Le Règlement européen général sur la protection des données (RGPD) protège les droits fondamentaux des personnes concernées au sein de l'Union européenne en matière de respect de la confidentialité et de protection des données personnelles. Il intègre des exigences très strictes qui amélioreront et uniformiseront les normes de protection, de sécurité et de conformité des données.

Les services AWS seront conformes au règlement général sur la protection des données (RGPD) quand il entrera en vigueur le 25 mai 2018..

Outre notre propre conformité, AWS s'engage à offrir des services et des ressources à nos clients pour leur permettre de respecter les exigences RGPD susceptibles de s'appliquer à leurs activités. De nouvelles fonctionnalités sont lancées régulièrement et AWS propose plus de 500 fonctionnalités et services axés sur la sécurité et la conformité.

AWS propose des fonctionnalités et des services spécifiques qui permettent aux clients de satisfaire aux exigences du RGPD :

HA_DynamoDB-DAX_HERO-ART

Contrôle d'accès : donner accès uniquement aux administrateurs, utilisateurs et applications autorisés 

  • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
  • Accès granulaire fin aux objets dans Amazon S3, Amazon SQS et Amazon SNS
  • Authentification par requête d'API
  • Restrictions géographiques
  • Jetons d'accès temporaires via AWS Security Token Service
En savoir plus »
HA_EFS-Data-Encryption_hero-art

Surveillance et fichiers journaux : Obtenez une vue générale des activités concernant vos ressources AWS

  • Gestion et configuration des ressources avec AWS Config
  • Audit et analyse de la sécurité avec AWS CloudTrail
  • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
  • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
  • Filtrage et surveillance de l'accès HTTP aux applications avec les fonctions AWS WAF dans AWS CloudFront
GC_Storage_HERO-ART

Chiffrement : Chiffrez des données sur AWS

  • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM
En savoir plus »

Confidentialité des données

Les clients contrôlent leur contenu. Avec AWS, les clients :

  • Déterminent l'emplacement de stockage de leur contenu (type et région géographique du stockage).
  • Choisissent l'état de sécurisation de leur contenu. Nous proposons à nos clients le chiffrement avancé de leur contenu en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.
  • Gèrent l'accès à leur contenu et aux services et ressources AWS via des utilisateurs, groupes, autorisations et informations d'identification qu'ils contrôlent eux-mêmes.
En savoir plus »

Sécurité dès la conception

L'approche de la sécurité dans la conception vise à atteindre les objectifs suivants :

  • Création de fonctions de forçage qui ne peuvent être modifiées que par les utilisateurs autorisés.
  • Mise en place d'un fonctionnement fiable des contrôles.
  • Activation d'audits continus et en temps réel.
  • établissement de scripts techniques pour votre politique de gouvernance.
En savoir plus »

EU Data Protection

La RGPD est le plus gros changement affectant la législation européenne en matière de protection des données personnelles depuis l'introduction, en 1995, de la directive de l'UE sur la protection des données personnelles. Elle vise à renforcer la sécurité et la protection des données personnelles dans l'UE et à harmoniser les législations relatives à la protection des données au sein de l'UE. La RGPD remplacera l'actuelle directive de l'UE sur la protection des données personnelles, ainsi que toutes les lois locales en lien avec celle-ci.

En savoir plus »

Certifications, programmes, rapports et attestations AWS

La conformité d'AWS avec la norme ISO 27018 a été validée par une instance d'évaluation indépendante. La norme ISO 27018 constitue la première norme internationale spécifique à la protection des données personnelles dans le cloud. Elle offre des conseils de mise en œuvre des contrôles de la norme ISO 27002 sur la sécurité des informations, sur laquelle elle est basée, qui peuvent être appliqués aux données personnelles soumises au traitement de fournisseurs publics de services de cloud. Elle démontre aux clients qu'AWS dispose d'un système de contrôle prouvant l'engagement d'AWS envers la confidentialité et la protection de leurs contenus.

En savoir plus »

Le Règlement général sur la protection des données (RGPD) est une nouvelle réglementation européenne relative à la protection de la vie privée, dont l'entrée en vigueur est prévue le 25 mai 2018. Le RGPD remplacera la Directive de l'UE sur la protection des données personnelles, aussi appelée Directive 95/46/CE, et a vocation à harmoniser les législations relatives à la protection des données dans l'ensemble de l'Union européenne (UE) en proposant une unique loi relative à la protection des données personnelles, obligatoire et directement applicable dans tout État membre.

 

Le RGPD s'applique à toutes les organisations menant des activités dans l'UE et traitant des « données à caractère personnel » concernant des résidents de l'UE. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable.

Le RGPD remplacera l'actuelle Directive sur la protection des données personnelles (Directive européenne 95/46/CE). A compter du 25 mai 2018, l'actuelle Directive sur la protection des données personnelles et toutes les lois s'y référant cesseront de s'appliquer.

Les experts en conformité, protection des données et sécurité d'AWS collaborent avec des clients du monde entier afin de répondre à leurs questions et de les aider à se préparer à exécuter leurs charges de travail dans le cloud AWS après l'entrée en vigueur du RGPD. Ces équipes ont également passé en revue toutes les actions déjà mises en œuvre par AWS, afin de s'assurer qu'elles respectent les exigences du nouveau règlement RGPD. Nous pouvons vous assurer que tous les services AWS seront conformes au règlement RGPD lorsque celui-ci entrera en vigueur, en mai 2018.

Par ailleurs, nous avons établi un nouveau contrat de traitement des données (« Data Processing Agreement », ou DPA) répondant aux exigences du RGPD. Ce DPA RGPD est à présent disponible pour tous les clients AWS afin de les aider à se préparer avant mai 2018. Pour en savoir plus sur le DPA RGPD ou pour en obtenir une copie, contactez votre gestionnaire de compte AWS.

Récemment, AWS a également annoncé sa conformité au code de conduite CISPE. Le code de conduite CISPE aide les clients de services cloud à évaluer la manière dont le fournisseur de leur infrastructure de cloud respecte les obligations de protection des données énoncées par le RGPD. AWS a déclaré qu'Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail et Amazon Elastic Block Storage (Amazon EBS) sont entièrement conformes au code de conduite CISPE. Les clients disposent ainsi de garanties supplémentaires quant à leur capacité à contrôler l'intégralité de leurs données dans l'environnement sûr, sécurisé et conforme que leur propose AWS. Pour plus de détails sur la conformité d'AWS au code de conduite CISPE, visitez le site Web : https://cispe.cloud/

AWS s'impose en permanence des standards élevés en matière de sécurité et de conformité, et ce, pour toutes les opérations menées partout dans le monde. La sécurité a toujours été notre priorité absolue, notre première mission. Sur la base de notre dispositif de sécurité à la pointe du secteur, nous avons pu obtenir une longue liste de certifications et d'accréditations mondialement reconnues, preuves de notre conformité par rapport à des normes internationales rigoureuses telles que l'ISO 27017 pour la sécurité du cloud, l'ISO 27018 pour la confidentialité du cloud, les SOC 1, SOC 2 et SOC 3, la norme PCI DSS de niveau 1, et bien d'autres. AWS aide également ses clients à respecter des normes de sécurité locales, par exemple la norme Common Cloud Computing Controls Catalogue (C5) du BSI, très importante en Allemagne.

AWS a annoncé sa conformité au code de conduite CISPE relatif à la protection des données. CISPE est une coalition de fournisseurs d'infrastructures de cloud (aussi appelées « Infrastructure as a Service ») qui proposent des services cloud à des clients en Europe. Le code de conduite CISPE aide les clients de services cloud à s'assurer que le fournisseur de leur infrastructure de cloud applique les normes de protection appropriées pour leurs données, conformément aux dispositions du RGPD. Voici quelques-uns des atouts de ce code de conduite :

  • Clarification des responsabilités de chacun pour chaque aspect de la protection des données : Le code de conduite explique les rôles du fournisseur et du client dans le cadre du RGPD, plus particulièrement dans le contexte des services d'infrastructure de cloud.
  • Le code de conduite expose les principes auxquels les fournisseurs doivent se soumettre : Le code de conduite présente les mesures et les engagements que les fournisseurs doivent prendre afin de respecter le règlement RGPD et d'aider leurs clients à faire de même.
  • Le code de conduite fournit aux clients les informations relatives à la protection et à la sécurité des données dont ils ont besoin pour prendre leurs décisions en matière de conformité : Le code de conduite exige que les fournisseurs fassent preuve de transparence quant aux actions prévues pour mettre en pratique leurs engagements de sécurité. Parmi ces actions, on compte les notifications en cas de violation de données, de suppression de données et de traitement délégué à un tiers, mais aussi en cas de demandes des administrations publiques ou des forces de l'ordre. Les clients peuvent s'appuyer sur ces informations pour mieux évaluer les niveaux de sécurité élevés qui leur sont offerts.

L'un des objectifs essentiels du RGPD est d'unifier la manière dont les données personnelles peuvent être traitées, utilisées et échangées de façon sécurisée dans les différents États membres de l'UE. Les organisations devront démontrer en permanence la sécurité des données traitées ainsi que leur conformité au RGPD, en mettant en œuvre et révisant régulièrement des mesures techniques et organisationnelles rigoureuses, ainsi que des politiques de conformité.

AWS propose d'ores et déjà des fonctionnalités et services spécifiques qui aident les clients à respecter les exigences du RGPD :
 

Contrôle d'accès : Restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

  • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
  • Contrôle d'accès très précis pour les objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
  • Authentification par requête d'API
  • Restrictions géographiques
  • Jetons d'accès temporaires via AWS Security Token Service

 

Surveillance et fichiers journaux : Obtenez une vue générale des activités concernant vos ressources AWS

  • Gestion et configuration des ressources avec AWS Config
  • Audits de conformité et analyses de sécurité avec AWS CloudTrail
  • Identification des difficultés de configuration avec AWS Trusted Advisor
  • Enregistrement très précis des accès aux objets Amazon S3
  • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
  • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
  • Filtrage et surveillance des accès HTTP aux applications avec les fonctions WAF d'AWS CloudFront

 

Chiffrement : Chiffrez des données sur AWS

  • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM

 

Normes de sécurité et cadre de conformité solides :

  • Certification ISO 27001/9001
  • Certification ISO 27017/27018
  • Cloud Computing Compliance Controls Catalog (C5 – programme d'attestation de conformité approuvé par le gouvernement allemand)
  • AWS, en association avec le cabinet d'audit TÜV TRUST IT, a publié un manuel de certification pour les clients qui donne des conseils sur la mise en conformité avec les normes allemandes BSI IT Grundschutz dans le cloud

Même s'il n'entrera en vigueur qu'en mai 2018, nous encourageons nos clients et partenaires à se préparer dès maintenant au règlement RGPD. Si vous avez déjà mis en œuvre des critères élevés de conformité, de sécurité et de confidentialité des données, la transition vers le règlement RGPD devrait se faire facilement. En revanche, si vous n'avez pas encore pris de mesures en vue de votre conformité au RGPD, nous vous conseillons vivement de commencer à passer en revue vos processus de sécurité, conformité et protection des données dès maintenant, afin de faciliter la transition en mai 2018. Voici quelques points clés dont vous devez tenir compte pour assurer la conformité au RGPD :

Territoires concernés : Pour vous assurer que votre organisation sera en mesure de satisfaire à ses obligations de conformité, il est essentiel de déterminer si le RGPD s'applique à vos activités. Le RGPD s'applique à toutes les organisations établies dans l'UE. Cependant, selon vos activités, il se peut aussi que le RGPD s'applique même si vous êtes établi en dehors de l'UE.

Droits des personnes concernées : Le RGPD renforce à plus d'un titre les droits des personnes concernées par les données. Par exemple, ces personnes ont le droit de s'opposer au traitement de leurs données. Elles disposent également d'un droit à la portabilité des données. Si vous traitez des données à caractère personnel, vous devrez être en mesure de permettre la mise en œuvre de ces droits.

Notifications en cas de violations de données : Si vous êtes responsable du traitement des données, vous devrez signaler les violations de données aux autorités compétentes dans les meilleurs délais. Avec AWS, vous contrôlez la manière dont vous traitez et protégez les données. Vous pouvez donc surveiller votre propre environnement afin de détecter toute violation de confidentialité et en informer l'autorité de contrôle et les individus concernés, conformément aux exigences du RGPD. Par ailleurs, AWS vous informe dans les meilleurs délais si nous constatons une faille dans nos normes de sécurité en lien avec le réseau AWS.

Délégué à la protection des données (DPD, en anglais DPO) : Vous devrez peut-être nommer un DPD, qui sera chargé de gérer la sécurité des données et tous les problèmes en lien avec le traitement des données à caractère personnel.

Analyse d'impact relative à la protection des données (AIPD, en anglais DPIA) : Vous devrez peut-être effectuer, et dans certaines circonstances transmettre à l'autorité de contrôle, une AIPD concernant vos activités de traitement. Celle-ci devra identifier vos procédures et processus de traitement des données, ainsi que les mesures de contrôle mises en place pour protéger les données personnelles.

Contrat de traitement des données (en anglais DPA) : Vous aurez peut-être besoin d'un DPA respectant les exigences du RGPD, en particulier si vous transférez des données personnelles en dehors de l'Espace économique européen (EEE). AWS propose à ses clients un DPA RGPD, disponible sur demande, afin de les aider à se préparer avant mai 2018.

AWS offre un large choix de services et de fonctionnalités spécifiques qui aideront les clients à répondre aux exigences du RGPD, dont des services portant sur le contrôle d'accès, la surveillance, la génération de fichiers journaux et le chiffrement. Vous trouverez davantage d'informations à ce sujet dans la section ci-dessus, « Quels sont les services proposés par AWS à ses clients pour aider ces derniers à se mettre en conformité avec le RGPD ? ».

Nous disposons également d'équipes composées d'experts en conformité, protection des données et sécurité, mais aussi de partenaires du réseau AWS, qui collaborent avec les clients partout en Europe afin de répondre à leurs questions et de les aider à se préparer à exécuter des charges de travail dans le cloud après l'entrée en vigueur du RGPD. Pour en savoir plus à ce sujet, contactez votre gestionnaire de compte AWS.

Avec IAM, vous pouvez créer et gérer des utilisateurs ainsi que des groupes AWS, et configurer des autorisations afin de leur permettre ou non d'accéder aux ressources AWS.


How to Become an IAM Policy Ninja in 60 Minutes or Less

AWS Summit Tel Aviv 2017 Becoming an AWS Policy Ninja using AWS IAM and AWS Organizations


Bonnes pratiques IAM à suivre

iam

Créez et contrôlez facilement les clés utilisées pour chiffrer vos données.

Souveraineté des données

Les clés sont uniquement stockées et utilisées dans la région dans laquelle elles ont été créées. Leur transfert vers une autre région est impossible. Ainsi, les clés créées dans la région UE centrale (Francfort) sont uniquement stockées et utilisées dans cette région.

Audit intégré

AWS Key Management Service fonctionne avec AWS CloudTrail, vous fournissant des journaux d'appels d'API reçus ou émis par KMS. Ces journaux vous aident à répondre à vos besoins en matière de réglementation et de conformité en fournissant des détails concernant la date et l'heure d'accès aux clés et les personnes qui y ont accédé.

Démarrage avec KMS

AWS_KMS_video_intro

Utiliser KMS de façon optimale

reinvent-img

Définissez les normes et les meilleures pratiques de vos applications et validez la conformité à ces normes.

inspector thumbnail

Pour vous aider à vous lancer, Amazon Inspector inclut une base de connaissance comprenant plusieurs centaines de règles associées à des bonnes pratiques de sécurité courantes et à des définitions de vulnérabilités. Les règles préintégrées prévoient, par exemple, la vérification de l'activation de la connexion distante à la racine ou la détection des versions de logiciels vulnérables installées. Ces règles sont régulièrement mises à jour par les experts en sécurité AWS.

En savoir plus sur Amazon Inspector »

Amazon Web Services proposera des sessions dédiées à la conformité au RGPD lors de re:Invent 2017.

Sessions consacrées au RGPD

reinvent-img