Confidentialité des données au Canada

Présentation

Les clients AWS peuvent concevoir et mettre en œuvre un environnement AWS et utiliser les services AWS de manière à satisfaire à leurs obligations en vertu des lois canadiennes fédérales, provinciales et territoriales sur la confidentialité.

Les clients gardent en permanence le contrôle sur la gestion et l’accès à leur contenu stocké sur AWS. Étant donné qu'AWS n'a pas la possibilité de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la loi canadiennes sur la protection de la vie privée, il incombe aux clients de s'assurer qu'ils respectent les lois applicables.

AWS Data Processing Addendum (AWS DPA), également appelé accord de transfert de données, s'applique à l'échelle mondiale et comprend des engagements contractuels spécifiques visant à définir de manière adéquate les rôles et les obligations de chaque partie en ce qui concerne la confidentialité et la sécurité des données à caractère personnel.

Au Canada, plusieurs lois concernent la protection des renseignements personnels. L'application de ces lois est assurée par diverses organisations et agences gouvernementales aux niveaux fédéral, provincial et territorial.

Au niveau fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) peut s'appliquer à la collecte, à l'utilisation et à la divulgation de renseignements personnels dans le secteur privé, et la Loi sur la protection des renseignements personnels peut s'appliquer dans le secteur public. Le Commissariat à la protection de la vie privée du Canada (CPVP) supervise l'application des deux lois.

Les provinces et territoires canadiens ont également adopté leurs propres lois sur la confidentialité pour les secteurs public et privé, ainsi que des lois sur la confidentialité spécifiques à certains types de données personnelles, telles que les informations personnelles sur la santé. Le site Web du Commissariat donne un aperçu de ces lois et autorités provinciales et territoriales.

Pour les clients qui souhaitent traiter leurs données au Canada, la région Canada (Centre) AWS près de Montréal et la région Canada (Ouest) près de Calgary sont disponibles. Pour obtenir la liste complète des régions et services AWS, consultez la page relative à l'infrastructure mondiale.

FAQ

• Comment les clients peuvent-ils déterminer quelle(s) loi(s) canadienne(s) sur la protection de la vie privée s'applique(nt) à leur cas d'utilisation ?

  Le fait de savoir si et dans quelle mesure un client AWS est soumis à la LPRPDE, laloi sur la protection des renseignements personnels ou toute autre exigence canadienne relative à la confidentialité des données, peut varier en fonction de l'activité du client et de son cas d’utilisation. Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques.

• Comment les clients peuvent-ils se conformer aux lois canadiennes sur la confidentialité sur AWS ?

  Les clients assujettis à la loi canadienne sur la protection de la vie privée peuvent être tenus de se conformer aux exigences encadrant la collecte, l'accès, l'utilisation, la divulgation et la protection des renseignements personnels. AWS donne aux clients le contrôle sur la manière dont leur contenu est stocké ou traité lorsqu'ils utilisent les services AWS, et notamment la manière dont ce contenu est sécurisé, ainsi que les personnes qui peuvent y accéder. AWS fournit des services que les clients peuvent configurer et utiliser de façon à garantir facilement la sécurité des renseignements personnels stockés sur AWS. Toutefois, il incombe au client d'élaborer une solution qui respecte les exigences applicables en matière de confidentialité des données.

  AWS fournit des manuels, livres blancs et guides de bonnes pratiques disponibles sur la page Ressources de conformité AWS, et les clients bénéficient d'un accès à la demande aux rapports d'audit tiers d’AWS dans AWS Artifact.

• Y a-t-il des lois canadiennes sur la confidentialité qui interdisent à un client AWS de transférer ou de stocker des données personnelles en dehors du Canada ?

  Les clients doivent consulter leurs propres conseillers juridiques pour déterminer quelles lois canadiennes sur la protection de la vie privée ou quelles autres obligations peuvent s'appliquer à leur organisation et à leur cas d'utilisation.

• Certaines lois canadiennes sur la protection de la vie privée exigent-elles que les renseignements personnels soient cryptés ?

  Les entités soumises aux lois canadiennes sur la protection de la vie privée sont tenues de prendre des mesures pour protéger les informations personnelles, et il incombe à chaque client de déterminer si le cryptage est nécessaire pour satisfaire à ses obligations en matière de sécurité et de conformité.

  Conformément aux bonnes pratiques, AWS recommande aux clients de crypter leurs données au repos et en transit. Pour obtenir des instructions supplémentaires, reportez-vous aux sections Chiffrement des données au repos et des données en transit.

• Quel rôle joue le client dans la sécurisation de son contenu sur AWS ?

  Lorsqu'il évalue la sécurité d'une solution de cloud, il est important que le client comprenne et fasse la différence entre :

  • les mesures de sécurité qu'AWS met en œuvre et exploite - « sécurité du cloud », et
  • les mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité de leur contenu et de leurs applications qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».

  

  Dans le cadre dumodèle de responsabilité partagée d'AWS, les clients AWS gardent le contrôle du type de sécurité qu'ils choisissent de mettre en place afin de protéger leurs propres contenus, plates-formes, applications, systèmes et réseaux, de la même manière qu'ils le feraient pour les applications d'un centre de données sur site. Les clients peuvent utiliser des mesures de sécurité habituelles, telles que le cryptage et l'authentification multifactorielle, pour protéger leurs données et répondre à leurs exigences de conformité, en plus des services de sécurité et des fonctionnalités AWS tels qu'AWS Identity and Access Management (IAM).

• Qui peut accéder au contenu des clients sur AWS ?

  Le contenu reste la propriété des clients et sous le contrôle de ceux-ci, lesquels choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. AWS n'accède pas au contenu du client et ne l'utilise pas, sauf si cela est nécessaire pour maintenir ou fournir les services AWS sélectionnés par un client ou si cela est nécessaire pour se conformer à la loi ou à une ordonnance contraignante d'un organisme gouvernemental, comme indiqué dans leContrat client AWS.

  Les clients qui utilisent les services AWS gardent le contrôle de leur contenu dans l'environnement AWS. Ils peuvent :

  • déterminer le lieu où il sera localisé, par exemple le type d'environnement de stockage et l'emplacement géographique de ce stockage
  • contrôler le format de leur contenu, par exemple en texte brut, masqué, anonyme ou chiffré, en utilisant le mécanisme de chiffrement fourni par AWS ou le mécanisme de chiffrement tiers du choix du client
  • Gérer les contrôles d'accès, tels qu'AWS Identity and Access Management (IAM), et
  • contrôler l'utilisation ou non du cryptage, des fonctions du Amazon cloud privé virtuel (VPC) et d'autres mesures de sécurité du réseau et des données pour empêcher les accès non autorisés.

  Les clients AWS contrôlent ainsi l'intégralité du cycle de vie de leur contenu sur AWS, et gèrent ce contenu selon leurs propres besoins spécifiques, notamment en ce qui concerne la classification de contenu, le contrôle d'accès, la conservation et la suppression.

• Où le contenu client est-il stocké ?

  L'infrastructure mondiale AWS vous offre la flexibilité de choisir où et comment vous souhaitez exécuter vos charges de travail. En tant que client, vous choisissez la ou les régions AWS dans lesquelles votre contenu client est stocké, ce qui vous permet de déployer vos services AWS à l’emplacement ou aux emplacements de votre choix, conformément à vos exigences spécifiques. Si vous souhaitez découvrir nos autres options de stockage flexibles, consultez la page webRégions AWS.

  Vous pouvez répliquer et sauvegarder votre contenu client dans plusieurs régions AWS. Nous ne déplacerons pas votre contenu hors de la ou des régions AWS que vous avez choisies sans votre accord, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance contraignante d'un organisme gouvernemental. Cependant, il est important de noter que tous les services AWS peuvent ne pas être disponibles dans toutes les régions AWS. Pour plus d'informations sur les services disponibles dans les régions AWS, consultez la page web Services Régions AWS.

• Quelles sont les mesures de sécurité mises en place par AWS pour protéger les systèmes ?

  AWS est conçu pour être l'infrastructure cloud mondiale la plus sécurisée sur laquelle créer, migrer et gérer des applications et des charges de travail. Cette infrastructure comprend le matériel, les logiciels, les réseaux et les installations qui font fonctionner les services AWS, lesquels fournissent aux clients des contrôles puissants, y compris des contrôles de configuration de la sécurité, pour le traitement des données à caractère personnel.

  AWS fournit également plusieurs rapports de conformité de la part d'auditeurs tiers qui ont testé et vérifié notre conformité par rapport à de nombreuses normes et règlementations de sécurité incluant SOC 2 Type 2, ISO 27001, ISO 27017 et ISO 27018. Au Canada, les services AWS sont également évalués par le Centre canadien pour la cybersécurité.

  Pour un maximum de transparence sur l'efficacité de ces mesures, nous vous donnons accès à des rapports d'audit tiers dans AWS Artifact. Ces rapports montrent à nos clients que nous protégeons l'infrastructure sous-jacente sur laquelle ils stockent et traitent les données personnelles. Pour plus d'informations, consultez nos ressources sur la conformité.

• Comment AWS sécurise ses centres de données ?

  La stratégie de sécurité du centre de données AWS est composée de contrôles de sécurité évolutifs et de multiples couches de défense qui aident à protéger vos informations. Par exemple, AWS gère avec attention les risques potentiels d'inondation et d'activité sismique. Nous utilisons des barrières physiques, des gardes de sécurité, une technologie de détection des menaces et un processus de filtrage approfondi pour limiter l'accès aux centres de données. Nous sauvegardons nos systèmes, testons régulièrement l'équipement et les processus, et formons continuellement les employés d'AWS pour qu'ils soient prêts à faire face aux imprévus.

  Pour valider la sécurité de nos centres de données, des auditeurs externes effectuent des tests sur plus de 2 600 normes et exigences tout au long de l'année. Cet examen indépendant permet de s'assurer que les normes de sécurité sont constamment respectées ou surpassées. Grâce à toutes ces mesures, les organisations les plus réglementées au monde font confiance à AWS pour protéger leurs données.

  En savoir plus sur la façon dont nous sécurisons les centres de données AWS en effectuant une visite virtuelle.