AWS place les données d'un client dans deux catégories : le contenu du client et les informations liées à son compte.

Nous définissons le contenu des clients comme des logiciels (incluant les images machine), données, textes, données audio, vidéos ou images qu'un client ou tout utilisateur final nous transmet à des fins de traitement, de stockage ou d'hébergement par les services AWS, en lien avec le compte de ce client et tout résultat de calculs numériques qu'un client ou un utilisateur final récupère de ce qui précède en utilisant les services AWS. Par exemple, il peut s'agir du contenu qu'un client ou tout utilisateur final stocke dans Amazon Simple Storage Service. Les informations liées au compte d'un client (dont vous trouverez la description ci-dessous) ne sont pas considérées comme du contenu. Les conditions générales du Contrat client AWS, ou de tout autre contrat signé avec nous régissant l'utilisation des services AWS, s'appliquent au contenu de vos clients.

Nous définissons les informations liées au compte d'un client comme les informations concernant ce client qu'il nous fournit lui-même au moment de la création ou de l'administration de son compte. Les informations sur le compte incluent, par exemple, les noms, noms d'utilisateur, numéros de téléphone, adresses e-mail et informations de facturation associés au compte d'un client. Les pratiques en matière d'informations décrites dans la politique de confidentialité d'AWS s'appliquent aux informations sur le compte.

Le contenu reste la propriété des clients, lesquels choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. L'accès au contenu des clients, ainsi que son utilisation, se font toujours uniquement dans le cas d'une obligation légale ou de la nécessité de procéder à la maintenance des services AWS dans le but de pouvoir les proposer à nos clients et à leurs utilisateurs finaux. Aucune opération n'est réalisée sur le contenu des clients ni aucune information récupérée à des fins marketing ou publicitaires.

Les clients contrôlent leur contenu. Avec AWS, les clients :

• Déterminent l'emplacement de stockage de leur contenu (type et région géographique du stockage).

• Choisissent l'état de sécurisation de leur contenu. Nous proposons à nos clients le chiffrement avancé de leur contenu en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.

• Gèrent l'accès à leur contenu et aux services et ressources AWS via des utilisateurs, groupes, autorisations et informations d'identification qu'ils contrôlent eux-mêmes.

Nous sommes conscients du fait que les clients attachent beaucoup d'importance à l'utilisation qui est faite des informations liées à leur compte, et nous leur sommes reconnaissants de la confiance qu'ils nous accordent dans ce domaine. La politique de confidentialité d'AWS décrit la façon dont nous collectons et utilisons les informations liées au compte.

Nous sommes très vigilants en ce qui concerne le respect de la vie privée de nos clients. Nous ne divulguons aucun contenu de nos clients, sauf en cas d'obligation légale ou pour respecter un ordre juridique valide et exécutoire provenant d'un organisme gouvernemental ou réglementaire. Les organismes gouvernementaux et réglementaires doivent se conformer à la procédure légale applicable pour obtenir un ordre juridique valide et exécutoire. Nous passons en revue tous ces ordres et contestons tous ceux qui nous semblent inappropriés. A moins qu'il existe une interdiction ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des produits et services d'Amazon, Amazon informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération. Il est également important de noter que nos clients peuvent chiffrer leur contenu et que nous leurs proposons une option leur permettant de gérer leurs propres clés de chiffrement.

Nous sommes conscients du fait que la transparence est essentielle aux yeux de nos clients, c'est pourquoi nous publions régulièrement ici un rapport sur les différents types et les quantités de demandes d'informations que nous recevons.

Ce sont les clients qui choisissent la ou les région(s) dans lesquelles ils souhaitent stocker leur contenu, ce qui leur permet de déployer des services AWS à l'emplacement ou aux emplacements de leur choix, conformément à leurs besoins géographiques personnels. Les centres de données AWS sont conçus sous forme de clusters dans diverses régions du monde.

Par exemple, un client AWS basé en Australie peut choisir de déployer exclusivement ses services AWS dans la région Asie-Pacifique (Sydney) et de stocker son contenu à terre en Australie. S'il fait ce choix, le contenu de ce client se trouvera en Australie. Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, et nous ne procédons pas au déplacement et à la réplication des contenus des clients en dehors de la ou des régions choisie(s) par le client, sauf en cas d'obligation légale ou de la nécessité de procéder à la maintenance des services AWS dans le but de pouvoir les proposer à nos clients et à leurs utilisateurs finaux.

*Tous les services AWS ne sont pas nécessairement disponibles dans toutes les régions.

Lorsqu'il évalue la sécurité d'une solution de cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

• Les mesures de sécurité mises en place et gérées par AWS, c'est-à-dire la « sécurité du cloud »

et

• Les mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité de leur contenu et de leurs applications qui ont recours aux services AWS, à savoir la « sécurité dans le cloud »

Pour obtenir la liste complète des mesures de sécurité intégrées à notre infrastructure, nos plates-formes et nos services de cloud AWS principaux, consultez notre livre blanc Overview of Security Processes.

La sécurité des données de nos clients est notre priorité absolue. AWS a déjà obtenu l'approbation de l'autorité en charge de la protection des données au sein de l'Union européenne, le « Groupe de travail Article 29 », dans le cadre du « Data Processing Addendum » et des clauses contractuelles d'AWS, de procéder au transfert de données en dehors de l'Europe, notamment vers les Etats-Unis. Grâce à notre « Data Processing Addendum » et à nos clauses contractuelles, les clients d'AWS peuvent continuer à exécuter leurs opérations internationales avec AWS, en parfaite conformité avec la législation européenne. Le « Data Processing Addendum » d'AWS est disponible pour tous les clients AWS procédant au traitement de leurs données personnelles, qu'il s'agisse de clients basés en Europe ou d'une entreprise internationale opérant dans l'Espace économique européen. Pour en savoir plus, consultez la FAQ AWS sur la protection des données dans l'Union européenne.

Pour plus d'informations sur la façon dont les clients peuvent adhérer au « Data Processing Addendum » d'AWS, consultez ce site (connexion requise).

La conformité d'AWS avec la norme ISO 27018 a été validée par une instance d'évaluation indépendante. La norme ISO 27018 constitue la première norme internationale spécifique à la protection des données personnelles dans le cloud. Elle offre des conseils de mise en œuvre des contrôles de la norme ISO 27002 sur la sécurité des informations, sur laquelle elle est basée, qui peuvent être appliqués aux données personnelles soumises au traitement de fournisseurs publics de services de cloud. Ceci prouve aux clients qu'AWS dispose d'un système de contrôles spécifiquement dédié au respect de la confidentialité de leur contenu. Pour en savoir plus, consultez la FAQ AWS sur la norme ISO 27018.

Nous avons développé un programme d'assurance de sécurité faisant appel à d'autres bonnes pratiques globales concernant la confidentialité et la protection des données, afin d'aider nos clients à s'établir et travailler au mieux dans notre environnement de contrôle de la sécurité. Ces divers éléments de protection de la sécurité et processus de contrôle sont validés par de nombreuses instances d'évaluation indépendantes.

La Commission européenne et le gouvernement des Etats-Unis ont récemment convenu d'un nouveau cadre. Répondant au nom de bouclier de protection des données UE – Etats-Unis, il a été formellement adopté par la Commission européenne le 12 juillet. Le bouclier de protection des données UE – Etats-Unis remplace le dispositif Safe Harbor. Amazon Web Services (AWS) accueille avec plaisir ce nouveau cadre régissant les transferts de données transatlantiques.

Pour plus d'informations sur ce sujet et AWS, consultez notre page dédiée au bouclier de protection des données UE-Etats-Unis.