Confidentialité des données en Argentine

Présentation

Argentina

La loi argentine sur la protection des données personnelles n° 25,326, y compris le décret réglementaire n° 1558/2001 et les règlementations complémentaires (« PDPA »), constitue une loi fédérale qui s'applique à la protection des données personnelles en Argentine et lors du transfert des données hors de ce pays en vue de leur traitement à l’étranger. L'Autorité argentine de protection des données (Argentine Data Protection Authority, ADPA) a promulgué la décision n° 11/2006 en vertu de la PDPA, qui décrit trois niveaux distincts de mesures techniques et organisationnelles de sécurité (de base, moyen et critique) à envisager en fonction des activités que vous menez ou de la nature des données personnelles que vous traitez.

AWS veille au respect de votre confidentialité et à la sécurité de vos données. Chez AWS, la sécurité commence par notre infrastructure de base. Taillée sur mesure pour le cloud et conçue pour répondre aux exigences de sécurité les plus strictes au monde, notre infrastructure est surveillée 24 h/24 et 7 j/7 afin de garantir la confidentialité, l'intégrité et la disponibilité des données de nos clients. Les mêmes experts en sécurité de classe mondiale qui surveillent cette infrastructure construisent et maintiennent également notre vaste sélection de services de sécurité novateurs, qui peuvent vous aider à respecter plus simplement vos propres exigences de sécurité et de réglementation. En tant que client d'AWS, quelle que soit votre taille ou votre localisation, vous bénéficiez de tous les avantages de notre expérience, testée dans les cadres d'assurance les plus stricts.

AWS met en œuvre et gère des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure cloud d'AWS dans le cadre d'assurances et de certifications de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1 et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.

Par exemple, la norme ISO 27018 constitue la première norme internationale spécifique à la protection des données personnelles dans le cloud. Elle offre des conseils de mise en œuvre des contrôles de la norme ISO 27002 sur la sécurité des informations, sur laquelle elle est basée, qui peuvent être appliqués aux données personnelles soumises au traitement de fournisseurs publics de services de cloud. Cela prouve aux clients qu'AWS dispose d'un système de contrôles spécifiquement dédié au respect de la confidentialité de leur contenu.

Ces mesures techniques et organisationnelles complètes d’AWS sont conformes aux objectifs de la PDPA et de la disposition 11/2006 de la PDPA, qui visent à protéger les données personnelles. Les clients qui utilisent les services AWS conservent le contrôle de leur contenu et sont responsables de la mise en œuvre de mesures de sécurité supplémentaires en fonction de leurs besoins spécifiques, y compris la classification du contenu, le chiffrement, la gestion des accès et les identifiants de sécurité.

Étant donné qu'AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la PDPA, les clients sont, en fin de compte, responsables de leur conformité à la PDPA et à la réglementation associée. Le contenu de cette page complète les ressources existantes en matière de confidentialité des données pour vous aider à mettre vos exigences en adéquation avec le  modèle de responsabilité partagée d’AWS lorsque vous traitez des données personnelles dans des centres de données internationaux.

  • Quel rôle joue le client dans la sécurisation de son contenu ?

    Dans le cadre dumodèle de responsabilité partagée d’AWS, les clients AWS gardent le contrôle du type de sécurité qu'ils choisissent de mettre en place afin de protéger leurs propres contenus, plates-formes, applications, systèmes et réseaux, de la même manière que s'ils plaçaient leurs applications dans un centre de données sur site. Les clients peuvent s'appuyer sur les mesures et contrôles de sécurité techniques et organisationnels offerts par AWS pour gérer leurs propres exigences de conformité. Les clients peuvent utiliser des méthodes courantes pour protéger leurs données, telles que le chiffrement et l'authentification multi-facteurs (MFA), outre les fonctions de sécurité d'AWS telles qu'AWS Identity and Access Management.

    Lorsqu'il évalue la sécurité d'une solution de cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

    • les mesures de sécurité qu'AWS met en œuvre et exploite - « sécurité du cloud », et
    • les mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité de leur contenu et de leurs applications qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».
    compliance-srm
  • Qui peut accéder au contenu des clients ?

    Le contenu reste la propriété des clients et sous le contrôle de ceux-ci, lesquels choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. AWS n'a aucune visibilité sur le contenu des clients et n'accède ni n'utilise celui-ci, sauf pour fournir les services AWS sélectionnés par un client ou lorsque cela est nécessaire pour se conformer à la loi ou à un obligation légale contraignante.

    Les clients qui utilisent les services AWS gardent le contrôle de leur contenu dans l'environnement AWS. Ils peuvent :

    • déterminer le lieu où il sera localisé, par exemple le type d'environnement de stockage et l'emplacement géographique de ce stockage ;
    • contrôler le format de leur contenu, par exemple en texte brut, masqué, anonyme ou chiffré, en utilisant le mécanisme de chiffrement fourni par AWS ou un mécanisme du choix du client ;
    • gérer les autres contrôles d'accès, tels que la gestion d'identité et d'accès, et les informations d'identification de sécurité ;
    • déterminer s'il faut utiliser SSL, Virtual Private Cloud et d'autres mesures de sécurité réseau pour empêcher tout accès non autorisé.

    Les clients AWS contrôlent ainsi l'intégralité du cycle de vie de leur contenu sur AWS, et gèrent ce contenu selon leurs propres besoins spécifiques, notamment en ce qui concerne la classification de contenu, le contrôle d'accès, la conservation et la suppression.

  • Où le contenu des clients est-il stocké ?

    Les centres de données AWS sont conçus sous forme de clusters dans divers pays à travers le monde. Nous appelons « région » chacun de nos clusters de centre de données dans un pays donné. Les clients ont accès à 18 régions AWS à travers le monde.

    Les clients AWS choisissent la ou les régions AWS où leur contenu sera stocké. Cela permet aux clients qui ont des exigences spécifiques en termes de géographie d'établir leurs environnements dans l'emplacement ou les emplacements de leur choix. Par exemple, les clients peuvent choisir de déployer leurs services AWS exclusivement dans une des régions UE (France, Allemagne, Royaume-Uni ou Irlande). Dans ce cas, le contenu du client est stocké dans la région AWS, comme bon lui semble, à moins qu'il ne décide explicitement de transférer ou de répliquer son contenu dans une autre région AWS.

    Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, mais AWS ne transfère pas leur contenu en dehors de la ou des régions de leur choix, sauf pour fournir les services demandés par les clients ou pour respecter la loi en vigueur.

  • Comment AWS sécurise-t-il ses centres de données ?

    La stratégie de sécurité du centre de données AWS est composée de contrôles de sécurité évolutifs et de multiples couches de défense qui aident à protéger vos informations. Par exemple, AWS gère avec attention les risques potentiels d'inondation et d'activité sismique. Nous utilisons des barrières physiques, des gardes de sécurité, une technologie de détection des menaces et un processus de filtrage approfondi pour limiter l'accès aux centres de données. Nous sauvegardons nos systèmes, testons régulièrement l'équipement et les processus, et formons continuellement les employés d'AWS pour qu'ils soient prêts à faire face aux imprévus.

    Pour valider la sécurité de nos centres de données, des auditeurs externes effectuent des tests sur plus de 2 600 normes et exigences tout au long de l'année. Cet examen indépendant permet de s'assurer que les normes de sécurité sont constamment respectées ou dépassées. Grâce à toutes ces mesures, les entreprises les plus réglementées du monde entier font confiance à AWS chaque jour pour la protection de leurs données.

    En savoir plus sur la façon dont nous sécurisons les centres de données AWS en effectuant une visite virtuelle »

  • Quelles régions AWS puis-je utiliser ?

    Les clients peuvent choisir d'utiliser n'importe quelle région, toutes les régions ou une combinaison de régions, y compris les régions du Brésil et des États-Unis. Visitez la page relative à l’infrastructure mondiale AWS pour consulter la liste complète des régions AWS.

  • L'Autorité argentine de protection des données a déterminé que certains pays assurent un « niveau de protection adéquat » des données personnelles. Existe-t-il des régions AWS dans ces pays ?

    En vertu de la PDPL, les contrôleurs des données (c.-à-d. les clients AWS) sont autorisés à transférer des données personnelles vers des juridictions qui offrent un « niveau adéquat de protection » des données personnelles, conformément aux dispositions de l'ADPA. La disposition 60-E/2016 publiée par l'ADPA stipule que les États membres de l'Union européenne (UE) et de la Communauté économique européenne (CEE) sont considérés comme offrant des niveaux adéquats de protection des données personnelles.

    Selon l'ADPA, les régions qu'AWS possède dans de nombreux pays, tels que l'Allemagne, la France, le Royaume-Uni et l'Irlande dans l'UE, offrent un « niveau de protection adéquat » dans le cadre de la loi PDPL. Visitez la page relative à l’infrastructure mondiale AWS pour consulter la liste complète des régions AWS.

    Quelle que soit la région que vous choisissez, AWS applique les mêmes normes de sécurité à ses centres de données.

  • Sur quels accords internationaux de transfert de données AWS s’appuie-t-il pour garantir la protection des données personnelles transférées quel que soit le pays de destination, notamment le Brésil et les États-Unis ?

    Dans les accords établis avec ses clients, AWS prend des engagements spécifiques en matière de sécurité et de confidentialité qui s'appliquent largement au contenu des clients dans chaque région que le client choisit pour le stockage de ses données. Les engagements d’AWS sont conformes aux objectifs des dispositions 11/2006 et 60-E/2016 de la PDPL pour la protection des données personnelles.

    AWS propose également un avenant sur le traitement des données (Data Processing Addendum, DPA) international, qui s'applique à l'échelle mondiale et comprend des engagements contractuels spécifiques visant à traiter de manière adéquate la confidentialité et la sécurité des données personnelles.

    Les clients ont également la possibilité de passer un contrat d'entreprise avec AWS, qui peut être adapté en fonction de leurs besoins spécifiques. Pour plus d'informations sur les Contrats Entreprise ou le DPA, contactez votre représentant commercial.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »