ConformScan
Démarrer gratuitement →
GDPRDSGVOAWSAzureData Residency

Sécurité cloud RGPD/DSGVO : Ce que les utilisateurs AWS & Azure doivent corriger en 2025

Guide pratique des exigences techniques de l'article 32 du RGPD pour les infrastructures cloud — des politiques S3 au chiffrement RDS.

17 mars 2025·7 min de lecture·
ConformScan

L'article 32 du RGPD exige des « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles. Pour les équipes travaillant sur AWS ou Azure, ce n'est pas abstrait — cela se traduit par des paramètres d'infrastructure spécifiques. Ce guide associe l'article 32 à des vérifications concrètes de configuration cloud.

La base juridique : article 32 du RGPD

L'article 32(1) liste quatre mesures clés :

  1. La pseudonymisation et le chiffrement des données à caractère personnel
  2. La capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues
  3. La capacité à rétablir la disponibilité après un incident
  4. Un processus de test, d'évaluation et d'appréciation réguliers de l'efficacité des mesures

Les amendes pour violations : jusqu'à €20 millions ou 4 % du chiffre d'affaires mondial (article 83).

AWS : Mauvaises configurations RGPD critiques

S3 — la défaillance RGPD la plus fréquente

Les buckets S3 publics contenant des données personnelles constituent la violation RGPD la plus courante dans les environnements cloud. Vérifiez :

  • BlockPublicAcls et BlockPublicPolicy activés sur TOUS les buckets
  • Chiffrement côté serveur activé (SSE-S3 ou SSE-KMS)
  • Politique de bucket imposant uniquement HTTPS (condition aws:SecureTransport)
  • Journalisation des accès activée pour les buckets contenant des données personnelles
  • Journalisation au niveau objet via CloudTrail pour la piste d'audit RGPD

RDS & bases de données

  • Chiffrement du stockage activé lors de la création de l'instance (ne peut pas être modifié après)
  • Paramètre de groupe rds.force_ssl = 1
  • Pas d'instances RDS accessibles publiquement
  • Sauvegardes automatiques avec ≥7 jours de rétention
  • Protection contre la suppression activée sur les instances de production

IAM — accès aux données personnelles

L'article 5(1)(f) exige la confidentialité et l'intégrité. Cela signifie :

  • MFA requis pour tous les utilisateurs pouvant accéder aux données personnelles
  • Politiques IAM limitées aux permissions minimales requises
  • Pas de clés d'accès à longue durée de vie pour les comptes de service (utiliser les rôles IAM)
  • Revues d'accès régulières via IAM Access Analyzer

CloudTrail — la piste d'audit que le RGPD exige

L'article 30 du RGPD exige des registres des activités de traitement. CloudTrail le fournit pour AWS :

  • Trail multi-région activé
  • Validation des fichiers journaux activée (prouve que les logs n'ont pas été altérés)
  • Journaux CloudTrail chiffrés avec KMS
  • Rétention des journaux ≥ 12 mois dans S3 avec règles de cycle de vie

Azure : Mauvaises configurations RGPD critiques

Comptes de stockage

  • Transfert sécurisé requis (HTTPS uniquement)
  • Accès public aux blobs désactivé
  • Suppression réversible activée pour les données blob
  • Chiffrement du stockage avec des clés gérées par le client (pour les données sensibles)

Azure SQL

  • Transparent Data Encryption activé
  • Advanced Threat Protection activé
  • Audit activé et journaux envoyés au compte de stockage ou Log Analytics
  • Pas d'accès réseau public pour les bases de données de production

Résidence des données UE — l'exigence Schrems II

Suite à l'arrêt Schrems II (2020), le transfert de données personnelles vers les États-Unis est restreint sauf si des garanties appropriées sont en place. Pour l'infrastructure cloud, cela signifie vérifier que :

  • Toutes les ressources EC2, RDS, S3 et Lambda sont dans des régions UE (eu-central-1, eu-west-1, eu-west-3, etc.)
  • Les ressources Azure sont dans des régions UE (West Europe, North Europe, Germany West Central)
  • Pas de réplication inter-région vers des régions américaines sans mécanisme de consentement explicite
  • Les distributions CloudFront ne routent pas les données hors UE sans consentement

Les vérifications de résidence UE de ConformScan vérifient explicitement chaque région de ressource dans vos comptes AWS et Azure.

La conformité RGPD n'est pas une case à cocher — c'est continu

Un audit ponctuel ne garantit pas la conformité. La dérive de configuration se produit : un développeur crée un bucket S3 public, quelqu'un désactive CloudTrail pour réduire les coûts, une instance RDS est créée sans chiffrement. Le scanning automatisé quotidien détecte ces régressions avant votre autorité de protection des données.

Prêt à analyser votre infrastructure ?

1 scan gratuit/mois · Sans carte bancaire · Résultats en moins de 2 minutes · Hébergé en Allemagne

Démarrer gratuitement →

Autres guides conformité

NIS2AWS

Checklist NIS2 pour AWS : Le guide complet 2025

8 min de lecture

BSI C5Audit

Préparation à l'audit BSI C5 : Guide étape par étape pour les équipes cloud

9 min de lecture

Sécurité cloud RGPD/DSGVO : Ce que les utilisateurs AWS & Azure doivent corriger en 2025 | ConformScan Blog