Pendant le AWS Transformation Day qui se déroulait à Lille le 3 Juillet 2018, nous avons assisté aux conférences proposées. Nous parlerons dans cet article des précisions apportées par AWS concernant la nouvelle réglementation en vigueur en Europe appelée RGPD : Règlement Général sur la Protection des Données.
La conférence sur le RGPD dans AWS a été animé par Damián Arregui, Architecte Solutions chez AWS.
RGPD
Mettons d’abord des mots sur cet acronyme, nous aurons donc RGPD, pour Réglement Général sur la Protection des Données, mais également GDPR pour General Data Protection Regulation, qui est est ni plus ni moins que sa traduction en anglais.
Les origines
Rappelons tout d’abord les origines de la réglementation. Elle apparaît très vaguement en 2012 dans une réforme Européenne qui vise à protéger les données à caractère personnel dans le cadre des activités judiciaires.
Cette réforme évolue en 2014 pour être adoptée par le Parlement Européen. C’est ici que né réellement la RGPD.
La date de mise en application de ce règlement est fixée au 25 mai 2018.
Les géant du web avaient déjà pris leurs précautions et étaient clairement au rendez-vous au moment de l’échéance.
Par contre, il n’en était pas de même pour une bonne partie des sociétés qui possèdent des sites web comprenant des données utilisateur. Elles n’ont été conforme à la loi que tardivement, on parle de jours dans la plupart des cas et de mois pour certains..
Entrée en vigueur
La réglementation est appliquée sur le territoire Européen depuis le 25 mai 2018.
Vous avez certainement dû recevoir un grand nombre d’emails les semaines précédant et suivant la date d’application. La raison provient de la réglementation qui oblige les sites comportant des données personnelles en lien avec l’Europe de mettre leurs Conditions Générales à jour. Certains étaient rapide sur le respect de la règle, et d’autres en retard sur leurs communications. Pas de quoi s’inquiéter, c’est une passe obligatoire pour ne pas recevoir un courrier de la CNIL.
Le contenu
Le RGPD rend la données à caractère personnel plus sécurisée et plus flexible pour le client. Elle comprend notamment :
- Le droit à la portabilité : vous pouvez extraire (demander une copie) de vos données personnelles du site ;
- Le droit à l’oubli : vous pouvez demander que vos données personnelles ne soient plus accessibles, cela ne signifie pas
Article 17 Droit à l’effacement (“droit à l’oubli”) :
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant […]Article 20 Droit à la portabilité des données :
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine […]
L’organisme de contrôle
Ne pensez pas que le Parlement Européen a appliqué une réglementation sans avoir en tête les émissaires qui se chargeront de cette lourde tâche.
En France, c’est la CNIL qui est responsable du contrôle et de son application. Ne vous inquiétez pas qu’elle est très active sur le sujet, et qu’elle frappera chez vous si vous dérogez à la règle. La force de frappe de la CNIL est beaucoup plus importante pour la RGPD que pour le téléchargement illégal, chose normale quand les moyens proviennent des autorités supérieures, on parle du parlement Européen.
Comment l’appliquer ?
Si vous n’avez pas été préparés au RGPD, voici quelques indications pour vous aider à connaitre son contenu et comment l’appliquer dans votre système.
Votre principal allié est la CNIL et son site qui met à disposition un grand nombre d’informations pour appréhender et appliquer le RGPD sur votre système.
Votre 1er allié est leur portail, qui propose des eBook, des articles et des méthodes pour découvrir, approfondir et appliquer le RGPD chez vous : https://www.cnil.fr/fr/rgpd-passer-a-laction
Les pénalités
Les pénalités annoncées par la CNIL en étroite collaboration avec le Parlement Européen sont sévères au travers d’amendes dissuasives. Cette dissuasion financière peut monter jusqu’à 20 millions d’Euros ou 4% du Chiffre d’Affaire de la société pénalisée. Comme escompté, la hauteur de la peine peut laisser à réfléchir… Ça fait cher la transgression.
AWS et le RGPD
Face à cette politique de sécurisation des données personnelles, AWS a su prendre les devants et proposer à ses clients une continuité de ses services pendant l’application de la réglementation.
Les équipes du Provider Américain étaient prêtes bien avant l’échéance, un communiqué du 26 mars 2018 annonçait l’application du RGPD pour l’ensemble des services AWS (compatibles) : AWS Services are GDPR-Ready
Damián Arregui, speaker de la conférence, a dans un premier temps énoncé les règles du RGPD, voir les 6 étapes ci-dessus, et conforté que le RGPD est une harmonisation européenne qui a comme portée l’Union Européenne ainsi que tous citoyens Européens dont les données résident dans les bases de données d’applications web.
Il a été bon de rappeler les pénalités encourues en cas de non respect, voir la section “Les pénalités” au dessus.
Damián a évoqué le rôle du client dans l’utilisation de leurs infrastructures, notre rôle, et plus particulièrement dans le traitement des données. Si une donnée est corrompue, en bon hébergeur AWS se décharge complètement, car il est de notre/votre ressort de sécuriser la donnée en dehors des réseaux.
Pour aider à la sécurisation, AWS fournit néanmoins des outils et services qui satisferont certains besoins. Cloudtrail servira ici à consulter les logs des accès Console et API. Guard Duty, couplé à Cloudtrail, analysera les logs pour détecter les menaces éventuelles, ils se basent sur des patterns récurrents absorbés et injectés dans leur IA. Et enfin leur service Macie effectue le même type de traitement que Guard Duty, cette fois pas sur les flux mais sur la donnée elle-même.
AWS assure la protection des données par défaut et est multiple certifiée en terme de qualité de données et process de sécurité. Toutes leurs infrastructures, quelles soient administratives ou techniques, sont certifiées :
- ISO 27001 et 9001 pour la qualité des données ;
- ISO 27017 et 27018 pour la sécurité des données ;
- C5 pour la protection des données dans le cadre légal Allemand.
D’autres services liés à la sécurité des données sont également mis à disposition par des tiers à AWS et sont présents dans le Market Place d’Amazon, dans la rubrique “Sécurité”. On y trouvera les éternels F5, Fportinet et Cisco, mais également certains outsiders qui montent sur le marché comme Imperva ou encore Firemon.
Il est important de rappeler la séparation des domaines de responsabilité entre AWS et ses client : Modèle de Responsabilités AWS :
AWS est responsable de la sécurité du Cloud, le Client est responsable de la sécurité dans le Cloud.
Une phrase simple qui résume l’utilisation qui doit être faite du Cloud chez Amazon.
Pour vous aider à la compréhension et à la mise en conformité des services AWS au RGPD, un portail a été mis en place pour centraliser la documentation : Portail d’aide AWS concernant le RGPD.
Au programme, vous y trouverez des infos sommaires, des vidéos, de la FAQ, des ressources liées comme la liste des services sécurisés et éligibles : Les services compatibles avec le RGPD.