AWS et le transfert de données européennes : engagements renforcés pour protéger les données clients

avril 2021 par Stephen Schmidt, Vice President and Chief Information Security Officer, AWS

L’année dernière, nous avons publié un article décrivant la façon dont nos clients peuvent transférer des données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la nouvelle décision « Schrems II ». Dans cet article, nous présentions certaines des mesures renforcées et complétées que nous avons prises pour protéger les données personnelles des clients.

Aujourd’hui, nous annonçons des engagements contractuels renforcés pour protéger les données personnelles que les clients confient à AWS (les données client) qui vont au-delà, à la fois de ce qui est requis par la décision Schrems II, mais aussi de ce qui est actuellement proposé par d’autres fournisseurs de cloud. Ces nouveaux engagements s’appliquent à l’ensemble des données clients soumises au RGPD qui sont traitées par AWS, qu’elles soient transférées ou non en dehors de l’Espace économique européen (EEE). Ces engagements sont disponibles automatiquement à l’ensemble des clients utilisant AWS pour le traitement de leurs données clients, sans action supplémentaire requise, via un nouvel addendum complémentaire à l’AWS GDPR Data processing addendum.

Nos engagements contractuels renforcés comprennent :

• La contestation des demandes émises par les autorités : nous contesterons les demandes d’accès aux données clients provenant d’organismes gouvernementaux, à l’intérieur ou à l’extérieur de l’EEE, lorsque la demande est en conflit avec le droit de l’Union Européenne (UE), excessive ou lorsque nous disposons par ailleurs des motifs appropriés pour le faire.

• La divulgation minimale : nous nous engageons également à ne divulguer que le strict minimum des informations nécessaires pour satisfaire à une demande, si malgré nos efforts nous étions contraints et tenus de répondre à une demande légale valide de divulgation de données clients.

Ces engagements renforcés envers nos clients s’appuient sur notre longue expérience en matière de contestation des demandes émises par les autorités. AWS limite rigoureusement – ou rejette catégoriquement – les demandes de communication de données venant des tous les pays, y compris des États-Unis, lorsque ces demandes sont trop générales ou lorsque nous disposons de motifs appropriés pour le faire.

Ces engagements démontrent en outre l’attachement d’AWS à sécuriser les données de ses clients : cela est notre priorité absolue. Nous mettons en place des mesures contractuelles, techniques et organisationnelles rigoureuses pour protéger la confidentialité, l’intégrité et la disponibilité des données clients, quelle que soit la région AWS choisie par le client. Les clients ont le contrôle complet de leurs données grâce à des services et outils AWS puissants qui leur permettent de choisir où stocker leurs données, comment les sécuriser et gérer qui y a accès.

Par exemple, les clients utilisant notre dernière génération d’instances EC2 bénéficient automatiquement de la protection d’AWS Nitro System. En utilisant du matériel, des micrologiciels et des logiciels ad-hoc, AWS Nitro offre une sécurité et une isolation uniques, à la pointe de l’industrie et prend en charge la virtualisation des ressources de stockage, de sécurité, et de réseaux grâce à du matériel et des logiciels dédiés. Cela renforce la sécurité, en minimisant la surface d’attaque et en interdisant les accès administrateurs, tout en améliorant les performances. Nitro a été conçu pour fonctionner dans les réseaux les plus hostiles que nous puissions imaginer, intégrant du chiffrement, un mécanisme de démarrage sécurisé (secure boot, root of trust) basé sur une base matérielle de confiance réduite (Trusted Computing Base) ainsi que des restrictions aux accès opérateurs. La fonctionnalité AWS Nitro Enclaves, récemment annoncée, permet aux clients de créer des environnements de calcul isolés avec des contrôles cryptographiques assurant l’intégrité du code traitant des données hautement sensibles.

AWS offre une connectivité réseau sécurisée et privée aux clients, au sein et entre les réseaux virtuels contrôlés par le client, ainsi que vers les services AWS. Toutes les données en transit entre nos centres de données sécurisés, nos zones de disponibilité et nos régions sont automatiquement chiffrées au niveau matériel. Les clients peuvent compter sur nos fonctionnalités de chiffrement de pointe et profiter d’AWS Key Management Services, notre solution de gestion de clé, pour contrôler et gérer leurs propres clés au sein de modules de sécurité matériels certifiés FIPS-140-2. Que les données soient chiffrées ou non, nous mettrons toujours tout en œuvre pour les protéger de tout accès non autorisé. Plus d’informations sur notre approche de la confidentialité des données.

AWS s’efforce constamment de garantir que ses clients puissent profiter des avantages de nos services partout où ils opèrent. Nous continuerons de mettre à jour nos pratiques pour répondre à l’évolution des besoins et des attentes des clients et des régulateurs, et nous conformer pleinement à toutes les lois applicables dans chaque pays où nous sommes implantés. Avec ces changements, AWS maintient son obsession client en offrant des outils, des capacités et des droits contractuels uniques.