Transfert de données sécurisé : AWS, conforme à la loi européenne

La Commission nationale de la protection des données a approuvé le contrat de confiance d’AWS, celui-ci étant conforme aux clauses contractuelles types définies en Europe.

L’autorité en charge de la protection des données au sein de l’Union européenne a approuvé le contrat de traitement de données (DPA – Data Processing Agreement) proposé par AWS. Donnant ainsi au numéro 1 du Iaas dans le monde un sceau de confiance désormais indispensable, lorsqu’on aborde la protection des données et leurs transferts inter-régions.

UE

En bref, AWS a aligné des standards de sécurité et de protection des données sur les standards européens en place, définis par la directive 95/46/EC – qui définit le traitement et le transfert des données personnelles dans l’EU.

Cette approbation a été donnée par le groupe de travail 29, un comité composé de spécialistes de la protection des données de chaque Etat-membre et de membres de la Commission. Leur mission est d’harmoniser les lois liées à la protection des données en Europe. 

L’un des points clé dans ce contrat de traitement de données d’AWS est qu’il contient des clauses contractuelles types, telles que définies dans la directive européenne. Ces clauses, si présentes dans l’accord, permettent de garantir que le niveau de protection des données imposé en EU sera conservé lors de leur transfert dans un pays tiers, hors EU, ou avec des mesures de protection des données plus laxistes.

Sur son site, AWS définit les clauses contractuelles types comme « un ensemble de dispositifs standards définis et approuvés par la Commission européenne, pouvant être utilisé pour le transfert de données personnelles d’un façon conforme, par un responsable du traitement des données vers un sous-traitant, hors de la Espace Economique Européen (EEE). »

Moins de procédures avec les pays hors EU

« Le 6 mars 2015, la CNPD a envoyé une lettre à  AWS, confirmant que le “Data Processing Addendum” d’AWS était conforme aux  clauses contractuelles types de la Décision 2010/87/UE de la Commission et reconnaissant qu’en utilisant le “Data Processing Addendum” ensemble avec ses annexes, AWS prendrait des engagements contractuels suffisants pour fournir un cadre légal à ses flux internationaux de données conformément à l’article 26 de la Directive 95/46/CE », explique la Commission nationale pour la protection des données.

Dans cette lettre, la Commission du Grand-Duché du Luxembourg explique que les clauses formulées par AWS ne peuvent pas être considérées comme « Ad hoc ».  Ainsi, « en pratique, cela va réduire le nombre d’autorisations nationales requises pour autoriser les transferts internationaux de données (selon les lois nationales en vigueur) », écrit-elle. En gros, fluidifier les transferts, tout en étant garanti de la conservation d’un niveau élevé de protection.

« Le DAP avec les clauses contractuelles types offrent aux clients AWS un choix plus étendu en matière de protection des données et  leur garantit que leur contenu reçoit le même niveau de protection de données, conforme aux lois européennes, quelle que soit la région AWS choisie dans le monde », explique de côté, AWS dans un communiqué.

Pour approfondir sur Backup