Centre du règlement général sur la protection des données (RGPD)

Conformité au RGPD lors de l'utilisation des services AWS

Le Règlement européen général sur la protection des données (RGPD) protège les droits fondamentaux des résidents l'Union européenne (UE) en matière de respect de la confidentialité et de protection des données personnelles. Le RGPD intègre des exigences très strictes qui améliorent et uniformisent les normes de protection, de sécurité et de conformité des données. Pour en savoir plus, consultez notre FAQ sur le RGPD ci-dessous.

conformément au RGPD, les clients AWS peuvent utiliser tous les services AWS pour traiter les données personnelles (telles que définies dans le RGPD) qui sont téléchargées vers les services AWS de leurs comptes AWS (données client). Outre notre propre conformité, AWS s'engage à offrir des services et des ressources à nos clients pour leur permettre de respecter les exigences RGPD susceptibles de s'appliquer à leurs activités. De nouvelles fonctions sont lancées régulièrement et AWS propose plus de 500 fonctions et services axés sur la sécurité et la conformité. Pour en savoir plus sur les activités d'AWS, lisez notre blog How AWS is helping EU customers navigate the new normal for data protection.

Contrôle des clients

Les clients contrôlent leurs données client. Avec AWS, les clients peuvent :

  • Déterminer l'emplacement de stockage de leurs données (type et région géographique du stockage).
  • Choisir l'état de sécurisation de leurs données. Nous proposons à nos clients le chiffrement avancé de leurs données en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.
  • Gérer l'accès à leurs données et aux services et ressources AWS via des utilisateurs, groupes, autorisations et informations d'identification qu'ils contrôlent eux-mêmes.
En savoir plus »

Transferts depuis l'Espace économique européen (EEE)

Conformément au RGPD, les clients AWS peuvent continuer d'utiliser les services AWS pour transférer des données client depuis l'EEE vers des pays non membres de l'EEE n'ayant pas reçu une décision d'adéquation de la part de la Commission européenne (États-Unis inclus). Chez AWS, notre plus grande priorité est de protéger les données des clients. Ainsi, nous mettons en œuvre des mesures techniques et organisationnelles rigoureuses pour assurer leur confidentialité, leur intégrité et leur disponibilité, quelle que soit la région AWS choisie par un client. Nous sommes conscients du fait que la transparence est essentielle aux yeux de nos clients. C'est pourquoi nous répertorions les services AWS qui impliquent un transfert de données client sur notre page Web Fonctions de la confidentialité.

Face à l'évolution du cadre règlementaire et législatif, nous ne cesserons jamais de travailler pour nous assurer que nos clients puissent continuer à profiter des avantages des services AWS, où qu'ils soient. Pour en savoir plus, consultez la mise à jour pour les clients sur le bouclier de protection des données UE – États-Unis (français non garanti), nos billets de blog sur l'addendum supplémentaire au DPA d'AWS(français non garanti) et le code de conduite du CISPE sur la protection des données (français non garanti) pour de plus amples informations.

Ressources liées au RGPD

Assurer la conformité au RGPD sur AWS
Télécharger le livre blanc »
Ce que vous avez besoin de savoir sur le Brexit et AWS
En savoir plus »
Articles du blog AWS Security sur le RGPD
En savoir plus »
Caractéristiques de la confidentialité des services AWS
En savoir plus »

FAQ du RGPD

Présentation et notions de base du RGPD


  • Le Règlement général sur la protection des données (RGPD) est une réglementation européenne relative à la protection de la vie privée qui est entrée en vigueur le 25 mai 2018. Le RGPD a remplacé la Directive de l'UE sur la protection des données personnelles, aussi appelée Directive 95/46/CE, et visait l'harmonisation des législations relatives à la protection des données dans l'ensemble de l'Union européenne (UE) en votant une loi unique sur la protection des données personnelles, obligatoire et directement applicable dans tout État membre.

  • Le RGPD s'applique à toutes les organisations établies dans l'UE et à celles établies ou non dans l'UE, qui traitent les données à caractère personnel des personnes concernées dans le cadre de l'offre de biens ou de services aux personnes concernées dans l'UE ou du suivi du comportement qui a lieu au sein de l'UE. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable. Cela inclut les noms, les adresses e-mail et les numéros de téléphone.

  • AWS tient les rôles de sous-traitant et de responsable du traitement dans le cadre du RGPD.

    • AWS en tant que sous-traitant : lorsque les clients utilisent les services AWS pour traiter des données personnelles dans le contenu qu'ils téléchargent vers les services AWS, AWS agit comme sous-traitant. Les clients peuvent utiliser les contrôles disponibles dans les services AWS, notamment les contrôles de configuration de sécurité, afin de gérer les données personnelles. Dans ces circonstances, le client peut agir lui-même comme responsable du traitement ou comme sous-traitant, tandis qu'AWS prend le rôle de sous-traitant. AWS offre un addendum sur le traitement des données (français non garanti) (DPA AWS) conforme au RGPD qui inclut les engagements d'AWS en tant que responsable de traitement. Le DPA d'AWS, qui comprend des clauses contractuelles standards, fait partie des Conditions de service AWS. Il est disponible (français non garanti) automatiquement (français non garanti) pour tous les clients qui en ont besoin pour se conformer au RGPD.
    • AWS en tant que responsable du traitement : lorsqu'AWS collecte des données personnelles et détermine les finalités et les moyens du traitement de ces données personnelles (par exemple, lorsqu'AWS stocke des informations de compte, telles que les adresses e-mail fournies durant l'inscription du compte, pour l'enregistrement du compte, l'administration, l'accès aux services ou des informations de contact pour le compte AWS afin de fournir une assistance par des activités de service clientèle), il agit comme responsable du traitement. Consultez la Politique de confidentialité AWS pour en savoir plus sur la façon dont AWS traite les données personnelles en tant que responsable du traitement.
  • Les SCC sont un mécanisme de transfert de données pré-approuvé en vertu du RGPD, applicable dans tous les États membres de l'UE, qui permet le transfert légal de données personnelles vers des pays en dehors de l'Espace économique européen n'ayant pas reçu de décision d'adéquation de la part de la Commission européenne (pays tiers).

  • Les Conditions de service AWS (français non garanti) incluent les SCC adoptées par la Commission européenne (CE) en juin 2021, et le DPA d'AWS confirme que les SCC s'appliqueront automatiquement chaque fois qu'un client AWS utilise les services AWS pour transférer des données clients vers des pays hors de l'Espace économique européen n'ayant pas reçu de décision d'adéquation de la CE (pays tiers). Dans le cadre des Conditions de service AWS, les nouvelles SCC s'appliqueront automatiquement chaque fois qu'un client utilise les services AWS pour transférer des données clients vers des pays tiers. Les clients qui ont signé un DPA d'AWS peuvent continuer de s'appuyer sur ce dernier, car les nouvelles SCC des Conditions de service AWS remplacent les précédentes versions des SCC. Les clients peuvent donc être assurés que toutes les données client, qu'ils transfèrent vers des pays tiers utilisant les services AWS, bénéficient du même niveau élevé de protection que les données clients reçoivent dans l'EEE. Pour plus d'informations, consultez le billet de blog sur la mise en œuvre des nouvelles clauses contractuelles standards (français non garanti).

AWS et la conformité au RGPD suivent l'arrêt Schrems II et les recommandations du Comité européen de la protection des données (EDPB)


  • Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a émis un arrêt concernant le transfert des données personnelles des résidents européens depuis l'EEE (Schrems II). Dans l'arrêt Schrems II, la CJUE a jugé que le bouclier de protection des données UE – États-Unis ne représentait plus un mécanisme valable pour transférer les données personnelles depuis l'EEE vers les États-Unis. Toutefois, dans le même arrêt, la CJUE a confirmé que, sous réserve à l'implémentation des mesures supplémentaires, le cas échéant, les entreprises peuvent continuer à utiliser des clauses contractuelles standard en tant que mécanisme valable pour transférer des données personnelles depuis l'EEE. Le Comité européen de la protection des données (EDPB), un organisme européen composé de représentants des autorités nationales de protection des données, a depuis fournit une liste non exhaustive de mesures supplémentaires dans ses « Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l'UE » (Recommandations de l'EDPB).

    Les recommandations de l'EDPB fournissent aux exportateurs de données des exemples de mesures supplémentaires susceptibles d'être mises en place. Consultez la FAQ « Puis-je continuer à utiliser les services AWS à la suite du jugement Schrems II ? » ci-dessous pour en savoir plus sur les ressources de transfert de données AWS. 

  • Oui, les clients AWS peuvent continuer d'utiliser les services AWS pour transférer des données client depuis l'Europe vers des pays non membres de l'EEE n'ayant pas reçu une décision d'adéquation de la part de la Commission européenne. L'arrêt Schrems II a validé l'utilisation des clauses contractuelles standard en tant que mécanisme de transfert des données client en dehors de l'EEE, et les clients AWS peuvent continuer à se fier aux clauses contractuelles standard (CCS) pour le transfert de données client en dehors de l'EEE conformément au RGPD.

    • Lieu de traitement. Les clients sélectionnent la région AWS dans laquelle ils souhaitent stocker leurs données client. Vous pouvez consulter la présentation des régions AWS disponibles dans la section Régions et zones de disponibilité. AWS ne traitera pas les données client en dehors de la région AWS sélectionnée par le client, sauf si cela s'avère nécessaire pour fournir les services AWS exécutés par le client ou bien encore pour se conformer à la loi ou à une décision contraignante d'un organisme gouvernemental. Consultez notre page web Fonctions de la confidentialité pour en savoir plus sur les transferts de données dans le cadre des services AWS.
    • Sous-traitants. AWS peut avoir recours à des sous-traitants, c'est-à-dire des affiliés AWS ou des tiers, pour aider au traitement des données client, pour remplir nos obligations envers les clients dans le cadre du DPA d'AWS ou pour fournir des services en notre nom. Consultez la Questions fréquentes (FAQ) « Est-ce qu'AWS a recours à des sous-traitants pour traiter les données client ? » ci-dessous pour en savoir plus.
    • Outils de transfert. Depuis que l'arrêt Schrems II a validé l'utilisation des clauses contractuelles standards (CCS) comme mécanisme de transfert de données dans des pays situés hors de l'EEE n'ayant pas reçu une décision d'adéquation de la part de la Commission européenne, nos clients peuvent continuer à se fier aux CCS incluses dans le DPA d'AWS (français non garanti) s'ils choisissent de transférer leurs données en dehors de l'EEE conformément au RGPD.
    • Mesures supplémentaires.
      • Contrôle des clients. Les clients possèdent et contrôle leurs données client en permanence, grâce à des outils simples et puissants qui leur permettent de déterminer si leurs données client doivent être stockées, de sécuriser leurs données client en transit et au repos, de gérer les accès utilisateur à leur ressources AWS ainsi que de modifier, supprimer et récupérer les données client.
      • Mesures techniques et organisationnelles. AWS met en œuvre un système élaboré responsable de processus et de contrôles techniques et physiques, visant à éviter tout accès ou toute divulgation non autorisé(e) des données des clients (consultez la page Web Conformité AWS pour en savoir plus). Nous fournissons également plusieurs services avancés de chiffrement et de gestion des clés, dont des services qui permettent aux clients de gérer leurs propres clés. Les clients peuvent utiliser ces services pour protéger leurs données client en transit et au repos. Sans les clés de déchiffrement applicables, les données client chiffrées sont inaccessibles. Que les données client soient chiffrées ou non, nous ne cesserons jamais de travailler avec vigilance pour protéger les données client des accès non autorisés.
      • Demandes des forces de l'ordre. AWS dispose de processus internes visant à traiter les demandes que nous recevons des forces de l'ordre. Lorsque nous recevons une demande de données client émanant des forces de l'ordre, nous l'examinons avec soin pour en authentifier l'exactitude et pour vérifier qu'elle est appropriée et conforme à la loi applicable. Sauf si nous avons l'interdiction légale de le faire, AWS notifie les clients avant de divulguer leurs données clients afin qu'ils puissent prendre de nouvelles mesures et obtenir une protection contre la divulgation. Dans l'addendum supplémentaire au DPA d'AWS (addendum supplémentaire), AWS renforce ses engagements contractuels qui visent à traiter des demandes de données client émanant du gouvernement, notamment en s'engageant à (i) utiliser toutes les mesures raisonnables pour rediriger l'organisme gouvernemental qui demande ces données vers le client pertinent, (ii) informer le client dans les plus brefs délais de cette demande si nous avons l'autorisation légale de le faire, y compris en utilisant toutes les mesures raisonnables et légales pour obtenir une dérogation à l'interdiction, si nécessaire, (iii) contester les demandes excessives ou inappropriées, y compris lorsque la demande est en conflit avec la règlementation de l'Union européenne, et (iv) si, après avoir accompli toutes les étapes susmentionnées, AWS est toujours dans l'obligation de divulguer des données client pour répondre à une demande du gouvernement, ne divulguer que la quantité minimum de données client nécessaire pour satisfaire la demande.
      • Mesures contractuelles. AWS prend plusieurs engagements contractuels envers les mesures décrites ci-dessus. Ces engagements se reflètent dans le DPA d'AWS et dans l'addendum supplémentaire. Le DPA d'AWS et l'addendum supplémentaire incluent des engagements contractuels de la part d'AWS en ce qui concerne (1) les régions AWS choisies par les clients pour stocker et traiter leurs données, (2) les mesures techniques et organisationnelles qu'AWS a implémenté pour protéger l'infrastructure AWS ainsi que les mesures techniques et organisationnelles que les clients peuvent choisir d'appliquer pour protéger leurs données client, (3) les mesures d'AWS visant à protéger les données client et à informer les clients au cas où un organisme gouvernemental demande à obtenir des données, et (4) la capacité d'AWS à respecter ses obligations telles qu'énoncées dans le DPA d'AWS conformément à la législation applicable du pays tiers dans lequel les données client sont traitées. L'addendum supplémentaire contient également (5) les droits statutaires des personnes pour réclamer des indemnisations en cas de violation de leurs droits qui leur sont accordées par le RGPD.
  • Oui, AWS peut utiliser trois types de sous-traitants : (1) les entités AWS qui fournissent l'infrastructure sur laquelle les services AWS fonctionnent ; (2) les entités AWS qui prennent en charge des services AWS spécifiques pour lesquels elles peuvent être amenées à traiter les données des clients ; et (3) les tiers avec lesquels AWS a passé un contrat pour fournir des activités de traitement pour des services AWS spécifiques. La page Web Sous-traitants AWS (français non garanti) contient plus d'informations sur les sous-traitants qu'AWS engage conformément au DPA d'AWS afin de fournir des activités de traitement sur les données client au nom des clients. Les sous-traitants pouvant répondre aux besoins des clients varient selon la Région AWS qu'un client sélectionne et les services AWS que le client utilise.

  • Le livre blanc d’AWS, Comprendre et assurer la conformité aux exigences en matière de transfert des données en vigueur dans l’UE fournit des informations sur les services et ressources qu’offre AWS à ses clients afin de les aider à effectuer des évaluations de transfert de données dans le cadre de l’arrêt « Schrems II » et des recommandations du Conseil européen de la protection des données qui en découlent. Le livre blanc décrit également les mesures supplémentaires principales qui ont été prises et mises à disposition par AWS pour protéger les données des clients.

  • AWS offre des informations utiles aux clients, notamment plusieurs rapports de conformité réalisés par des auditeurs tiers, qui ont vérifié la conformité d'AWS avec un large nombre de normes et de règlementation de sécurité, afin de certifier les hauts niveaux de conformité maintenus par AWS pour son infrastructure. Ces rapports montrent à nos clients que nous protégeons les données client qu'ils ont choisi de traiter dans AWS. La conformité d'AWS aux normes ISO 27001, 27017 et 27018 sont de bons exemples de cette situation. ISO 27018 contient des contrôles de sécurité qui se concentrent sur la protection des données client.

    AWS est également conforme au code de conduite CISPE pour la protection des données. Vous trouverez plus d'informations sur le Code de Conduite CISPE dans la section des questions fréquentes (FAQ) ci-dessous, « AWS se conforme-t-il à un code de conduite approuvé par le RGPD et spécifique aux services d'infrastructure cloud ? »

  • Oui. En juin 2023, 107 services AWS étaient conformes au code de conduite relatif à la protection des données des fournisseurs de services d'infrastructure cloud en Europe (CISPE). CISPE est une association de leaders du cloud computing au service de millions de clients européens. Le code de conduite de la protection des données du CISPE (code CISPE) est le premier code de conduite paneuropéen sur la protection des données centré sur les fournisseurs de services d'infrastructure cloud. Le code du CISPE a été approuvé par le Comité européen de la protection des données représentant les 27 autorités chargées de la protection des données en Europe, et formellement adopté par l'autorité française de la protection des données, la CNIL, agissant en tant qu’autorité principale de contrôle. En 2017, AWS avait annoncé sa conformité avec une version antérieure du code CISPE.

    Le code CISPE aide les clients à s'assurer que leur fournisseur de services d'infrastructure cloud offre des garanties opérationnelles appropriées pour démontrer la conformité au RGPD et protéger les données des clients. Voici quelques-uns des atouts de ce code CISPE :

    • Centré sur l’infrastructure cloud : clarification du rôle du fournisseur de services d'infrastructure cloud en vertu du RGPD en ce qui concerne le traitement des données du client, c'est-à-dire toute donnée personnelle traitée au nom du client utilisant le service d'infrastructure cloud.
    • Données en Europe : oblige les fournisseurs de services d'infrastructure cloud à donner aux clients le choix d’utiliser des services pour stocker et traiter les données des clients exclusivement dans l'Espace économique européen (EEE).
    • Confidentialité des données : le code CISPE garantit aux organisations que leurs fournisseurs de services d’infrastructure cloud répondent aux exigences applicables au traitement des données personnelles en leur nom (données client) en vertu du RGPD.

    Le certificat de conformité prouvant le statut de conformité d'AWS est disponible dans le registre public CISPE. La conformité des services AWS répertoriés au code CISPE a été vérifiée de manière indépendante. Le processus de vérification a été mené par Ernst & Young CertifyPoint (EY CertifyPoint), un organisme de surveillance indépendant reconnu dans le monde entier accrédité par la CNIL.

Mesures techniques et organisationnelles


  • Le RGPD ne change pas le modèle de responsabilité partagée d'AWS qui reste valable pour les clients. Le modèle de responsabilité partagée est une approche pratique pour illustrer les responsabilités différentes d'AWS (en tant que sous-traitant) et les clients (en tant que responsables du traitement ou sous-traitants) dans le cadre de la RGPD.

    Dans le modèle de responsabilité partagée, AWS est responsable de la sécurisation de l'infrastructure sous-jacente qui prend en charge les services AWS (« la sécurité DU cloud »). Les clients ayant le rôle de responsable du traitement ou de sous-traitant, sont responsables de toutes les données personnelles qu'ils téléchargent vers les services AWS (« la sécurité DANS le cloud »).

    Responsabilité d'AWS pour la « sécurité du cloud » : AWS est responsable de la protection de l'infrastructure mondiale exécutant tous les services AWS. Cette infrastructure est composée de matériel, de logiciels, de mises en réseau et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients, notamment des contrôles de configuration de la sécurité pour la gestion du contenu client. AWS fournit différents rapports de conformité de la part d'auditeurs tiers qui ont vérifié sa conformité avec une large gamme de normes et de règlementations de sécurité informatique (pour en savoir plus, consultez la page Web Conformité AWS). Ces rapports montrent à nos clients que nous protégeons les données client. La conformité d'AWS aux normes ISO 27001, 27017 et 27018 sont de bons exemples. ISO 27018 contient des contrôles de sécurité qui se concentrent sur la protection des données client.

    Responsabilité des clients pour la « sécurité dans le cloud » : les clients AWS sont responsables de la création de l'architecture et de la sécurisation des applications et des solutions qu'ils choisissent de déployer sur les services AWS. Les clients AWS sont également responsables de la configuration des services AWS de manière à protéger la confidentialité, l'intégrité et les exigences de sécurité de leurs données client. Les responsabilités spécifiques que les clients ont quant à la sécurisation de leurs données client varient selon les services AWS qui les clients choisissent d'utiliser et de la façon dont ces services sont intégrés aux environnements informatiques des clients. Les clients AWS disposent d'une visibilité et d'un contrôle sur leurs données client, et ils peuvent implémenter des contrôles de sécurité flexibles en fonctions de la sensibilité du type des données client. Les clients peuvent faire cela en utilisant leurs propres outils et mesures de sécurité, ou en utilisant les outils et mesures de sécurité qu'AWS ou d'autres fournisseurs mettent à la disposition des clients. Ainsi, les clients peuvent mettre en place des niveaux de sécurité supplémentaires pour les données client les plus sensibles.

    AWS met à disposition de ses clients des produits, des outils et des services pouvant être utilisés pour créer l'architecture et sécuriser leurs applications et leurs solutions, et pouvant être déployés pour les aider à gérer les exigences du GPD, dont :

    • AWS Identity and Access Management (IAM) permet aux organisations de contrôler de façon sécurisée l'accès aux services et ressources AWS. En utilisant IAM, les clients peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
    • AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions dans AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
    • Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes AWS et vos charges de travail. Il surveille les activités pouvant indiquer un compte possiblement compromis, comme des appels d'API inhabituels ou des déploiements potentiellement non autorisés. GuardDuty détecte également des instances potentiellement compromises ou des opérations de reconnaissance par des attaquants.
    • Amazon Macie est un outil de machine learning permettant de faciliter la détection et la classification des données personnelles stockées dans Amazon S3.

    Consultez notre livre blanc, Assurer la conformité au RGPD sur AWS, pour en savoir plus sur l'utilisation des ressources AWS conformément aux RGPD.

  • Oui, vous pouvez rechercher « RGPD » dans l'outil AWS Partner Solutions Finder pour les aider à trouver des fournisseurs indépendants de logiciels (ISV), des fournisseurs de services gérés (MSP) et des partenaires intégrateurs de systèmes (SI) proposant des produits et des services destinés à aider à respecter la conformité au RGPD. Les clients peuvent également rechercher des solutions « RGPD » sur AWS Marketplace.

  • Oui, l'équipe des services AWS Professional Services propose plusieurs activités pour aider les clients dans la transition vers la conformité au RGPD. Cette équipe certifiée de professionnels de la conformité aide les clients à atteindre, maintenir et automatiser la conformité dans le cloud en combinant les normes de conformité applicables aux fonctionnalités spécifiques des services AWS. Vous trouverez de plus amples informations sur la façon dans les consultants de l'équipe des services AWS Professional Services aident les clients ici.

  • Les clients peuvent utiliser AWS Support pour bénéficier de conseils techniques afin de les aider dans leur transition vers la conformité RGPD. Dans le cadre de cette activité, nous avons des équipes d'ingénieurs d'assistance cloud et de gestionnaires techniques de compte (TAM) qui sont entraînées pour aider à identifier et limiter les risques liés à la conformité. Le niveau de support fournit par AWS dépend du programme AWS Support que les clients sélectionnent. Les clients cherchant à comprendre l'intérêt de la formule Premium d'AWS Support peuvent trouver plus d'informations dans l'AWS Support Center, disponible via AWS Management Console, en utilisant les coordonnées indiquées dans le contrat d'assistance entreprise passé avec AWS ou en consultant la page Web AWS Support. Les clients ayant souscrit à la formule Enterprise Support doivent contacter leur TAM pour les questions concernant le RGPD.

    Voici deux programmes pouvant aider les clients dans leur poursuite de la conformité RGPD :

    • La révision des opérations cloud : disponible pour les clients AWS Enterprise Support, ce programme est conçu pour aider à identifier les brèches dans leur approche de l'exécution dans le cloud. Provenant d'un ensemble de bonnes pratiques opérationnelles tirées de l'expérience d'AWS avec une grande variété de clients représentatifs, ce programme offre une révision des opérations du cloud et des pratiques de gestion associées, ce qui peut aider les organisations dans leur transition vers la conformité RGPD. Le programme utilise une approche en quatre piliers. Il se concentre sur la préparation, la surveillance, l'exécution et l'optimisation des systèmes basés sur le cloud afin d'atteindre une excellence opérationnelle.
    • La vérification Well-Architected : ce programme permet aux organisations de comparer leur architecture avec les bonnes pratiques AWS et de construire des architectures qui sont sécurisées, fiables, hautement performantes et rentables. Les vérifications Well-Architected permettent également aux clients de comprendre où leur architecture présente des risques et comment éliminer ces risques avant que les applications ne soient mises en production.

  • AWS dispose d'une surveillance des accidents de sécurité et d'un processus de notification des violations de données. Il informera les clients de toute violation de sécurité AWS dans les meilleurs délais et conformément au DPA d'AWS. AWS offre également un certain nombre d'outils aux clients pour comprendre qui a accès à leurs ressources, quand et depuis quel emplacement. Un de ces outils est AWS CloudTrail qui autorise la gouvernance, la conformité, l'audit opérationnel et l'audit de risque d'un compte AWS. Avec AWS CloudTrail, les clients peuvent consigner, surveiller en continu et conserver l'activité de leur compte relative aux actions effectuées sur l'ensemble de leur infrastructure AWS. Cela aide les organisations à comprendre ce qu'il se passe avec leur infrastructure AWS et à prendre des mesures en cas d'activités inhabituelles, immédiatement. Pour plus d'informations sur les autres outils de sécurité qu'AWS propose à ces clients pour les aider à respecter leurs exigences en tant que responsables du traitement des données dans le cadre de la LGPD, consultez la page Web Sécurité dans le cloud AWS.  

  • AWS donne aux clients et aux partenaires APN un certain nombre d'outils pour sécuriser leurs données client et les aider à se protéger des cyberattaques. Un de ces outils est AWS Shield. Il s'agit d'un service géré de protection contre les attaques par déni de service (DDoS) pour protéger les sites Web et les applications s'exécutant sur AWS. AWS Shield Standard est disponible sans engendrer de coûts supplémentaires et offre des fonctions de détection continue et d'atténuation automatique intégrée qui peuvent minimiser les temps d'arrêt et la latence des applications. Pour obtenir des niveaux de protection supérieurs contre les attaques visant des applications Web s'exécutant sur AWS et utilisant les ressources ELB, Amazon CloudFront et Amazon Route 53, les clients et les partenaires APN peuvent souscrire à AWS Shield Advanced. AWS publie et met systématiquement à jour AWS Best Practices for DDoS Resiliency qui peut aider les clients à utiliser AWS afin de concevoir des applications résistantes aux attaques DDoS.

    Les autres outils dont AWS dispose pour aider à protéger les données client des cyberattaques sont notamment :

    • AWS Identity and Access Management (IAM) permet aux organisations de contrôler de façon sécurisée l'accès aux services et ressources AWS. En utilisant IAM, les clients et les partenaires APN peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
    • AWS Config permet aux clients et aux partenaires APN d'activer des règles préintégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
    • AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions dans AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
    • Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes AWS et vos charges de travail. Il surveille les activités pouvant indiquer un compte possiblement compromis, comme des appels d'API inhabituels ou des déploiements potentiellement non autorisés. GuardDuty détecte également des instances potentiellement compromises ou des opérations de reconnaissance par des attaquants.
  • Amazon Macie est un service entièrement géré de sécurité et de confidentialité des données qui utilise le machine learning et la correspondance de modèles pour identifier et protéger vos données personnelles dans AWS. Face aux volumes croissants de données que doivent gérer les organisations, l'identification et la protection de leurs données personnelles à grande échelle peuvent devenir incroyablement complexes et fastidieuses. Amazon Macie automatise l'identification des données personnelles à grande échelle et réduit les coûts liés à leur protection. Macie inventorie automatiquement les compartiments Amazon S3, répertoriant notamment les compartiments non chiffrés, ceux publiquement accessibles et ceux partagés avec des comptes AWS autres que ceux que vous avez définis dans AWS Organizations. Macie applique ensuite les techniques de machine learning et de correspondance de modèles aux compartiments de votre choix pour identifier les données personnelles et vous envoyer les alertes correspondantes.

    Amazon Macie a reçu des certifications de normes reconnues à l'international, comme l'ISO 27017 pour la sécurité cloud et l'ISO 27018 pour la confidentialité du cloud. Les clients et les partenaires APN peuvent également utiliser Macie pour surveiller en continu l'accès à leurs données afin de détecter les activités suspectes en se basant sur les modèles d'accès.

  • Pour aider les clients avec la conformité au RGPD, AWS dispose d'un certain nombre d'outils afin de contrôler l'accès aux données personnelles se trouvant dans leur contenu sur AWS. Ces outils comprennent notamment :

    • Sécurité par défaut signifie que les services AWS sont conçus pour être sécurisés par défaut. Si la configuration par défaut est utilisée, l'accès aux ressources est réservé au propriétaire du compte et à l'administrateur racine.
    • AWS Identity and Access Management (IAM) permet aux clients de contrôler de façon sécurisée l'accès aux services et aux ressources AWS. Avec IAM, les organisations peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
    • AWS Multi-Factor Authentication ajoute une couche de protection supplémentaire au-dessus du nom d'utilisateur et du mot de passe du compte AWS. AWS propose aux clients la possibilité d'avoir des dispositifs MFA virtuels ou matériels.
    • AWS Directory Service permet aux clients d'intégrer et de fédérer des répertoires d'entreprise pour réduire les coûts administratifs et améliorer l'expérience des utilisateurs finaux.
    • AWS Config permet aux clients d'activer des règles préintégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
    • AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions sur l'ensemble de leur infrastructure AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
    • Amazon Macie utilise le machine learning pour aider les clients à éviter les pertes de données en détectant, classant et protégeant automatiquement les données sensibles dans AWS. Ce service entièrement géré surveille en continu l'activité des accès aux données pour les anomalies et génère des alertes détaillées lorsqu'il détecte un risque d'accès non autorisé ou des fuites de données accidentelles (comme des données sensibles qu'un client a rendues accessibles depuis l'extérieur de façon involontaire).
       
  • AWS offre aux clients et aux partenaires APN la possibilité d'ajouter une couche de protection supplémentaire à leurs données client au repos dans le cloud et les aide à respecter la sécurité de leurs obligations de traitement en tant que responsables du traitement dans le cadre du RGPD. Les outils de chiffrement disponible sur AWS comprennent :

    • les capacités de chiffrement des données disponibles dans les services de stockage et de base de données d'AWS, comme Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS et Redshift
    • les possibilités flexibles de gestion des clés, notamment AWS Key Management Service, qui permettent de choisir entre confier la gestion des clés de chiffrement à AWS et garder le contrôle complet de ses propres clés ;
    • les files d'attente de messages chiffrés pour la transmission de données sensibles en utilisant le chiffrement côté serveur pour Amazon SQS.
    • les options de stockage matériel et dédié de clés cryptographiques à l'aide d'AWS CloudHSM, qui permettent de répondre à des exigences de conformité particulières.
     
    De plus, AWS propose des API aux clients et aux partenaires APN permettant d'intégrer le chiffrement et la protection des données à n'importe quel service développé ou déployé dans un environnement AWS.
  • AWS fournit des fonctions et services spécifiques qui aident les clients à respecter les exigences du RGPD :

    Contrôle d'accès : restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

    • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
    • Accès granulaire fin aux objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
    • Authentification par requête d'API
    • Restrictions géographiques
    • Jetons d'accès temporaires via AWS Security Token Service

    Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS

    Chiffrement : chiffrez des données sur AWS

    • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
    • Gestion centralisée des clés via Key Management Service (par région AWS)
    • Tunnels IPsec vers AWS avec les passerelles VPN
    • Modules HSM dédiés dans le cloud avec AWS CloudHSM

    Normes de sécurité et cadre de conformité solides : nous faisons preuve de notre conformité grâce à des normes internationales rigoureuses, telles que :

AWS et le RGPD/Royaume-Uni


AWS et la loi fédérale suisse sur la protection des données


Contact


  • Nous recommandons aux clients ayant des doutes concernant le RGPD de contacter d'abord leur gestionnaire de compte AWS. Si les clients ont souscrit à la formule Enterprise Support, ils peuvent également contacter un gestionnaire technique de compte (TAM). Les TAM travaillent avec les architectes de solution pour aider les clients à identifier les limitations et les risques potentiels. Les GTC et les gestionnaires de compte peuvent également diriger les clients et les partenaires APN vers les ressources spécifiques en se basant sur leur environnement et leurs besoins.
     

    AWS dispose également d'équipes de représentants Enterprise Support, de consultants de services professionnels et d'autres membres du personnel afin d'aider sur les questions liées au RGPD. Contactez-nous ici si vous avez des questions.

Des questions ? Contactez un représentant commercial d'AWS
Vous vous intéressez aux rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »