Confidentialité des données en Afrique du Sud

Présentation

La loi PoPIA (Protection of Personal Information Act) régule la collecte, l'utilisation et le traitement des informations personnelles collectées sur une personne physique, vivante et identifiable, et le cas échéant, une personne morale identifiable et existante en Afrique du Sud. Elle définit les conditions légales du traitement des informations personnelles. L'Information Regulator of South Africa contrôle et fait respecter la loi PoPIA, entre autres tâches.

Flux de données transfrontaliers
La section 72 de la PoPIA autorise le transfert d’informations personnelles en dehors de l’Afrique du Sud selon les conditions suivantes :

  • Le tiers destinataire des informations est soumis à une loi, des règles d’entreprise contraignantes ou un accord contraignant, fournissant un niveau adéquate de protection (comme décrit dans la PoPIA)
  • La personne concernée par les données consent le transfert;
  • Le transfert est nécessaire pour la réalisation d’un contrat entre la personne concernée par les données et la partie responsable, ou pour l’application de mesures précontractuelles prises en réponse de la demande de la personne concernée par les données; 
  • Le transfert est nécessaire pour la conclusion ou la réalisation d’un contrat conclu dans l’intérêt de la personne concernée par les données entre la partie responsable et un tiers; ou 
  • Le transfert est réalisé pour le bien de la personne concernée par les données, comme stipulé plus en détail dans la PoPIA.
 
AWS veille au respect de votre confidentialité et à la sécurité de vos données. Chez AWS, la sécurité commence par notre infrastructure de base. Taillée sur mesure pour le cloud et conçue pour répondre aux exigences de sécurité les plus strictes au monde, notre infrastructure est surveillée 24 h/24 et 7 j/7 afin de garantir la confidentialité, l'intégrité et la disponibilité des données de nos clients. Les mêmes experts en sécurité de classe mondiale qui surveillent cette infrastructure construisent et maintiennent également notre vaste sélection de services de sécurité novateurs, qui peuvent vous aider à respecter plus simplement vos propres exigences de sécurité et de réglementation. En tant que client d'AWS, quelle que soit votre taille ou votre localisation, vous bénéficiez de tous les avantages de notre expérience, testée dans les cadres d'assurance les plus stricts mis en place par des organismes indépendants.
 
AWS met en œuvre et gère des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure Cloud AWS dans le cadre d'assurances et de certifications de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1 et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.

Par exemple, la norme ISO 27018 est le premier code de pratique international axé sur la protection des données personnelles dans le cloud. Il repose sur la norme ISO 27002 de sécurité de l'information et fournit des conseils de mise en œuvre sur les contrôles ISO 27002 applicables aux données d'identification personnelle (PII) traitées par les fournisseurs de services cloud public. Cela prouve aux clients qu'AWS dispose d'un système de contrôles spécifiquement dédié au respect de la confidentialité de leur contenu.

Ces mesures techniques et organisationnelles complètes d'AWS sont conformes à l’objectif de la loi PoPIA qui visent à protéger les informations personnelles. Les clients AWS conservent le contrôle de leur contenu chargé sur les services AWS et sont responsables de la mise en œuvre de mesures de sécurité supplémentaires en fonction de leurs besoins spécifiques, y compris la classification du contenu, le chiffrement, la gestion des accès et informations d’identification.

AWS n’a pas de visibilité ou connaissance du contenu des chargements des clients sur les services AWS. Les clients AWS sont finalement responsables de leur propre conformité avec la loi PoPIA et les règlements concernés. Le contenu de cette page complète les ressources existantes en matière de confidentialité des données pour vous aider à mettre vos exigences en adéquation avec le modèle de responsabilité partagée d'AWS lorsque vous stockez et traitez des données à caractère personnel au moyen de services AWS.

  • Les « informations personnelles » correspondent aux informations relatives à une personne physique vivante et identifiable, et le cas échéant, une personne morale existante et identifiable, y compris mais pas limitées aux :

    • Informations relatives à la race, au genre, au sexe, à la grossesse, au statut marital, à l’origine nationale, ethnique ou sociale, à la couleur, à l’orientation sexuelle, à l’âge, à la santé physique ou mentale, au bien-être, au handicap, à la religion, à la conscience, à la croyance, à la culture, à la langue et la naissance de la personne
    • Informations relatives à l’éducation ou à l’historique médical, financier, criminel ou professionnel de la personne;
    • Tout numéro, symbole, adresse e-mail ou postale, numéro de téléphone, information de localisation identifiables, identifiant en ligne ou tout autre élément particulier sur la personne;
    • Informations biométriques sur la personne;
    • Opinions, visions ou préférences personnelles de la personne;
    • Messages envoyés par la personne d’une nature implicite ou explicite privée ou confidentielle, ou tout message révélant le contenu du message d’origine;
    • Visions et opinions d’un autre individu sur la personne
    • Nom de la personne s’il apparaît avec d’autres informations personnelles concernant la personne ou si la révélation du nom serait susceptible de révéler des informations sur la personne

  • Dans le cadre du modèle de responsabilité partagée d'AWS, les clients AWS gardent le contrôle du type de sécurité qu'ils choisissent de mettre en place afin de protéger leurs propres contenus, plates-formes, applications, systèmes et réseaux, de la même manière que s'ils plaçaient leurs applications dans un centre de données sur site. Les clients peuvent s'appuyer sur les mesures et contrôles de sécurité techniques et organisationnels offerts par AWS pour gérer leurs propres exigences de conformité. Les clients peuvent utiliser des méthodes courantes pour protéger leurs données, telles que le chiffrement et l'authentification multi-facteurs (MFA), outre les fonctions de sécurité d'AWS telles qu'AWS Identity and Access Management.

    Lors de l’évaluation de la sécurité d'une solution cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

    • Mesures de sécurité qu'AWS met en œuvre et exploite dans le cadre de la « sécurité du cloud » et
    • Mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité du contenu et des applications de leurs clients qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».

  • Le contenu reste la propriété des clients et sous le contrôle de ceux-ci, lesquels choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. AWS n'a aucune visibilité sur le contenu des clients et n'accède ni n'utilise celui-ci, sauf pour fournir les services AWS sélectionnés par un client ou lorsque cela est nécessaire pour se conformer à la loi ou à un obligation légale contraignante.

    Les clients qui utilisent les services AWS gardent le contrôle de leur contenu dans l'environnement AWS. Ils peuvent :

    • déterminer le lieu où il sera localisé, par exemple le type d'environnement de stockage et l'emplacement géographique de ce stockage ;
    • contrôler le format de leur contenu, par exemple en texte brut, masqué, anonyme ou chiffré, en utilisant le mécanisme de chiffrement fourni par AWS ou un mécanisme du choix du client ;
    • gérer les autres contrôles d'accès, tels que la gestion d'identité et d'accès, et les informations d'identification de sécurité ;
    • déterminer s'il faut utiliser SSL, Virtual Private Cloud et d'autres mesures de sécurité réseau pour empêcher tout accès non autorisé.

    Les clients AWS contrôlent ainsi l'intégralité du cycle de vie de leur contenu sur AWS, et gèrent ce contenu selon leurs propres besoins spécifiques, notamment en ce qui concerne la classification de contenu, le contrôle d'accès, la conservation et la suppression.

  • Les centres de données AWS sont conçus sous forme de clusters dans divers endroits du monde. Nous appelons « région » chacun de nos clusters de centres de données dans un emplacement donné.

    Les clients AWS choisissent la ou les régions AWS où leur contenu sera stocké. Cela permet aux clients qui ont des exigences spécifiques en termes de géographie d'établir leurs environnements dans l'emplacement ou les emplacements de leur choix.

    Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, mais AWS ne transfère pas leur contenu en dehors de la ou des régions de leur choix, sauf pour fournir les services demandés par les clients ou pour respecter la loi en vigueur.

  • La stratégie de sécurité du centre de données AWS est composée de contrôles de sécurité évolutifs et de multiples couches de défense qui aident à protéger vos informations. Par exemple, AWS gère avec attention les risques potentiels d'inondation et d'activité sismique. Nous utilisons des barrières physiques, des gardes de sécurité, une technologie de détection des menaces et un processus de filtrage approfondi pour limiter l'accès aux centres de données. Nous sauvegardons nos systèmes, testons régulièrement l'équipement et les processus, et formons continuellement les employés d'AWS pour qu'ils soient prêts à faire face aux imprévus.

    Pour valider la sécurité de nos centres de données, des auditeurs externes effectuent des tests sur plus de 2 600 normes et exigences tout au long de l'année. Cet examen indépendant permet de s'assurer que les normes de sécurité sont constamment respectées ou dépassées. Grâce à toutes ces mesures, les entreprises les plus réglementées du monde entier font confiance à AWS chaque jour pour la protection de leurs données.

    En savoir plus sur la façon dont nous sécurisons les centres de données AWS en effectuant une visite virtuelle

  • Les clients peuvent choisir d'utiliser une seule région, toutes les régions ou une combinaison de plusieurs régions. Visitez la page relative à l’infrastructure mondiale AWS pour consulter la liste complète des régions AWS.

  • L'infrastructure du cloud AWS a été conçue comme l'un des environnements de cloud computing les plus flexibles et sécurisés disponibles à ce jour. L'échelle d'Amazon nous permet d'investir bien plus dans les politiques et les contre-mesures de sécurité que la plupart des grandes entreprises évoluant seules ne pourraient se le permettre. Cette infrastructure est composée de matériel, de logiciels, de mises en réseau et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients et aux partenaires APN, notamment des contrôles de configuration de la sécurité pour la gestion des données à caractère personnel. Vous trouverez davantage de détails sur les mesures qu'AWS a mises en place pour maintenir de hauts niveaux de sécurité constants dans le livre blanc d'AWS consacré à la présentation des processus de sécurité.

    AWS fournit également plusieurs rapports de conformité préparés par des auditeurs tiers qui ont testé et vérifié notre conformité par rapport à de nombreuses normes et règlementations de sécurité (notamment ISO 27001, ISO 27017 et ISO 27018). Pour un maximum de transparence sur l'efficacité de ces mesures, nous vous donnons accès à des rapports d'audit tiers dans AWS Artefact. Ces rapports montrent à nos clients et aux partenaires APN, qui peuvent agir comme des responsables du traitement ou comme sous-traitants, que nous protégeons l'infrastructure sous-jacente sur laquelle ils stockent et traitent les données à caractère personnel. Pour plus d'informations, consultez nos ressources sur la conformité.

Ressources de confidentialité des données en Afrique du Sud

Utilisation d'AWS dans le contexte des considérations de confidentialité sud-africaines
Demandes d'informations adressées à Amazon
Amazon Web Services : présentation des processus de sécurité
FAQ sur la certification ISO 27018 d'AWS
AWS Security Assurance Services
Des questions ? Contactez un représentant commercial d'AWS
Vous vous intéressez aux rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »