La Commission européenne veut s'assurer d'un accès sûr, durable et interopérable des infrastructures et des services cloud pour les entreprises européennes. Comment se situe AWS dans ce contexte ?

Stephan Hadinger : AWS a été créé sur la base d'un alignement avec les principes de sécurité et liberté.  La protection des données est notre priorité depuis le premier jour et c'est la raison pour laquelle plus de 80% de nos clients ont décidé d'utiliser nos services. Nos clients doivent pouvoir nous faire confiance et avoir un accès et contrôle permanent de leurs données. C'est ainsi que plus de 80% des entreprises du CAC 40 et plus de 70% des licornes françaises choisissent AWS. Au-delà de la sécurité, nos clients sont libres de leurs mouvements avec AWS. Ils conservent la possession de leurs données à tout instant et peuvent les récupérer quand ils le souhaitent. Nous concevons aussi nos services à partir de standards ouverts et open-source comme SQL, Linux ou Java (et plusieurs dizaines d'autres) et nous mettons aussi à disposition un certain nombre d'outils de migration. Chez AWS, nous devons gagner la confiance de nos clients à chaque minute pour qu'ils continuent d'utiliser nos services car il n'y a pas de contrainte technologique pour rester.

En France, la CNIL a approuvé le premier code de conduite européen pour les fournisseurs de services d'infrastructure cloud en juin 2021. AWS a-t-il dû opérer des changements au point de vue opérationnel ?

S. H. : Le paysage réglementaire européen évolue et nous travaillons avec nos clients, régulateurs et partenaires pour comprendre en profondeur leurs besoins et leurs exigences. Chez AWS, nous développons des capacités de contrôle, de sécurité et de confidentialité des données pour permettre à nos clients de répondre aux exigences européennes tout en leur offrant tous les bénéfices du cloud. Nous avons d'ailleurs déjà déclaré 52 services sous le Code de conduite sur la protection des données des fournisseurs de services d'infrastructure cloud en Europe (Code CISPE). Ces 52 services ont été contrôlés par un auditeur tiers et indépendant accrédité par la CNIL. Cela fournit une vérification indépendante et un niveau supplémentaire d'assurance à nos clients que nos services cloud peuvent être utilisés conformément au règlement général sur la protection des données (RGPD).

Mais comment garantissez-vous à vos clients la conformité de vos services? Comment les accompagnez-vous ?

S. H. : Dans le cloud, chacun à une part de responsabilité. Nous avons en charge la responsabilité de la protection de l'infrastructure et nous travaillons pour faire auditer et certifier celle-ci pour répondre aux exigences de nos clients. Ces processus de certification confirment qu'AWS suit les bonnes pratiques et est conforme à des normes objectives. Nous avons déjà obtenu de nombreuses certifications, dont l'ISO 27001 et ISO 27018, des normes internationales de sécurité des systèmes d'information. Liée au cloud, cette dernière est spécifique à la protection des données personnelles. En ce qui concerne la gestion des données des cartes bancaires, nos services sont certifiés selon la norme PCI DSS (Payment Card Industry - Data Security Standard), qui vise à réduire la fraude en ligne et va plus loin que les données personnelles habituelles. En France, nous avons obtenu la certification HDS (Hébergement de données de santé), définie par l'Agence Nationale de Santé publique, délivrée par Bureau Veritas.

Quant aux clients, ils ont la responsabilité de leurs applications. Bien entendu, si un client a besoin d'aide, en plus des ressources que nous mettons à disposition, ils peuvent faire appel à notre écosystème de partenaires qui proposent des centaines d'outils et fonctionnalités qui permettent aux clients de mettre en place les bonnes pratiques et de respecter leurs objectifs de sécurité, allant de la sécurité du réseau, la gestion de la configuration, le contrôle d'accès et le chiffrement des données.

Qu'en est-il du transfert de données à caractère personnel soumises au RGPD hors de l'Union européenne ?

S. H. : En premier lieu, nos clients choisissent dans quel pays ils veulent stocker leurs données, ils peuvent le faire dans une de nos 5 régions AWS en Europe, et nous ne les déplaçons pas. Ensuite, nous avons pris des engagements contractuels renforcés pour protéger les données personnelles que les clients confient à AWS qui vont au-delà de ce qui est requis au niveau réglementaire. Tous nos clients en bénéficient automatiquement. Et nous ne nous arrêterons pas là. Nous continuerons de mettre à jour nos pratiques pour répondre à l'évolution des besoins et des attentes des clients et des régulateurs, et nous conformer pleinement à toutes les lois applicables dans chaque pays où nous sommes implantés.