Confidentialité des données en Nouvelle-Zélande

Présentation

Les clients néo-zélandais peuvent exécuter leurs applications et leurs charges de travail dans la région Asie-Pacifique (Sydney) afin de réduire la latence pour leurs utilisateurs finaux basés en Australie et en Nouvelle-Zélande, évitant par la même occasion les frais à avancer, les engagements à long terme et les problèmes de dimensionnement associés à la maintenance et à l'exploitation de leur propre infrastructure.

Les principales exigences de traitement des informations personnelles sont établies dans les principes relatifs au caractère privé des informations (Information Privacy Principles ou « IPP ») qui font partie de la loi sur la protection des données. Les IPP imposent des exigences quant à la collecte, la gestion, l'utilisation, la divulgation et toute autre manipulation des informations personnelles recueillies auprès de particuliers en Nouvelle-Zélande.

La loi sur la protection des données fait la distinction entre les mandataires et les agents. Lorsqu'une entité (l'agent) détient des informations personnelles dans le seul but de les stocker ou traiter au nom d'une autre entité (le mandataire) et qu'elle n'utilise ni ne divulgue ces informations pour ses propres besoins, les informations sont considérées comme étant détenues par le mandataire. Dans ces circonstances, la responsabilité première de la conformité aux IPP incombe au mandataire. Pour consulter le tableau complet des exigences des IPP, cliquez ici.

  • Dans le cadre dumodèle de responsabilité partagée d'AWS, les clients AWS gardent le contrôle du type de sécurité qu'ils choisissent de mettre en place afin de protéger leurs propres contenus, plates-formes, applications, systèmes et réseaux, de la même manière que s'ils plaçaient leurs applications dans un centre de données sur site. Les clients peuvent s'appuyer sur les mesures et contrôles de sécurité techniques et organisationnels offerts par AWS pour gérer leurs propres exigences de conformité. Les clients peuvent utiliser des méthodes courantes pour protéger leurs données, telles que le chiffrement et l'authentification multi-facteurs (MFA), outre les fonctions de sécurité d'AWS telles qu'AWS Identity and Access Management.

    Lorsqu'il évalue la sécurité d'une solution de cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

    • les mesures de sécurité qu'AWS met en œuvre et exploite - « sécurité du cloud », et
    • les mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité de leur contenu et de leurs applications qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».

  • Le contenu reste la propriété des clients et sous le contrôle de ceux-ci, lesquels choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. AWS n'a aucune visibilité sur le contenu des clients et n'accède ni n'utilise celui-ci, sauf pour fournir les services AWS sélectionnés par un client ou lorsque cela est nécessaire pour se conformer à la loi ou à un obligation légale contraignante.

    Les clients qui utilisent les services AWS gardent le contrôle de leur contenu dans l'environnement AWS. Ils peuvent :

    • déterminer le lieu où il sera localisé, par exemple le type d'environnement de stockage et l'emplacement géographique de ce stockage ;
    • contrôler le format de leur contenu, par exemple en texte brut, masqué, anonyme ou chiffré, en utilisant le mécanisme de chiffrement fourni par AWS ou un mécanisme du choix du client ;
    • gérer les autres contrôles d'accès, tels que la gestion d'identité et d'accès, et les informations d'identification de sécurité ;
    • déterminer s'il faut utiliser SSL, Virtual Private Cloud et d'autres mesures de sécurité réseau pour empêcher tout accès non autorisé.

    Les clients AWS contrôlent ainsi l'intégralité du cycle de vie de leur contenu sur AWS, et gèrent ce contenu selon leurs propres besoins spécifiques, notamment en ce qui concerne la classification de contenu, le contrôle d'accès, la conservation et la suppression.

  • Les centres de données AWS sont conçus sous forme de clusters dans divers endroits du monde. Nous appelons « région » chacun de nos clusters de centres de données dans un emplacement donné.

    Les clients AWS choisissent la ou les régions AWS où leur contenu sera stocké. Cela permet aux clients qui ont des exigences spécifiques en termes de géographie d'établir leurs environnements dans l'emplacement ou les emplacements de leur choix.

    Par exemple, bien qu'AWS ne possède pas de région en Nouvelle-Zélande, les clients AWS situés en Nouvelle-Zélande peuvent choisir de déployer leurs services AWS exclusivement dans la région Asie-Pacifique (Sydney) et stocker leur contenu à l'étranger, en Australie. Si le client fait ce choix, son contenu sera localisé en Australie, à moins qu'il choisisse de déplacer ce contenu.

    Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, mais AWS ne transfère pas leur contenu en dehors de la ou des régions de leur choix, sauf pour fournir les services demandés par les clients ou pour respecter la loi en vigueur.

  • La stratégie de sécurité du centre de données AWS est composée de contrôles de sécurité évolutifs et de multiples couches de défense qui aident à protéger vos informations. Par exemple, AWS gère avec attention les risques potentiels d'inondation et d'activité sismique. Nous utilisons des barrières physiques, des gardes de sécurité, une technologie de détection des menaces et un processus de filtrage approfondi pour limiter l'accès aux centres de données. Nous sauvegardons nos systèmes, testons régulièrement l'équipement et les processus, et formons continuellement les employés d'AWS pour qu'ils soient prêts à faire face aux imprévus.

    Pour valider la sécurité de nos centres de données, des auditeurs externes effectuent des tests sur plus de 2 600 normes et exigences tout au long de l'année. Cet examen indépendant permet de s'assurer que les normes de sécurité sont constamment respectées ou dépassées. Grâce à toutes ces mesures, les entreprises les plus réglementées du monde entier font confiance à AWS chaque jour pour la protection de leurs données.

    En savoir plus sur la façon dont nous sécurisons les centres de données AWS en effectuant une visite virtuelle »

  • Les clients peuvent choisir d'utiliser une seule région, toutes les régions ou une combinaison de plusieurs régions. Visitez la page relative à l'infrastructure mondiale AWS pour consulter la liste complète des régions AWS.

  • L'infrastructure du cloud AWS a été conçue comme l'un des environnements de cloud computing les plus flexibles et sécurisés disponibles à ce jour. L'échelle d'Amazon nous permet d'investir bien plus dans les politiques et les contre-mesures de sécurité que la plupart des grandes entreprises évoluant seules ne pourraient se le permettre. Cette infrastructure est composée de matériel, de logiciels, de mises en réseau et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients et aux partenaires APN, notamment des contrôles de configuration de la sécurité pour la gestion des données personnelles. Vous trouverez davantage de détails sur les mesures qu'AWS a mises en place pour maintenir de hauts niveaux de sécurité constants dans le livre blanc d'AWS consacré à la présentation des processus de sécurité.

    AWS fournit également plusieurs rapports de conformité de la part d'auditeurs tiers qui ont testé et vérifié notre conformité par rapport à de nombreuses normes et règlementations de sécurité (notamment ISO 27001, ISO 27017 et ISO 27018). Pour un maximum de transparence sur l'efficacité de ces mesures, nous vous donnons accès à des rapports d'audit tiers dans AWS Artefact. Ces rapports montrent à nos clients et aux partenaires APN, qui peuvent agir comme des responsables du traitement ou comme sous-traitants, que nous protégeons l'infrastructure sous-jacente sur laquelle ils stockent et traitent les données personnelles. Pour plus d'informations, consultez nos ressources sur la conformité.

  • AWS propose deux types d'addenda au Notifiable Data Breaches (NZNDB) néo-zélandais aux clients qui sont soumis à la loi néo-zélandaise sur la protection de la vie privée et qui utilisent AWS pour stocker et traiter des informations personnelles couvertes par le programme NDB. Les addenda NZNDB répondent au besoin de notification des clients si un événement de sécurité affecte leurs données. AWS a mis les deux types d'addenda NZNDB en ligne sous forme d'accords de clic dans AWS Artifact (le portail d'audit et de conformité destiné aux clients et accessible depuis la console de gestion AWS). Le premier type, l'addendum NZNDB de compte, s'applique uniquement au compte individuel spécifique qui accepte l'addendum NZNDB de compte. L'addendum NZNDB de compte doit être accepté séparément pour chaque compte AWS dont le client souhaite couvrir. Le second type, l'addendum NZNDB des organisations, une fois accepté par un compte principal AWS Organizations, s'applique au compte principal et à tous les comptes des membres de cette organisation AWS. Si un client n'a pas besoin ou ne souhaite pas profiter de l'addendum NZNDB des organisations, il peut toujours accepter l'addendum NZNDB pour les comptes individuels. Les questions fréquentes relatives à l’addendum NZNDB sont disponibles en ligne sur FAQ AWS Artifact.

Ressources sur la confidentialité des données en Nouvelle-Zélande

Bureau du commissaire à la protection de la vie privée de Nouvelle-Zélande
Utilisation d'AWS dans le contexte des considérations de confidentialité de Nouvelle-Zélande
Livre blanc Risque et conformité AWS
Rapport AWS SOC 3
Meilleures pratiques AWS pour la résilience aux attaques par déni de service (DDoS)
FAQ sur la certification ISO 27001 d'AWS
Des questions ? Contactez un représentant commercial d'AWS
Vous vous intéressez aux rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »