Le Blog Amazon Web Services
Tous les services d’AWS sont déjà conformes au RGPD!
Amazon Web Services est heureux d’annoncer que l’ensemble de ses services sont d’ores et déjà conformes au Règlement Général sur la Protection des Données (RGPD). En plus de bénéficier de toutes les mesures mises en place par AWS pour assurer la sécurité de ses services, les clients peuvent également déployer des services AWS dans le cadre de leurs plans de mise en conformité au RGPD.
Amazon Web Services a terminé l’intégralité de l’audit de conformité de ses services au RGPD certifiant que l’ensemble de ses services et fonctionnalités disponibles respectent les normes les plus élevées en matière de confidentialité et de protection des données personnelles imposées par le RGPD. AWS souhaitait se mettre en conformité avec le Règlement deux mois avant son entrée en vigueur, le 25 mai 2018, afin d’offrir, tant à ses clients qu’à ses partenaires, un environnement dans lequel ils peuvent développer leurs propres produits, services et solutions conformes au RGPD.
Maintenant que tous ses services sont conformes au RGPD, AWS peut accompagner ses clients et partenaires dans leur mise en conformité au RGPD à plusieurs niveaux :
Sécurité des données personnelles
En auditant les nombreux services, les experts conformité et sécurité d’AWS ont confirmé la mise en place de mesures techniques et organisationnelles efficaces permettant aux processeurs de sécuriser les données personnelles, conformément au RGPD. La sécurité est la priorité numéro un pour AWS, et l’entreprise continue d’innover et d’investir pour garantir un niveau élevé de sécurité et de conformité de l’ensemble de ses activités dans le monde. Les technologies de pointe d’AWS expliquent la liste étendue de certifications reconnues à l’échelle mondiale et conformes aux normes internationales les plus rigoureuses, comme la norme ISO 27001, dédiée aux mesures techniques, la norme ISO 27017, dédiée à la sécurité du cloud computing, la norme ISO 27018 dédiée à la protection des données personnelles dans le Cloud, SOC 1, SOC 2 et SOC 3, PCI DSS niveau 1, mais aussi des certifications propres aux Etats-Unis comme par exemple le Cloud Computing Compliance Controls Catalog (C5) du BSI. AWS développe en permanence des certifications destinées à aider ses clients.
Services d’aide à la mise en conformité
De nombreuses exigences du RGPD visent à assurer un contrôle et une protection efficace des données personnelles. Certains services AWS permettent aux clients de mettre en place leurs propres mesures de sécurité, adaptées à leurs besoins, afin de se conformer au RGPD. Ces mesures spécifiques comprennent notamment :
- Le chiffrement des données personnelles
- La capacité d’assurer en continu confidentialité, intégrité, disponibilité et résilience des systèmes de traitement et services
- La capacité de restaurer la disponibilité et l’accès aux données personnelles le plus rapidement possible en cas d’incident d’ordre physique ou technique
- Les processus de test et d’évaluation de l’efficacité des mesures organisationnelles et techniques destinées à assurer la sécurité du traitement des données
AWS propose un ensemble de services de sécurité et de conformité spécialement conçus pour répondre aux exigences du RGPD. De nombreux services AWS sont particulièrement intéressants pour les clients dont l’objectif est de se conformer au RGPD, notamment :
- Amazon GuardDuty : un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés
- Amazon Macie : un service de sécurité qui utilise le machine learning pour surveiller et protéger les données stockées dans Amazon S3
- Amazon Inspector : un service d’évaluation de la sécurité automatisé qui permet de renforcer la sécurité et la conformité des applications déployées sur AWS
- AWS Config Rules : un service de monitoring qui vérifie la conformité des ressources cloud aux règles de sécurité
AWS a également publié un livre blanc sur le sujet intitulé « Navigating GDPR Compliance on AWS ». Ce livre blanc explique comment adapter les exigences du RGPD à chaque service AWS, et notamment ceux concernant le monitoring, l’accès aux données, et la gestion des clefs. De plus, le Centre RPGD virtuel d’AWS donne accès aux ressources actualisées nécessaires pour se conformer aux exigences du RGPD.
Data Processing Addendum RGPD
AWS propose un Data Processing Addendum (DPA) conforme au RGPD, permettant aux clients d’être en conformité avec les obligations contractuelles liées au RGPD.
Conformité au code de conduite CISPE
Se conformer à un code de conduite est un moyen efficace pour démontrer des garanties suffisantes en ce qui concerne les exigences imposées par le règlement en matière de processeurs. Dans ce contexte, AWS a précédemment annoncé son adhésion au code de conduite CISPE. Le code de conduite CISPE permet aux clients de s’assurer que leur fournisseur d’infrastructure de cloud applique les normes appropriées en matière de protection des données. Pour en savoir plus sur le code de conduite CISPE, rendez-vous sur : https://aws.amazon.com/compliance/cispe/
Formation et Summits
AWS propose également des formations de mise en conformité au RGPD s’appuyant sur des services AWS et animées par une équipe d’experts. Cette équipe propose un atelier dédié au RGPD : une formation de deux jours adaptée aux besoins et aux défis rencontrés par les clients. Le RGPD est un sujet récurrent des AWS Summits tant dans les pays européens, que sur les autres continents.
Ressources additionnelles
Enfin, AWS dispose d’équipes d’experts en conformité, protection des données et sécurité, mais aussi des partenaires, qui aident les clients européens à se préparer à exécuter des charges de travail dans le cloud à l’entrée en vigueur du RGPD
A l’approche du 25 mai – et par la suite – AWS continuera de publier des informations afin d’approfondir les concepts liés au RGPD et la manière dont AWS peut accompagner les différents acteurs dans leur mise en conformité. Pour plus d’informations, visitez notre Centre RGPD virtuel.
AWS se réjouit d’être le partenaire des entreprises qui préparent l’entrée en vigueur du RGPD.