RGPD et données personnelles : comment atteindre la conformité avec le cloud d’AWS ?
Depuis son application en mai 2018, le Règlement Général sur la Protection des Données (RGPD, dit GDPR en anglais « General Data Protection Regulation ») impose davantage de rigueur et de transparence dans le traitement des données personnelles sur les plateformes numériques (sites, applications, etc.).
Quelle que soit votre activité (grande entreprise, organisation publique…), vous êtes amené à traiter des données à caractère personnel via vos systèmes d’information. Mais employez-vous correctement les “best practices” en matière de sécurité et de conservation des datas ?
Si vous avez déployé votre infrastructure sur un cloud public (AWS, Google Cloud, Azure, etc.), le principe de la responsabilité partagée s’applique dans la mise en oeuvre de cette conformité. En clair : le cloud provider est responsable de la sécurité du cloud. En tant qu’utilisateur, vous êtes responsable du traitement des données, de votre sécurité et de votre conformité sur cet espace.
Bien conscients de la difficulté que cela représente, les cloud providers ont créé plusieurs outils pour vous permettre d’être en règle. C’est le cas d’AWS.
Qui doit appliquer le RGPD ? Qu’entend-on par données personnelles ? Comment les chiffrer ? Comment mettre en place une surveillance et un contrôle d’accès ? Découvrez, dans cet article, l’ensemble des informations pour y voir + clair sur ce vaste sujet, ainsi que les services disponibles chez AWS pour être « RGPD friendly ».
RGPD sur le cloud : notre table des matières
- Qui est concerné par le RGPD ? Qu’est-ce qu’une donnée personnelle ?
- RGPD & données personnelles : les droits fondamentaux des utilisateurs et vos obligations
- Le cloud AWS respecte-t-il le RGPD ?
- Quels sont les services proposés par AWS pour aider à vous mettre en conformité avec le RGPD ?
- AWS propose, par ailleurs, 4 services particulièrement intéressants pour vous accompagner dans cet objectif « RGPD friendly »
Qui est concerné par le RGPD ? Qu’est-ce qu’une donnée personnelle ?
Avant toute chose, redéfinissons ce règlement et ce qu’est une donnée personnelle.
Le Règlement Général sur la Protection des Données
Il encadre le traitement de données personnelles sur le territoire de l’Union européenne. Il renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise ce sujet à l’échelle de l’Europe.
Toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, est concernée par ce texte dès lors :
- qu’elle est établie sur le territoire de l’Union européenne,
- et/ou que son activité cible directement des résidents européens.
La donnée personnelle
C’est une information à partir de laquelle un individu peut être identifié ou identifiable.
Une personne peut être identifiée :
- directement (exemple : nom, prénom)
- ou indirectement (identifiant, n° client, numéro de téléphone…).
L’identification peut être réalisée :
- à partir d’une seule donnée (numéro de sécurité sociale…)
- à partir du croisement d’un ensemble de données.
La protection de ces données sensibles repose sur 5 grands principes applicables sur tout support, qu’il soit numérique ou non :
- Le principe de finalité : la collecte a un but bien précis.
- Le principe de proportionnalité et de pertinence : nous ne récoltons que les données dont nous avons besoin.
- Le principe d’une durée de conservation limitée : il n’est pas possible de conserver des informations sur des personnes physiques pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier.
- Le principe de sécurité et de confidentialité : vous devez garantir la sécurité et la confidentialité des informations que vous détenez. Vous devez en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations.
- Les droits des personnes et le principe de consentement : les personnes concernées doivent être informées de la manière dont leurs données sont traitées et elles doivent pouvoir donner leur consentement.
RGPD & données personnelles : les droits fondamentaux des utilisateurs et vos obligations
Nous pouvons vous en citer 4 :
Droit à la portabilité des données :
Les individus ont le droit de copier toutes les données personnelles que vous avez à leur sujet. Ces données doivent être fournies de manière à faciliter leur réutilisation.
Droit à l’oubli :
Cela donne aux individus le droit de réclamer l’effacement de certaines données personnelles, de façon à les rendre inaccessibles à des tiers.
Protection des données dès la conception :
Dès la phase initiale de conception d’un service, vous devez respecter les règles, recommandations et consignes en rapport avec la protection des données.
Notification en cas de fuite de données :
En cas de fuite de données, vous devez notifier l’autorité de supervision concernée dans les 72 heures. S’il y a un risque élevé d’atteinte aux droits et libertés des individus, vous devez également les informer.
Le cloud AWS respecte-t-il le RGPD ?
OUI
Lors de l’entrée en vigueur de ce règlement européen, en 2018, AWS a réalisé un audit de conformité au RGPD certifiant que l’ensemble de ses services et fonctionnalités respectent bien les normes les plus élevées en matière de confidentialité et de protection des données personnelles.
Par ailleurs, ce cloud provider dispose de certifications : ISO 27017 dédiée à la sécurité du cloud computing, et ISO 27018 dédiée à la protection des données personnelles dans le Cloud.
Quels sont les services proposés par AWS pour aider à vous mettre en conformité avec le RGPD ?
En fonction de vos besoins, voici plusieurs services et fonctionnalités mises à votre disposition par AWS pour respecter les exigences du texte européen.
Chiffrez vos données
- Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
- Gestion centralisée des clés via Key Management Service (par région AWS)
- Tunnels IPsec vers AWS avec les passerelles VPN
- Modules HSM dédiés dans le cloud avec AWS CloudHSM
Contrôle d’accès : restreignez l’accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés
- Accès granulaire fin aux objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d’autres services
- Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
- Authentification par requête d’API
- Restrictions géographiques
- Jetons d’accès temporaires via AWS Security Token Service
Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS
- Gestion et configuration des ressources avec AWS Config
- Audits de conformité et analyses de sécurité avec AWS CloudTrail
- Identification des difficultés de configuration avec AWS Trusted Advisor
- Fichiers journaux granulaires fins des accès aux objets Amazon S3
- Informations détaillées sur les flux du réseau via Amazon VPC-FlowLogs
- Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
- Filtrage et surveillance des accès HTTP aux applications avec les fonctions WAF d’AWS CloudFront
AWS propose, par ailleurs, 4 services particulièrement intéressants pour vous accompagner dans cet objectif « RGPD friendly » :
- Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés.
- Amazon Macie utilise le machine learning pour surveiller et protéger les données stockées dans Amazon S3.
- Amazon Inspector est un service d’évaluation de la sécurité automatisée. Il permet de renforcer la sécurité et la conformité de vos applications déployées sur AWS.
- AWS Config Rules est un service de monitoring. Il vérifie la conformité des ressources cloud aux règles de sécurité.
Enfin, si vous souhaitez aller encore plus loin sur ce sujet, AWS a publié un livre blanc intitulé « Navigating GDPR Compliance on AWS ». Cet ouvrage explique comment adapter les exigences du RGPD à chaque service AWS, avec un focus sur ceux concernant le monitoring, l’accès aux données, et la gestion des clefs.
En tant que décideurs, chef de projet ou DSI, si vous souhaitez savoir si vous être en règle avec le RGPD ou bien vous mettre en conformité, n’hésitez pas à contacter l’équipe de premaccess. Experte AWS, elle vous conseillera et vous proposera un accompagnement sur-mesure adapté à vos besoins.