Je souhaite avoir des informations sur le bouclier de protection des données

Les clients AWS peuvent déjà transférer des données personnelles de l'UE vers les Etats-Unis conformément à la législation ; le bouclier de protection des données UE-Etats-Unis est conçu pour assurer un transfert conforme des données personnelles provenant d'un contrôleur des données situé dans l'UE vers des contrôleurs ou responsables du traitement des données aux Etats-Unis. AWS propose à ses clients un addendum relatif au traitement des donnée (« Data Processing Addendum »), qui inclut des clauses contractuelles types approuvées en 2015 par les autorités européennes compétentes en matière de protection des données, également connues sous le nom de « Groupe de travail Article 29 ». Ce document « Data Processing Addendum » permet à nos clients d'utiliser les services AWS pour transférer des données personnelles depuis l'Espace économique européen (EEE) vers n'importe quel pays, y compris les Etats-Unis. Par conséquent, le bouclier de protection des données UE-Etats-Unis n'affecte en rien la manière dont les clients utilisent les services AWS. Ils peuvent continuer à transférer leur contenu depuis les régions AWS de l'UE vers les régions des Etats-Unis, avec la certitude qu'AWS respecte les exigences de confidentialité des données personnelles en vigueur dans l'UE.

Oui, les services AWS sont certifiés par rapport au bouclier de protection des données UE – Etats-Unis. Voir la certification ici.

Pour en savoir plus sur les obligations des fournisseurs de services américains dans le cadre du bouclier de protection des données UE-Etats-Unis, vous pouvez consulter le site de la Commission européenne : http://ec.europa.eu/justice/data-protection/international-transfers/eu-us-privacy-shield/index_en.htm et celui du département du Commerce des Etats-Unis : https://www.privacyshield.gov/welcome.

AWS propose à ses clients un certain nombre de mesures qui leur permettent de garantir leur conformité à la législation européenne en matière de protection des données. Par exemple, les clients peuvent s'appuyer sur l'addendum relatif au traitement des données d'AWS, qui inclut les clauses contractuelles types telles qu'approuvées par le groupe de travail Article 29 (« Data Processing Addendum »). Ce document « Data Processing Addendum » est disponible pour tous les clients AWS transférant des données depuis l'UE vers une quelconque région AWS dans le monde, y compris aux Etats-Unis. Le document « Data Processing Addendum » garantit aux clients qu'AWS traitera leurs données avec un degré de sécurité, de confidentialité et de protection des données personnelles digne des exigences de l'UE.

Les clients AWS disposent d'un niveau de contrôle très élevé sur les données qu'ils stockent dans le cloud AWS. Par ailleurs, AWS offre un très haut niveau de sécurité, validé par des certifications de conformité à des normes de sécurité solides, telles que la norme ISO 27001, les rapports SOC 1/2/3 et la norme PCI DSS de niveau 1. AWS peut apporter une assistance directe à ses clients via des équipes d'architectes de solutions, de gestionnaires de compte, de consultants, de formateurs et d'autres employés basés au sein de l'Union européenne, tous ayant suivi une formation poussée dans le domaine de la sécurité et de la conformité dans le cloud afin d'aider les clients AWS à profiter de hauts niveaux de sécurité et de conformité dans le cloud. AWS aide également ses clients à respecter de nombreuses normes de sécurité locales ; par exemple, nous avons collaboré avec la société d'audit TÜV TRUST IT pour publier un manuel de certification destiné aux clients. Ce document guide les clients qui souhaitent assurer leur conformité à la méthodologie allemande BSI IT Grundschutz dans le Cloud.

Grâce à notre document « Data Processing Addendum » approuvé par l'UE, les clients AWS peuvent réaliser leurs opérations mondiales via AWS conformément à la législation européenne, et donc transférer des données personnelles depuis une région AWS située dans l'EEE vers toute autre région du monde. Cette option est disponible pour tous les clients AWS procédant au traitement de données personnelles, qu'ils soient basés en Europe ou opèrent dans l'EEE dans le cadre de leurs activités internationales. Le bouclier de protection des données UE-Etats-Unis est uniquement conçu pour couvrir les transferts de données personnelles depuis l'UE vers les États-Unis. Une fois qu'AWS aura obtenu cette certification, celle-ci s'appliquera uniquement aux clients souhaitant transférer des données personnelles de l'UE vers les Etats-Unis.

Les clients qui ont déjà signé le document « Data Processing Addendum » d'AWS peuvent continuer à se reposer sur ce contrat légal, même une fois qu'AWS sera certifié par rapport au bouclier de protection des données UE-Etats-Unis. Le bouclier de protection des données UE-Etats-Unis offre simplement un mécanisme de conformité supplémentaire aux clients, s'appliquant spécifiquement aux transferts de données personnelles depuis l'UE vers les Etats-Unis. Le document « Data Processing Addendum » d'AWS garantit aux clients transférant des données depuis l'EEE vers n'importe quelle région AWS dans le monde (Etats-Unis ou non) qu'AWS traitera ce contenu avec un degré de sécurité, de confidentialité et de protection des données personnelles digne des exigences de l'UE. C'est également le cas pour les transferts de données personnelles depuis l'UE vers les Etats-Unis dans le cadre du bouclier de protection des données UE-Etats-Unis.

Non. Le bouclier de protection des données UE-Etats-Unis couvre les clients transférant des données personnelles depuis l'UE vers les États-Unis. Le document AWS « Data Processing Addendum » incluant les clauses contractuelles types s'applique aux clients transférant des données personnelles depuis l'EEE vers toutes les régions AWS du monde, y compris aux Etats-Unis.

Le bouclier de protection des données UE-Etats-Unis couvre uniquement les transferts de données personnelles depuis l'UE vers les États-Unis. Une fois qu'AWS aura obtenu cette certification, celle-ci fournira une base supplémentaire sur laquelle pourront s'appuyer les clients AWS souhaitant transférer des données personnelles depuis une région AWS située dans l'EEE vers une région des Etats-Unis.

AWS propose déjà à ses clients un addendum relatif au traitement des données, incluant les clauses contractuelles types (« Data Processing Addendum »). Ce document a été approuvé en 2015 par les autorités européennes compétentes en matière de protection des données, également connues sous le nom de « Groupe de travail Article 29 ». Il permet aux clients de transférer des données personnelles depuis une région AWS située dans l'EEE vers un pays en dehors de cette zone, et ce, conformément à la réglementation de l'UE relative à la protection des données. Le bouclier de protection des données UE-Etats-Unis ne s'applique pas aux clients qui ne transfèrent pas de données personnelles depuis les régions AWS de l'UE vers les États-Unis. Avec AWS, les clients peuvent déterminer dans quelle région de l'infrastructure leurs données personnelles seront stockées, avec la certitude qu'elles ne seront pas déplacées sans leur approbation. Ainsi, les clients peuvent déployer des services AWS aux emplacements de leur choix, conformément à leurs besoins géographiques personnels, et ce, même dans les régions AWS basées à Dublin et Francfort.

En tant que client, une fois que vous avez accepté le document « Data Processing Addendum » d'AWS, vous n'avez plus rien à faire. Tant que le client remplit ses propres obligations en tant que contrôleur ou responsable du traitement des données, le document « Data Processing Addendum » d'AWS couvre les transferts de données personnelles effectués par ce client depuis n'importe quelle région AWS de l'EEE vers un pays en dehors de cette zone.

Dès qu'AWS aura reçu sa certification, les clients ayant des questions ou souhaitant discuter du bouclier de protection des données UE – Etats-Unis avec AWS pourront contacter les membres de notre équipe à l'adresse privacyshield@amazon.com.

Pour le moment, l'annonce du Brexit n'a aucune répercussion sur le bouclier de protection des données UE-Etats-Unis.


 

Contactez-nous