ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Protection des données chez AWS

AWS et la protection des données avec le RGPD
Catégories :

Les serveurs Amazon sont-ils conformes au RGPD ?

Le cloud computing est de plus en plus populaire. Les fournisseurs dominants de ce marché sont tous américains, y compris Amazon Web Services (AWS). Si des données à caractère personnel d'entreprises allemandes et européennes sont transmises aux États-Unis, il faut toujours une base juridique pour cela. Après que la Cour de justice de l'Union européenne a déclaré, dans son arrêt du 16 juillet 2020, que le Privacy Shield n'était pas valable, des clauses contractuelles standard sont généralement utilisées pour le transfert de données. Celles-ci ne sont toutefois pas suffisantes à elles seules.

Dans son arrêt, la CJUE a souligné la responsabilité du responsable du traitement d'évaluer si les droits des personnes concernées aux États-Unis (ou dans d'autres pays tiers) bénéficiaient effectivement d'un niveau de protection équivalent à celui de l'UE avec la conclusion des clauses contractuelles types. De facto, les autorités de surveillance européennes attendent des mesures complémentaires telles que l'anonymisation ou le cryptage des données à transférer. Cet article de blog explique si et comment AWS prend la protection des données au sérieux et soutient ses clients dans sa mise en œuvre.

 

AWS

 

Amazon Web Services (AWS) est un fournisseur américain de cloud computing. Il a été fondé en 2006 en tant que filiale du vendeur en ligne Amazon.com. Depuis, AWS connaît une croissance rapide. En 2017, Gartner a désigné AWS comme le premier fournisseur international de cloud computing. Il y a quelques années, le chiffre d'affaires d'AWS s'élevait à 46 milliards de dollars.

 

 

AWS et la protection des données

 

En tant qu'entreprise américaine, Amazon Web Services, comme d'autres services comparables, fait l'objet de critiques depuis des années en ce qui concerne la protection des données. Pour compenser ce problème, AWS propose ce que l'on appelle des régions, elles-mêmes divisées en Availability Zones, qui correspondent à des emplacements physiques pour le stockage des données. Il est par exemple possible de choisir les régions Irlande (eu-west-1) et Francfort-sur-le-Main (eu-central-1), de sorte que les instances ne soient exécutées que dans ces régions. Le problème est que les serveurs situés dans l'UE ne protègent pas contre l'accès des autorités américaines dans le cadre du Cloud Act. C'est un problème pour AWS et pour la protection des données en Allemagne.

Amazon propose à ses clients des clauses contractuelles standard préconfigurées et renvoie en outre à un Data Processing Addendum. Ces deux documents sont toutefois conçus selon une "approche de haut niveau". Ils n'aident pas vraiment le client à réaliser l'évaluation de l'impact du transfert exigée par les clauses contractuelles standard. Ainsi, la description suivante des catégories de données traitées, tirée de l'addendum : "Customer Data uploaded to the Services under Customer's AWS accounts." est très superficielle. est évidemment beaucoup trop superficielle pour permettre une évaluation adéquate de l'impact du transfert.

Afin d'améliorer la protection des données, Amazon offre aux développeurs la possibilité de crypter à nouveau eux-mêmes les données déposées sur AWS - même en cas d'utilisation d'un kit de développement logiciel officiel. Les grands clients se voient proposer l'utilisation d'un cryptage matériel avec des composants individuels.

 

Conclusion
Selon l'auto-proclamation d'AWS, les demandes des autorités américaines sont toujours soigneusement examinées et, le cas échéant, rejetées. En outre, Amazon AWS souligne, en ce qui concerne la protection des données, que les données cryptées par le client ne sont transmises aux autorités américaines qu'à l'état crypté.

Pour les services AWS avec cryptage, le service KMS propre à AWS est utilisé, ce qui garantit qu'AWS lui-même n'a pas la possibilité de décrypter le texte en clair.

Une utilisation d'AWS conforme à la protection des données semble donc possible, mais uniquement si le cryptage est effectivement effectué et si les risques résiduels éventuels ont été jugés acceptables dans le cadre de l'évaluation de l'impact du transfert.

Vous avez besoin d'aide pour réaliser une évaluation d'impact de transfert de manière professionnelle ? N'hésitez pas à nous contacter. Nous nous ferons un plaisir de vous faire profiter de notre longue expérience en matière de protection des données.

Les tags :
Partager ce post :
fr_FRFrench