Centre du règlement général sur la protection des données (RGPD)


Présentation

Le Règlement européen général sur la protection des données (RGPD) protège les droits fondamentaux des personnes concernées au sein de l'Union européenne en matière de respect de la confidentialité et de protection des données personnelles. Il intègre des exigences très strictes qui amélioreront et uniformiseront les normes de protection, de sécurité et de conformité des données.

Les services AWS seront conformes au RGPD quand il entrera en vigueur le 25 mai 2018..

Outre notre propre conformité, AWS s'engage à offrir des services et des ressources à nos clients pour leur permettre de respecter les exigences RGPD susceptibles de s'appliquer à leurs activités. De nouvelles fonctionnalités sont lancées régulièrement et AWS propose plus de 500 fonctionnalités et services axés sur la sécurité et la conformité.

Préparation au RGPD dans votre environnement AWS

AWS propose des fonctionnalités et des services spécifiques qui permettent aux clients de satisfaire aux exigences du RGPD :

Chiffrer des données sur AWS :

  • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM

Obtenez une présentation des activités concernant vos ressources AWS :

  • Gestion et configuration des ressources avec AWS Config
  • Audit et analyse de la sécurité avec AWS CloudTrail
  • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
  • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
  • Filtrage et surveillance de l'accès HTTP aux applications avec les fonctions AWS WAF dans AWS CloudFront

Donner accès uniquement aux administrateurs, utilisateurs et applications autorisés :

  • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
  • Accès granulaire fin aux objets dans Amazon S3, Amazon SQS et Amazon SNS
  • Authentification par requête d'API
  • Restrictions géographiques
  • Jetons d'accès temporaires via AWS Security Token Service

Les clients contrôlent leur contenu. Avec AWS, les clients :

  • Déterminent l'emplacement de stockage de leur contenu (type et région géographique du stockage).
  • Choisissent l'état de sécurisation de leur contenu. Nous proposons à nos clients le chiffrement avancé de leur contenu en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.
  • Gèrent l'accès à leur contenu et aux services et ressources AWS via des utilisateurs, groupes, autorisations et informations d'identification qu'ils contrôlent eux-mêmes.

L'approche de la sécurité dans la conception vise à atteindre les objectifs suivants :

  • Création de fonctions de forçage qui ne peuvent être modifiées que par les utilisateurs autorisés.
  • Mise en place d'un fonctionnement fiable des contrôles.
  • Activation d'audits continus et en temps réel.
  • établissement de scripts techniques pour votre politique de gouvernance.

La conformité d'AWS avec la norme ISO 27018 a été validée par une instance d'évaluation indépendante. La norme ISO 27018 constitue la première norme internationale spécifique à la protection des données personnelles dans le cloud. Elle offre des conseils de mise en œuvre des contrôles de la norme ISO 27002 sur la sécurité des informations, sur laquelle elle est basée, qui peuvent être appliqués aux données personnelles soumises au traitement de fournisseurs publics de services de cloud. Elle démontre aux clients qu'AWS dispose d'un système de contrôle prouvant l'engagement d'AWS envers la confidentialité et la protection de leurs contenus

Exploiter les services AWS

Amazon Macie

Ce service protège de façon proactive les informations personnellement identifiables et vous informe quand elles sont déplacées.

EN SAVOIR PLUS SUR AMAZON MACIE »

AWS Identity and Access Management (IAM)

Avec IAM, vous pouvez créer et gérer des utilisateurs ainsi que des groupes AWS, et configurer des autorisations afin de leur permettre ou non d'accéder aux ressources AWS.

EN SAVOIR PLUS SUR AWS IAM »

Amazon Inspector

Définissez les normes et les meilleures pratiques de vos applications et validez la conformité à ces normes.

EN SAVOIR PLUS SUR AMAZON INSPECTOR »

AWS Key Management Service (KMS)

Créez et contrôlez facilement les clés utilisées pour chiffrer vos données.

EN SAVOIR PLUS SUR AWS KMS »

FAQ DU RGPD

  • Qu'est-ce que le RGPD ?

    Le Règlement général sur la protection des données (RGPD) est une nouvelle réglementation européenne relative à la protection de la vie privée, dont l'entrée en vigueur est prévue le 25 mai 2018. Le RGPD remplacera la Directive de l'UE sur la protection des données personnelles, aussi appelée Directive 95/46/CE, et a vocation à harmoniser les législations relatives à la protection des données dans l'ensemble de l'Union européenne (UE) en proposant une unique loi relative à la protection des données personnelles, obligatoire et directement applicable dans tout État membre.

  • À qui s'applique le RGPD ?

    Le RGPD s'applique à toutes les organisations établies dans l'UE et aux organisations, établies ou non dans l'UE, qui traitent les données personnelles des personnes concernées dans le cadre de l'offre de biens ou de services aux personnes concernées dans l'UE ou du suivi du comportement qui a lieu au sein de l'UE. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable.

  • Que deviendront les actuelles lois relatives à la protection des données personnelles dans l'UE après l'entrée en vigueur du RGPD ?

    Le RGPD remplacera l'actuelle Directive sur la protection des données personnelles (Directive européenne 95/46/CE). A compter du 25 mai 2018, l'actuelle Directive sur la protection des données personnelles et toutes les lois s'y référant cesseront de s'appliquer.

  • Quelles sont les mesures prises par AWS pour préparer l'entrée en vigueur du RGPD ?

    Les experts en conformité, protection des données et sécurité d'AWS collaborent avec des clients du monde entier afin de répondre à leurs questions et de les aider à se préparer à exécuter leurs charges de travail dans le cloud AWS après l'entrée en vigueur du RGPD. Ces équipes ont également passé en revue toutes les actions déjà mises en œuvre par AWS, afin de s'assurer qu'elles respectent les exigences du nouveau règlement RGPD. Nous pouvons vous assurer que tous les services AWS seront conformes au règlement RGPD lorsque celui-ci entrera en vigueur, en mai 2018.

    Par ailleurs, nous avons établi un nouveau contrat de traitement des données (« Data Processing Agreement », ou DPA) répondant aux exigences du RGPD. Ce DPA RGPD est à présent disponible pour tous les clients AWS afin de les aider à se préparer avant mai 2018. Pour en savoir plus sur le DPA RGPD ou pour en obtenir une copie, contactez votre gestionnaire de compte AWS.

    Récemment, AWS a également annoncé sa conformité au code de conduite CISPE. Le code de conduite CISPE aide les clients de services cloud à évaluer la manière dont le fournisseur de leur infrastructure de cloud respecte les obligations de protection des données énoncées par le RGPD. AWS a déclaré qu'Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail et Amazon Elastic Block Storage (Amazon EBS) sont entièrement conformes au code de conduite CISPE. Les clients disposent ainsi de garanties supplémentaires quant à leur capacité à contrôler l'intégralité de leurs données dans l'environnement sûr, sécurisé et conforme que leur propose AWS. Pour plus de détails sur la conformité d'AWS au code de conduite CISPE, visitez le site Web : https://cispe.cloud/

    AWS s'impose en permanence des standards élevés en matière de sécurité et de conformité, et ce, pour toutes les opérations menées partout dans le monde. La sécurité a toujours été notre priorité absolue, notre première mission. Sur la base de notre dispositif de sécurité à la pointe du secteur, nous avons pu obtenir une longue liste de certifications et d'accréditations mondialement reconnues, preuves de notre conformité par rapport à des normes internationales rigoureuses telles que l'ISO 27017 pour la sécurité du cloud, l'ISO 27018 pour la confidentialité du cloud, les SOC 1, SOC 2 et SOC 3, la norme PCI DSS de niveau 1, et bien d'autres. AWS aide également ses clients à respecter des normes de sécurité locales, par exemple la norme Common Cloud Computing Controls Catalogue (C5) du BSI, très importante en Allemagne.

  • AWS respecte-t-il un code de conduite, comme mentionné dans les exigences du RGPD ?

    AWS a annoncé sa conformité au code de conduite CISPE relatif à la protection des données. CISPE est une coalition de fournisseurs d'infrastructures de cloud (aussi appelées « Infrastructure as a Service ») qui proposent des services cloud à des clients en Europe. Le code de conduite CISPE aide les clients de services cloud à s'assurer que le fournisseur de leur infrastructure de cloud applique les normes de protection appropriées pour leurs données, conformément aux dispositions du RGPD. Voici quelques-uns des atouts de ce code de conduite :

    • Clarification des responsabilités de chacun pour chaque aspect de la protection des données : Le code de conduite explique les rôles du fournisseur et du client dans le cadre du RGPD, plus particulièrement dans le contexte des services d'infrastructure de cloud.
    • Le code de conduite expose les principes auxquels les fournisseurs doivent se soumettre : Le code de conduite présente les mesures et les engagements que les fournisseurs doivent prendre afin de respecter le règlement RGPD et d'aider leurs clients à faire de même.
    • Le code de conduite fournit aux clients les informations relatives à la protection et à la sécurité des données dont ils ont besoin pour prendre leurs décisions en matière de conformité : Le code de conduite exige que les fournisseurs fassent preuve de transparence quant aux actions prévues pour mettre en pratique leurs engagements de sécurité. Parmi ces actions, on compte les notifications en cas de violation de données, de suppression de données et de traitement délégué à un tiers, mais aussi en cas de demandes des administrations publiques ou des forces de l'ordre. Les clients peuvent s'appuyer sur ces informations pour mieux évaluer les niveaux de sécurité élevés qui leur sont offerts.

    Pour découvrir de quelle manière AWS traite les demandes des forces de l'ordre, consultez le livre blanc « S'occuper de la localisation des données avec AWS »

  • Quels changements le RGPD instaurera-t-il pour les organisations menant des activités dans l'UE ?

    L'un des objectifs essentiels du RGPD est d'unifier la manière dont les données personnelles peuvent être traitées, utilisées et échangées de façon sécurisée dans les différents États membres de l'UE. Les organisations devront démontrer en permanence la sécurité des données traitées ainsi que leur conformité au RGPD, en mettant en œuvre et révisant régulièrement des mesures techniques et organisationnelles rigoureuses, ainsi que des politiques de conformité.

  • Quels sont les services proposés par AWS à ses clients pour aider ces derniers à se mettre en conformité avec le RGPD ?

    AWS propose d'ores et déjà des fonctionnalités et services spécifiques qui aident les clients à respecter les exigences du RGPD :


    Contrôle d'accès : Restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

    • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
    • Contrôle d'accès très précis pour les objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
    • Authentification par requête d'API
    • Restrictions géographiques
    • Jetons d'accès temporaires via AWS Security Token Service


    Surveillance et fichiers journaux : Obtenez une présentation des activités concernant vos ressources AWS

    • Gestion et configuration des ressources avec AWS Config
    • Audits de conformité et analyses de sécurité avec AWS CloudTrail
    • Identification des difficultés de configuration avec AWS Trusted Advisor
    • Enregistrement très précis des accès aux objets Amazon S3
    • Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
    • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
    • Filtrage et surveillance des accès HTTP aux applications avec les fonctions WAF d'AWS CloudFront
     

    Chiffrement : Chiffrez des données sur AWS
     
    • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
    • Gestion centralisée des clés via Key Management Service (par région AWS)
    • Tunnels IPsec vers AWS avec les passerelles VPN
    • Modules HSM dédiés dans le cloud avec AWS CloudHSM


    Normes de sécurité et cadre de conformité solides :

    • Certification ISO 27001/9001
    • Certification ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – programme d'attestation de conformité approuvé par le gouvernement allemand)
    • AWS, en association avec le cabinet d'audit TÜV TRUST IT, a publié un manuel de certification pour les clients qui donne des conseils sur la mise en conformité avec les normes allemandes BSI IT Grundschutz dans le cloud
  • Que peuvent faire les clients pour se préparer à l'entrée en vigueur du RGPD ?

    Même s'il n'entrera en vigueur qu'en mai 2018, nous encourageons nos clients et partenaires à se préparer dès maintenant au règlement RGPD. Si vous avez déjà mis en œuvre des critères élevés de conformité, de sécurité et de confidentialité des données, la transition vers le règlement RGPD devrait se faire facilement. En revanche, si vous n'avez pas encore pris de mesures en vue de votre conformité au RGPD, nous vous conseillons vivement de commencer à passer en revue vos processus de sécurité, conformité et protection des données dès maintenant, afin de faciliter la transition en mai 2018. Voici quelques points clés dont vous devez tenir compte pour assurer la conformité au RGPD :

    • Territoires concernés : Pour vous assurer que votre organisation sera en mesure de satisfaire à ses obligations de conformité, il est essentiel de déterminer si le RGPD s'applique à vos activités. Le RGPD s'applique à toutes les organisations établies dans l'UE. Cependant, selon vos activités, il se peut aussi que le RGPD s'applique même si vous êtes établi en dehors de l'UE.
    • Droits des personnes concernées : Le RGPD renforce à plus d'un titre les droits des personnes concernées par les données. Par exemple, ces personnes ont le droit de s'opposer au traitement de leurs données. Elles disposent également d'un droit à la portabilité des données. Si vous traitez des données à caractère personnel, vous devrez être en mesure de permettre la mise en œuvre de ces droits.
    • Notifications en cas de violations de données : Si vous êtes responsable du traitement des données, vous devrez signaler les violations de données aux autorités compétentes dans les meilleurs délais. Avec AWS, vous contrôlez la manière dont vous traitez et protégez les données. Vous pouvez donc surveiller votre propre environnement afin de détecter toute violation de confidentialité et en informer l'autorité de contrôle et les individus concernés, conformément aux exigences du RGPD. Par ailleurs, AWS vous informe dans les meilleurs délais si nous constatons une faille dans nos normes de sécurité en lien avec le réseau AWS.
    • Délégué à la protection des données (DPD, en anglais DPO) : Vous devrez peut-être nommer un DPD, qui sera chargé de gérer la sécurité des données et tous les problèmes en lien avec le traitement des données à caractère personnel.
    • Analyse d'impact relative à la protection des données (AIPD, en anglais DPIA) : Vous devrez peut-être effectuer, et dans certaines circonstances transmettre à l'autorité de contrôle, une AIPD concernant vos activités de traitement. Celle-ci devra identifier vos procédures et processus de traitement des données, ainsi que les mesures de contrôle mises en place pour protéger les données personnelles.
    • Contrat de traitement des données (en anglais DPA) : Vous aurez peut-être besoin d'un DPA respectant les exigences du RGPD, en particulier si vous transférez des données personnelles en dehors de l'Espace économique européen (EEE). AWS propose à ses clients un DPA RGPD, disponible sur demande, afin de les aider à se préparer avant mai 2018.

    AWS offre un large choix de services et de fonctionnalités spécifiques qui aideront les clients à répondre aux exigences du RGPD, dont des services portant sur le contrôle d'accès, la surveillance, la génération de fichiers journaux et le chiffrement. Vous trouverez davantage d'informations à ce sujet dans la section ci-dessus, « Quels sont les services proposés par AWS à ses clients pour aider ces derniers à se mettre en conformité avec le RGPD ? ».

    Nous disposons également d'équipes composées d'experts en conformité, protection des données et sécurité, mais aussi de partenaires du réseau AWS, qui collaborent avec les clients partout en Europe afin de répondre à leurs questions et de les aider à se préparer à exécuter des charges de travail dans le cloud après l'entrée en vigueur du RGPD. Pour en savoir plus à ce sujet, contactez votre gestionnaire de compte AWS.

  • AWS propose-t-il un « Data Processing Addendum » (DPA) ?

    Oui. Pour plus d'informations sur la façon dont les clients peuvent adhérer au « Data Processing Addendum » d'AWS, consultez ce site (connexion requise).

  • Le « Data Processing Addendum » d'AWS contient-il les clauses types ?

    Le groupe de travail de l'Article 29 a approuvé le « Data Processing Addendum » d'AWS, qui comprend les clauses types. Le groupe de travail de l'Article 29 a estimé que le « Data Processing Addendum » d'AWS respectait les exigences de la directive en ce qui concerne les clauses types. Cela signifie que le « Data Processing Addendum » d'AWS n'est pas considéré comme « ad hoc ». Pour en savoir plus sur l'approbation du « Data Processing Addendum » d'AWS par le groupe de travail de l'Article 29, rendez-vous sur : https://cnpd.public.lu/fr/actualites/international/2015/03/AWS.html

    L'autorité de protection des données du Luxembourg (la CNPD, Commission nationale pour la protection des données) a agi à titre d'autorité principale au nom du « Groupe de travail Article 29 » conformément à la procédure de ce dernier.

    Pour plus d'informations sur la façon dont les clients peuvent adhérer au « Data Processing Addendum » d'AWS, consultez ce site (connexion requise).

  • Que sont les « clauses types » ?

    Les clauses contractuelles types (également appelées « clauses types ») sont un ensemble de dispositions types définies et approuvées par la Commission européenne qui peuvent être utilisées pour autoriser le transfert conforme de données personnelles par un responsable du traitement des données vers un sous-traitant en dehors de l'Espace économique européen.

compliance-contactus-icon
Vous avez des questions ? Contactez un représentant de la conformité AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »