DPA adopté ! Le contrat de traitement de données (Data Processing Addendum) proposé par Amazon Web Services a été adopté par l’autorité en charge de la protection des données au sein de l’Union européenne.
Le numéro un mondial de l’IaaS (Infrastructure-as-Service) franchit un obstacle majeur, ce DPA ayant valeur de label dès lors qu’il est question de la protection des données et leurs transferts inter-régions. Concrètement, AWS respecte les standards de sécurité et de protection des données définis par la directive 95/46/EC (traitement et le transfert des données personnelles dans l’Union européenne).
L’approbation du DPA incluant les clauses contractuelles types (communément désignées comme des clauses types) signifie que les clients d’AWS souhaitant transférer des données personnelles de l’EEA (European Economic Area) vers d’autres pays, avec même plus de détails que leur contenu sur AWS, bénéficieront du même niveau élevé de protection des données que dans tout l’espace économique européen.
L’approbation a été donnée par le groupe de travail 29, un comité composé de spécialistes de la protection des données de chaque Etat-membre et de membres de la Commission.
Quelques jours plus tôt, le géant américain inaugurait à Francfort une AWS Marketplace, renforçant ainsi la disponibilité de sa place de marché d’applications cloud en Europe. Le signal était double: se renforcer au coeur de la zone euro et se conformer aux règles de protection des données édictées par la Commission européenne. Plus de 700 produits sont référencés au sein de l’AWS Marketplace, dont des solutions de sécurité, de business intelligence, de gestion du stockage, etc.
A cette occasion, Amazon a par ailleurs annoncé la possibilité de répliquer le contenu du système de stockage S3 dans différentes régions. Un élément stratégique pour les entreprises souhaitant rapprocher les données des utilisateurs, afin de réduire les temps d’accès aux services qu’elles proposent. Cela permettra également de mieux se conformer aux législations spécifiques à certaines régions, qui imposent d’héberger les données sur leur sol.
Enfin, rappelons que le 6 mars 2015, la CNPD (Commission Nationale pour la Protection des Données) a envoyé une lettre à AWS confirmant que le DPA d’AWS était conforme aux clauses contractuelles types de la Décision 2010/87/UE de la Commission et reconnaissant qu’en utilisant le DPA ensemble avec ses annexes, AWS prenait des engagements contractuels suffisants pour fournir un cadre légal à ses flux internationaux de données conformément à l’article 26 de la Directive 95/46/CE…