Passer au contenu principal

Sécurité dans le Cloud AWS

Centre du règlement général sur la protection des données (RGPD)

Conformité au RGPD lors de l'utilisation des services AWS

Le Règlement général sur la protection des données (RGPD) de l’Union européenne protège les droits fondamentaux des résidents l’Union européenne (UE) en matière de respect de la confidentialité et de protection des données personnelles. Le RGPD intègre des exigences très strictes qui améliorent et uniformisent les normes de protection, de sécurité et de conformité des données. Pour en savoir plus, consultez nos FAQ sur le RGPD ci-dessous.

Conformément au RGPD, les clients AWS peuvent utiliser tous les services AWS pour traiter les données personnelles (telles que définies dans le RGPD) qui sont téléchargées vers les services AWS de leurs comptes AWS (données client). Outre notre propre conformité, AWS s’engage à offrir des services et des ressources à nos clients pour leur permettre de respecter les exigences RGPD susceptibles de s’appliquer à leurs activités. De nouvelles fonctions sont lancées régulièrement et AWS propose plus de 500 fonctionnalités et services 2 axés sur la sécurité et la conformité. Pour en savoir plus sur les activités d’AWS, lisez notre blog Comment AWS aide les clients de l’UE à s’orienter dans la nouvelle normalité de la protection des données.

Se concentre

Contrôle des clients

Les clients contrôlent leurs données client. Avec AWS, les clients peuvent :

  • Déterminer l'emplacement de stockage de leurs données (type et région géographique du stockage).
  • Choisir l'état de sécurisation de leurs données. Nous proposons à nos clients le chiffrement avancé de leurs données en transit ou au repos, ainsi qu'une option qui leur permet de gérer leurs propres clés de chiffrement.
  • Gérer l'accès à leurs données et aux services et ressources AWS via des utilisateurs, groupes, autorisations et informations d'identification qu'ils contrôlent eux-mêmes.
En savoir plus

Transferts depuis l'Espace économique européen (EEE)

Conformément au RGPD, les clients AWS peuvent continuer d’utiliser les services AWS pour transférer des données client depuis l’EEE vers des pays non membres de l’EEE n’ayant pas reçu une décision d’adéquation de la part de la Commission européenne (États-Unis inclus). Chez AWS, notre plus grande priorité est de protéger les données des clients. Ainsi, nous mettons en œuvre des mesures techniques et organisationnelles rigoureuses pour assurer leur confidentialité, leur intégrité et leur disponibilité, quelle que soit la Région AWS choisie par un client. Nous sommes conscients du fait que la transparence est essentielle aux yeux de nos clients. C’est pourquoi nous répertorions les services AWS qui impliquent un transfert de données client sur notre page Web Fonctionnalités de confidentialité .

Face à l’évolution du cadre réglementaire et législatif, nous ne cesserons jamais de travailler pour nous assurer que nos clients puissent continuer à profiter des avantages des services AWS, où qu’ils soient. Pour en savoir plus, consultez la mise à jour pour les clients sur le bouclier de protection des données UE–États-Unis , ainsi que nos billets de blog sur l’ addendum supplémentaire au DPA d’AWS et le code de conduite du CISPE sur la protection des données pour de plus amples informations.

Présentation et notions de base du RGPD

Ouvrir tout

    Le Règlement général sur la protection des données (RGPD) est une réglementation européenne relative à la protection de la vie privée qui est entrée en vigueur le 25 mai 2018. Le RGPD a remplacé la Directive de l’UE sur la protection des données personnelles, aussi appelée Directive 95/46/CE, et visait l’harmonisation des législations relatives à la protection des données dans l’ensemble de l’Union européenne (UE) en votant une loi unique sur la protection des données personnelles, obligatoire et directement applicable dans tout État membre.

    Le RGPD s'applique à toutes les organisations établies dans l'UE et à celles établies ou non dans l'UE, qui traitent les données à caractère personnel des personnes concernées dans le cadre de l'offre de biens ou de services aux personnes concernées dans l'UE ou du suivi du comportement qui a lieu au sein de l'UE. Par « données à caractère personnel », on entend toute information liée à une personne physique identifiée ou identifiable. Cela inclut les noms, les adresses e-mail et les numéros de téléphone.

    AWS tient les rôles de sous-traitant et de responsable du traitement des données dans le cadre du RGPD.

    Les SCC sont un mécanisme de transfert de données pré-approuvé en vertu du RGPD, applicable dans tous les États membres de l’UE, qui permet le transfert légal de données personnelles vers des pays en dehors de l’Espace économique européen n’ayant pas reçu de décision d’adéquation de la part de la Commission européenne (pays tiers).

    Les Conditions d’utilisation AWS incluent les SCC adoptées par la Commission européenne (CE) en juin 2021, et le DPA d’AWS confirme que les SCC s’appliqueront automatiquement chaque fois qu’un client AWS utilise les services AWS pour transférer des données clients vers des pays hors de l’Espace économique européen n’ayant pas reçu de décision d’adéquation de la CE (pays tiers). Dans le cadre des Conditions d’utilisation AWS, les nouvelles SCC s’appliqueront automatiquement chaque fois qu’un client utilise les services AWS pour transférer des données clients vers des pays tiers. Les clients qui ont signé un DPA d'AWS peuvent continuer de s'appuyer sur ce dernier, car les nouvelles SCC des Conditions de service AWS remplacent les précédentes versions des SCC. Les clients peuvent donc être assurés que toutes les données client, qu'ils transfèrent vers des pays tiers utilisant les services AWS, bénéficient du même niveau élevé de protection que les données clients reçoivent dans l'EEE. Pour plus d’informations, consultez le billet de blog sur la mise en œuvre des nouvelles clauses contractuelles standard.

AWS et la conformité au RGPD suivent l'arrêt Schrems II et les recommandations du Comité européen de la protection des données (EDPB)

Ouvrir tout

    Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a émis un arrêt concernant le transfert des données personnelles des résidents européens depuis l’EEE (Schrems II). Dans l'arrêt Schrems II, la CJUE a jugé que le bouclier de protection des données UE – États-Unis ne représentait plus un mécanisme valable pour transférer les données personnelles depuis l'EEE vers les États-Unis. Toutefois, dans le même arrêt, la CJUE a confirmé que, sous réserve à l'implémentation des mesures supplémentaires, le cas échéant, les entreprises peuvent continuer à utiliser des clauses contractuelles standard en tant que mécanisme valable pour transférer des données personnelles depuis l'EEE. Le Comité européen de la protection des données (EDPB), un organisme européen composé de représentants des autorités nationales de protection des données, a depuis fournit une liste non exhaustive de mesures supplémentaires dans ses « Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l'UE » (Recommandations de l'EDPB).

    Oui, les clients AWS peuvent continuer à utiliser les services AWS pour transférer des données client depuis l’Europe vers des pays hors EEE qui n’ont pas reçu de décision d’adéquation de la Commission européenne. L’arrêt Schrems II a validé l’utilisation des clauses contractuelles types (SCC) comme mécanisme de transfert des données client en dehors de l’EEE, et les clients AWS peuvent continuer à s’appuyer sur ces clauses pour tout transfert de données client hors EEE conforme au RGPD.

    Oui, AWS peut utiliser trois types de sous-traitants : (1) les entités AWS qui fournissent l'infrastructure sur laquelle les services AWS fonctionnent ; (2) les entités AWS qui prennent en charge des services AWS spécifiques pour lesquels elles peuvent être amenées à traiter les données des clients ; et (3) les tiers avec lesquels AWS a passé un contrat pour fournir des activités de traitement pour des services AWS spécifiques. La page Web Sous-traitants AWS contient plus d’informations sur les sous-traitants qu’AWS engage conformément au DPA d’AWS afin de fournir des activités de traitement sur les données client au nom des clients. Les sous-traitants pouvant répondre aux besoins des clients varient selon la Région AWS qu'un client sélectionne et les services AWS que le client utilise.

    AWS offre des informations utiles aux clients, notamment plusieurs rapports de conformité réalisés par des auditeurs tiers, qui ont vérifié la conformité d’AWS à diverses normes et réglementations en matière de sécurité, afin de certifier les hauts niveaux de conformité maintenus par AWS pour son infrastructure. Ces rapports montrent à nos clients que nous protégeons les données client qu'ils ont choisi de traiter dans AWS. La conformité d’AWS aux normes ISO 27001, 27017 et 27018 sont de bons exemples de cette situation. ISO 27018 contient des contrôles de sécurité qui se concentrent sur la protection des données client.

    Oui. Le registre public du code de conduite en matière de protection des données des fournisseurs de services d’infrastructure cloud en Europe (CISPE) comprend une liste des services AWS adhérents. CISPE est une association de leaders du cloud computing au service de millions de clients européens. Le code de conduite de la protection des données du CISPE (code CISPE) est le premier code de conduite paneuropéen sur la protection des données centré sur les fournisseurs de services d’infrastructure cloud. Le code du CISPE a été approuvé par le Comité européen de la protection des données représentant les 27 autorités chargées de la protection des données en Europe, et formellement adopté par l’autorité française de la protection des données, la CNIL, agissant en tant qu’autorité principale de contrôle. En 2017, AWS avait annoncé sa conformité avec une version antérieure du code CISPE.

Mesures techniques et organisationnelles

Ouvrir tout

    Le RGPD ne change pas le modèle de responsabilité partagée d’AWS qui reste valable pour les clients. Le modèle de responsabilité partagée est une approche pratique pour illustrer les responsabilités différentes d'AWS (en tant que sous-traitant) et les clients (en tant que responsables du traitement ou sous-traitants) dans le cadre de la RGPD.

    Oui, vous pouvez rechercher « RGPD » dans l’outil AWS Partner Solutions Finder pour trouver des fournisseurs indépendants de logiciels (ISV), des fournisseurs de services gérés (MSP) et des partenaires intégrateurs de systèmes (SI) proposant des produits et des services destinés à aider à la conformité au RGPD. Les clients peuvent également rechercher des solutions « RGPD » sur AWS Marketplace.

    Oui, l'équipe des services AWS Professional Services propose plusieurs activités pour aider les clients dans la transition vers la conformité au RGPD. Cette équipe certifiée de professionnels de la conformité aide les clients à atteindre, maintenir et automatiser la conformité dans le cloud en combinant les normes de conformité applicables aux fonctionnalités spécifiques des services AWS. Vous trouverez de plus amples informations sur la façon dont les consultants de l’équipe des services AWS Professional Services aident les clients ici.

    Les clients peuvent utiliser AWS Support pour bénéficier de conseils techniques afin de les aider dans leur transition vers la conformité RGPD. Dans le cadre de cette activité, nous avons des équipes d'ingénieurs d'assistance cloud et de gestionnaires techniques de compte (TAM) qui sont entraînées pour aider à identifier et limiter les risques liés à la conformité. Le niveau de support fourni par AWS dépend du programme AWS Support que les clients sélectionnent. Les clients cherchant à comprendre l’intérêt de la formule AWS Premium Support peuvent trouver plus d’informations dans l’AWS Support Center, disponible via la Console de gestion AWS, en utilisant les coordonnées indiquées dans le contrat d’assistance entreprise passé avec AWS ou en consultant la page Web AWS Support. Les clients ayant souscrit à la formule Enterprise Support doivent contacter leur TAM pour les questions concernant le RGPD.

    AWS dispose d’une surveillance des accidents de sécurité et d’un processus de notification des violations de données. Il informera les clients de toute violation de sécurité AWS dans les meilleurs délais et conformément au DPA d’AWS. AWS offre également un certain nombre d'outils aux clients pour comprendre qui a accès à leurs ressources, quand et depuis quel emplacement. Un de ces outils est AWS CloudTrail qui autorise la gouvernance, la conformité, l’audit opérationnel et l’audit de risque d’un compte AWS. Avec AWS CloudTrail, les clients peuvent consigner, surveiller en continu et conserver l'activité de leur compte relative aux actions effectuées sur l'ensemble de leur infrastructure AWS. Cela aide les organisations à comprendre ce qu'il se passe avec leur infrastructure AWS et à prendre des mesures en cas d'activités inhabituelles, immédiatement. Pour plus d’informations sur les autres outils de sécurité qu’AWS propose à ces clients pour les aider à respecter leurs exigences en tant que responsables du traitement des données dans le cadre du RGPD, consultez la page Web Sécurité dans le cloud AWS.

    AWS donne aux clients et aux partenaires APN un certain nombre d’outils pour sécuriser leurs données client et les aider à se protéger des cyberattaques. Un de ces outils est AWS Shield. Il s'agit d'un service géré de protection contre les attaques par déni de service (DDoS) pour protéger les sites Web et les applications s'exécutant sur AWS. AWS Shield Standard est disponible sans engendrer de coûts supplémentaires et offre des fonctions de détection continue et d'atténuation automatique intégrée qui peuvent minimiser les temps d'arrêt et la latence des applications. Pour obtenir des niveaux de protection supérieurs contre les attaques visant des applications Web s'exécutant sur AWS et utilisant les ressources ELB, Amazon CloudFront et Amazon Route 53, les clients et les partenaires APN peuvent souscrire à AWS Shield Advanced. AWS publie et met systématiquement à jour AWS Best Practices for DDoS Resiliency qui peut aider les clients à utiliser AWS afin de concevoir des applications résistantes aux attaques DDoS.

    Amazon Macie est un service entièrement géré de sécurité et de confidentialité des données qui utilise le machine learning et la correspondance de modèles pour identifier et protéger vos données personnelles dans AWS. Face aux volumes croissants de données que doivent gérer les organisations, l'identification et la protection de leurs données personnelles à grande échelle peuvent devenir incroyablement complexes et fastidieuses. Amazon Macie automatise l'identification des données personnelles à grande échelle et réduit les coûts liés à leur protection. Macie inventorie automatiquement les compartiments Amazon S3, répertoriant notamment les compartiments non chiffrés, ceux publiquement accessibles et ceux partagés avec des comptes AWS autres que ceux que vous avez définis dans AWS Organizations. Macie applique ensuite les techniques de machine learning et de correspondance de modèles aux compartiments de votre choix pour identifier les données personnelles et vous envoyer les alertes correspondantes.

    Pour aider les clients avec la conformité au RGPD, AWS dispose d’un certain nombre d’outils afin de contrôler l’accès aux données personnelles se trouvant dans leur contenu sur AWS. Ces outils comprennent notamment :

    • Sécurité par défaut signifie que les services AWS sont conçus pour être sécurisés par défaut. Si la configuration par défaut est utilisée, l'accès aux ressources est réservé au propriétaire du compte et à l'administrateur racine.
    • AWS Identity and Access Management (IAM) permet aux clients de contrôler de façon sécurisée l’accès aux services et aux ressources AWS. Avec IAM, les organisations peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
    • AWS Multi-Factor Authentication ajoute une couche de protection supplémentaire au-dessus du nom d’utilisateur et du mot de passe du compte AWS. AWS propose aux clients la possibilité d'avoir des dispositifs MFA virtuels ou matériels.
    • AWS Directory Service permet aux clients d’intégrer et de fédérer des répertoires d’entreprise pour réduire les coûts administratifs et améliorer l’expérience des utilisateurs finaux.
    • AWS Config permet aux clients d’activer des règles pré-intégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
    • AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l’activité du compte en ce qui concerne les actions sur l’ensemble de leur infrastructure AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
    • Amazon Macie utilise le machine learning pour aider les clients à éviter les pertes de données en détectant, classant et protégeant automatiquement les données sensibles dans AWS. Ce service entièrement géré surveille en continu l'activité des accès aux données pour les anomalies et génère des alertes détaillées lorsqu'il détecte un risque d'accès non autorisé ou des fuites de données accidentelles (comme des données sensibles qu'un client a rendues accessibles depuis l'extérieur de façon involontaire).

    AWS offre aux clients et aux partenaires APN la possibilité d’ajouter une couche de protection supplémentaire à leurs données client au repos dans le cloud et les aide à respecter la sécurité de leurs obligations de traitement en tant que responsables du traitement des données dans le cadre du RGPD. Les outils de chiffrement disponible sur AWS comprennent :

    • les capacités de chiffrement des données disponibles dans les services de stockage et de base de données d’AWS, comme Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS et Redshift
    • Les possibilités flexibles de gestion des clés, notamment AWS Key Management Service, qui permettent de choisir entre confier la gestion des clés de chiffrement à AWS et garder le contrôle complet de ses propres clés
    • Les files d’attente de messages chiffrés pour la transmission de données sensibles en utilisant le chiffrement côté serveur (SSE) pour Amazon SQS
    • Les options de stockage matériel et dédié de clés cryptographiques à l’aide d’AWS CloudHSM, qui permettent de répondre à des exigences de conformité particulières

    De plus, AWS propose des API aux clients et aux partenaires APN permettant d'intégrer le chiffrement et la protection des données à n'importe quel service développé ou déployé dans un environnement AWS.

    AWS fournit des fonctionnalités et services spécifiques qui aident les clients à respecter les exigences du RGPD :

    Contrôle d’accès : restreignez l’accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

    • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
    • Accès granulaire fin aux objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
    • Authentification par requête d'API
    • Restrictions géographiques
    • Jetons d’accès temporaires via AWS Security Token Service

    Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS

    Chiffrement : chiffrez des données sur AWS

    • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
    • Gestion centralisée des clés via Key Management Service (par région AWS)
    • Tunnels IPsec vers AWS avec les passerelles VPN
    • Modules HSM dédiés dans le cloud avec AWS CloudHSM

    Normes de sécurité et cadre de conformité solides : nous faisons preuve de notre conformité grâce à des normes internationales rigoureuses, telles que :

AWS et le RGPD/Royaume-Uni

Ouvrir tout

    Le RGPD est un règlement européen, et suite au Brexit, il ne s’applique plus au Royaume-Uni.  Le gouvernement britannique a intégré les exigences du RGPD dans le droit national sous la forme du « RGPD/Royaume-Uni ».

    AWS offre un Addendum RGPD/Royaume-Uni au DPA d’AWS (français non garanti), conforme au RGPD/Royaume-Uni, qui inclut les engagements d’AWS en tant que sous-traitant de données en vertu du RGPD/Royaume-Uni. L’Addendum RGPD/Royaume-Uni fait partie intégrante des Conditions d’utilisation AWS et s’applique automatiquement pour tous les clients qui requièrent un accord de traitement des données pour se mettre en conformité avec le RGPD/Royaume-Uni.

    L’Addendum RGPD/Royaume-Uni, partie intégrante des Conditions d’utilisation AWS, comprend les SCC adoptées par la CE et l’addendum international de transfert de données (IDTA) publié par le régulateur britannique de la protection des données (l’Information Commissioners Office).  L'IDTA modifie les SCC pour s'assurer qu'elles constituent une garantie appropriée en vertu du RGPD/Royaume-Uni pour les transferts internationaux de données vers des pays hors du Royaume-Uni qui n'ont pas été reconnus comme offrant un niveau de protection adéquat des données personnelles (pays tiers du Royaume-Uni). L’ Addendum RGPD/Royaume-Uni confirme que les SCC (tels que modifiés par l’IDTA) s’appliqueront automatiquement chaque fois qu’un client utilisera les services AWS pour transférer des données de clients soumises au RGPD/Royaume-Uni (données des clients britanniques) vers des pays tiers du Royaume-Uni.  Dans le cadre de l’ Addendum RGPD/Royaume-Uni figurant dans les Conditions d’utilisation AWS , les SCC (tels que modifiés par l’IDTA) s’appliqueront automatiquement chaque fois qu’un client utilise les services AWS pour transférer des données des clients britanniques vers des pays tiers du Royaume-Uni.

AWS et la loi fédérale suisse sur la protection des données

Ouvrir tout

    L’addendum suisse à l’addendum sur le traitement des données d’AWS (français non garanti), qui fait partie des conditions d’utilisation AWS (voir la section 1.14.4), inclut les clauses contractuelles standards (les « SCC ») adoptées par la Commission européenne et modifiées selon les exigences du préposé fédéral suisse à la protection des données et à l’information. L'Addendum suisse confirme que les SCC (tels que modifiés par l'addendum suisse) s'appliqueront automatiquement chaque fois qu'un client utilisera les services AWS pour transférer des données de clients soumises au FDPA vers des pays tiers.

Contact

Ouvrir tout

    Nous recommandons aux clients ayant des doutes concernant le RGPD de contacter d’abord leur gestionnaire de compte AWS. Si les clients ont souscrit à la formule Enterprise Support, ils peuvent également contacter un responsable technique de compte (TAM). Les TAM travaillent avec les architectes de solution pour aider les clients à identifier les limitations et les risques potentiels. Les GTC et les gestionnaires de compte peuvent également diriger les clients et les partenaires APN vers les ressources spécifiques en se basant sur leur environnement et leurs besoins.