AWS et le Règlement général sur la protection des données (GDPR)

Il y a un peu plus d’un an, la Commission européenne a approuvé et adopté le nouveau Règlement général sur la protection des données (GDPR, General Data Protection Regulation). Le GDPR est le plus grand changement dans les lois sur la protection des données en Europe depuis 1995, lorsque la Directive sur la protection des données de l’Union européenne (UE), également appelée directive 95/46/CE, a été introduite. Le GDPR vise à renforcer la sécurité et la protection des données à caractère personnel dans l’UE, et remplacera la directive et toutes les lois locales s’y rapportant.

AWS accueille favorablement l’arrivée du GDPR. Ces nouvelles exigences rigoureuses augmentent les contraintes en matière de protection des données, de sécurité et de conformité, et pousseront l’industrie à se conformer aux contrôles les plus stricts, contribuant ainsi à une plus grande sécurité pour tous. Je suis heureux d’annoncer aujourd’hui que tous les services AWS se conformeront au GDPR lorsqu’il deviendra exécutoire le 25 mai 2018.

Dans cet article, j’explique tout ce qu’AWS met en œuvre pour aider ses clients à se préparer à l’arrivée du GDPR, dans le cadre de notre engagement continu visant à leur permettre de se conformer aux exigences de protection des données de l’UE.

Qu’a mis en œuvre AWS?

AWS maintient en permanence un haut niveau de sécurité et de conformité dans toutes ses régions à travers le monde. Cela a toujours été notre plus grande priorité – le moteur de toute notre activité. L’infrastructure Cloud d’AWS a été conçue pour offrir aux clients l’environnement de cloud computing le plus puissant, le plus flexible et le plus sécurisé actuellement disponible. AWS fournit également un certain nombre de services et d’outils pour permettre à ses clients de créer une infrastructure compatible GDPR sur AWS.

L’un des outils que nous vous proposons est un contrat de traitement de données (DPA, Data Processing Agreement). Je suis heureux d’annoncer que nous disposons d’un DPA répondant aux exigences du GDPR. Il est disponible pour tous les clients AWS afin de les aider à se préparer pour le 25 mai 2018, lorsque le GDPR deviendra exécutoire. Pour plus d’informations sur le nouveau DPA GDPR, ou pour en obtenir une copie, contactez votre account manager AWS.

En plus des account managers, nous disposons d’équipes d’experts en conformité, de spécialistes de la protection des données et d’experts en sécurité, qui travaillent avec nos clients en Europe pour répondre à leurs questions et les aider à se préparer à exécuter des tâches dans le Cloud AWS après l’entrée en vigueur du GDPR. Pour répondre aux questions des clients, nous avons mis à jour notre site sur la protection des données dans l’UE. Ce site Web contient des informations expliquant en détails le GDPR, les changements qu’il apporte aux organisations opérant dans l’UE, les services qu’AWS vous propose pour vous y conformer, et des conseils pour vous préparer au mieux.

Nous abordons également sur ce site le sujet de la conformité d’AWS avec le code de conduite CISPE. Le code de conduite CISPE aide les clients du Cloud à s’assurer que leur fournisseur d’infrastructure Cloud utilise des normes de protection des données appropriées pour protéger leurs données, en concordance avec le GDPR. AWS a déclaré qu’Amazon EC2, Amazon S3, Amazon RDS, AWS Identity and Access Management (IAM), AWS CloudTrail et Amazon Elastic Block Storage (Amazon EBS) sont entièrement conformes au code de conduite CISPE. Cette déclaration fournit aux clients l’assurance que, lorsqu’ils utilisent AWS, ils contrôlent complètement leurs données, dans un environnement sûr, sécurisé et conforme. Pour plus d’informations sur la conformité d’AWS au code de conduite CISPE, consultez le site Web de l’association CISPE.

En plus de de proposer à ses clients un certain nombre d’outils et de services permettant de créer des environnements compatibles GDPR, AWS a obtenu un certain nombre de certifications et d’accréditations internationalement reconnues. Ce faisant, AWS a démontré sa conformité aux cadres d’assurance tiers tels qu’ISO 27017 pour la sécurité du Cloud, ISO 27018 pour la protection des données, PCI DSS niveau 1 et SOC 1, SOC 2 et SOC 3. AWS aide également ses clients à se conformer aux normes de sécurité locales, telles que le Cloud Computing Compliance Controls Catalog (C5) du BSI, très important en Allemagne. Nous continuerons à faire tout notre possible pour obtenir les certifications et accréditations qui comptent pour les clients d’AWS.

Que pouvez-vous faire ?

Bien que le GDPR n’entre pas en vigueur avant le 25 mai 2018, nous encourageons nos clients et nos partenaires à commencer à se préparer maintenant. Si vous avez déjà fixé un haut niveau de conformité, de sécurité et de confidentialité pour votre activité, votre passage au GDPR devrait être simple. Cependant, si vous n’avez pas encore commencé à vous conformer au GDPR, nous vous conseillons vivement d’amorcer dès à présent un examen de votre sécurité, de votre conformité et de vos processus de protection des données, afin d’assurer une transition harmonieuse en mai 2018.

Il vous faut prendre en compte les points clés suivants lors de votre préparation à la conformité GDPR :

• Portée territoriale – Il est essential de déterminer si le GDPR s’applique aux activités de votre organisation pour garantir que celle-ci sera capable de satisfaire à ses obligations de conformité.
• Droits des personnes – Le GDPR renforce le droit des personnes de plusieurs manières. Il vous faudra vous assurer que vous pouvez respecter les droits des personnes concernées si vous traitez leurs données personnelles.
• Notifications des violations de données – Si vous êtes contrôleur de données, vous devez signaler toute violation des données aux autorités chargées de leur protection sans retard excessif et, dans tous les cas, dans un délai maximum de 72h après avoir découvert la fuite.
• Délégué à la protection des données (DPD) – Il se peut que vous deviez nommer un DPD pour gérer la sécurité des données et tout autre problème relatif au traitement des données à caractère personnel.
• Évaluation d’impact sur la protection des données (DPIA, Data protection impact assessment)  – Vous devrez peut-être procéder à un DPIA et, dans certains cas, il peut vous être requis de soumettre une évaluation de vos activités de traitement aux autorités de contrôle.
• Contrat de traitement de données (DPA) –Il vous sera peut-être nécessaire d’obtenir un DPA conforme aux obligations du GDPR, en particulier si des données à caractère personnel sont transférées hors de de l’Espace économique européen.
• AWS propose une large gamme de services et de fonctionnalités pour aider ses clients à se conformer au GDPR, notamment des services de contrôle d’accès, de surveillance, d’enregistrement et de chiffrement. Pour plus d’informations concernant ces services et fonctionnalités, consultez le site sur la protection des données dans l’UE.

Chez AWS, la sécurité, la protection des données et la conformité sont nos premières priorités, et nous continuerons d’exercer notre vigilance pour que nos clients puissant profiter des bénéfices d’AWS en toute sécurité et conformité, sans perturbation en Europe et à travers le monde. À mesure que nous approchons de 2018, nous mettrons davantage d’informations et de ressources à votre disposition pour vous aider à vous conformer au GDPR.

– Steve