Créer un avenir plus solide grâce à la technologie AWS

Ressources relatives à la sécurité et à la confidentialité

• Accès aux données sur AWS

  Avec AWS, les clients sont propriétaires de leurs données, contrôlent leur emplacement et déterminent qui y a accès. Nous sommes transparents sur la façon dont les services AWS traitent les données téléchargées sur le compte AWS (données du client), et fournissons des fonctionnalités qui permettent le chiffrement, la suppression et le contrôle du traitement des données du client. Cet engagement repose sur le modèle de responsabilité partagée d'AWS et sur le contrat client AWS. Les fonctions de protection des données des services AWS offrent une granularité supplémentaire par services.

  Ressources
  

  • Contrat client AWS : ce contrat client AWS contient les conditions générales qui régissent l'accès et l'utilisation des offres de services.
  • Fonctions des services AWS de protection des données : un aperçu des principales fonction des services AWS de protection des données. Les services peuvent être utilisées pour effectuer des évaluations de transfert de données conformément à la décision Schrems II de la Cour de justice de l'Union européenne, et aux recommandations du Conseil européen de la protection des données sur les mesures qui complètent les outils de transfert.
  • Code de conduite de la CISPE sur la protection des données : le code CISPE garantit aux organisations que leur fournisseur de services d'infrastructure cloud répond aux exigences applicables au sous-traitant des données en vertu du RGPD. Ernst and Young CertifyPoint (EYCP) a certifié la conformité de 52 services AWS, offrant ainsi aux clients la certitude supplémentaire que leur conformité au RGPD a été vérifiée de manière indépendante.
  • Modèle de responsabilité partagée : la sécurité et la conformité sont une responsabilité partagée entre AWS et le client. Ce modèle partagé permet d'alléger la charge opérationnelle du client étant donné qu'AWS exécute, gère et contrôle les composants depuis le système d'exploitation hôte jusqu'à la couche de virtualisation en passant par la sécurité physique des installations dans lesquelles le service s'exécute.
    
  • AWS Nitro System : une combinaison de matériel dédié et d'hyperviseurs légers permettant un traitement confidentiel en vertu duquel l'accès des opérateurs est restreint.
    

• Accès du gouvernement des États-Unis aux données des clients : le CLOUD Act

  Le CLOUD Act, qui s'applique à toutes les entreprises, y compris les entreprises étrangères faisant des affaires aux États-Unis, ne donne pas aux autorités américaines un accès illimité aux données. Il ne s'applique qu'à une catégorie restreinte de données : les preuves recherchées en rapport avec un crime, tel que le terrorisme, sur lequel les États-Unis sont compétents.
  Comprendre le CLOUD Act : une page dédiée expliquant les détails du CLOUD Act et d'AWS.
  Clarification d'IDC sur le CLOUD Act : clarification d'IDC, pour mieux comprendre les faits du CLOUD Act.
  

  AWS s'opposera aux demandes d'application de la loi concernant les données des clients émanant d'organismes gouvernementaux lorsque les demandes sont en contradiction avec la loi, ont une portée trop générale ou lorsque nous avons des raisons appropriées de le faire.
  

  Ressources
  

  • AWS a renforcé ses engagements sur les demandes des autorités : modification de l'accord avec le client en contestant les demandes des autorités et en divulguant le minimum nécessaire.
  • Rapport sur les demandes d'information des autorités : rapport bi-annuel sur les types et le nombre de demandes d'information des autorités traitées par Amazon.
  • AWS Well-Architected : AWS Well-Architected aide les architectes du cloud à créer une infrastructure sécurisée, performante, résiliente et efficace pour leurs applications et charges de travail. Six piliers : l'excellence opérationnelle, la sécurité, la fiabilité, l'efficacité des performances, l'optimisation des coûts et la durabilité. AWS Well-Architected fournit une approche cohérente aux clients et partenaires pour évaluer les architectures et mettre en œuvre des conceptions pouvant être mises à l'échelle au fil du temps.

  Bonnes pratiques techniques pour garantir la protection des données

  • AWS Key Management Service (KMS)
  • Magasin de clés personnalisé AWS Key Management Service
  • AWS CloudHSM
  • Questions fréquentes (FAQ) sur AWS KMS

• AWS et le déplacement des données

  Les clients choisissent la ou les régions AWS dans lesquelles leur contenu sera stocké. Ils peuvent répliquer et sauvegarder leur contenu dans plusieurs régions AWS. Avec AWS, les clients ont le contrôle total de leurs données, y compris l'endroit où elles sont stockées, la manière dont elles sont sécurisées, les personnes qui y ont accès et la manière dont ils architecturent leurs besoins en matière de souveraineté des données. AWS traitera les données du client uniquement en accord avec les instructions documentées.

  Ressources

  • Questions fréquentes (FAQ) sur la protection des données
  • AWS et la participation à Gaia-X, une initiative de l'UE qui réunit des représentants du monde des affaires, de la science et de la politique pour définir les normes de la prochaine génération d'infrastructures de données.
  • Barrières de protection de résidence des données dans AWS Control Tower : moyen simplifié de traduire les exigences en matière de résidence des données en contrôles pouvant être appliqués à des environnements à compte unique ou à comptes multiples.
    

   

• Chiffrement des données sur AWS
  

  AWS informe les clients avant de divulguer les données et fournit également un certain nombre de services avancés de chiffrement et de gestion des clés que les clients peuvent utiliser pour protéger leur contenu. Explorez les ressources clés d'AWS de chiffrement des données.

  Ressources

  • Bases du chiffrement AWS
  • Livre blanc sur le chiffrement AWS KMS
  • Quick Starts sur la conformité AWS
  • Mises à jour du chiffrement AWS
    

• Lois de l'UE, bouclier AWS de protection des données
  

  Les clients et partenaires d'AWS peuvent continuer à utiliser AWS pour transférer leur contenu de l'Europe vers les États-Unis et d'autres pays, en conformité avec les lois de l'UE sur la protection des données, y compris avec le Règlement général sur la protection des données (RGPD). Les clients et partenaires peuvent également stocker et traiter les données dans une région de l'Union européenne et s'assurer qu'il n'existe pas de transfert de données, afin de se conformer à l'arrêt Schrems II.

  Ressources

  • Présentation d'AWS et les données des clients de l'UE.
  • E-book : protection des données dans l'UE et AWS.

   

• RGPD et comment AWS peut vous aider
  

  AWS s'engage à proposer des services et des ressources pour aider ses clients à se conformer aux exigences de protection des données susceptibles de s'appliquer à leurs activités, et propose plus de 500 fonctionnalités et services axés sur la sécurité et la conformité.  C'est dans cet esprit qu'en mars 2018, nous avons annoncé que tous les services et fonctionnalités d'AWS pouvaient être utilisés conformément au RGPD. 

  AWS propose un addendum relatif au traitement des données (DPA) dans les conditions de service AWS qui s'applique automatiquement chaque fois que les clients AWS utilisent les services AWS pour traiter des données personnelles téléchargées sur leur compte AWS.  Les termes de l'AWS DPA, conformes au RGPD, sont considérés comme une référence en matière de respect de la vie privée dans le monde entier et vont au-delà des exigences de la plupart des autres lois sur la protection des données. Cela signifie que les clients atteindront un niveau de conformité au moins équivalent, voire supérieur, à celui exigé par la plupart des lois sur la protection des données. 

  Pour plus d'informations sur les mesures prises par AWS pour aider les clients à respecter les exigences en matière de protection des données, consultez notre page sur la protection des données.
  

  Ressources
  

  • Centre de confidentialité des données : toutes les ressources sur la confidentialité des données chez AWS.
  • Centre RGPD : toutes les ressources et questions fréquentes (FAQ) sur le RGPD.
    
  • Programmes de conformité AWS : le programme de conformité AWS aide les clients à comprendre les contrôles robustes en place chez AWS pour maintenir la sécurité et la conformité dans le cloud. 
  • Sécurité, identité et conformité AWS : présentation des cas d'utilisation de la sécurité et des services AWS respectifs en matière de protection des données, de gestion des identités et accès, de protection des réseaux et applications, de détection des menaces et de surveillance continue ainsi que de conformité et de protection des données.
  • AWS Well-Architected : AWS Well-Architected aide les architectes du cloud à créer une infrastructure sécurisée, performante, résiliente et efficace pour leurs applications et charges de travail. Six piliers : excellence opérationnelle, sécurité, fiabilité, efficacité des performances, optimisation des coûts et durabilité. AWS Well-Architected fournit une approche cohérente aux clients et partenaires pour évaluer les architectures et mettre en œuvre des conceptions pouvant se mettre à l'échelle au fil du temps.
  • AWS Artifact : AWS Artifact est la ressource centrale et incontournable pour les informations relatives à la conformité qui importent aux clients AWS. Il offre un accès à la demande aux rapports de sécurité et conformité d'AWS, ainsi qu'à certains contrats en ligne. AWS Artifact met à disposition les rapports Service Organization Control (SOC) et Payment Card Industry (PCI), ainsi que des certifications des organismes d'accréditation des différentes régions et secteurs de conformité qui valident l'implémentation et l'efficacité opérationnelle des systèmes de contrôle de sécurité AWS. AWS Artifact met à disposition l'annexe au contrat de partenariat (BAA, Business Associate Addendum) et l'accord de confidentialité (NDA, Non-disclosure Agreement).
    

• Emplacement géographique des centres de données
  

  Les clients AWS choisissent la ou les régions AWS dans laquelle/lesquelles ils souhaitent placer leur contenu et leurs serveurs. Cela permet aux clients ayant des exigences de résidence des données spécifiques à une zone géographique d'établir des environnements dans un ou plusieurs emplacements de leur choix. Les clients gardent le contrôle total et l'entière propriété de la région dans laquelle leurs données sont physiquement situées. Il est donc facile de répondre aux exigences régionales de conformité et de résidence des données. AWS ne déplacera pas le contenu du client sans le consentement de ce dernier, sauf si la loi l'exige.

  Ressources

  • Infrastructure mondiale AWS : présentation détaillée des régions AWS, zones de disponibilité, points de présence, pays et territoires actuellement desservis.
  • Régions et zones de disponibilité : vue cartographique de l'emplacement des régions AWS et des zones de disponibilité.
  • Informations sur les centres de données : informations complètes sur la couche périmétrique du centre de données AWS, la couche infrastructure, la couche données, ainsi que la couche environnementale.
    

• Secteur réglementé sur AWS
  

  AWS a obtenu un certain nombre de certifications et d'accréditations reconnues à l'échelle internationale, démontrant sa conformité à des cadres d'assurance tiers, notamment l'HIPAA, le RGPD, la Protection des données personnelles de santé en France (HDS), le Catalogue de conformité du Cloud Computing (C5), les Normes gouvernementales en Espagne (ENS high), la Protection contre les cyber-menaces au Royaume-Uni (Cyber Essential Plus), les Normes gouvernementales au Royaume-Uni (G-Cloud), et l'Attestation pour les circulaires de l'Autorité de surveillance des marchés financiers suisses, afin de répondre aux obligations uniques de sécurité, de réglementation et de conformité des institutions des secteurs réglementés et du secteur public.

  Ressources

  • Questions fréquentes (FAQ) des institutions financières sur la conformité : questions fréquentes des institutions financières allemandes sur l'utilisation d'AWS.
  • Conformité et sécurité pour les services financiers : AWS comprend les obligations uniques en matière de sécurité, de réglementation et de conformité auxquelles sont confrontées les institutions de services financiers à l'échelle mondiale. Cette vue d'ensemble prend en compte toutes les ressources et étapes nécessaires aux institutions financières pour naviguer en toute sécurité dans le cloud.
  • Cloud Governance for Financial Services : un cadre destiné à guider les clients dans l'établissement de processus et la sélection d'outils pour gérer et gouverner leur environnement AWS.
  • AWS Artifact : la ressource centrale et incontournable pour les informations relatives à la conformité qui vous importent. Il offre un accès à la demande aux rapports de sécurité et conformité d'AWS, ainsi qu'à certains contrats en ligne.
  • Programmes de conformité d'AWS : ce programme aide les clients à comprendre les contrôles en place chez AWS pour maintenir la sécurité et la conformité dans le cloud, en reliant les fonctions des services axés sur la gouvernance et faciles à auditer aux normes de conformité ou d'audit applicables.
  • AWS dans le secteur public : des ressources uniques pour les administrations, les organisations à but non lucratif, les institutions d'enseignement et de soins de santé pour ouvrir la voie à l'innovation et soutenir des projets qui changent le monde.