes, testons régulièrement l'équipement et les processus, et formons continuellement les employés d'AWS pour qu'ils soient prêts à faire face aux imprévus.
Pour valider la sécurité de nos centres de données, des auditeurs externes effectuent des tests sur plus de 2 600 normes et exigences tout au long de l'année. Cet examen indépendant permet de s'assurer que les normes de sécurité sont constamment respectées ou dépassées. Grâce à toutes ces mesures, les entreprises les plus réglementées du monde entier font confiance à AWS chaque jour pour la protection de leurs données.
En savoir plus sur la façon dont nous sécurisons les centres de données AWS en effectuant une visite virtuelle »
-
Quelles régions AWS puis-je utiliser ?
Les clients peuvent choisir d'utiliser une seule région, toutes les régions ou une combinaison de plusieurs régions. Visitez la page relative à l’infrastructure mondiale AWS pour consulter la liste complète des régions AWS.
-
Quelles sont les mesures de sécurité mises en place par AWS pour protéger les systèmes ?
L'infrastructure du cloud AWS a été conçue comme l'un des environnements de cloud computing les plus flexibles et sécurisés disponibles à ce jour. L'échelle d'Amazon nous permet d'investir bien plus dans les politiques et les contre-mesures de sécurité que la plupart des grandes entreprises évoluant seules ne pourraient se le permettre. Cette infrastructure est composée de matériel, de logiciels, de réseaux et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients et aux partenaires AWS, notamment des contrôles de configuration de la sécurité pour la gestion des données personnelles.
AWS fournit également plusieurs rapports de conformité de la part d'auditeurs tiers qui ont testé et vérifié notre conformité par rapport à de nombreuses normes et règlementations de sécurité (notamment ISO 27001, ISO 27017 et ISO 27018). Pour un maximum de transparence sur l'efficacité de ces mesures, nous vous donnons accès à des rapports d'audit tiers dans AWS Artefact. Ces rapports montrent à nos clients et aux partenaires APN, qui peuvent agir comme des responsables du traitement ou comme sous-traitants, que nous protégeons l'infrastructure sous-jacente sur laquelle ils stockent et traitent les données personnelles. Pour plus d'informations, consultez nos ressources sur la conformité.