AWS et RGPD : conformité cloud infrastructure

Amazon Web Services (AWS) est le leader mondial du cloud computing et l’infrastructure de référence pour une majorité de startups et un nombre croissant d’entreprises françaises. Choisir AWS comme hébergeur, c’est confier à Amazon l’infrastructure sur laquelle tournent vos applications, vos bases de données et, par conséquent, les données personnelles de vos utilisateurs. La question de la conformité RGPD d’AWS est donc structurante pour toute entreprise qui utilise ses services.

La réponse est plus nuancée qu’un simple “oui” ou “non”. AWS fournit un cadre de conformité solide – DPA complet, certifications multiples, régions européennes, outils de configuration granulaires. Mais la conformité effective dépend en grande partie de ce que vous faites de ce cadre. Le modèle de responsabilité partagée d’AWS signifie que la moitié de la conformité repose sur vos épaules.

Ce guide analyse la conformité RGPD d’AWS sous l’angle juridique et opérationnel, en identifiant les points où l’infrastructure AWS est conforme par défaut et ceux où votre configuration détermine la conformité.

Qualification juridique : le modèle de responsabilité partagee

AWS en tant que sous-traitant

Pour les services d’infrastructure (IaaS) et de plateforme (PaaS) – EC2, S3, RDS, Lambda, etc. – AWS agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Vous (le client) êtes le responsable de traitement : vous déterminez quelles données sont stockées, comment elles sont traitées, et dans quelle finalité.

AWS ne détermine pas les finalités du traitement de vos données. AWS ne décide pas quelles données vous stockez dans un bucket S3 ou une base RDS. AWS met à disposition une infrastructure que vous configurez et utilisez selon vos besoins. C’est la définition même de la sous-traitance au sens du RGPD.

Le modèle de responsabilité partagée

Le Shared Responsibility Model d’AWS est le concept central pour comprendre la conformité RGPD sur AWS. Le partage s’articule ainsi :

AWS est responsable de la sécurité DU cloud :

• Sécurité physique des datacenters (contrôle d’accès, surveillance, alimentation redondante)
• Sécurité de l’infrastructure réseau et de l’hyperviseur
• Maintenance et mise à jour des composants d’infrastructure
• Disponibilité et résilience de la plateforme

Vous êtes responsable de la sécurité DANS le cloud :

• Configuration des groupes de sécurité et des ACLs réseau
• Chiffrement des données (au repos et en transit)
• Gestion des identités et des accès (IAM)
• Mise à jour de vos systèmes d’exploitation et applications
• Configuration des sauvegardes et de la reprise après sinistre
• Paramétrage des journaux d’audit (CloudTrail, CloudWatch)
• Choix de la région de stockage

Ce partage a une conséquence juridique directe : en cas de violation de données causée par une mauvaise configuration de votre côté (bucket S3 public, par exemple), la responsabilité au sens de l’article 32 du RGPD vous incombe, pas à AWS. L’inverse est vrai si la faille provient de l’infrastructure AWS elle-même.

Cas particuliers : AWS en tant que responsable de traitement

Pour certains traitements liés à la gestion de votre compte AWS (facturation, support, communication commerciale), AWS agit comme responsable de traitement. De même, certains services managés où AWS prend des décisions sur les finalités du traitement (par exemple, l’analyse de données pour l’amélioration des services, si vous n’avez pas opt-out) peuvent impliquer un rôle de responsable de traitement. Le DPA d’AWS couvre ces deux situations.

Analyse du DPA d’AWS

Le AWS Data Processing Addendum (DPA) est le contrat de sous-traitance au sens de l’article 28 du RGPD. Il est automatiquement intégré aux conditions d’utilisation d’AWS (AWS Customer Agreement) depuis 2018. Voici l’analyse de conformité.

Exigence Art. 28	Disposition du DPA AWS	Évaluation
Instructions documentées (28(3)(a))	AWS traite les données uniquement conformément aux instructions du client telles que définies dans le contrat et la configuration des services	Conforme
Confidentialité du personnel (28(3)(b))	Engagement de confidentialité du personnel AWS	Conforme
Mesures de sécurité (28(3)©)	Programme de sécurité documenté, certifications multiples (ISO 27001, SOC 2, C5, HDS)	Conforme
Sous-traitance ultérieure (28(3)(d))	Liste de sous-traitants ultérieurs publiée, mécanisme de notification	Conforme
Assistance aux droits des personnes (28(3)(e))	AWS fournit des outils techniques permettant au client de répondre aux demandes (accès, suppression, portabilité)	Conforme
Assistance sécurité et AIPD (28(3)(f))	Coopération pour les analyses d’impact et les notifications de violation	Conforme
Suppression ou restitution (28(3)(g))	Le client peut supprimer ses données à tout moment via les outils AWS ; suppression confirmée en fin de contrat	Conforme
Audits et inspections (28(3)(h))	Mise à disposition de rapports via AWS Artifact (SOC 2, ISO 27001, PCI-DSS, C5, etc.) ; audit sur site via programme d’audit	Conforme

Point notable : le DPA d’AWS est l’un des plus complets du marché cloud. AWS Artifact permet aux clients de télécharger les rapports d’audit et de certification en libre-service, ce qui facilite considérablement la documentation de conformité. C’est un avantage significatif par rapport à des fournisseurs qui exigent une demande formelle pour chaque rapport.

Transferts internationaux et evaluation d’impact du transfert

La question centrale : le choix de la région

Avec AWS, la localisation des données est entièrement sous votre contrôle. AWS propose plusieurs régions européennes :

• eu-west-3 (Paris) – la région de référence pour les clients français
• eu-central-1 (Francfort)
• eu-west-1 (Irlande)
• eu-south-1 (Milan)
• eu-north-1 (Stockholm)
• eu-central-2 (Zurich)
• eu-south-2 (Espagne)

Si vous sélectionnez la région Paris (eu-west-3) et ne configurez aucune réplication inter-régions vers des régions hors EEE, vos données restent en France. Il n’y a pas de transfert hors UE pour le stockage et le traitement des données. C’est la configuration la plus simple du point de vue RGPD.

Quand y a-t-il transfert hors UE ?

Des transferts hors UE interviennent dans les cas suivants :

• Vous choisissez une région hors EEE (us-east-1, ap-northeast-1, etc.) pour le stockage ou le traitement.
• Vous configurez une réplication inter-régions vers une région hors EEE (par exemple, S3 Cross-Region Replication vers us-east-1 pour le disaster recovery).
• Vous utilisez des services edge : CloudFront (CDN) distribue du contenu sur des points de présence (edge locations) dans le monde entier, y compris hors UE. Lambda@Edge exécute du code sur ces mêmes edge locations.
• Le support technique AWS : les ingénieurs de support AWS peuvent accéder à vos données depuis des localisations hors UE pour résoudre un incident. AWS propose l’option “AWS Support in EU” qui limite le support aux équipes européennes.

Mécanismes de transfert

Pour les transferts hors UE (quand ils existent), AWS s’appuie sur :

1. EU-US Data Privacy Framework (DPF) : Amazon.com Inc. est certifié DPF pour les transferts vers les États-Unis.

2. Clauses contractuelles types (CCT) : le DPA d’AWS intègre les CCT de la Commission européenne comme mécanisme subsidiaire.

3. Mesures supplémentaires : chiffrement (AWS KMS, CloudHSM), contrôle granulaire des accès (IAM), journalisation exhaustive (CloudTrail).

Le CLOUD Act : l’éléphant dans la pièce

AWS est une filiale d’Amazon, entreprise américaine soumise au CLOUD Act. Cette loi fédérale permet aux autorités américaines de demander l’accès à des données détenues par des entreprises américaines, y compris des données stockées sur des serveurs situés hors des États-Unis – y compris, donc, sur la région Paris.

C’est le point de tension principal pour la conformité RGPD d’AWS. Voici les éléments d’analyse :

• Risque théorique : le CLOUD Act donne un pouvoir d’accès extraterritorial aux autorités américaines. Ce risque existe même si vos données sont stockées en France.
• Risque pratique : AWS déclare contester les demandes d’accès qu’elle considère comme excessives ou en conflit avec le droit européen. AWS publie un rapport de transparence annuel sur les demandes reçues.
• Facteur atténuant : le chiffrement côté client (client-side encryption) avec des clés que vous gérez vous-même (via AWS CloudHSM ou un HSM externe) rend les données illisibles pour AWS et, par extension, pour toute autorité qui accéderait aux données via AWS.
• Position des autorités européennes : le CEPD et la CNIL n’ont pas interdit l’utilisation d’AWS, mais recommandent la mise en oeuvre de mesures supplémentaires (chiffrement, pseudonymisation) pour les traitements sensibles.

Pour les traitements de données sensibles ou à haut risque, le chiffrement côté client avec gestion externe des clés est la mesure la plus efficace pour neutraliser le risque CLOUD Act.

Sécurité informatique : les certifications AWS

Le programme de conformité AWS

AWS détient un nombre exceptionnel de certifications de sécurité, pertinentes pour le marché français et européen :

• ISO 27001 : système de management de la sécurité de l’information
• ISO 27017 : sécurité cloud spécifique
• ISO 27018 : protection des données personnelles dans le cloud
• SOC 2 Type II : contrôles de sécurité, disponibilité, confidentialité
• PCI-DSS Level 1 : pour les services de paiement
• C5 : catalogue de conformité cloud du BSI allemand, référence en Europe
• HDS : Hébergeur de Données de Santé, certification française obligatoire pour l’hébergement de données de santé. AWS est certifié HDS pour la région Paris.
• CSA STAR : Cloud Security Alliance
• SecNumCloud : la qualification de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est en cours de déploiement pour certains services AWS en France.

AWS Artifact

AWS Artifact est un portail en libre-service qui permet aux clients de télécharger les rapports d’audit, les certifications et les attestations de conformité d’AWS. Ces documents sont essentiels pour alimenter votre documentation de conformité et pour répondre aux obligations de l’article 28(3)(h) (audits et inspections).

Article 32 et responsabilité partagée

L’article 32 du RGPD impose des mesures de sécurité adaptées au risque. Du côté d’AWS, les certifications attestent d’un niveau de sécurité élevé pour l’infrastructure. Du côté du client, les mesures suivantes relèvent de votre responsabilité :

• Chiffrement des données au repos (AWS KMS, SSE-S3, SSE-KMS, SSE-C)
• Chiffrement en transit (TLS obligatoire)
• Configuration IAM (principe du moindre privilège, MFA obligatoire)
• Configuration des Security Groups et des NACLs
• Activation et surveillance de CloudTrail et CloudWatch
• Configuration des sauvegardes et des politiques de rétention
• Gestion des mises à jour des instances EC2 et des conteneurs

Configuration recommandée pour la conformité RGPD

1. Choisir la région Paris (eu-west-3)

Pour les traitements de données de personnes situées en France ou en Europe, sélectionnez la région Paris (eu-west-3) comme région par défaut. Configurez des Service Control Policies (SCP) au niveau d’AWS Organizations pour interdire le lancement de ressources en dehors des régions européennes. Cela élimine le risque de transfert hors UE par erreur de configuration.

2. Chiffrer systématiquement

• Au repos : activez le chiffrement par défaut pour S3 (SSE-S3 ou SSE-KMS), EBS, RDS, DynamoDB, et tout service de stockage. Utilisez AWS KMS pour la gestion centralisée des clés.
• En transit : imposez TLS pour toutes les communications. Configurez les politiques de bucket S3 pour rejeter les requêtes non chiffrées.
• Pour les données sensibles : utilisez le chiffrement côté client (client-side encryption) avec des clés que vous gérez via CloudHSM ou un HSM externe. C’est la protection la plus forte contre le risque CLOUD Act.

3. Configurer IAM avec rigueur

• Appliquez le principe du moindre privilège : chaque utilisateur, rôle et service ne doit avoir que les permissions strictement nécessaires.
• Activez le MFA (authentification multi-facteurs) pour tous les comptes, en particulier le compte root.
• Utilisez des rôles IAM plutôt que des clés d’accès à long terme.
• Auditez régulièrement les permissions avec IAM Access Analyzer.

4. Activer la journalisation

• CloudTrail : activez CloudTrail sur toutes les régions pour tracer l’ensemble des appels API. Stockez les journaux dans un bucket S3 dédié, chiffré, avec une politique de rétention définie.
• CloudWatch : configurez des alarmes pour les événements de sécurité (tentatives de connexion échouées, modifications de Security Groups, accès non autorisés).
• VPC Flow Logs : activez les journaux de flux réseau pour les VPC contenant des données personnelles.

5. Gérer la conservation des données

Implémentez des politiques de cycle de vie S3 (S3 Lifecycle Policies) pour supprimer automatiquement les données après la durée de conservation définie dans votre registre des traitements. Configurez des politiques de rétention pour les sauvegardes RDS et les snapshots EBS. Documentez ces durées dans votre registre des traitements.

6. Limiter CloudFront aux edge locations européennes

Si vous utilisez CloudFront (CDN), configurez la distribution pour utiliser uniquement les edge locations européennes (Price Class 200 ou restriction géographique personnalisée). Cela évite que des données personnelles soient mises en cache sur des serveurs hors UE. Attention : Lambda@Edge s’exécute sur les mêmes edge locations que CloudFront – si vous traitez des données personnelles dans des fonctions Lambda@Edge, la même restriction s’applique.

Points d’attention spécifiques

S3 : la source principale de fuites

Les buckets S3 mal configurés sont la cause numéro un de fuites de données sur AWS. Depuis 2023, AWS bloque l’accès public aux buckets par défaut (Block Public Access). Vérifiez néanmoins que cette protection est active au niveau du compte et de chaque bucket. Utilisez AWS Config pour détecter automatiquement les buckets non conformes.

RDS et les bases de données

Pour les bases de données RDS contenant des données personnelles : activez le chiffrement au repos (obligatoire à la création, non modifiable ensuite), configurez les groupes de sécurité pour restreindre l’accès au réseau, activez les journaux d’audit (audit logs), et configurez des sauvegardes automatiques avec une durée de rétention cohérente avec vos obligations légales.

AWS Support et accès aux données

Les ingénieurs de support AWS peuvent avoir besoin d’accéder à vos ressources pour résoudre un incident. Activez l’option AWS Support in EU si elle est disponible pour votre plan de support, afin de limiter l’accès au personnel basé dans l’EEE. Pour les données sensibles, le chiffrement côté client garantit que le support AWS ne peut pas lire vos données même s’il accède à l’infrastructure.

Services managés et traitement des données

Certains services managés AWS (Amazon Macie, Amazon Comprehend, Amazon Rekognition, Amazon Transcribe) traitent activement vos données pour fournir leurs fonctionnalités (analyse, classification, reconnaissance). Vérifiez pour chaque service managé où les données sont traitées (certains services ne sont pas disponibles dans toutes les régions) et si AWS utilise vos données pour améliorer ses modèles (vous pouvez opt-out via les paramètres du service). Documentez chaque service managé dans votre registre comme un traitement distinct.

Si vous utilisez Amazon SES pour l’envoi d’emails (notamment via Sendy), les obligations de sous-traitance s’appliquent spécifiquement au service SES.

De nombreuses applications hébergées sur AWS intègrent des processeurs de paiement comme Stripe, dont la conformité RGPD doit être évaluée séparément.

Les outils SaaS que vous utilisez quotidiennement – Slack, Notion, Zendesk – sont eux-mêmes hébergés sur AWS ou GCP. Leur conformité ne dispense pas de vérifier la vôtre.

Données de santé et HDS

Si vous hébergez des données de santé sur AWS, la certification HDS (Hébergeur de Données de Santé) est obligatoire en droit français (article L1111-8 du Code de la santé publique). AWS est certifié HDS pour la région Paris (eu-west-3). Assurez-vous d’utiliser exclusivement cette région et les services couverts par la certification HDS. La liste des services HDS est disponible sur la page de conformité AWS.

FAQ

AWS est-il conforme au RGPD ?

AWS fournit un cadre de conformité parmi les plus complets du marché cloud : DPA conforme à l’article 28, certifications multiples (ISO 27001, SOC 2, C5, HDS), régions européennes avec maîtrise totale de la localisation des données, et outils de sécurité granulaires (KMS, IAM, CloudTrail). Toutefois, la conformité effective dépend de votre configuration. Un bucket S3 public, un IAM permissif, ou une absence de chiffrement vous placent en infraction, même si l’infrastructure AWS est elle-même conforme. AWS sécurise le cloud ; vous sécurisez ce qui est dans le cloud. Les outils RGPD de conformité permettent d’auditer systématiquement cette configuration.

Le CLOUD Act rend-il AWS non conforme au RGPD ?

Le CLOUD Act est un facteur de risque, pas un facteur d’interdiction. Les autorités européennes (CEPD, CNIL) n’ont pas interdit l’utilisation d’AWS. Elles recommandent de mettre en oeuvre des mesures supplémentaires pour atténuer le risque : chiffrement côté client avec gestion externe des clés (la mesure la plus efficace), choix d’une région européenne, limitation des accès du support aux équipes européennes, et documentation de l’analyse de risque. Pour les données à sensibilité élevée (santé, données judiciaires), le chiffrement côté client est indispensable. Pour les traitements courants, le cadre de conformité d’AWS (DPF + CCT + mesures supplémentaires) est généralement considéré comme suffisant. C’est ce type d’évaluation que Legiscope permet d’automatiser.

Comment éviter les transferts hors UE sur AWS ?

Trois mesures clés : premièrement, sélectionnez la région Paris (eu-west-3) ou une autre région européenne comme région par défaut, et utilisez des Service Control Policies (SCP) pour interdire le déploiement de ressources hors UE. Deuxièmement, si vous utilisez CloudFront, limitez la distribution aux edge locations européennes. Troisièmement, activez AWS Support in EU pour limiter l’accès du support aux équipes basées dans l’EEE. Avec cette configuration, vos données ne quittent pas l’Union européenne. Documentez cette configuration dans votre registre des transferts de données hors UE.

Quelles certifications AWS sont pertinentes pour le marché français ?

Pour le marché français, les certifications les plus pertinentes sont : HDS (Hébergeur de Données de Santé), obligatoire pour l’hébergement de données de santé ; ISO 27001, la référence internationale en sécurité de l’information ; C5, le catalogue de conformité cloud du BSI allemand, reconnu en Europe ; SOC 2 Type II, pour les contrôles de sécurité et de disponibilité ; et SecNumCloud, la qualification de l’ANSSI (en cours pour certains services). Ces certifications sont accessibles via AWS Artifact et doivent figurer dans votre documentation de conformité. L’analyse d’impact de vos traitements sur AWS doit référencer ces certifications comme mesures de sécurité au sens de l’article 32.

Pour une analyse comparable de Google Cloud Platform, consultez notre guide Google Cloud et RGPD.