Confidentialité des données en Argentine

Présentation

La loi argentine n° 25.326 sur la protection des données à caractère personnel, y compris le décret-loi numéro 1558/2001 et les règlements complémentaires (PDPL), est une loi fédérale argentine qui s'applique à la protection des données à caractère personnel en Argentine et lorsque des données à caractère personnel doivent être transférées à l'étranger pour y être traitées. En juillet 2018, l'Autorité argentine de protection des données (Agencia de Acceso a la Información Pública, ADPA) a publié la résolution 47/2018 (Résolution 47) en vertu du PDPL, laquelle abroge la disposition n° 11/2006 relative aux mesures de sécurité que les responsables du traitement des données (c'est-à-dire les clients d'AWS) devaient prendre en compte lors du traitement des données à caractère personnel. La résolution 47 décrit de nouvelles mesures de sécurité recommandées qui sont conformes aux meilleures pratiques et normes internationales et visent à protéger la confidentialité et l'intégrité des données à caractère personnel pendant leur traitement, c'est-à-dire de la collecte à la suppression. Cette nouvelle résolution contient une liste actualisée des mesures et des contrôles recommandés pour gérer, planifier, contrôler et améliorer la sécurité lors du traitement des données à caractère personnel. Ces mesures de sécurité recommandées sont réparties en catégories d'activités liées au traitement, y compris la collecte de données, les contrôles d'accès, les contrôles des modifications, la sauvegarde et la restauration, la gestion des failles, le retrait ou la suppression de données, les incidents de sécurité et les environnements de développement. En outre, Résolution 47 comprend une liste de mesures de sécurité applicables aux « données sensibles » (telles que définies dans la loi relative à la protection des données personnelles (PDPL)).

AWS veille au respect de votre confidentialité et à la sécurité de vos données. Chez AWS, la sécurité commence par notre infrastructure de base. Notre infrastructure taillée sur mesure pour le cloud et conçue pour répondre aux exigences de sécurité les plus strictes au monde est surveillée 24 h/24 et 7 j/7 afin de garantir la confidentialité, l'intégrité et la disponibilité des données de nos clients. Les mêmes experts en sécurité de classe mondiale qui surveillent cette infrastructure construisent et maintiennent également notre vaste sélection de services de sécurité novateurs, lesquels peuvent vous aider à respecter plus simplement vos propres exigences de sécurité et de réglementation. En tant que client d'AWS, quelle que soit votre taille ou votre localisation, vous bénéficiez de tous les avantages de notre expérience, testée dans les cadres d'assurance les plus stricts.

AWS met en œuvre et gère des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure du cloud AWS dans le cadre d'assurances et de certifications de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1, et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.

Par exemple, la norme ISO 27018 est le premier code de pratique international axé sur la protection des données personnelles dans le cloud. Il repose sur la norme ISO 27002 de sécurité de l'information et fournit des conseils de mise en œuvre sur les contrôles ISO 27002 applicables aux données d'identification personnelle (PII) traitées par les fournisseurs de services cloud public. Cela prouve aux clients qu'AWS dispose d'un système de contrôles spécifiquement dédié au respect de la confidentialité de leur contenu.

Ces mesures techniques et organisationnelles globales d'AWS sont conformes aux objectifs du PDPL, et à la résolution 47 du PDPL sur la protection des données à caractère personnel. Les clients qui utilisent les services AWS conservent le contrôle de leur contenu et sont responsables de la mise en œuvre de mesures de sécurité supplémentaires en fonction de leurs besoins spécifiques, y compris la classification du contenu, le chiffrement, la gestion des accès et les identifiants de sécurité.

AWS n'ayant pas de visibilité claire sur le type de contenu que les clients choisissent de stocker dans AWS, y compris si ces données sont ou non considérées comme soumises au PDPL, les clients sont, en dernier ressort, responsables de leur propre respect du PDPL et des réglementations connexes. Le contenu de cette page complète les ressources existantes en matière de confidentialité des données pour vous permettre de mettre vos exigences en adéquation avec le modèle de responsabilité partagée d'AWS lorsque vous traitez des données personnelles dans des centres de données internationaux.

• Quel rôle joue le client dans la sécurisation de son contenu ?

  Dans le cadre dumodèle de responsabilité partagée AWS, les clients AWS gardent le contrôle sur la sécurité qu'ils choisissent de mettre en place afin de protéger leurs propres contenus, plateformes, applications, systèmes et réseaux, de la même manière que s'ils plaçaient leurs applications dans un centre de données sur site. Les clients peuvent s'appuyer sur les mesures et contrôles de sécurité techniques et organisationnels offerts par AWS pour gérer leurs propres exigences de conformité. Les clients peuvent utiliser des méthodes courantes pour protéger leurs données, telles que le chiffrement et l'authentification multi-facteurs (MFA), outre les fonctions de sécurité d'AWS telles qu'AWS Identity and Access Management.

  Lors de l’évaluation de la sécurité d'une solution cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

  • Mesures de sécurité qu'AWS met en œuvre et exploite dans le cadre de la « sécurité y du cloud » et

  • Mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité du contenu et des applications de leurs clients qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».
    

  

• Qui peut accéder au contenu des clients ?

  Le contenu reste la propriété des clients et sous leur contrôle. Ils choisissent les services AWS pour les opérations de traitement, de stockage et d'hébergement de ce contenu. AWS n'a aucune visibilité claire sur le contenu des clients et n'accède ni utilise celui-ci, sauf pour fournir les services AWS sélectionnés par un client ou lorsque cela est nécessaire pour se conformer à la loi ou à une obligation juridique contraignante.

  Les clients qui utilisent les services AWS gardent le contrôle de leur contenu dans l'environnement AWS. Ils peuvent :

  • déterminer le lieu où il sera localisé, par exemple le type d'environnement de stockage et l'emplacement géographique de ce stockage ; 
  • contrôler le format de leur contenu, par exemple en texte brut, masqué, anonyme ou chiffré, en utilisant le mécanisme de chiffrement fourni par AWS ou un mécanisme du choix du client ; 
  • gérer les autres contrôles d'accès, tels que la gestion d'identité et d'accès, et les informations d'identification de sécurité ; 
  • déterminer s'il faut utiliser SSL, Virtual Private Cloud et d'autres mesures de sécurité réseau pour empêcher tout accès non autorisé.

  Les clients AWS contrôlent ainsi l'intégralité du cycle de vie de leur contenu sur AWS, et gèrent ce contenu selon leurs propres besoins spécifiques, notamment en ce qui concerne la classification de contenu, le contrôle d'accès, la conservation et la suppression.
  

• Où le contenu client est-il stocké ?

  L'infrastructure mondiale AWS vous donne la possibilité de choisir comment et où vous souhaitez exécuter vos charges de travail. Ce faisant, vous utilisez le même réseau, le même plan de contrôle, les mêmes API et les mêmes services AWS. Si vous souhaitez exécuter vos applications à l'échelle mondiale, vous pouvez choisir n'importe quelle région AWS ou zone de disponibilité. En tant que client, vous choisissez la ou les régions AWS dans lesquelles votre contenu client est stocké, ce qui vous permet de déployer vos services AWS à l’emplacement ou aux emplacements de votre choix, conformément à vos exigences géographiques spécifiques. Par exemple, si un client AWS en Australie veut stocker ses données uniquement en Australie, il peut choisir de déployer ses services AWS exclusivement dans la région AWS Asie-Pacifique (Sydney). Si vous souhaitez découvrir d'autres options de stockage flexibles, consultez la page Web Régions AWS.
  

  Vous pouvez répliquer et sauvegarder votre contenu client dans plusieurs régions AWS. Nous ne déplacerons ni ne répliquerons pas votre contenu hors de la ou des régions AWS que vous avez choisies sans votre accord, sauf si cela est nécessaire pour se conformer à la loi à une décision contraignante d'un organisme gouvernemental. Cependant, il est important de noter que tous les services AWS peuvent ne pas être disponibles dans toutes les régions AWS. Pour plus d'informations sur les services disponibles dans les régions AWS, consultez la page Web Services régionaux AWS.
  

• Comment AWS sécurise-t-il ses centres de données ?

  La stratégie de sécurité du centre de données AWS est composée de contrôles de sécurité évolutifs et de multiples couches de défense qui aident à protéger vos informations. Par exemple, AWS gère avec attention les risques potentiels d'inondation et d'activité sismique. Nous utilisons des barrières physiques, des gardes de sécurité, une technologie de détection des menaces et un processus de filtrage approfondi pour limiter l'accès aux centres de données. Nous sauvegardons nos systèmes, testons régulièrement l'équipement et les processus, et formons continuellement les employés d'AWS pour qu'ils soient prêts à faire face aux imprévus.

  Pour valider la sécurité de nos centres de données, des auditeurs externes effectuent des tests sur plus de 2 600 normes et exigences tout au long de l'année. Cet examen indépendant permet de s'assurer que les normes de sécurité sont constamment respectées ou dépassées. Grâce à toutes ces mesures, les entreprises les plus réglementées du monde entier font confiance à AWS chaque jour pour la protection de leurs données.
  

  En savoir plus sur la façon dont nous sécurisons les centres de données AWS en effectuant une visite virtuelle »
  

• Quelles régions AWS puis-je utiliser ?

  Les clients peuvent choisir d'utiliser n'importe quelle région, toutes les régions ou une combinaison de régions, y compris les régions du Brésil et des États-Unis. Visitez la page relative à l'infrastructure mondiale AWS pour consulter la liste complète des régions AWS.

• L'Autorité argentine de protection des données a estimé que certains pays assurent un « niveau de protection adéquat » des données personnelles. Existe-t-il des régions AWS dans ces pays ?

  En vertu de la PDPL, les contrôleurs des données (c.-à-d. les clients AWS) sont autorisés à transférer des données personnelles vers des juridictions qui offrent un « niveau adéquat de protection » des données personnelles, conformément aux dispositions de l'ADPA. La disposition 60-E/2016 publiée par l'ADPA stipule que les États membres de l'Union européenne (UE) et de la Communauté économique européenne (CEE) sont considérés comme offrant des niveaux adéquats de protection des données personnelles.

  Selon l'ADPA, les régions qu'AWS possède dans de nombreux pays, tels que l'Allemagne, la France, le Royaume-Uni et l'Irlande dans l'UE, offrent un « niveau de protection adéquat » dans le cadre de la loi PDPL. Visitez la page relative à l’infrastructure mondiale AWS pour consulter la liste complète des régions AWS.

  AWS applique les mêmes normes de sécurité à ses centres de données, quelle que soit la région que vous choisissez.
  

• Sur quels accords internationaux de transfert de données AWS s'appuie-t-il pour garantir la protection des données personnelles transférées, quel que soit le pays de destination, notamment le Brésil et les États-Unis ?

  Dans les accords avec ses clients, AWS prend des engagements spécifiques en matière de sécurité et de confidentialité qui s'appliquent largement au contenu des clients dans chaque région que le client choisit pour le stockage de ses données. Les engagements pris par AWS sont conformes aux objectifs du PDPL, à la disposition 60-E/2016 et à la résolution 47/2018 du PDPL en matière de protection des données à caractère personnel.

  AWS propose également un Additif international sur le traitement des données (DPA) ou accord de transfert de données qui s'applique à l'échelle mondiale et comprend des engagements contractuels spécifiques pour traiter de manière adéquate les rôles et obligations de chaque partie en matière de confidentialité et de sécurité des données à caractère personnel.

  Les clients ont également la possibilité de signer un contrat d'entreprise avec AWS, lequel pouvant être adapté en fonction de leurs besoins spécifiques. Pour plus d'informations sur les Contrats AWS Entreprise ou le DPA, contactez votre service commercial AWS.