AWS et RGPD : conformite cloud infrastructure

Amazon Web Services (AWS) est le leader mondial du cloud computing et l’infrastructure de reference pour une majorite de startups et un nombre croissant d’entreprises francaises. Choisir AWS comme hebergeur, c’est confier a Amazon l’infrastructure sur laquelle tournent vos applications, vos bases de donnees et, par consequent, les donnees personnelles de vos utilisateurs. La question de la conformite RGPD d’AWS est donc structurante pour toute entreprise qui utilise ses services.

La reponse est plus nuancee qu’un simple “oui” ou “non”. AWS fournit un cadre de conformite solide – DPA complet, certifications multiples, regions europeennes, outils de configuration granulaires. Mais la conformite effective depend en grande partie de ce que vous faites de ce cadre. Le modele de responsabilite partagee d’AWS signifie que la moitie de la conformite repose sur vos epaules.

Ce guide analyse la conformite RGPD d’AWS sous l’angle juridique et operationnel, en identifiant les points ou l’infrastructure AWS est conforme par defaut et ceux ou votre configuration determine la conformite.

Qualification juridique : le modele de responsabilite partagee

AWS en tant que sous-traitant

Pour les services d’infrastructure (IaaS) et de plateforme (PaaS) – EC2, S3, RDS, Lambda, etc. – AWS agit en qualite de sous-traitant au sens de l’article 28 du RGPD. Vous (le client) etes le responsable de traitement : vous determinez quelles donnees sont stockees, comment elles sont traitees, et dans quelle finalite.

AWS ne determine pas les finalites du traitement de vos donnees. AWS ne decide pas quelles donnees vous stockez dans un bucket S3 ou une base RDS. AWS met a disposition une infrastructure que vous configurez et utilisez selon vos besoins. C’est la definition meme de la sous-traitance au sens du RGPD.

Le modele de responsabilite partagee

Le Shared Responsibility Model d’AWS est le concept central pour comprendre la conformite RGPD sur AWS. Le partage s’articule ainsi :

AWS est responsable de la securite DU cloud :

• Securite physique des datacenters (controle d’acces, surveillance, alimentation redondante)
• Securite de l’infrastructure reseau et de l’hyperviseur
• Maintenance et mise a jour des composants d’infrastructure
• Disponibilite et resilience de la plateforme

Vous etes responsable de la securite DANS le cloud :

• Configuration des groupes de securite et des ACLs reseau
• Chiffrement des donnees (au repos et en transit)
• Gestion des identites et des acces (IAM)
• Mise a jour de vos systemes d’exploitation et applications
• Configuration des sauvegardes et de la reprise apres sinistre
• Parametrage des journaux d’audit (CloudTrail, CloudWatch)
• Choix de la region de stockage

Ce partage a une consequence juridique directe : en cas de violation de donnees causee par une mauvaise configuration de votre cote (bucket S3 public, par exemple), la responsabilite au sens de l’article 32 du RGPD vous incombe, pas a AWS. L’inverse est vrai si la faille provient de l’infrastructure AWS elle-meme.

Cas particuliers : AWS en tant que responsable de traitement

Pour certains traitements lies a la gestion de votre compte AWS (facturation, support, communication commerciale), AWS agit comme responsable de traitement. De meme, certains services managees ou AWS prend des decisions sur les finalites du traitement (par exemple, l’analyse de donnees pour l’amelioration des services, si vous n’avez pas opt-out) peuvent impliquer un role de responsable de traitement. Le DPA d’AWS couvre ces deux situations.

Analyse du DPA d’AWS

Le AWS Data Processing Addendum (DPA) est le contrat de sous-traitance au sens de l’article 28 du RGPD. Il est automatiquement integre aux conditions d’utilisation d’AWS (AWS Customer Agreement) depuis 2018. Voici l’analyse de conformite.

Exigence Art. 28	Disposition du DPA AWS	Evaluation
Instructions documentees (28(3)(a))	AWS traite les donnees uniquement conformement aux instructions du client telles que definies dans le contrat et la configuration des services	Conforme
Confidentialite du personnel (28(3)(b))	Engagement de confidentialite du personnel AWS	Conforme
Mesures de securite (28(3)©)	Programme de securite documente, certifications multiples (ISO 27001, SOC 2, C5, HDS)	Conforme
Sous-traitance ulterieure (28(3)(d))	Liste de sous-traitants ulterieurs publiee, mecanisme de notification	Conforme
Assistance aux droits des personnes (28(3)(e))	AWS fournit des outils techniques permettant au client de repondre aux demandes (acces, suppression, portabilite)	Conforme
Assistance securite et AIPD (28(3)(f))	Cooperation pour les analyses d’impact et les notifications de violation	Conforme
Suppression ou restitution (28(3)(g))	Le client peut supprimer ses donnees a tout moment via les outils AWS ; suppression confirmee en fin de contrat	Conforme
Audits et inspections (28(3)(h))	Mise a disposition de rapports via AWS Artifact (SOC 2, ISO 27001, PCI-DSS, C5, etc.) ; audit sur site via programme d’audit	Conforme

Point notable : le DPA d’AWS est l’un des plus complets du marche cloud. AWS Artifact permet aux clients de telecharger les rapports d’audit et de certification en libre-service, ce qui facilite considerablement la documentation de conformite. C’est un avantage significatif par rapport a des fournisseurs qui exigent une demande formelle pour chaque rapport.

Transferts internationaux et evaluation d’impact du transfert

La question centrale : le choix de la region

Avec AWS, la localisation des donnees est entierement sous votre controle. AWS propose plusieurs regions europeennes :

• eu-west-3 (Paris) – la region de reference pour les clients francais
• eu-central-1 (Francfort)
• eu-west-1 (Irlande)
• eu-south-1 (Milan)
• eu-north-1 (Stockholm)
• eu-central-2 (Zurich)
• eu-south-2 (Espagne)

Si vous selectionnez la region Paris (eu-west-3) et ne configurez aucune replication inter-regions vers des regions hors EEE, vos donnees restent en France. Il n’y a pas de transfert hors UE pour le stockage et le traitement des donnees. C’est la configuration la plus simple du point de vue RGPD.

Quand y a-t-il transfert hors UE ?

Des transferts hors UE interviennent dans les cas suivants :

• Vous choisissez une region hors EEE (us-east-1, ap-northeast-1, etc.) pour le stockage ou le traitement.
• Vous configurez une replication inter-regions vers une region hors EEE (par exemple, S3 Cross-Region Replication vers us-east-1 pour le disaster recovery).
• Vous utilisez des services edge : CloudFront (CDN) distribue du contenu sur des points de presence (edge locations) dans le monde entier, y compris hors UE. Lambda@Edge execute du code sur ces memes edge locations.
• Le support technique AWS : les ingenieurs de support AWS peuvent acceder a vos donnees depuis des localisations hors UE pour resoudre un incident. AWS propose l’option “AWS Support in EU” qui limite le support aux equipes europeennes.

Mecanismes de transfert

Pour les transferts hors UE (quand ils existent), AWS s’appuie sur :

1. EU-US Data Privacy Framework (DPF) : Amazon.com Inc. est certifie DPF pour les transferts vers les Etats-Unis.

2. Clauses contractuelles types (CCT) : le DPA d’AWS integre les CCT de la Commission europeenne comme mecanisme subsidiaire.

3. Mesures supplementaires : chiffrement (AWS KMS, CloudHSM), controle granulaire des acces (IAM), journalisation exhaustive (CloudTrail).

Le CLOUD Act : l’elephant dans la piece

AWS est une filiale d’Amazon, entreprise americaine soumise au CLOUD Act. Cette loi federale permet aux autorites americaines de demander l’acces a des donnees detenues par des entreprises americaines, y compris des donnees stockees sur des serveurs situes hors des Etats-Unis – y compris, donc, sur la region Paris.

C’est le point de tension principal pour la conformite RGPD d’AWS. Voici les elements d’analyse :

• Risque theorique : le CLOUD Act donne un pouvoir d’acces extraterritorial aux autorites americaines. Ce risque existe meme si vos donnees sont stockees en France.
• Risque pratique : AWS declare contester les demandes d’acces qu’elle considere comme excessives ou en conflit avec le droit europeen. AWS publie un rapport de transparence annuel sur les demandes recues.
• Facteur attenuant : le chiffrement cote client (client-side encryption) avec des cles que vous gerez vous-meme (via AWS CloudHSM ou un HSM externe) rend les donnees illisibles pour AWS et, par extension, pour toute autorite qui accederait aux donnees via AWS.
• Position des autorites europeennes : le CEPD et la CNIL n’ont pas interdit l’utilisation d’AWS, mais recommandent la mise en oeuvre de mesures supplementaires (chiffrement, pseudonymisation) pour les traitements sensibles.

Pour les traitements de donnees sensibles ou a haut risque, le chiffrement cote client avec gestion externe des cles est la mesure la plus efficace pour neutraliser le risque CLOUD Act.

Securite informatique : les certifications AWS

Le programme de conformite AWS

AWS detient un nombre exceptionnel de certifications de securite, pertinentes pour le marche francais et europeen :

• ISO 27001 : systeme de management de la securite de l’information
• ISO 27017 : securite cloud specifique
• ISO 27018 : protection des donnees personnelles dans le cloud
• SOC 2 Type II : controles de securite, disponibilite, confidentialite
• PCI-DSS Level 1 : pour les services de paiement
• C5 : catalogue de conformite cloud du BSI allemand, reference en Europe
• HDS : Hebergeur de Donnees de Sante, certification francaise obligatoire pour l’hebergement de donnees de sante. AWS est certifie HDS pour la region Paris.
• CSA STAR : Cloud Security Alliance
• SecNumCloud : la qualification de l’ANSSI (Agence nationale de la securite des systemes d’information) est en cours de deploiement pour certains services AWS en France.

AWS Artifact

AWS Artifact est un portail en libre-service qui permet aux clients de telecharger les rapports d’audit, les certifications et les attestations de conformite d’AWS. Ces documents sont essentiels pour alimenter votre documentation de conformite et pour repondre aux obligations de l’article 28(3)(h) (audits et inspections).

Article 32 et responsabilite partagee

L’article 32 du RGPD impose des mesures de securite adaptees au risque. Du cote d’AWS, les certifications attestent d’un niveau de securite eleve pour l’infrastructure. Du cote du client, les mesures suivantes relevent de votre responsabilite :

• Chiffrement des donnees au repos (AWS KMS, SSE-S3, SSE-KMS, SSE-C)
• Chiffrement en transit (TLS obligatoire)
• Configuration IAM (principe du moindre privilege, MFA obligatoire)
• Configuration des Security Groups et des NACLs
• Activation et surveillance de CloudTrail et CloudWatch
• Configuration des sauvegardes et des politiques de retention
• Gestion des mises a jour des instances EC2 et des conteneurs

Configuration recommandee pour la conformite RGPD

1. Choisir la region Paris (eu-west-3)

Pour les traitements de donnees de personnes situees en France ou en Europe, selectionnez la region Paris (eu-west-3) comme region par defaut. Configurez des Service Control Policies (SCP) au niveau d’AWS Organizations pour interdire le lancement de ressources en dehors des regions europeennes. Cela elimine le risque de transfert hors UE par erreur de configuration.

2. Chiffrer systematiquement

• Au repos : activez le chiffrement par defaut pour S3 (SSE-S3 ou SSE-KMS), EBS, RDS, DynamoDB, et tout service de stockage. Utilisez AWS KMS pour la gestion centralisee des cles.
• En transit : imposez TLS pour toutes les communications. Configurez les politiques de bucket S3 pour rejeter les requetes non chiffrees.
• Pour les donnees sensibles : utilisez le chiffrement cote client (client-side encryption) avec des cles que vous gerez via CloudHSM ou un HSM externe. C’est la protection la plus forte contre le risque CLOUD Act.

3. Configurer IAM avec rigueur

• Appliquez le principe du moindre privilege : chaque utilisateur, role et service ne doit avoir que les permissions strictement necessaires.
• Activez le MFA (authentification multi-facteurs) pour tous les comptes, en particulier le compte root.
• Utilisez des roles IAM plutot que des cles d’acces a long terme.
• Auditez regulierement les permissions avec IAM Access Analyzer.

4. Activer la journalisation

• CloudTrail : activez CloudTrail sur toutes les regions pour tracer l’ensemble des appels API. Stockez les journaux dans un bucket S3 dedie, chiffre, avec une politique de retention definie.
• CloudWatch : configurez des alarmes pour les evenements de securite (tentatives de connexion echouees, modifications de Security Groups, acces non autorises).
• VPC Flow Logs : activez les journaux de flux reseau pour les VPC contenant des donnees personnelles.

5. Gerer la conservation des donnees

Implementez des politiques de cycle de vie S3 (S3 Lifecycle Policies) pour supprimer automatiquement les donnees apres la duree de conservation definie dans votre registre des traitements. Configurez des politiques de retention pour les sauvegardes RDS et les snapshots EBS. Documentez ces durees dans votre registre des traitements.

6. Limiter CloudFront aux edge locations europeennes

Si vous utilisez CloudFront (CDN), configurez la distribution pour utiliser uniquement les edge locations europeennes (Price Class 200 ou restriction geographique personnalisee). Cela evite que des donnees personnelles soient mises en cache sur des serveurs hors UE. Attention : Lambda@Edge s’execute sur les memes edge locations que CloudFront – si vous traitez des donnees personnelles dans des fonctions Lambda@Edge, la meme restriction s’applique.

Points d’attention specifiques

S3 : la source principale de fuites

Les buckets S3 mal configures sont la cause numero un de fuites de donnees sur AWS. Depuis 2023, AWS bloque l’acces public aux buckets par defaut (Block Public Access). Verifiez neanmoins que cette protection est active au niveau du compte et de chaque bucket. Utilisez AWS Config pour detecter automatiquement les buckets non conformes.

RDS et les bases de donnees

Pour les bases de donnees RDS contenant des donnees personnelles : activez le chiffrement au repos (obligatoire a la creation, non modifiable ensuite), configurez les groupes de securite pour restreindre l’acces au reseau, activez les journaux d’audit (audit logs), et configurez des sauvegardes automatiques avec une duree de retention coherente avec vos obligations legales.

AWS Support et acces aux donnees

Les ingenieurs de support AWS peuvent avoir besoin d’acceder a vos ressources pour resoudre un incident. Activez l’option AWS Support in EU si elle est disponible pour votre plan de support, afin de limiter l’acces au personnel base dans l’EEE. Pour les donnees sensibles, le chiffrement cote client garantit que le support AWS ne peut pas lire vos donnees meme s’il accede a l’infrastructure.

Services managees et traitement des donnees

Certains services managees AWS (Amazon Macie, Amazon Comprehend, Amazon Rekognition, Amazon Transcribe) traitent activement vos donnees pour fournir leurs fonctionnalites (analyse, classification, reconnaissance). Verifiez pour chaque service manage ou les donnees sont traitees (certains services ne sont pas disponibles dans toutes les regions) et si AWS utilise vos donnees pour ameliorer ses modeles (vous pouvez opt-out via les parametres du service). Documentez chaque service manage dans votre registre comme un traitement distinct.

Donnees de sante et HDS

Si vous hebergez des donnees de sante sur AWS, la certification HDS (Hebergeur de Donnees de Sante) est obligatoire en droit francais (article L1111-8 du Code de la sante publique). AWS est certifie HDS pour la region Paris (eu-west-3). Assurez-vous d’utiliser exclusivement cette region et les services couverts par la certification HDS. La liste des services HDS est disponible sur la page de conformite AWS.

FAQ

AWS est-il conforme au RGPD ?

AWS fournit un cadre de conformite parmi les plus complets du marche cloud : DPA conforme a l’article 28, certifications multiples (ISO 27001, SOC 2, C5, HDS), regions europeennes avec maitrise totale de la localisation des donnees, et outils de securite granulaires (KMS, IAM, CloudTrail). Toutefois, la conformite effective depend de votre configuration. Un bucket S3 public, un IAM permissif, ou une absence de chiffrement vous placent en infraction, meme si l’infrastructure AWS est elle-meme conforme. AWS securise le cloud ; vous securisez ce qui est dans le cloud. Les outils RGPD de conformite permettent d’auditer systematiquement cette configuration.

Le CLOUD Act rend-il AWS non conforme au RGPD ?

Le CLOUD Act est un facteur de risque, pas un facteur d’interdiction. Les autorites europeennes (CEPD, CNIL) n’ont pas interdit l’utilisation d’AWS. Elles recommandent de mettre en oeuvre des mesures supplementaires pour attenuer le risque : chiffrement cote client avec gestion externe des cles (la mesure la plus efficace), choix d’une region europeenne, limitation des acces du support aux equipes europeennes, et documentation de l’analyse de risque. Pour les donnees a sensibilite elevee (sante, donnees judiciaires), le chiffrement cote client est indispensable. Pour les traitements courants, le cadre de conformite d’AWS (DPF + CCT + mesures supplementaires) est generalement considere comme suffisant. C’est ce type d’evaluation que Legiscope permet d’automatiser.

Comment eviter les transferts hors UE sur AWS ?

Trois mesures cles : premierement, selectionnez la region Paris (eu-west-3) ou une autre region europeenne comme region par defaut, et utilisez des Service Control Policies (SCP) pour interdire le deploiement de ressources hors UE. Deuxiemement, si vous utilisez CloudFront, limitez la distribution aux edge locations europeennes. Troisiemement, activez AWS Support in EU pour limiter l’acces du support aux equipes basees dans l’EEE. Avec cette configuration, vos donnees ne quittent pas l’Union europeenne. Documentez cette configuration dans votre registre des transferts de donnees hors UE.

Quelles certifications AWS sont pertinentes pour le marche francais ?

Pour le marche francais, les certifications les plus pertinentes sont : HDS (Hebergeur de Donnees de Sante), obligatoire pour l’hebergement de donnees de sante ; ISO 27001, la reference internationale en securite de l’information ; C5, le catalogue de conformite cloud du BSI allemand, reconnu en Europe ; SOC 2 Type II, pour les controles de securite et de disponibilite ; et SecNumCloud, la qualification de l’ANSSI (en cours pour certains services). Ces certifications sont accessibles via AWS Artifact et doivent figurer dans votre documentation de conformite. L’analyse d’impact de vos traitements sur AWS doit referencer ces certifications comme mesures de securite au sens de l’article 32.