Centre du règlement général sur la protection des données (RGPD)


Présentation

Le Règlement européen général sur la protection des données (RGPD) protège les droits fondamentaux des personnes concernées au sein de l'Union européenne en matière de respect de la confidentialité et de protection des données personnelles. Il intègre des exigences très strictes qui amélioreront et uniformiseront les normes de protection, de sécurité et de conformité des données.

All AWS Services GDPR ready – En savoir plus

Outre notre propre conformité, AWS s'engage à offrir des services et des ressources à nos clients pour leur permettre de respecter les exigences du RGPD susceptibles de s'appliquer à leurs activités. De nouvelles fonctions sont lancées régulièrement et AWS propose plus de 500 fonctions et services axés sur la sécurité et la conformité.

Préparation au RGPD dans votre environnement AWS

AWS propose des fonctionnalités et des services spécifiques qui permettent aux clients de satisfaire aux exigences du RGPD :

Chiffrer des données sur AWS :

  • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM

Obtenez une présentation des activités concernant vos ressources AWS :

  • Gestion et configuration des ressources avec AWS Config
  • Audit et analyse de la sécurité avec AWS CloudTrail
  • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
  • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
  • Filtrage et surveillance de l'accès HTTP aux applications avec les fonctions AWS WAF dans AWS CloudFront

Donner accès uniquement aux administrateurs, utilisateurs et applications autorisés :

  • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
  • Accès granulaire fin aux objets dans Amazon S3, Amazon SQS et Amazon SNS
  • Authentification par requête d'API
  • Restrictions géographiques
  • Jetons d'accès temporaires via AWS Security Token Service

Les clients contrôlent leur contenu. Avec AWS, les clients :

  • Déterminent l'emplacement de stockage de leur contenu (type et région géographique du stockage).
  • Choisissent l'état de sécurisation de leur contenu. Nous proposons à nos clients le chiffrement avancé de leur contenu en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.
  • Gèrent l'accès à leur contenu et aux services et ressources AWS via des utilisateurs, groupes, autorisations et informations d'identification qu'ils contrôlent eux-mêmes.

L'approche de la sécurité dans la conception vise à atteindre les objectifs suivants :

  • Création de fonctions de forçage qui ne peuvent être modifiées que par les utilisateurs autorisés.
  • Mise en place d'un fonctionnement fiable des contrôles.
  • Activation d'audits continus et en temps réel.
  • établissement de scripts techniques pour votre politique de gouvernance.

Notre fonctionnalité leader dans le secteur pose les bases d'une longue liste des certifications et accréditations reconnues à l'internationale dont nous disposons pour montrer notre conformité à des normes internationales strictes, comme la norme ISO 27001 pour les mesures techniques, la norme ISO 27017 pour la sécurité dans le cloud, la norme ISO 27018 pour la confidentialité dans le cloud, les normes SOC 1, SOC 2 et SOC 3, la PCI DSS niveau 1 ou encore les certifications spécifiques de l'Union européenne, telles que le Common Cloud Computing Controls Catalogue (C5) du BSI ou encore la certification ENS High. Récemment, AWS a également annoncé sa conformité au code de conduite CISPE.

Exploiter les services AWS

Amazon Macie

Ce service protège de façon proactive les informations personnellement identifiables et vous informe quand elles sont déplacées.

EN SAVOIR PLUS SUR AMAZON MACIE »

AWS Identity and Access Management (IAM)

Créez et gérez des utilisateurs ainsi que des groupes AWS. Utilisez les autorisations pour rejeter ou non l'accès aux ressources AWS.

EN SAVOIR PLUS SUR AWS IAM »

AWS Config

Simplifie les audits de conformité, les analyses de sécurité, la gestion des changements et la résolution des problèmes opérationnels.  

EN SAVOIR PLUS SUR AWS CONFIG »

Amazon Inspector

Définissez les normes et les meilleures pratiques de vos applications et validez la conformité à ces normes.

EN SAVOIR PLUS SUR AMAZON INSPECTOR »

Amazon GuardDuty

Détection intelligente des menaces et surveillance continue pour protéger vos comptes AWS et vos charges de travail.

EN SAVOIR PLUS SUR AMAZON GUARDDUTY »

AWS Key Management Service (KMS)

Créez et contrôlez facilement les clés utilisées pour chiffrer vos données.

EN SAVOIR PLUS SUR AWS KMS »

FAQ DU RGPD

  • Qu'est-ce que le RGPD ?

    Le Règlement général sur la protection des données (RGPD) est une nouvelle réglementation européenne relative à la protection de la vie privée, dont l'entrée en vigueur est prévue le 25 mai 2018. Le RGPD remplacera la Directive de l'UE sur la protection des données personnelles, aussi appelée Directive 95/46/CE, et a vocation à harmoniser les législations relatives à la protection des données dans l'ensemble de l'Union européenne (UE) en proposant une unique loi relative à la protection des données personnelles, obligatoire et directement applicable dans tout État membre.

  • À qui s'applique le RGPD ?

    Le RGPD s'applique à toutes les organisations établies dans l'UE et aux organisations, établies ou non dans l'UE, qui traitent les données personnelles des personnes concernées dans le cadre de l'offre de biens ou de services aux personnes concernées dans l'UE ou du suivi du comportement qui a lieu au sein de l'UE. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable.

  • Que deviendront les actuelles lois relatives à la protection des données personnelles dans l'UE après l'entrée en vigueur du RGPD ?

    Le RGPD remplacera l'actuelle Directive sur la protection des données personnelles (Directive européenne 95/46/CE). A compter du 25 mai 2018, l'actuelle Directive sur la protection des données personnelles et toutes les lois s'y référant cesseront de s'appliquer.

  • Quelles sont les mesures prises par AWS pour préparer l'entrée en vigueur du RGPD ?

    Les experts en conformité, protection des données et sécurité d'AWS collaborent avec des clients du monde entier afin de répondre à leurs questions et de les aider à se préparer à exécuter leurs charges de travail dans le cloud AWS après l'entrée en vigueur du RGPD. Ces équipes ont également vérifié si les services AWS étaient prêts à répondre aux exigences du RGPD et ont confirmé que c'était bien le cas pour chacun des services AWS.

    De plus, nous proposons à nos clients un « Data Processing Agreement » qui répondra aux exigences du RGPD (DPA RGPD). Le DPA RGPD d'AWS s'incorpore aux Conditions d'utilisation d'AWS et s'applique automatiquement à tous les clients cherchant à se conformer au RGPD.

    Récemment, AWS a également annoncé sa conformité au code de conduite CISPE. Le code de conduite CISPE aide les clients de services cloud à évaluer la manière dont le fournisseur de leur infrastructure de cloud respecte les obligations de protection des données énoncées par le RGPD. AWS a déclaré qu'Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail et Amazon Elastic Block Storage (Amazon EBS) sont entièrement conformes au code de conduite CISPE. Les clients disposent ainsi de garanties supplémentaires quant à leur capacité à contrôler l'intégralité de leurs données dans l'environnement sûr, sécurisé et conforme que leur propose AWS. Pour plus de détails sur la conformité d'AWS au code de conduite CISPE, rendez-vous sur le site Web https://cispe.cloud/.

    AWS s'impose en permanence des standards élevés en matière de sécurité et de conformité, et ce, pour toutes les opérations menées partout dans le monde. La sécurité a toujours été notre priorité absolue, notre première mission. Sur la base de notre dispositif de sécurité à la pointe du secteur, nous avons pu obtenir une longue liste de certifications et d'accréditations mondialement reconnues, preuves de notre conformité par rapport à des normes internationales rigoureuses telles que l'ISO 27017 pour la sécurité du cloud, l'ISO 27018 pour la confidentialité du cloud, les SOC 1, SOC 2 et SOC 3, la norme PCI DSS de niveau 1, et bien d'autres. AWS aide également ses clients à respecter des normes de sécurité locales, par exemple la norme Common Cloud Computing Controls Catalogue (C5) du BSI, particulièrement soutenue par le gouvernement allemand.

  • AWS respecte-t-il un code de conduite, comme mentionné dans les exigences du RGPD ?

    AWS a annoncé sa conformité au code de conduite CISPE relatif à la protection des données. CISPE est une coalition de fournisseurs d'infrastructures de cloud (aussi appelées « Infrastructure as a Service ») qui proposent des services cloud à des clients en Europe. Le code de conduite CISPE aide les clients de services cloud à s'assurer que le fournisseur de leur infrastructure de cloud applique les normes de protection appropriées pour leurs données, conformément aux dispositions du RGPD. Voici quelques-uns des atouts de ce code de conduite :

    • Clarification des responsabilités de chacun pour chaque aspect de la protection des données : Le code de conduite explique les rôles du fournisseur et du client dans le cadre du RGPD, plus particulièrement dans le contexte des services d'infrastructure de cloud.
    • Le code de conduite expose les principes auxquels les fournisseurs doivent se soumettre : Le code de conduite présente les mesures et les engagements que les fournisseurs doivent prendre afin de respecter le règlement RGPD et d'aider leurs clients à faire de même.
    • Le code de conduite fournit aux clients les informations relatives à la protection et à la sécurité des données dont ils ont besoin pour prendre leurs décisions en matière de conformité : Le code de conduite exige que les fournisseurs fassent preuve de transparence quant aux actions prévues pour mettre en pratique leurs engagements de sécurité. Parmi ces actions, on compte les notifications en cas de violation de données, de suppression de données et de traitement délégué à un tiers, mais aussi en cas de demandes des administrations publiques ou des forces de l'ordre. Les clients peuvent s'appuyer sur ces informations pour mieux évaluer les niveaux de sécurité élevés qui leur sont proposés.

    Pour découvrir de quelle manière AWS traite les demandes des forces de l'ordre, consultez le livre blanc « S'occuper de la localisation des données avec AWS ».

  • Quels changements le RGPD instaurera-t-il pour les organisations menant des activités dans l'UE ?

    L'un des objectifs essentiels du RGPD est d'unifier la manière dont les données personnelles peuvent être traitées, utilisées et échangées de façon sécurisée dans les différents États membres de l'UE. Les organisations devront démontrer en permanence la sécurité des données traitées ainsi que leur conformité au RGPD, en mettant en œuvre et révisant régulièrement des mesures techniques et organisationnelles rigoureuses, ainsi que des politiques de conformité.

  • Quels sont les services proposés par AWS à ses clients pour aider ces derniers à se mettre en conformité avec le RGPD ?

    AWS propose d'ores et déjà des fonctionnalités et services spécifiques qui aident les clients à respecter les exigences du RGPD :

    Contrôle d'accès : restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

    • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
    • Contrôle d'accès très précis pour les objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
    • Authentification par requête d'API
    • Restrictions géographiques
    • Jetons d'accès temporaires via AWS Security Token Service

    Surveillance et fichiers journaux : Obtenez une vue générale des activités concernant vos ressources AWS

    • Gestion et configuration des ressources avec AWS Config
    • Audits de conformité et analyses de sécurité avec AWS CloudTrail
    • Identification des difficultés de configuration avec AWS Trusted Advisor
    • Enregistrement très précis des accès aux objets Amazon S3
    • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
    • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
    • Filtrage et surveillance des accès HTTP aux applications avec les fonctions WAF d'AWS CloudFront

    Chiffrement : Chiffrez des données sur AWS

    • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
    • Gestion centralisée des clés via Key Management Service (par région AWS)
    • Tunnels IPsec vers AWS avec les passerelles VPN
    • Modules HSM dédiés dans le cloud avec AWS CloudHSM

    Normes de sécurité et cadre de conformité solides :

    • Certification ISO 27001/9001
    • Certification ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – programme d'attestation de conformité approuvé par le gouvernement allemand)
    • AWS, en association avec le cabinet d'audit TÜV TRUST IT, a publié un manuel de certification pour les clients qui donne des conseils sur la mise en conformité avec les normes allemandes BSI IT Grundschutz dans le cloud
  • Que peuvent faire les clients pour se préparer à l'entrée en vigueur du RGPD ?

    Voici quelques points importants potentiellement utiles pour la conformité au RGPD :

    • Territoires concernés : pour vous assurer que votre organisation sera en mesure de satisfaire à ses obligations de conformité, il est essentiel de déterminer si le RGPD s'applique à vos activités. Le RGPD s'applique à toutes les organisations établies dans l'UE. Cependant, selon vos activités, il se peut aussi que le RGPD s'applique même si vous êtes établi en dehors de l'UE.
       
    • Droits des personnes concernées : le RGPD renforce à plus d'un titre les droits des personnes concernées par les données. Par exemple, ces personnes ont le droit de s'opposer au traitement de leurs données. Elles disposent également d'un droit d'accès aux données personnelles les concernant. Les organisations traitant des données personnelles et sujettes au RGPD devront veiller à pouvoir mettre en œuvre les droits des personnes concernées par ces données.
       
    • Notifications de violation des données : si vous êtes contrôleur de données, vous devrez signaler une violation des données personnelles à l'autorité superviseuse compétente dans les plus brefs délais soit, si possible, dans les 72 heures maximum suivant la prise de connaissance de la violation. L'utilisation d'AWS vous donne le contrôle sur la façon de traiter et protéger les données personnelles. Vous pouvez ainsi surveiller votre propre environnement afin de détecter toute violation et en informer l'autorité de contrôle et les individus concernés, conformément aux exigences du RGPD. De plus, AWS, en tant que processeur de données, vous avertira sans délai en cas (i) de violation des normes de sécurité conduisant à une destruction accidentelle ou illégale, à la perte, à l'altération, à la divulgation non autorisée des données personnelles ou à l'accès à ces dernières étant chargées via les services AWS sur votre compte, ou (ii) d'accès non autorisé à l'équipement ou aux installations AWS résultant de la destruction, de la perte, de la divulgation non autorisée ou de l'altération des données personnelles chargées sur votre compte via les services AWS.
       
    • Délégué à la protection des données (DPD, en anglais DPO) : vous devrez probablement nommer un DPD qui sera chargé de gérer la sécurité des données et tous les problèmes en lien avec le traitement des données personnelles.
       
    • Analyse d'impact relative à la protection des données (AIPD, en anglais DPIA) : vous devrez probablement effectuer, et dans certaines circonstances transmettre à l'autorité de contrôle, une AIPD concernant vos activités de traitement. Celle-ci devra identifier vos procédures et processus de traitement des données, ainsi que les mesures de contrôle mises en place pour protéger les données personnelles.
       
    • Contrat de traitement des données (en anglais DPA) : vous aurez probablement besoin d'un DPA respectant les exigences du RGPD, en particulier si vous transférez des données personnelles en dehors de l'Espace économique européen (EEE). AWS propose à ses clients un DPA RGPD incorporé aux Conditions d'utlisation d'AWS et s'appliquant automatiquement à tous les clients cherchant à se conformer au RGPD. AWS offre un large choix de services et de fonctionnalités spécifiques qui aideront les clients à répondre aux exigences du RGPD, dont des services portant sur le contrôle d'accès, la surveillance, la génération de fichiers journaux et le chiffrement. Vous trouverez davantage d'informations à ce sujet dans la section ci-dessus, « Quels sont les services proposés par AWS à ses clients pour aider ces derniers à se mettre en conformité avec le RGPD ? ».

    Nous disposons également d'équipes composées d'experts en conformité, protection des données et sécurité, mais aussi de partenaires AWS, qui collaborent avec les clients afin de répondre à leurs questions et de les aider à se préparer à exécuter des charges de travail dans le cloud après l'entrée en vigueur du RGPD. Pour en savoir plus à ce sujet, contactez votre gestionnaire de compte AWS.

  • AWS propose-t-il un « Data Processing Addendum » (DPA) ?

    Oui. AWS propose un DPA conforme au RGPD vous permettant de vous conformer aux obligations contractuelles du RGPD. Le DPA RGPD d'AWS s'incorpore aux Conditions d'utilisation d'AWS et s'applique automatiquement à tous les clients, partout dans le monde, cherchant à se conformer au RGPD.

  • Est-ce que les services AWS sont conformes au RGPD ?

    Les services AWS sont conformes avec le règlement général sur la protection des données (RGPD). Cela signifie qu'en plus de bénéficier de toutes les mesures qu'AWS a déjà entreprises pour maintenir la sécurité des services, les clients peuvent déployer les services AWS en tant que partie clé de leurs plans de conformité par rapport au RGPD. Pour plus de détails, consultez notre annonce sur la disponibilité des services RGPD sur le blog relatif à la sécurité AWS : https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/.

  • Quel est le rôle d'AWS dans le cadre du RGPD ? Est-ce qu'AWS est un service de traitement des données ou un sous-traitant ?

    AWS tient les rôles de responsable du traitement des données et de sous-traitant dans le cadre du RGPD.

    • AWS en tant que responsable du traitement : lorsque les clients et les partenaires APN utilisent les services AWS pour traiter des données personnelles dans leur contenu, AWS agit comme responsable du traitement. Les clients et les partenaires APN peuvent utiliser les contrôles disponibles dans les services AWS, notamment les contrôles de configuration de sécurité, afin de gérer les données personnelles. Dans ces circonstances, le client ou le partenaire APN peut agir lui-même comme responsable ou comme sous-traitant, tandis qu'AWS prend le rôle de responsable ou de sous-responsable. AWS propsoe un DPA conforme au RGPD qui inclut les engagements d'AWS en tant que responsable.
    • AWS en tant que sous-traitant : lorsqu'AWS collecte des données personnelles et détermine les finalités et les moyens du traitement de ces données personnelles (par exemple, lorsqu'AWS stocke des informations de compte pour l'enregistrement du compte, l'administration, l'accès aux services ou des informations de contact pour le compte AWS afin de fournir une assistance par des activités de soutien au client), il agit comme sous-traitant.
  • Comment le RGPD affecte-t-il le modèle de responsabilité partagée d'AWS ?

    Le RGPD ne change pas le modèle de responsabilité partagée AWS, qui continue à être pertinent pour les clients et les partenaires APN qui se concentrent sur l'utilisation des services de cloud computing. Le modèle de responsabilité partagée est une approche pratique pour illustrer les responsabilités différentes d'AWS (en tant que responsable ou sous-responsable) et les clients ou partenaires APN (en tant que sous-traitants ou responsables) dans le cadre de la RGPD.

    Dans le modèle de responsabilité partagée, AWS est responsable de la sécurisation de l'infrastructure sous-jacente qui prend en charge le cloud. Les clients et les partenaires APN, ayant le rôle de responsable ou de sous-traitant, sont responsables de toutes les données personnelles qu'ils mettent sur le cloud.

    Responsabilité AWS en tant que responsable du traitement des données

    AWS se charge de protéger l'infrastructure mondiale sur laquelle s'exécutent tous les services proposés dans le cloud AWS. Cette infrastructure est composée de matériel, de logiciels, de mises en réseau et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients et aux partenaires APN, notamment des contrôles de configuration de la sécurité pour la gestion du contenu client. La protection de cette infrastructure est la priorité d'AWS. AWS fournit différents rapports de conformité de la part d'auditeurs tiers qui ont vérifié sa conformité avec une large gamme de normes et de règlementations de sécurité informatique (pour plus d'informations, voir : https://aws.amazon.com/compliance). Ces rapports montrent à nos clients et aux partenaires APN que nous protégeons les données personnelles qu'ils ont choisi de traiter dans AWS. La conformité d'AWS aux normes ISO 27001, 27017 et 27018 sont de bons exemples. ISO 27018 contient des contrôles de sécurité qui se concentrent sur la protection des données personnelles. Vous trouverez des détails sur la conformité d'AWS avec la norme ISO 27108 ici :https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS est également responsable de la configuration de sécurité de ses technologies considérées comme des services gérés. Amazon DynamoDB, Amazon RDS, Amazon Redshift et Amazon Elastic MapReduce ne sont que quelques exemples de ces services. Ces services offrent la scalabilité et la flexibilité des ressources basées sur le cloud avec l'avantage supplémentaire d'être gérés. Pour ces services, AWS gère les tâches de sécurité de base comme la sécurité du système d'exploitation et les correctifs de base de données, la configuration du pare-feu et la reprise après sinistre. Pour les services gérés, les clients et les partenaires APN configurent les contrôles d'accès logique pour leurs ressources et protègent leurs informations d'identification de compte. Quelques-uns des services gérés peuvent nécessiter des tâches supplémentaires, comme le paramétrage de comptes utilisateur de la base de données, mais le travail de configuration de la sécurité en général est réalisé par le service. Avec tous ces services, les clients et les partenaires APN sont toujours responsables des données personnelles qu'ils mettent sur le cloud.

    AWS propose également un DPA conforme au RGPD (DPA RGPD) qui inclut les engagements d'AWS en tant que responsable. Ce DPA RGPD s'incorpore aux Conditions d'utilisation d'AWS et s'applique automatiquement à tous les clients cherchant à se conformer au RGPD.

    Responsabilités client et partenaire APN en tant que sous-traitant et comment les services AWS peuvent aider :

    Avec le cloud AWS, les clients et les partenaires APN peuvent allouer des serveurs virtuels, du stockage, des bases de données et des postes de travail en quelques minutes au lieu de semaines. Ils peuvent également utiliser des outils de charges de travail et d'analyse basés sur le cloud afin de traiter les données quand ils en ont besoin, puis les stocker dans leurs propres centres de données ou dans le cloud. Les clients des services AWS et les partenaires APN détermineront la charge de travail de configuration qu'ils ont à réaliser. Celle-ci fera partie de leurs responsabilités RGPD. Les produits AWS qui sont des infrastructures en tant que service (IaaS) (comme Amazon EC2, Amazon VPC et Amazon S3) sont complètement sous le contrôle d'un client ou d'un partenaire APN. Ils ont besoin que le client ou le partenaire réalise toutes les tâches de gestion et de configuration de la sécurité nécessaire. Par exemple, pour les instances EC2, ils sont responsables de la gestion du système d'exploitation invité (y compris les mises à jour et les correctifs de sécurité), de tous les logiciels d'installation ou les installations installés sur les instances, ainsi que de la configuration du pare-feu fourni par AWS (appelé groupe de sécurité) pour chaque instance. Il s'agit des tâches de sécurité qui doivent être réalisées, quel que soit l'emplacement des serveurs.

    Pour réaliser la protection des données par la conception et par les principes par défaut, nous recommandons aux clients et aux partenaires APN de protéger les informations d'identification de leurs comptes AWS, mais aussi de paramétrer les comptes utilisateur individuels avec Amazon Identity and Access Management (IAM). Ainsi, chaque utilisateur dispose de ses propres informations d'identification, leur permettant de mettre en place les accès basés sur les autorisations pour les données et la séparation des fonctions par rôle utilisateur. Nous recommandons également d'utiliser l'authentification multi-facteurs (MFA) avec chaque compte, ce qui nécessite l'utilisation de SSL/TLS pour communiquer avec les ressources AWS et le paramétrage de la journalisation de l'activité API/utilisateur avec AWS CloudTrail. Cela permet également de tirer profit des solutions de chiffrement AWS et d'autres contrôles de sécurité dans les services AWS. Les clients et les partenaires APN peuvent également utiliser des services de sécurité avancés, tels qu'Amazon GuardDuty, pour la sécurité des comptes et des infrastructures, ainsi qu'Amazon Macie, afin de faciliter la détection et la sécurisation des données personnelles stockées dans Amazon S3, pour la conformité RGPD.

    Pour plus d'informations sur les mesures supplémentaires que les clients peuvent entreprendre et les solutions que propose AWS, consultez le livre blanc Bonnes pratiques de la sécurité AWS. Nous vous recommandons également de lire la page sur la Sécurité dans le cloud AWS, disponible ici : https://aws.amazon.com/security/.

  • Qui dois-je contacter si j'ai des questions concernant le RGPD et AWS ?

    Nous recommandons aux clients et aux partenaires APN ayant des doutes concernant la protection des données ou AWS et le RGPD de contacter leur gestionnaire de compte AWS. Si les clients ont souscrit à la formule Enterprise Support, ils peuvent également contacter un gestionnaire technique de compte (GTC). Les GTC travaillent avec les architectes de solution pour aider les clients à identifier les limitations et les risques potentiels. Les GTC et les gestionnaires de compte peuvent également diriger les clients et les partenaires APN vers les ressources spécifiques en se basant sur leur environnement et leurs besoins.

    AWS dispose également d'équipes de représentants Enterprise Support, de consultants de service professionnel et d'autres membres du personnel afin d'aider sur les questions liées au RGPD. Pour aider à éduquer les clients et les partenaires APN, AWS organise également un certain nombre d'allocutions, de webinaires et d'ateliers lors des AWS Summits et des AWS Pop-up Lofts pour les aider à comprendre le RGPD et mettre en place les solutions en utilisant des outils AWS.

  • Quels sont les conseils techniques fournis par AWS aux clients et aux partenaires APN concernant le RGPD ?

    AWS offre aux clients et aux partenaires APN un certain nombre de ressources pour les aider dans leur transition vers la conformité au RGPD. AWS dispose également d'équipes de représentants Enterprise Support, de consultants de service professionnel et d'autres membres du personnel afin d'aider les clients et les partenaires APN sur les questions liées au RGPD. AWS organise un certain nombre d'allocutions, de webinaires et d'ateliers lors des AWS Summits et des AWS Pop-up Lofts pour aider les clients et les partenaires APN à comprendre le RGPD et mettre en place la protection des données par la conception et par défaut, en utilisant les outils AWS.

  • Est-ce qu'AWS offrira des services professionnels pour aider à atteindre la conformité avec le RGPD ?

    L'équipe des services professionnels AWS réalise un certain nombre d'activités afin d'aider les clients et les partenaires APN dans la transition vers la conformité RGPD. Les consultants des services professionnels aident à répondre aux questions concernant le RGPD en réalisant des sessions de conseils privées, ainsi que des allocutions, des webinaires et des ateliers lors des AWS Summits et des AWS Pop-up Lofts. L'équipe des services professionnels AWS travaille directement avec les clients et les partenaires APN afin de leur fournir des conseils techniques concernant le RGPD et de mettre en place une protection des données par conception et par défaut, en utilisant des outils AWS. Pour en savoir plus sur la façon dont les consultants des services professionnels AWS aident les clients et les partenaires APN : https://aws.amazon.com/professional-services/.

  • Comment est-ce qu'AWS Support peut m'aider dans ma transition vers la conformité au RGPD ?

    AWS Premium Support travaille avec les clients et les partenaires APN pour fournir des conseils techniques afin de les aider dans leur transition vers la conformité RGPD. Dans le cadre de cette activité, nous avons actuellement des équipes d'ingénieurs d'assistance cloud et de gestionnaires techniques de compte qui sont entraînées pour aider à identifier et limiter les risques de conformité. Deux programmes pouvant être utiles aux clients et aux partenaires APN dans leur poursuite de la conformité RGPD sont :

    • La révision des opérations cloud : disponible pour les clients AWS Enterprise Support, ce programme est conçu pour aider à identifier les brèches dans leur approche de l'exécution dans le cloud. Provenant d'un ensemble de bonnes pratiques opérationnelles tirées de l'expérience d'AWS avec une grande variété de clients représentatifs, ce programme offre une révision des opérations du cloud et des pratiques de gestion associées, ce qui peut aider les organisations dans leur transition vers la conformité RGPD. Le programme utilise une approche en quatre piliers. Il se concentre sur la préparation, la surveillance, l'exécution et l'optimisation des systèmes basés sur le cloud afin d'atteindre une excellence opérationnelle.
    • La vérification Well-Architected : ce programme permet aux organisations de comparer leur architecture avec les bonnes pratiques AWS et de construire des architectures qui sont sécurisées, fiables, hautement performantes et rentables. Les vérifications Well-Architected permettent également aux clients et aux partenaires APN de comprendre où leur architecture présente des risques et comment éliminer ces risques avant que les applications ne soient mises en production.

    Les clients et les partenaires APN cherchant à comprendre l'intérêt de la formule Premium d'AWS Support peuvent trouver plus d'informations sur le centre AWS Support, disponible via la console AWS (https://console.aws.amazon.com/support/), en utilisant les coordonnées indiqués dans le contrat d'assistance entreprise passé avec AWS ou en visitant la page AWS Premium Support : https://aws.amazon.com/premiumsupport/. Les clients ayant souscrit à la formule Enterprise Support doivent contacter leur TAM pour les questions concernant le RGPD.

  • Est-ce qu'AWS dispose de sous-traitants ?

    Nous informons nos clients et nos partenaires APN en amont à propos des sous-traitants ayant accès au contenu téléchargé sur AWS, notamment le contenu pouvant concerner des données personnelles. Cet engagement est compris dans le « Data Processing Addendum » RGPD d'AWS (DPA RGPD). Ce DPA RGPD s'incorpore aux Conditions d'utilisation d'AWS et s'applique automatiquement à tous les clients cherchant à se conformer au RGPD.

  • Quels sont les outils offerts par AWS pour mettre en place les mesures techniques et organisationnelles nécessaires pour la protection des données dès leur conception et par défaut ?

    La plupart des exigences RGPD se concentrent sur le contrôle et la protection des données. Les services AWS offrent la possibilité aux clients et aux partenaires APN de mettre en place leurs propres mesures de sécurité en conformité avec le RGPD, notamment des mesures tactiques spécifiques comme :

    • le chiffrement des données personnelles ;
    • la capacité à assurer une confidentialité, une intégrité, une disponibilité et une résilience continues pour les systèmes et les services en exécution ;
    • la capacité à restaurer la disponibilité et l'accès aux données personnelles rapidement en cas d'accident physique ou technique ;
    • un processus pour tester et évaluer régulièrement l'efficacité des mesures techniques afin de s'assurer de la sécurité du traitement.

    AWS dispose d'un ensemble avancé de services de sécurité et de conformité qui peuvent être déployés pour aider à gérer les exigences du RGPD, notamment :

    • Amazon GuardDuty : un service présentant une détection des menaces intelligentes et une surveillance continue des comportements malveillants ou non autorisés ;
    • Amazon Macie : un outil d'apprentissage automatique afin de faciliter la détection et la classification des données personnelles stockées dans Amazon S3 ;
    • Amazon Inspector : un service d'évaluation de la sécurité automatisé afin de garder les applications conformes aux bonnes pratiques en matière de sécurité ;
    • AWS Config Rules : une fonction qui vous permet de vérifier dynamiquement la conformité des ressources cloud avec les règles de sécurité.

    AWS a également publié le livre blanc « Atteindre la conformité du RGPD sur AWS » dédié à ce sujet. Ce document étudie et détaille comment établir un lien spécifique entre les ressources et des concepts tels que la surveillance, l'accès aux données et la gestion des clés. 

  • Quelles sont les mesures de sécurité mises en place par AWS pour protéger les systèmes ?

    L'infrastructure du cloud AWS a été conçue comme l'un des environnements de cloud computing les plus flexibles et sécurisés disponibles à ce jour. L'échelle d'Amazon nous permet d'investir bien plus dans les politiques et les contre-mesures de sécurité que la plupart des grandes entreprises évoluant seules ne pourraient se le permettre. Cette infrastructure est composée de matériel, de logiciels, de mises en réseau et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients et aux partenaires APN, notamment des contrôles de configuration de la sécurité pour la gestion des données personnelles. Vous trouverez davantage de détails sur les mesures qu'AWS a mis en place pour maintenir des hauts niveaux de sécurité constants dans le livre blanc AWS « Présentation des processus de sécurité ».

    AWS fournit également plusieurs rapports de conformité de la part d'auditeurs tiers qui ont testé et vérifié notre conformité par rapport à de nombreuses normes et règlementations de sécurité informatique (notamment ISO–27001, ISO 27017 et ISO 27018). Afin d'être transparents sur l'efficacité de ces mesures, nous avons donné accès aux clients et aux partenaires APN aux rapports d'audit tiers par l'intermédiaire d'AWS Management Console. Ces rapports montrent à nos clients et aux partenaires AWS, qui peuvent agir comme des responsables du traitement des données ou comme sous-traitants, que nous protégeons l'infrastructure sous-jacente sur laquelle ils stockent et traitent les données personnelles. Pour plus d'informations, rendez-vous sur le site https://aws.amazon.com/compliance.

  • Comment est-ce qu'AWS peut aider les sous-traitants du traitement des données à respecter leurs obligations dans le cadre du RGPD en ce qui concerne les notifications des violations de données personnelles ?

    AWS dispose d'une surveillance des accidents de sécurité et d'un processus de notification des violations de données. Il prendra en charge n'importe quelle brèche confirmée des systèmes AWS et informera les clients et les partenaires APN. AWS offre également un certain nombre d'outils aux clients et aux partenaires APN pour comprendre qui a accès à leurs ressources, quand et depuis quel emplacement. Un de ces outils est AWS CloudTrail qui autorise la gouvernance, la conformité, l'audit opérationnel et l'audit de risque d'un compte AWS. Avec AWS CloudTrail, les clients peuvent consigner, surveiller en continu et conserver l'activité de leur compte relative aux actions effectuées sur l'ensemble de leur infrastructure AWS. Cela aide les organisations à comprendre ce qu'il se passe avec leur infrastructure AWS et à prendre des mesures en cas d'activités inhabituelles, immédiatement. Pour plus d'informations sur AWS CloudTrail et sur les autres outils de sécurité qu'AWS propose à ces clients pour les aider à respecter leurs exigences en tant que responsables du traitement des données dans le cadre du RGPD, rendez-vous sur le site https://aws.amazon.com/security/.

  • Comment est-ce qu'AWS m'aide à protéger mes données contre les cyberattaques ?

    AWS donne aux clients et aux partenaires APN un certain nombre d'outils pour sécuriser leurs données et les aider à se protéger des cyberattaques. Un de ces outils est AWS Shield. Il s'agit d'un service géré de protection contre les attaques par déni de service (DDoS) pour protéger les sites Web et les applications s'exécutant sur AWS. AWS Shield Standard est disponible sans engendrer de coûts supplémentaires et offre des fonctions de détection continue et d'atténuation automatique intégrée qui peuvent minimiser les temps d'arrêt et la latence des applications. Pour obtenir des niveaux de protection supérieurs contre les attaques visant des applications Web s'exécutant sur AWS et utilisant les ressources ELB, Amazon CloudFront et Amazon Route 53, les clients et les partenaires AWS peuvent souscrire à AWS Shield Advanced. AWS publie et met systématiquement à jour le document « AWS Best Practices for DDoS Resiliency » qui aide les clients à utiliser AWS afin de concevoir des applications résistantes aux attaques DDoS.

    Les autres outils dont AWS dispose pour aider à protéger des cyberattaques sont notamment :

    • AWS Identity and Access Management (IAM) permet aux organisations de contrôler de façon sécurisée l'accès aux services et ressources AWS. En utilisant IAM, les clients et les partenaires APN peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
    • AWS Config permet aux clients et aux partenaires APN d'activer des règles préintégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
    • AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions dans AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
    • Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes AWS et vos charges de travail. Il surveille l'activité qui peut indiquer un compte possiblement compromis, comme des appels d'API inhabituels ou des déploiements potentiellement non autorisés. GuardDuty détecte également des instances potentiellement compromises ou des opérations de reconnaissance par des attaquants.
    • Amazon Macie est un service de sécurité qui utilise l'apprentissage automatique pour aider les clients et les partenaires APN en détectant, classant et protégeant automatiquement les données sensibles dans AWS. Ce service entièrement géré surveille en continu l'activité des accès aux données pour les anomalies et génère des alertes détaillées lorsqu'il détecte un risque d'accès non autorisé ou des fuites de données accidentelles (comme des données sensibles qu'un client a rendues accessibles depuis l'extérieur de façon involontaire).  
  • Quels outils sont disponibles pour m'aider à trouver les données personnelles dans mon contenu sur AWS ?

    Amazon Macie est un service de sécurité qui utilise l'apprentissage automatique pour aider les clients et les partenaires APN à détecter, classer et protéger automatiquement les données sensibles dans AWS. Ce service entièrement géré surveille en continu l'activité des accès aux données pour les anomalies et génère des alertes détaillées lorsqu'il détecte un risque d'accès non autorisé ou des fuites de données accidentelles (comme des données sensibles accessibles depuis l'extérieur de façon involontaire). Macie a reçu des certifications de normes reconnues à l'international, comme l'ISO 27017 pour la sécurité cloud et l'ISO 27018 pour la confidentialité du cloud. Les clients et les partenaires APN peuvent également utiliser Macie pour surveiller en continu l'accès à leurs données afin de détecter les activités suspectes en se basant sur les modèles d'accès.

  • Comment est-ce que je peux contrôler l'accès aux données personnelles au sein de mon contenu sur AWS ?

    Pour aider les clients et les partenaires APN avec la conformité au RGPD, AWS dispose d'un certain nombre d'outils afin de contrôler l'accès aux données personnelles se trouvant dans leur contenu sur AWS. Ces outils comprennent notamment :

    Sécurité par défaut signifie que les services AWS sont conçus pour être sécurisés par défaut. Si la configuration par défaut est utilisée, l'accès aux ressources est réservé au propriétaire du compte et à l'administrateur racine.

    • AWS Identity and Access Management (IAM) permet aux clients et aux partenaires APN de contrôler de façon sécurisée l'accès aux services et ressources AWS. Avec IAM, les organisations peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
    • AWS Multi-Factor Authentication ajoute une couche de protection supplémentaire au-dessus du nom d'utilisateur et du mot de passe du compte AWS. AWS propose aux clients la possibilité d'avoir des dispositifs MFA virtuels ou matériels.
    • AWS Directory Service permet aux clients et aux partenaires APN d'intégrer et de fédérer des annuaires d'entreprise pour réduire les coûts administratifs et améliorer l'expérience des utilisateurs finaux.
    • AWS Config permet aux clients et aux partenaires APN d'activer des règles préintégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
    • AWS CloudTrail permet aux clients et aux partenaires APN de journaliser, de surveiller en permanence et de conserver des informations concernant l'activité du compte liée aux actions dans leur infrastructure AWS, ce qui simplifie l'analyse de sécurité, le suivi des changements de ressources et la résolution de problèmes.
    • Amazon Macie utilise l'apprentissage automatique pour aider les clients à éviter les pertes de données en détectant, classant et protégeant automatiquement les données sensibles dans AWS. Ce service entièrement géré surveille en continu l'activité des accès aux données pour les anomalies et génère des alertes détaillées lorsqu'il détecte un risque d'accès non autorisé ou des fuites de données accidentelles (comme des données sensibles qu'un client a rendues accessibles depuis l'extérieur de façon involontaire).
  • Comment est-ce que je peux chiffrer les données personnelles contenues dans AWS pour éviter les accès non autorisés ?

    AWS offre aux clients et aux partenaires APN la possibilité d'ajouter une couche de protection supplémentaire à leurs données au repos dans le cloud et les aide à respecter la sécurité de leurs obligations de traitement en tant que sous-traitants dans le cadre du RGPD. Les outils de chiffrement disponible sur AWS comprennent :

    • les capacités de chiffrement des données disponibles dans les services de stockage et de base de données d'AWS, comme Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS et Redshift ;
    • les possibilités flexibles de gestion des clés, notamment AWS Key Management Service, qui permettent de choisir entre confier la gestion des clés de chiffrement à AWS et garder le contrôle complet de ses propres clés ;
    • les files d'attente de messages chiffrés pour la transmission de données sensibles en utilisant le chiffrement côté serveur pour Amazon SQS.
    • les options de stockage matériel et dédié de clés cryptographiques à l'aide d'AWS CloudHSM, qui permettent de répondre à des exigences de conformité particulières.
     
    De plus, AWS propose des API aux clients et aux partenaires APN permettant d'intégrer le chiffrement et la protection des données à n'importe quel service développé ou déployé dans un environnement AWS.
  • Comment est-ce qu'AWS gère les instructions de suppression émanant des clients ?

    Les services AWS permettent la suppression du contenu à la demande par les utilisateurs en utilisant AWS Management Console, les API et d'autres méthodes de saisie. Pour plus d'informations sur les fonctionnalités spécifiques du service, consuiltez la page https://aws.amazon.com/documentation.

  • Comment est-ce que je peux prouver à un régulateur de la protection des données que mon utilisation d'AWS est conforme au RGPD ?

    AWS offre des informations utiles aux clients et aux partenaires APN, notamment plusieurs rapports de conformité réalisés par des auditeurs tiers, qui ont vérifié la conformité d'AWS avec un large nombre de normes et de règlementation de sécurité informatique, afin de certifier les hauts niveaux de conformité maintenus par AWS pour son infrastructure. Ces rapports montrent à nos clients et aux partenaires APN que nous protégeons les données personnelles qu'ils ont choisi de traiter dans AWS. La conformité d'AWS aux normes ISO 27001, 27017 et 27018 est un bon exemple. ISO 27018 contient des contrôles de sécurité qui se concentrent sur la protection des données personnelles. Vous trouverez des détails sur la conformité d'AWS avec la norme ISO 27108 ici :https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS est également conforme au code de conduite CISPE pour la protection des données. CISPE est une coalition de fournisseurs d'infrastructures cloud (aussi appelées « Infrastructure as a Service ») qui proposent des services cloud à des clients en Europe. Le code de conduite CISPE aide les clients et les partenaires APN de services cloud à s'assurer que le fournisseur de leur infrastructure cloud applique les normes de protection appropriées pour leurs données, conformément aux dispositions du RGPD. Voici quelques-uns des atouts de ce code de conduite :

    • Clarification des responsabilités de chacun pour chaque aspect de la protection des données : le code de conduite explique les rôles du fournisseur et du client dans le cadre du RGPD, plus particulièrement dans le contexte des services d'infrastructure cloud.
    • Le code de conduite expose les principes auxquels les fournisseurs doivent se soumettre : le code de conduite présente les mesures et les engagements que les fournisseurs doivent prendre afin de respecter le RGPD et d'aider leurs clients à faire de même.
    • Le code de conduite fournit aux clients et aux partenaires APN les informations relatives à la protection et à la sécurité des données dont ils ont besoin pour prendre leurs décisions en matière de conformité : le code de conduite exige que les fournisseurs fassent preuve de transparence quant aux actions prévues pour mettre en pratique leurs engagements de sécurité. Parmi ces actions, on compte les notifications en cas de violation de données, de suppression de données et de traitement délégué à un tiers, mais aussi en cas de demandes des administrations publiques ou des forces de l'ordre. Les clients et les partenaires APN peuvent s'appuyer sur ces informations pour mieux évaluer les niveaux de sécurité élevés qui leur sont offerts.
  • Les services AWS sont-ils certifiés par rapport au bouclier de protection des données UE-États-Unis ?

    Oui. Amazon.com Inc. est certifié par rapport au bouclier de protection des données UE-États-Unis, et cette certification s'étend à AWS. Il est ainsi plus aisé pour nos clients qui choisissent de transférer des données personnelles vers les États-Unis de respecter leurs obligations en matière de protection des données. La certification d'Amazon.com Inc. est enregistrée sur le site web du bouclier de protection des données UE-États-Unis, à la page suivante : https://www.privacyshield.gov/list

    Pour en savoir plus sur ce sujet dans le contexte d'AWS, consultez notre page dédiée au bouclier de protection des données UE-États-Unis.

compliance-contactus-icon
Vous avez des questions ? Contactez un représentant de la conformité AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »