premaccess

RGPD et données personnelles : comment atteindre la conformité avec le cloud d’AWS ?

Depuis son application en mai 2018, le Règlement Général sur la Protection des Données (RGPD, dit GDPR en anglais « General Data Protection Regulation ») impose davantage de rigueur et de transparence dans le traitement des données personnelles sur les plateformes numériques (sites, applications, etc.). 

Quelle que soit votre activité (grande entreprise, organisation publique…), vous êtes amené à traiter des données à caractère personnel via vos systèmes d’information. Mais employez-vous correctement les “best practices” en matière de sécurité et de conservation des datas ? 

Si vous avez déployé votre infrastructure sur un cloud public (AWS, Google Cloud, Azure, etc.), le principe de la responsabilité partagée s’applique dans la mise en oeuvre de cette conformité. En clair : le cloud provider est responsable de la sécurité du cloud. En tant qu’utilisateur, vous êtes responsable du traitement des données, de votre sécurité et de votre conformité sur cet espace.

Bien conscients de la difficulté que cela représente, les cloud providers ont créé plusieurs outils pour vous permettre d’être en règle. C’est le cas d’AWS. 

Qui doit appliquer le RGPD ? Qu’entend-on par données personnelles ? Comment les chiffrer ? Comment mettre en place une surveillance et un contrôle d’accès ? Découvrez, dans cet article, l’ensemble des informations pour y voir + clair sur ce vaste sujet, ainsi que les services disponibles chez AWS pour être « RGPD friendly ». 

Qui est concerné par le RGPD ? Qu’est-ce qu’une donnée personnelle ?

Avant toute chose, redéfinissons ce règlement et ce qu’est une donnée personnelle. 

Le Règlement Général sur la Protection des Données

Il encadre le traitement de données personnelles sur le territoire de l’Union européenne. Il renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise ce sujet à l’échelle de l’Europe. 

Toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, est concernée par ce texte dès lors  :

La donnée personnelle

C’est une information à partir de laquelle un individu peut être identifié ou identifiable.

Une personne peut être identifiée :

  • directement (exemple : nom, prénom)
  • ou indirectement (identifiant, n° client, numéro de téléphone…).

L’identification peut être réalisée :

  • à partir d’une seule donnée (numéro de sécurité sociale…)  
  • à partir du croisement d’un ensemble de données.

La protection de ces données sensibles repose sur 5 grands principes applicables sur tout support, qu’il soit numérique ou non :

RGPD & données personnelles : les droits fondamentaux des utilisateurs et vos obligations  

Nous pouvons vous en citer 4 :

Droit à la portabilité des données :

Les individus ont le droit de copier toutes les données personnelles que vous avez à leur sujet. Ces données doivent être fournies de manière à faciliter leur réutilisation.

Droit à l’oubli :

Cela donne aux individus le droit de réclamer l’effacement de certaines données personnelles, de façon à les rendre inaccessibles à des tiers.

Protection des données dès la conception :

Dès la phase initiale de conception d’un service, vous devez respecter les règles, recommandations et consignes en rapport avec la protection des données.

Notification en cas de fuite de données :

En cas de fuite de données, vous devez notifier l’autorité de supervision concernée dans les 72 heures. S’il y a un risque élevé d’atteinte aux droits et libertés des individus, vous devez également les informer.

Le cloud AWS respecte-t-il le RGPD ?

OUI

Lors de l’entrée en vigueur de ce règlement européen, en 2018, AWS a réalisé un audit de conformité au RGPD certifiant que l’ensemble de ses services et fonctionnalités respectent bien les normes les plus élevées en matière de confidentialité et de protection des données personnelles. 

Par ailleurs, ce cloud provider dispose de certifications : ISO 27017 dédiée à la sécurité du cloud computing, et ISO 27018 dédiée à la protection des données personnelles dans le Cloud.

Quels sont les services proposés par AWS pour aider à vous  mettre en conformité avec le RGPD ?

En fonction de vos besoins, voici plusieurs services et fonctionnalités mises à votre disposition par AWS pour respecter les exigences du texte européen.

Chiffrez vos données 

  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM

Contrôle d’accès : restreignez l’accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS

  • Audits de conformité et analyses de sécurité avec AWS CloudTrail
  • Identification des difficultés de configuration avec AWS Trusted Advisor
  • Fichiers journaux granulaires fins des accès aux objets Amazon S3

AWS propose, par ailleurs, 4 services particulièrement intéressants pour vous accompagner dans cet objectif « RGPD friendly » :

Enfin, si vous souhaitez aller encore plus loin sur ce sujet, AWS a publié un livre blanc intitulé « Navigating GDPR Compliance on AWS ». Cet ouvrage explique comment adapter les exigences du RGPD à chaque service AWS, avec un focus sur ceux concernant le monitoring, l’accès aux données, et la gestion des clefs.

En tant que décideurs, chef de projet ou DSI, si vous souhaitez savoir si vous être en règle avec le RGPD ou bien vous mettre en conformité, n’hésitez pas à contacter l’équipe de premaccess. Experte AWS, elle vous conseillera et vous proposera un accompagnement sur-mesure adapté à vos besoins.


A LIRE ÉGALEMENT

tobias fischer PkbZahEGNg unsplash cloud compliance conformite
Quitter la version mobile