Je souhaite avoir des informations sur la protection des données dans l'UE »
  • Présentation

    EUAWSLogo

    Chez AWS, la confiance des clients est notre priorité absolue. Nous proposons nos services à des millions de clients actifs, incluant des entreprises, des établissements scolaires et des organismes publics, dans plus de 190 pays. Parmi nos clients figurent des prestataires de services financiers et de soins, ainsi que des agences gouvernementales, qui nous confient certaines de leurs informations les plus sensibles.

    Nous sommes conscients du fait que, pour nos clients, la confidentialité et la sécurité des données sont primordiales. Voilà pourquoi chez AWS, ce sont les clients qui sont propriétaires de leurs données et en assurent le contrôle : grâce à des outils simples mais puissants, ils peuvent définir les emplacements de stockage qui seront utilisés, sécuriser leurs données en transit ou au repos et gérer l'accès aux services et ressources AWS pour leurs utilisateurs. Nous mettons également en œuvre un système élaboré responsable de contrôles techniques et physiques, visant à éviter tout accès ou toute divulgation non autorisé(e) du contenu des clients.

    Nos engagements constants visent à conserver la confiance de nos clients et à les informer des différentes politiques, pratiques et technologies mises en place dans le domaine de la confidentialité et de la sécurité des données. Ces engagements comprennent les éléments suivants :

    • Accès : Les clients peuvent gérer l'accès au contenu de leurs clients, ainsi qu'aux services et aux ressources AWS. Nous proposons un ensemble élaboré de fonctionnalités d'accès, de chiffrement et de journalisation afin de vous permettre de réaliser toutes ces tâches de la façon la plus efficace possible (grâce à AWS CloudTrail, par exemple). L'accès au contenu des clients, ainsi que son utilisation, se font toujours uniquement dans le cas d'une obligation légale ou de la nécessité de procéder à la maintenance des services AWS dans le but de pouvoir les proposer à nos clients et à leurs utilisateurs finaux.
    • Stockage : Les clients choisissent la ou les régions AWS dans lesquelles le contenu sera stocké. Nous ne procédons pas au déplacement ni à la réplication du contenu des clients en dehors de la ou des régions choisies par le client, sauf en cas d'obligation légale ou de nécessité de procéder à la maintenance des services AWS dans le but de pouvoir les proposer à nos clients et à leurs utilisateurs finaux.
    • Sécurité : Les clients choisissent la façon de sécuriser leur contenu. Nous proposons à nos clients le chiffrement avancé de leur contenu en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.
    • Divulgation du contenu des clients : Nous ne divulguons aucun contenu de nos clients, sauf en cas d'obligation légale ou pour respecter un ordre juridique valide et exécutoire provenant d'un organisme gouvernemental ou réglementaire. A moins qu'il existe une interdiction ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des produits et services d'Amazon, Amazon informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération.
    • Assurance de sécurité : Nous avons développé un programme d'assurance de sécurité faisant appel à des bonnes pratiques globales concernant la confidentialité et la protection des données, afin d'aider nos clients à s'établir et travailler au mieux dans notre environnement de contrôle de la sécurité. Ces divers éléments de protection de la sécurité et processus de contrôle sont validés par de nombreuses instances d'évaluation indépendantes.

    AWS place les données d'un client dans deux catégories : le contenu du client et les informations liées à son compte.

    Nous définissons le contenu des clients comme des logiciels (incluant les images machine), données, textes, données audio, vidéos ou images qu'un client ou tout utilisateur final nous transmet à des fins de traitement, de stockage ou d'hébergement par les services AWS, en lien avec le compte de ce client et tout résultat de calculs numériques qu'un client ou un utilisateur final récupère de ce qui précède en utilisant les services AWS. Par exemple, il peut s'agir du contenu qu'un client ou tout utilisateur final stocke dans Amazon Simple Storage Service. Les informations liées au compte d'un client (dont vous trouverez la description ci-dessous) ne sont pas considérées comme du contenu. Les conditions générales du Contrat client AWS, ou de tout autre contrat signé avec nous régissant l'utilisation des services AWS, s'appliquent au contenu de vos clients.

    Nous définissons les informations liées au compte d'un client comme les informations concernant ce client qu'il nous fournit lui-même au moment de la création ou de l'administration de son compte. Les informations sur le compte incluent, par exemple, les noms, noms d'utilisateur, numéros de téléphone, adresses e-mail et informations de facturation associés au compte d'un client. Les pratiques en matière d'informations décrites dans la politique de confidentialité d'AWS s'appliquent aux informations sur le compte.

    Le contenu reste la propriété des clients, lesquels choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. L'accès au contenu des clients, ainsi que son utilisation, se font toujours uniquement dans le cas d'une obligation légale ou de la nécessité de procéder à la maintenance des services AWS dans le but de pouvoir les proposer à nos clients et à leurs utilisateurs finaux. Aucune opération n'est réalisée sur le contenu des clients ni aucune information récupérée à des fins marketing ou publicitaires.

    Les clients contrôlent leur contenu. Avec AWS, les clients :

    • Déterminent l'emplacement de stockage de leur contenu (type et région géographique du stockage).

    • Choisissent l'état de sécurisation de leur contenu. Nous proposons à nos clients le chiffrement avancé de leur contenu en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.

    • Gèrent l'accès à leur contenu et aux services et ressources AWS via des utilisateurs, groupes, autorisations et informations d'identification qu'ils contrôlent eux-mêmes.

    Nous sommes conscients du fait que les clients attachent beaucoup d'importance à l'utilisation qui est faite des informations liées à leur compte, et nous leur sommes reconnaissants de la confiance qu'ils nous accordent dans ce domaine. La politique de confidentialité d'AWS décrit la façon dont nous collectons et utilisons les informations liées au compte.

    Nous sommes très vigilants en ce qui concerne le respect de la vie privée de nos clients. Nous ne divulguons aucun contenu de nos clients, sauf en cas d'obligation légale ou pour respecter un ordre juridique valide et exécutoire provenant d'un organisme gouvernemental ou réglementaire. Les organismes gouvernementaux et réglementaires doivent se conformer à la procédure légale applicable pour obtenir un ordre juridique valide et exécutoire. Nous passons en revue tous ces ordres et contestons tous ceux qui nous semblent inappropriés. A moins qu'il existe une interdiction ou une indication claire d'illégalité d'un tel procédé en lien avec l'utilisation des produits et services d'Amazon, Amazon informe les clients préalablement à la divulgation de leur contenu, afin de leur permettre de prendre des mesures pour se protéger contre ce type d'opération. Il est également important de noter que nos clients peuvent chiffrer leur contenu et que nous leurs proposons une option leur permettant de gérer leurs propres clés de chiffrement.

    Nous sommes conscients du fait que la transparence est essentielle aux yeux de nos clients, c'est pourquoi nous publions régulièrement ici un rapport sur les différents types et les quantités de demandes d'informations que nous recevons.

    Ce sont les clients qui choisissent la ou les région(s) dans lesquelles ils souhaitent stocker leur contenu, ce qui leur permet de déployer des services AWS à l'emplacement ou aux emplacements de leur choix, conformément à leurs besoins géographiques personnels. Les centres de données AWS sont conçus sous forme de clusters dans diverses régions du monde.

    Par exemple, un client AWS basé au Royaume-Uni peut décider de déployer ses services AWS dans la région Europe (Londres) uniquement et de stocker son contenu onshore, au Royaume-Uni. S'il fait ce choix, le contenu de ce client se trouvera au Royaume-Uni. Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, et nous ne procédons pas au déplacement et à la réplication des contenus des clients en dehors de la ou des régions choisie(s) par le client, sauf en cas d'obligation légale ou de la nécessité de procéder à la maintenance des services AWS dans le but de pouvoir les proposer à nos clients et à leurs utilisateurs finaux.

    *Tous les services AWS ne sont pas nécessairement disponibles dans toutes les régions.

    Lorsqu'il évalue la sécurité d'une solution de cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

    • Les mesures de sécurité mises en place et gérées par AWS, c'est-à-dire la « sécurité du cloud »

    et

    • Les mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité de leur contenu et de leurs applications qui ont recours aux services AWS, à savoir la « sécurité dans le cloud »

    Modèle de responsabilité partagée

    Pour obtenir la liste complète des mesures de sécurité intégrées à notre infrastructure, nos plates-formes et nos services de cloud AWS principaux, consultez notre livre blanc Amazon Web Services : Présentation des processus de sécurité.

    Nous avons développé un programme d'assurance de sécurité faisant appel à d'autres bonnes pratiques globales concernant la confidentialité et la protection des données, afin d'aider nos clients à s'établir et travailler au mieux dans notre environnement de contrôle de la sécurité. Ces divers éléments de protection de la sécurité et processus de contrôle sont validés par de nombreuses instances d'évaluation indépendantes.

    La conformité d'AWS avec la norme ISO 27018 a été validée par une instance d'évaluation indépendante. La norme ISO 27018 constitue la première norme internationale spécifique à la protection des données personnelles dans le cloud. Elle offre des conseils de mise en œuvre des contrôles de la norme ISO 27002 sur la sécurité des informations, sur laquelle elle est basée, qui peuvent être appliqués aux données personnelles soumises au traitement de fournisseurs publics de services de cloud. Ceci prouve aux clients qu'AWS dispose d'un système de contrôles spécifiquement dédié au respect de la confidentialité de leur contenu. Pour en savoir plus, consultez la FAQ AWS sur la norme ISO 27018.

    Les centres de données AWS sont conçus sous forme de clusters dans divers pays à travers le monde. Nous appelons « région » chacun de nos clusters de centre de données dans un pays donné. Les clients ont accès à seize régions AWS à travers le monde, dont trois dans l'Union européenne – l'Irlande (Dublin), Le Royaume-Uni (Londres) et l'Allemagne (Francfort). Ils peuvent choisir d'utiliser une seule région, toutes les régions ou une combinaison de plusieurs régions.

    Les clients AWS choisissent la ou les régions AWS où leur contenu sera stocké. Cela permet aux clients qui ont des exigences spécifiques en termes de géographie d'établir leurs environnements dans l'emplacement ou les emplacements de leur choix. Par exemple, en Europe, les clients peuvent choisir de déployer leurs services AWS exclusivement dans une des régions UE (Allemagne, Royaume-Uni ou Irlande). Dans ce cas, le contenu du client est stocké en Allemagne, au Royaume-Uni ou en Irlande, comme bon lui semble, à moins qu'il ne décide explicitement de transférer ou de répliquer son contenu dans une autre région AWS.

    Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, mais AWS ne transfère pas leur contenu en dehors de la ou des régions de leur choix, sauf pour fournir les services demandés par les clients ou pour respecter la loi en vigueur.

    AWS veille à conserver ses certifications en appliquant des normes de sécurité rigoureuses, telles que la norme ISO 27001, les rapports SOC 1/2/3 et la norme PCI DSS de niveau 1. Nous utilisons un modèle de responsabilité partagée dans le cloud, au titre duquel AWS est responsable de la sécurité de l'infrastructure de cloud sous-jacente (sécurité du cloud), et les clients de la sécurité de leurs données et applications (sécurité dans le cloud). AWS dispose d'équipes d'architectes de solutions, de gestionnaires de compte de consultants, de formateurs et d'autres employés au sein de l'Union européenne, tous ayant suivi une formation poussée dans le domaine de la sécurité et de la conformité dans le cloud pour aider les clients AWS à profiter de hauts niveaux de sécurité et de conformité dans le cloud, en suivant les bonnes pratiques de sécurité dans le cloud. AWS aide également les clients à respecter les normes de sécurité locales. Par exemple, en association avec le cabinet d'audit TÜV TRUST IT, AWS a publié un manuel de certification pour les clients qui donne des conseils sur la mise en conformité avec les normes allemandes BSI IT Grundschutz dans le cloud.

  • Directive de l'UE

    La Directive de l'UE sur la protection des données personnelles (aussi appelée Directive 95/46/CE) est une réglementation portant sur le traitement des données à caractère personnel et la libre circulation de ces données. Dans les grandes lignes, cette directive établit un certain nombre d'exigences en matière de protection des données qui s'appliquent lors du traitement de données personnelles.

    Oui. Pour plus d'informations sur la façon dont les clients peuvent adhérer au « Data Processing Addendum » d'AWS, consultez ce site (connexion requise).

    Le groupe de travail de l'Article 29 a approuvé le « Data Processing Addendum » d'AWS, qui comprend les clauses types. Le groupe de travail de l'Article 29 a estimé que le « Data Processing Addendum » d'AWS respectait les exigences de la directive en ce qui concerne les clauses types. Cela signifie que le « Data Processing Addendum » d'AWS n'est pas considéré comme « ad hoc ». Pour en savoir plus sur l'approbation du « Data Processing Addendum » d'AWS par le groupe de travail de l'Article 29, rendez-vous sur : http://www.cnpd.public.lu/fr/actualites/international/2015/03/AWS/index.html

    L'autorité de protection des données du Luxembourg (la CNPD, Commission nationale pour la protection des données) a agi à titre d'autorité principale au nom du « Groupe de travail Article 29 » conformément à la procédure de ce dernier.

    Pour plus d'informations sur la façon dont les clients peuvent adhérer au « Data Processing Addendum » d'AWS, consultez ce site (connexion requise).

    Les clients AWS qui collectent et stockent des informations personnelles dans le cloud sont des responsables du traitement des données au sens de la directive 95/46/CE.

    Vous trouverez plus informations sur le rôle du client et d'AWS dans la section « Protection in the EU: The Directive » du livre blanc d'AWS intitulé « Whitepaper on EU Data Protection ».

    Les clauses contractuelles types (également appelées « clauses types ») sont un ensemble de dispositions types définies et approuvées par la Commission européenne qui peuvent être utilisées pour autoriser le transfert conforme de données personnelles par un responsable du traitement des données vers un sous-traitant en dehors de l'Espace économique européen.

    Le « Groupe de travail Article 29 » a été créé en vertu de la directive 95/46/CE du Parlement européen et du Conseil relative à la protection des données. Il se compose de représentants des autorités en charge de la protection des données de tous les Etats membres de l'Union européenne, ainsi que de la Commission européenne. Le « Groupe de travail Article 29 » s'attache à harmoniser l'application des règles de protection des données dans l'ensemble de l'Union européenne et conseille également la Commission européenne quant à l'adéquation des normes de protection des données dans les pays non membres de l'Union européenne.

    La sécurité des données de nos clients est notre priorité absolue. AWS a déjà obtenu l'approbation de l'autorité en charge de la protection des données au sein de l'Union européenne, le « Groupe de travail Article 29 », dans le cadre du « Data Processing Addendum » et des clauses contractuelles d'AWS, de procéder au transfert de données en dehors de l'Europe, notamment vers les Etats-Unis. Grâce à notre « Data Processing Addendum » et à nos clauses contractuelles, les clients d'AWS peuvent continuer à exécuter leurs opérations internationales avec AWS, en parfaite conformité avec la législation européenne. Le « Data Processing Addendum » d'AWS est disponible pour tous les clients AWS procédant au traitement de données personnelles, qu'il s'agisse de sociétés basées en Europe ou d'entreprises internationales opérant dans l'Espace économique européen.

    Pour plus d'informations sur la façon dont les clients peuvent adhérer au « Data Processing Addendum » d'AWS, consultez ce site (connexion requise).

    Oui. Amazon.com Inc. est certifié par rapport au bouclier de protection des données UE-Etats-Unis, et cette certification s'étend à AWS. Il est ainsi plus aisé pour nos clients qui choisissent de transférer des données personnelles vers les Etats-Unis de respecter leurs obligations en matière de protection des données. La certification d'Amazon.com Inc est enregistrée sur le site Web du bouclier de protection des données UE-Etats-Unis, à la page suivante : https://www.privacyshield.gov/list

    Pour plus d'informations sur ce sujet et son application par AWS, consultez notre page dédiée au bouclier de protection des données UE-Etats-Unis

  • RGPD

    CISPEAWS

    En 2016, la Commission européenne a approuvé et adopté le nouveau Règlement général sur la protection des données (RGPD). Le RGPD est le plus gros changement affectant la législation européenne en matière de protection des données personnelles depuis l'introduction, en 1995, de la Directive de l'UE sur la protection des données personnelles, aussi appelée Directive 95/46/CE. Le RGPD vise à renforcer la sécurité et la protection des données personnelles dans l'UE, et à harmoniser les législations relatives à la protection des données au sein de l'UE. Le RGPD remplacera l'actuelle Directive de l'UE sur la protection des données personnelles, ainsi que toutes les lois locales en lien avec celle-ci.

    AWS se réjouit de l'adoption du RGPD. Ce règlement permet de protéger les droits fondamentaux des citoyens européens dans le domaine de la protection de la vie privée et des données à caractère personnel. Il introduit de solides exigences qui permettront d'offrir de meilleures garanties en termes de protection des données, de sécurité et de conformité. En outre, il incite les entreprises du secteur à mettre en place des contrôles rigoureux. Nous pouvons vous assurer que tous les services AWS seront conformes au règlement RGPD lorsque celui-ci entrera en vigueur, le 25 mai 2018.

    Au-delà de la conformité de notre plate-forme AWS, nous nous engageons à proposer des services et ressources afin d'aider nos clients à respecter les exigences RGPD applicables à leurs activités.

    Le Règlement général sur la protection des données (RGPD) est une nouvelle réglementation européenne relative à la protection de la vie privée, dont l'entrée en vigueur est prévue le 25 mai 2018. Le RGPD remplacera la Directive de l'UE sur la protection des données personnelles, aussi appelée Directive 95/46/CE, et a vocation à harmoniser les législations relatives à la protection des données dans l'ensemble de l'Union européenne (UE) en proposant une unique loi relative à la protection des données personnelles, obligatoire et directement applicable dans tout Etat membre.

     

    Le RGPD s'applique à toutes les organisations menant des activités dans l'UE et traitant des « données à caractère personnel » concernant des résidents de l'UE. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable.

    Le RGPD remplacera l'actuelle Directive sur la protection des données personnelles (Directive européenne 95/46/CE). A compter du 25 mai 2018, l'actuelle Directive sur la protection des données personnelles et toutes les lois s'y référant cesseront de s'appliquer.

    Les experts en conformité, protection des données et sécurité d'AWS collaborent avec des clients du monde entier afin de répondre à leurs questions et de les aider à se préparer à exécuter leurs charges de travail dans le cloud AWS après l'entrée en vigueur du RGPD. Ces équipes ont également passé en revue toutes les actions déjà mises en œuvre par AWS, afin de s'assurer qu'elles respectent les exigences du nouveau règlement RGPD. Nous pouvons vous assurer que tous les services AWS seront conformes au règlement RGPD lorsque celui-ci entrera en vigueur, en mai 2018.

    Par ailleurs, nous avons établi un nouveau contrat de traitement des données (« Data Processing Agreement », ou DPA) répondant aux exigences du RGPD. Ce DPA RGPD est à présent disponible pour tous les clients AWS afin de les aider à se préparer avant mai 2018. Pour en savoir plus sur le DPA RGPD ou pour en obtenir une copie, contactez votre gestionnaire de compte AWS.

    Récemment, AWS a également annoncé sa conformité au code de conduite CISPE. Le code de conduite CISPE aide les clients de services cloud à évaluer la manière dont le fournisseur de leur infrastructure de cloud respecte les obligations de protection des données énoncées par le RGPD. AWS a déclaré qu'Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail et Amazon Elastic Block Storage (Amazon EBS) sont entièrement conformes au code de conduite CISPE. Les clients disposent ainsi de garanties supplémentaires quant à leur capacité à contrôler l'intégralité de leurs données dans l'environnement sûr, sécurisé et conforme que leur propose AWS. Pour plus de détails sur la conformité d'AWS au code de conduite CISPE, visitez le site Web : https://cispe.cloud/

    AWS s'impose en permanence des standards élevés en matière de sécurité et de conformité, et ce, pour toutes les opérations menées partout dans le monde. La sécurité a toujours été notre priorité absolue, notre première mission. Sur la base de notre dispositif de sécurité à la pointe du secteur, nous avons pu obtenir une longue liste de certifications et d'accréditations mondialement reconnues, preuves de notre conformité par rapport à des normes internationales rigoureuses telles que l'ISO 27017 pour la sécurité du cloud, l'ISO 27018 pour la confidentialité du cloud, les SOC 1, SOC 2 et SOC 3, la norme PCI DSS de niveau 1, et bien d'autres. AWS aide également ses clients à respecter des normes de sécurité locales, par exemple la norme Common Cloud Computing Controls Catalogue (C5) du BSI, très importante en Allemagne.

    AWS a annoncé sa conformité au code de conduite CISPE relatif à la protection des données. CISPE est une coalition de fournisseurs d'infrastructures de cloud (aussi appelées « Infrastructure as a Service ») qui proposent des services cloud à des clients en Europe. Le code de conduite CISPE aide les clients de services cloud à s'assurer que le fournisseur de leur infrastructure de cloud applique les normes de protection appropriées pour leurs données, conformément aux dispositions du RGPD. Voici quelques-uns des atouts de ce code de conduite :

    • Clarification des responsabilités de chacun pour chaque aspect de la protection des données : Le code de conduite explique les rôles du fournisseur et du client dans le cadre du RGPD, plus particulièrement dans le contexte des services d'infrastructure de cloud.
    • Le code de conduite expose les principes auxquels les fournisseurs doivent se soumettre : Le code de conduite présente les mesures et les engagements que les fournisseurs doivent prendre afin de respecter le règlement RGPD et d'aider leurs clients à faire de même.
    • Le code de conduite fournit aux clients les informations relatives à la protection et à la sécurité des données dont ils ont besoin pour prendre leurs décisions en matière de conformité : Le code de conduite exige que les fournisseurs fassent preuve de transparence quant aux actions prévues pour mettre en pratique leurs engagements de sécurité. Parmi ces actions, on compte les notifications en cas de violation de données, de suppression de données et de traitement délégué à un tiers, mais aussi en cas de demandes des administrations publiques ou des forces de l'ordre. Les clients peuvent s'appuyer sur ces informations pour mieux évaluer les niveaux de sécurité élevés qui leur sont offerts.

    L'un des objectifs essentiels du RGPD est d'unifier la manière dont les données personnelles peuvent être traitées, utilisées et échangées de façon sécurisée dans les différents Etats membres de l'UE. Les organisations devront démontrer en permanence la sécurité des données traitées ainsi que leur conformité au RGPD, en mettant en œuvre et révisant régulièrement des mesures techniques et organisationnelles rigoureuses, ainsi que des politiques de conformité.

    AWS propose d'ores et déjà des fonctionnalités et services spécifiques qui aident les clients à respecter les exigences du RGPD :
     

    Contrôle d'accès : Restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

    • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
    • Contrôle d'accès très précis pour les objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
    • Authentification par requête d'API
    • Restrictions géographiques
    • Jetons d'accès temporaires via AWS Security Token Service

     

    Surveillance et fichiers journaux : Obtenez une vue générale des activités concernant vos ressources AWS

    • Gestion et configuration des ressources avec AWS Config
    • Audits de conformité et analyses de sécurité avec AWS CloudTrail
    • Identification des difficultés de configuration avec AWS Trusted Advisor
    • Enregistrement très précis des accès aux objets Amazon S3
    • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
    • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
    • Filtrage et surveillance des accès HTTP aux applications avec les fonctions WAF d'AWS CloudFront

     

    Chiffrement : Chiffrez des données sur AWS

    • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
    • Gestion centralisée des clés via Key Management Service (par région AWS)
    • Tunnels IPsec vers AWS avec les passerelles VPN
    • Modules HSM dédiés dans le cloud avec AWS CloudHSM

     

    Normes de sécurité et cadre de conformité solides :

    • Certification ISO 27001/9001
    • Certification ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – programme d'attestation de conformité approuvé par le gouvernement allemand)
    • AWS, en association avec le cabinet d'audit TÜV TRUST IT, a publié un manuel de certification pour les clients qui donne des conseils sur la mise en conformité avec les normes allemandes BSI IT Grundschutz dans le cloud

    Même s'il n'entrera en vigueur qu'en mai 2018, nous encourageons nos clients et partenaires à se préparer dès maintenant au règlement RGPD. Si vous avez déjà mis en œuvre des critères élevés de conformité, de sécurité et de confidentialité des données, la transition vers le règlement RGPD devrait se faire facilement. En revanche, si vous n'avez pas encore pris de mesures en vue de votre conformité au RGPD, nous vous conseillons vivement de commencer à passer en revue vos processus de sécurité, conformité et protection des données dès maintenant, afin de faciliter la transition en mai 2018. Voici quelques points clés dont vous devez tenir compte pour assurer la conformité au RGPD :

    Territoires concernés : Pour vous assurer que votre organisation sera en mesure de satisfaire à ses obligations de conformité, il est essentiel de déterminer si le RGPD s'applique à vos activités. Le RGPD s'applique à toutes les organisations établies dans l'UE. Cependant, selon vos activités, il se peut aussi que le RGPD s'applique même si vous êtes établi en dehors de l'UE.

    Droits des personnes concernées : Le RGPD renforce à plus d'un titre les droits des personnes concernées par les données. Par exemple, ces personnes ont le droit de s'opposer au traitement de leurs données. Elles disposent également d'un droit à la portabilité des données. Si vous traitez des données à caractère personnel, vous devrez être en mesure de permettre la mise en œuvre de ces droits.

    Notifications en cas de violations de données : Si vous êtes responsable du traitement des données, vous devrez signaler les violations de données aux autorités compétentes dans les meilleurs délais. Avec AWS, vous contrôlez la manière dont vous traitez et protégez les données. Vous pouvez donc surveiller votre propre environnement afin de détecter toute violation de confidentialité et en informer l'autorité de contrôle et les individus concernés, conformément aux exigences du RGPD. Par ailleurs, AWS vous informe dans les meilleurs délais si nous constatons une faille dans nos normes de sécurité en lien avec le réseau AWS.

    Délégué à la protection des données (DPD, en anglais DPO) : Vous devrez peut-être nommer un DPD, qui sera chargé de gérer la sécurité des données et tous les problèmes en lien avec le traitement des données à caractère personnel.

    Analyse d'impact relative à la protection des données (AIPD, en anglais DPIA) : Vous devrez peut-être effectuer, et dans certaines circonstances transmettre à l'autorité de contrôle, une AIPD concernant vos activités de traitement. Celle-ci devra identifier vos procédures et processus de traitement des données, ainsi que les mesures de contrôle mises en place pour protéger les données personnelles.

    Contrat de traitement des données (en anglais DPA) : Vous aurez peut-être besoin d'un DPA respectant les exigences du RGPD, en particulier si vous transférez des données personnelles en dehors de l'Espace économique européen (EEE). AWS propose à ses clients un DPA RGPD, disponible sur demande, afin de les aider à se préparer avant mai 2018.

    AWS offre un large choix de services et de fonctionnalités spécifiques qui aideront les clients à répondre aux exigences du RGPD, dont des services portant sur le contrôle d'accès, la surveillance, la génération de fichiers journaux et le chiffrement. Vous trouverez davantage d'informations à ce sujet dans la section ci-dessus, « Quels sont les services proposés par AWS à ses clients pour aider ces derniers à se mettre en conformité avec le RGPD ? ».

    Nous disposons également d'équipes composées d'experts en conformité, protection des données et sécurité, mais aussi de partenaires du réseau AWS, qui collaborent avec les clients partout en Europe afin de répondre à leurs questions et de les aider à se préparer à exécuter des charges de travail dans le cloud après l'entrée en vigueur du RGPD. Pour en savoir plus à ce sujet, contactez votre gestionnaire de compte AWS.

 

Contactez-nous