Confidentialité des données, Brésil

Présentation

La loi générale brésilienne sur la protection des données (LGPD) est la principale réglementation brésilienne destinée à la protection des données à caractère personnel. La LGPD s'applique aux traitements de données à caractère personnel (définis comme des informations concernant une personne physique identifiée ou identifiable) effectués par des personnes physiques ou morales du secteur public ou privé, quels que soient les moyens utilisés pour le traitement ou le pays où se trouve le responsable du traitement ou les données, à condition que : 1) le traitement soit effectué au Brésil, 2) le traitement vise à offrir ou à fournir des biens ou des services, ou à traiter les données de personnes physiques situées au Brésil, ou 3) les données à caractère personnel aient été collectées au Brésil.

Elle pose des principes et des règles pour le traitement des données à caractère personnel. Les organisations doivent pouvoir prouver qu'elles ont adopté des mesures capables d'assurer le respect des règles de protection des données à caractère personnel. Pour prouver l'efficacité de ces mesures, elles doivent mettre en place et appliquer des stratégies conformes aux règles de traitement des données à caractère personnel.

Les responsables du traitement et les sous-traitants (tels que définis dans la LGPD) sont, en vertu de la LGPD, tenus d'adopter des mesures techniques et administratives de protection des données à caractère personnel contre les accès non autorisés et les situations accidentelles ou illicites de destruction, perte, altération, communication ou tout type de traitement inapproprié ou illicite. En outre, la LGPD confère à l'ANPD, l'Autorité nationale brésilienne de protection des données, le pouvoir de définir des normes techniques minimales à appliquer par les contrôleurs et les sous-traitants.

AWS veille au respect de votre confidentialité et à la sécurité de vos données. Chez AWS, la sécurité commence par notre infrastructure de base. Taillée sur mesure pour le cloud et conçue pour répondre aux exigences de sécurité les plus strictes au monde, notre infrastructure est surveillée 24 h/24 et 7 j/7 afin de garantir la confidentialité, l'intégrité et la disponibilité des données de nos clients. Les mêmes experts en sécurité de classe mondiale qui surveillent cette infrastructure construisent et maintiennent également notre vaste sélection de services de sécurité novateurs, qui peuvent vous aider à respecter plus simplement vos propres exigences de sécurité et de réglementation. En tant que client d'AWS, quelle que soit votre taille ou votre localisation, vous bénéficiez de tous les avantages de notre expérience, testée dans les cadres d'assurance les plus stricts.

AWS met en œuvre et gère des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure cloud d'AWS dans le cadre d'assurances et de certifications de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1 et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.

Par exemple, la norme ISO 27018 est le premier code de pratique international axé sur la protection des données personnelles dans le cloud. Il repose sur la norme ISO 27002 de sécurité de l'information et fournit des conseils de mise en œuvre sur les contrôles ISO 27002 applicables aux données d'identification personnelle (PII) traitées par les fournisseurs de services cloud public. Cela prouve aux clients qu'AWS dispose d'un système de contrôles spécifiquement dédié au respect de la confidentialité de leur contenu.

Ces mesures techniques et organisationnelles complètes d'AWS sont conformes aux objectifs de la loi LGPD qui visent à protéger les données à caractère personnel. Les clients qui utilisent les services AWS conservent le contrôle de leur contenu et sont responsables de la mise en œuvre de mesures de sécurité supplémentaires en fonction de leurs besoins spécifiques, y compris la classification du contenu, le chiffrement, la gestion des accès et les identifiants de sécurité.

Étant donné qu'AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la LGPD, les clients sont, en fin de compte, responsables de leur conformité à la LGPD et à la réglementation associée. Le contenu de cette page complète les ressources existantes en matière de confidentialité des données pour vous aider à mettre vos exigences en adéquation avec le modèle de responsabilité partagée d'AWS lorsque vous stockez et traitez des données à caractère personnel au moyen de services AWS.

• En quoi consiste la LGPD ?

  La loi générale brésilienne sur la protection des données (LGPD) est la principale réglementation brésilienne destinée à la protection des données à caractère personnel, qui est entrée en vigueur le 18 septembre 2020.

• À qui la LGPD s’applique-t-elle ?

  La LGPD s'applique à toutes les organisations, qu'elles soient établies au Brésil ou non, qui traitent des données à caractère personnel pour offrir ou fournir des biens ou des services aux personnes résidant au Brésil. La LGPD s'applique également aux organisations qui collectent ou traitent des données à caractère personnel au Brésil. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable.
  

• Est-ce que les services AWS sont conformes à la LGPD ?

  Nous pouvons garantir que l'utilisation de tous les services AWS se fait en conformité avec la LGPD. Cela signifie qu'en plus de bénéficier de toutes les mesures qu'AWS a déjà entreprises pour maintenir la sécurité des services, les clients peuvent déployer les services AWS comme élément clé de leurs plans de conformité par rapport à la LGPD. Pour en savoir plus, consultez notre livre blanc, Comprendre et assurer la conformité à la LGPD sur AWS.
  

• Où est-ce qu'une personne concernée peut trouver des informations à propos de l'exercice de ses droits liés à la LGPD ?

  Le 14 août 2020, nous avons mis à jour notre politique de confidentialité pour expliquer nos politiques en tant que responsable du traitement compte tenu des exigences de la LGPD, y compris comment les personnes concernées peuvent exercer leurs droits en vertu de la loi.
  

• Est-ce qu'AWS dispose d'une plateforme sur la vie privée comprenant une description complète des positions d'AWS concernant la vie privée et des droits accordés aux clients ?

  Oui. Notre page Confidentialité des données fournit des informations à propos de nos politiques et de nos pratiques en matière de confidentialité. Nous avons également mis à jour notre politique de confidentialité pour inclure toutes les divulgations exigées par la LGPD, y compris comment les clients peuvent exercer leurs droits en vertu de la loi.
  

• Est-ce qu'AWS est en conformité avec les lois de protection des données des autres pays d'Amérique latine ?

  AWS s'impose en permanence des standards élevés en matière de sécurité et de conformité, et ce, pour toutes les opérations menées partout dans le monde. Les mesures de protection que nous rendons disponibles pour le RGPD et la LGPD sont disponibles pour les clients du monde entier, et nos clients peuvent les utiliser pour garantir leur conformité avec les lois de protection des données locales.
  

• Quel rôle joue le client dans la sécurisation de son contenu ?

  Dans le cadre du modèle de responsabilité partagée d'AWS, les clients AWS gardent le contrôle du type de sécurité qu'ils choisissent de mettre en place afin de protéger leurs propres contenus, plates-formes, applications, systèmes et réseaux, de la même manière que s'ils plaçaient leurs applications dans un centre de données sur site. La LGPD ne change pas le modèle de responsabilité partagée AWS, qui continue à être pertinent pour les clients et les partenaires APN qui se concentrent sur l'utilisation des services de cloud computing. Le modèle de responsabilité partagée est une approche pratique pour illustrer les responsabilités différentes d'AWS (en tant que sous-traitant) et les clients ou partenaires APN (en tant que responsables du traitement ou sous-traitants) dans le cadre de la LGPD. Dans le modèle de responsabilité partagée, AWS est responsable de la sécurisation de l'infrastructure sous-jacente qui prend en charge le cloud. Les clients et les partenaires APN, ayant le rôle de responsable du traitement ou de sous-traitant, sont responsables de toutes les données personnelles qu'ils mettent sur le cloud. Les clients peuvent s'appuyer sur les mesures et contrôles de sécurité techniques et organisationnels offerts par AWS pour gérer leurs propres exigences de conformité. Les clients peuvent utiliser des méthodes courantes pour protéger leurs données, telles que le chiffrement et l'authentification multi-facteurs (MFA), outre les fonctions de sécurité d'AWS telles qu'AWS Identity and Access Management.

  Lorsqu'il évalue la sécurité d'une solution cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

  • les mesures de sécurité qu'AWS met en œuvre et exploite dans le cadre de la « sécurité du cloud » ;
  • Les mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité de leur contenu et de leurs applications qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».
    

   

  Pour en savoir plus concernant les mesures supplémentaires que les clients peuvent prendre, ainsi que concernant les solutions qu'AWS propose, consultez la page Web Chemin d'apprentissage AWS Security.

  

• Qui peut accéder au contenu des clients ?

  Le contenu reste la propriété des clients et sous le contrôle de ceux-ci, lesquels choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. AWS n'a aucune visibilité sur le contenu des clients et n'accède ni n'utilise celui-ci, sauf pour fournir les services AWS sélectionnés par un client ou lorsque cela est nécessaire pour se conformer à la loi ou à un obligation légale contraignante.

  Les clients qui utilisent les services AWS gardent le contrôle de leur contenu dans l'environnement AWS. Ils peuvent :

  • déterminer le lieu où il sera localisé, par exemple le type d'environnement de stockage et l'emplacement géographique de ce stockage ;
  • contrôler le format de leur contenu, par exemple en texte brut, masqué, anonyme ou chiffré, en utilisant le mécanisme de chiffrement fourni par AWS ou un mécanisme du choix du client ;
  • gérer les autres contrôles d'accès, tels que la gestion d'identité et d'accès, et les informations d'identification de sécurité ;
  • déterminer s'il faut utiliser SSL, Virtual Private Cloud et d'autres mesures de sécurité réseau pour empêcher tout accès non autorisé.

  Les clients AWS contrôlent ainsi l'intégralité du cycle de vie de leur contenu sur AWS, et gèrent ce contenu selon leurs propres besoins spécifiques, notamment en ce qui concerne la classification de contenu, le contrôle d'accès, la conservation et la suppression.
  

• Où le contenu des clients est-il stocké ?

  Les centres de données AWS sont conçus sous forme de clusters dans divers endroits du monde. Nous appelons « région » chacun de nos clusters de centres de données dans un emplacement donné.

  Les clients AWS choisissent la ou les régions AWS où leur contenu sera stocké. Cela permet aux clients qui ont des exigences spécifiques en termes de géographie d'établir leurs environnements dans l'emplacement ou les emplacements de leur choix.

  Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, mais AWS ne transfère pas leur contenu en dehors de la ou des régions de leur choix, sauf pour fournir les services demandés par les clients ou pour respecter la loi en vigueur.
  
  

• Comment AWS sécurise-t-il ses centres de données ?

  La stratégie de sécurité du centre de données AWS est composée de contrôles de sécurité évolutifs et de multiples couches de défense qui aident à protéger vos informations. Par exemple, AWS gère avec attention les risques potentiels d'inondation et d'activité sismique. Nous utilisons des barrières physiques, des gardes de sécurité, une technologie de détection des menaces et un processus de filtrage approfondi pour limiter l'accès aux centres de données. Nous sauvegardons nos systèmes, testons régulièrement l'équipement et les processus, et formons continuellement les employés d'AWS pour qu'ils soient prêts à faire face aux imprévus.

  Pour valider la sécurité de nos centres de données, des auditeurs externes effectuent des tests sur plus de 2 600 normes et exigences tout au long de l'année. Cet examen indépendant permet de s'assurer que les normes de sécurité sont constamment respectées ou dépassées. Grâce à toutes ces mesures, les entreprises les plus réglementées du monde entier font confiance à AWS chaque jour pour la protection de leurs données.

  En savoir plus sur la façon dont nous sécurisons les centres de données AWS en effectuant une visite virtuelle.

• Quelles régions AWS puis-je utiliser ?

  Les clients peuvent choisir d'utiliser une seule région, toutes les régions ou une combinaison de plusieurs régions. Visitez la page relative à l'infrastructure mondiale AWS pour consulter la liste complète des régions AWS.
  

• Quelles sont les mesures de sécurité mises en place par AWS pour protéger les systèmes ?

  L'infrastructure du Cloud AWS a été conçue comme l'un des environnements de cloud computing les plus flexibles et sécurisés disponibles à ce jour. L'échelle d'Amazon nous permet d'investir bien plus dans les politiques et les contre-mesures de sécurité que la plupart des grandes entreprises évoluant seules ne pourraient se le permettre. Cette infrastructure est composée de matériel, de logiciels, de mises en réseau et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients et aux partenaires APN, notamment des contrôles de configuration de la sécurité pour la gestion des données personnelles. Vous trouverez davantage de détails sur les mesures qu'AWS a mis en place pour maintenir des hauts niveaux de sécurité constants dans le livre blanc AWS Présentation des processus de sécurité.

  AWS fournit également plusieurs rapports de conformité préparés par des auditeurs tiers qui ont testé et vérifié notre conformité par rapport à de nombreuses normes et règlementations de sécurité (notamment ISO 27001, ISO 27017 et ISO 27018). Pour un maximum de transparence sur l'efficacité de ces mesures, nous vous donnons accès à des rapports d'audit tiers dans AWS Artefact. Ces rapports montrent à nos clients et aux partenaires APN, qui peuvent agir comme des responsables du traitement ou comme sous-traitants, que nous protégeons l'infrastructure sous-jacente sur laquelle ils stockent et traitent les données personnelles. Pour plus d'informations, consultez nos ressources sur la conformité.
  

• Quelles sont les mesures prises par AWS pour préparer l'entrée en vigueur de la LGPD ?

  Les experts en conformité, protection des données et sécurité d'AWS collaborent avec des clients afin de répondre à leurs questions et de les aider à se préparer à exécuter leurs charges de travail dans le Cloud AWS. Ces équipes ont également vérifié si les services AWS étaient prêts à répondre aux exigences de la LGPD. De plus, nous proposons à nos clients un « Data Processing Agreement » qui répond aux exigences de la LGPD.

  AWS s'impose en permanence des standards élevés en matière de sécurité et de conformité, et ce, pour toutes les opérations menées partout dans le monde. La sécurité a toujours été notre priorité absolue, notre « première mission ». Grâce à nos mesures de sécurité à la tête du secteur, nous avons pu obtenir une longue liste de certifications et d'accréditations mondialement reconnues, preuves de notre conformité par rapport à des normes internationales rigoureuses telles que l'ISO 27017 pour la sécurité du cloud, l'ISO 27018 pour la confidentialité du cloud, les SOC 1, SOC 2 et SOC 3, la norme PCI DSS de niveau 1, la norme NIST FIPS 140-2, la C5, et bien d'autres. Afin d'être transparents sur l'efficacité de ces mesures, nous avons donné accès aux clients et aux partenaires APN aux rapports d'audit tiers par l'intermédiaire d'AWS Management Console. Ces rapports montrent à nos clients et aux partenaires APN, qui peuvent agir comme des responsables du traitement ou comme sous-traitants, que nous protégeons l'infrastructure sous-jacente sur laquelle ils stockent et traitent les données personnelles. Pour plus d'informations, consultez notre page Web sur la conformité.
  
  

• Quels sont les services proposés par AWS à ses clients pour aider ces derniers à se mettre en conformité avec la LGPD ?

  AWS propose d'ores et déjà des fonctionnalités et services spécifiques qui aident les clients à respecter les exigences de la LGPD :

  Contrôle d'accès aux données : restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés.

  • Authentification multi-facteurs (Multi-Factor-Authentication, MFA).
  • Accès granulaire fin aux objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
  • Authentification par requête d'API
  • Restrictions géographiques
  • Jetons d'accès temporaires via AWS Security Token Service.

  Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS.

  • Gestion et configuration des ressources avec AWS Config.
  • Audits de conformité et analyses de sécurité avec AWS CloudTrail
  • Identification des difficultés de configuration avec AWS Trusted Advisor
  • Fichiers journaux granulaires fins des accès aux objets Amazon S3
  • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
  • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
  • Filtrage et surveillance des accès HTTP aux applications avec les fonctions WAF d'AWS CloudFront.

  Chiffrement : chiffrez des données sur AWS.

  • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS).
  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM.
    

• Comment est-ce qu'AWS peut aider les responsables du traitement à respecter leurs obligations en matière de notification des violations de données en vertu de la LGPD ?

  AWS offre un certain nombre d'outils aux clients et aux partenaires APN pour comprendre qui a accès à leurs ressources, quand et depuis quel emplacement. Un de ces outils est AWS CloudTrail qui autorise la gouvernance, la conformité, l'audit opérationnel et l'audit de risque d'un compte AWS. Avec AWS CloudTrail, les clients peuvent consigner, surveiller en continu et conserver l'activité de leur compte relative aux actions effectuées sur l'ensemble de leur infrastructure AWS. Cela aide les organisations à comprendre ce qu'il se passe avec leur infrastructure AWS et à prendre des mesures en cas d'activités inhabituelles, immédiatement. Pour plus d'informations sur AWS CloudTrail et sur les autres outils de sécurité qu'AWS propose à ces clients pour les aider à respecter leurs exigences en tant que responsables du traitement des données dans le cadre de la LGPD, rendez-vous sur notre page Web Sécurité.
  

• Comment est-ce qu'AWS m'aide à protéger mes données contre les cyberattaques ?

  AWS donne aux clients et aux partenaires APN un certain nombre d'outils pour sécuriser leurs données et les aider à se protéger des cyberattaques. Un de ces outils est AWS Shield. Il s'agit d'un service géré de protection contre les attaques par déni de service (DDoS) pour protéger les sites Web et les applications s'exécutant sur AWS. AWS Shield Standard est disponible sans engendrer de coûts supplémentaires et offre des fonctions de détection continue et d'atténuation automatique intégrée qui peuvent minimiser les temps d'arrêt et la latence des applications. Pour obtenir des niveaux de protection supérieurs contre les attaques visant des applications Web s'exécutant sur AWS et utilisant les ressources ELB, Amazon CloudFront et Amazon Route 53, les clients et les partenaires APN peuvent souscrire à AWS Shield Advanced.
  

• Comment est-ce qu'AWS gère les instructions de suppression émanant des clients ?

  Les services AWS permettent la suppression du contenu à la demande par les utilisateurs en utilisant AWS Management Console, les API et d'autres méthodes de saisie. Pour plus d'informations sur les fonctionnalités spécifiques du service, consultez notre Documentation.
  

• Qui dois-je contacter si j'ai des questions concernant la LGPD et AWS ?

  En plus de notre page Confidentialité des données et de notre politique de confidentialité, nous recommandons aux clients et aux partenaires APN ayant des doutes concernant la protection des données ou AWS et la LGPD de contacter leur gestionnaire de compte AWS. Si les clients ont souscrit à la formule Enterprise Support, ils peuvent également contacter un responsable technique de compte (TAM). Les TAM travaillent avec les architectes de solution pour aider les clients à identifier les limitations et les risques potentiels. Les TAM et les équipes de compte peuvent également diriger les clients et les partenaires APN vers les ressources spécifiques en se basant sur leur environnement et leurs besoins.

  AWS dispose également d'équipes de représentants Enterprise Support, de consultants de services professionnels et d'autres membres du personnel afin d'aider sur les questions liées à la LGPD. Pour aider à éduquer les clients et les partenaires APN, AWS organise également un certain nombre d'allocutions, de webinaires et d'ateliers lors des AWS Summits pour les aider à comprendre la LGPD et mettre en place les solutions en utilisant des outils AWS.