Confidentialité des données au Mexique

Présentation

La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) régit, depuis juillet 2010, le traitement des données personnelles (définies comme étant toutes les informations sur une personne physique identifiée ou identifiable) par les personnes physiques ou morales du secteur privé. Le Congrès de l'Union a également approuvé plusieurs règlements relatifs à la confidentialité des données, dont la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), qui régit le traitement des données personnelles par le secteur public. L'Institut national pour la transparence, l'accès à l'information et la protection des données personnelles (INAI) est l'organe constitutionnel autonome du Mexique chargé de faire respecter ces deux lois et leurs règlements.

En ce qui concerne le secteur privé, l'article 52 de la LFPDPPP stipule que les responsables du traitement des données à caractère personnel peuvent utiliser des services, des applications et une infrastructure cloud tant que le fournisseur cloud est conforme à certaines exigences relatives, entre autres, à la protection de la confidentialité des données à caractère personnel. Quant au secteur public, cette même autorisation figure à l'article 63 de la LGPDPPSO.

AWS tient à votre vie privée et à la sécurité de vos données. Chez AWS, la sécurité commence par notre infrastructure de base. Notre infrastructure conçue spécifiquement pour le cloud et pour répondre aux exigences de sécurité les plus strictes au monde est surveillée 24 h/24 et 7 j/7 afin de garantir la confidentialité, l'intégrité et la disponibilité des données de nos clients. Internationalement reconnus, les mêmes experts en sécurité qui supervisent cette infrastructure construisent et maintiennent également notre vaste sélection de services de sécurité novateurs, lesquels peuvent vous aider à respecter vos propres exigences de sécurité et de réglementation. En tant que client AWS, quelles que soient votre taille et votre localisation, vous bénéficiez de tous les avantages de notre expertise, laquelle est évaluée par les programmes de sécurité tiers les plus stricts.

AWS met en œuvre et maintient des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure du Cloud AWS en vertu de certifications et de cadres réglementaires de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1 et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès ou la divulgation non autorisés en ce qui concerne le contenu des clients.

Par exemple, la norme ISO 27018 est le premier code de pratique international axé sur la protection des données personnelles dans le cloud. Il repose sur la norme ISO 27002 de sécurité de l'information et fournit des conseils d'application des contrôles ISO 27002 applicables aux données d'identification personnelle (PII) traitées par les fournisseurs de services de cloud public. Cela prouve aux clients qu'AWS dispose d'un système de contrôles spécifiquement tournés vers le respect de la confidentialité de leur contenu.

Ces mesures techniques et organisationnelles d'AWS sont conformes aux exigences des lois LFPDPPP et LGPDPPSO qui visent à protéger les données à caractère personnel. Les clients qui utilisent les services AWS conservent le contrôle de leur contenu et sont responsables de la mise en œuvre de mesures de sécurité supplémentaires en fonction de leurs besoins spécifiques, y compris la classification du contenu, le chiffrement, la gestion des accès et les identifiants de sécurité.

Étant donné qu'AWS n'a pas de visibilité sur le type de contenu que les clients choisissent de stocker sur AWS et ne sait pas s'il est soumis aux lois LFPDPPP et LGPDPPSO, les clients sont responsables en dernier ressort de leur propre conformité. Le contenu de cette page complète les ressources existantes en matière de confidentialité des données pour vous permettre d’aligner vos exigences au modèle de responsabilité partagée d'AWS lorsque vous traitez des données à caractère personnel dans des centres de données internationaux. 

Questions fréquentes (FAQ)

  • Oui. Tous les services AWS peuvent être utilisés conformément aux lois LFPDPPP et LGPDPPSO pour stocker les données personnelles au Mexique, y compris les litiges relatifs la suppression des données. Cela signifie qu’en plus de bénéficier de toutes les mesures déjà prises par AWS pour garantir la sécurité des services, les clients peuvent mettre en œuvre les services AWS en tant qu'éléments clés de leurs plans conformément aux lois LFPDPPP et LGPDPPSO. 

  • Dans le cadre du modèle de responsabilité partagée d'AWS, les clients AWS gardent le contrôle sur les mesures de sécurité qu'ils choisissent de mettre en place afin de protéger leurs contenus, plateformes, applications, systèmes et réseaux, de la même manière que s'ils plaçaient leurs applications situées dans un centre de données dans leurs propres locaux (centre de données sur site). Les clients peuvent s'appuyer sur les garanties et contrôles, techniques et organisationnels, fournis par AWS pour gérer leurs propres exigences de conformité. Outre les fonctions de sécurité d'AWS telles qu'AWS Identity and Access Management, les clients peuvent utiliser des méthodes de sécurité courantes pour protéger leurs données, telles que le chiffrement et l'authentification multifacteur, .

    Lorsqu'il évalue la sécurité d'une solution de cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

    • les mesures de sécurité mises en place et gérées par AWS, c'est-à-dire la « sécurité du Cloud AWS » ;
    • les mesures de sécurité mises en place et gérées par le client, en lien avec la sécurité de contenu et des applications client qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».
  • Les clients conservent la propriété et le contrôle de leur contenu, ils choisissent les services AWS qui procéderont aux opérations de traitement, de stockage et d'hébergement de ce contenu. AWS n'a aucune visibilité sur le contenu des clients et n'y accède pas ni ne l'utilise, sauf pour fournir les services AWS choisis par un client ou lorsque cela est nécessaire pour se conformer à la loi ou à une obligation légale.

    Les clients qui utilisent les services AWS gardent le contrôle de leur contenu dans l'environnement AWS. Les clients peuvent :

    1. Déterminer le lieu où le contenu sera localisé, par exemple le type d'environnement de stockage et l'emplacement géographique de ce stockage.
    2. Contrôler le format du contenu, par exemple en texte brut, masqué, anonyme ou chiffré, en utilisant le mécanisme de chiffrement fourni par AWS ou un mécanisme du choix du client.
    3. Gérer les contrôles d'accès supplémentaires, comme la gestion d'identité et d'accès et les informations d'identification de sécurité.
    4. Déterminer si TLS, Virtual Private Cloud et d'autres mesures de sécurité réseau sont utilisées pour empêcher tout accès non autorisé.

    Les clients AWS contrôlent ainsi l'intégralité du cycle de vie de leur contenu sur AWS, et le gèrent selon leurs besoins spécifiques, notamment en ce qui concerne la classification de contenu, le contrôle d'accès, la conservation et la suppression. 

  • L'infrastructure globale d'AWS vous permet de choisir comment et où exécuter vos charges de travail. Ainsi, vous utilisez le même réseau, le même plan de contrôle, les mêmes API et les mêmes services AWS. Si vous souhaitez exécuter vos applications à l'échelle mondiale, vous pouvez choisir n'importe quelle région AWS ou zone de disponibilité. En tant que client, vous pouvez choisir les régions AWS dans lesquelles votre contenu est stocké, ce qui vous permet de mettre en œuvre vos services AWS à l'emplacement de votre choix, en fonction de vos exigences géographiques spécifiques. Par exemple, si un client AWS en Australie veut stocker ses données uniquement dans ce pays, il peut choisir de mettre en œuvre ses services AWS exclusivement dans la région AWS Asie-Pacifique (Sydney). Si vous souhaitez découvrir d'autres options de stockage flexibles, consultez la page web Régions AWS.

    Vous pouvez répliquer et sauvegarder votre contenu client dans plusieurs régions AWS. Nous ne transférons ni ne répliquons votre contenu hors des régions AWS choisies sans votre accord, sauf si cela est nécessaire pour se conformer à la loi ou à une décision contraignante d'un organisme gouvernemental. Cependant, veuillez noter que tous les services AWS peuvent ne pas être disponibles dans toutes les régions AWS. Pour plus d'informations sur les services disponibles dans les différentes régions AWS, consultez la page web Services régionaux AWS.

    Les centres de données AWS se trouvent dans des groupes situés dans divers pays à travers le monde. Chacun de nos groupes de centres de données est désigné comme étant une « région ».

    Les clients AWS choisissent la ou les régions AWS dans lesquelles leur contenu sera stocké. Ainsi, les clients qui ont des exigences spécifiques en termes de géographie peuvent établir leurs environnements dans l'emplacement ou les emplacements de leur choix.
    Les clients peuvent répliquer et sauvegarder leur contenu dans plusieurs régions, mais AWS ne transfère pas leur contenu en dehors de la ou des régions de leur choix, sauf pour fournir les services demandés par les clients ou pour respecter la loi. 

  • L'approche d'AWS relative à la sécurité des centres de données est basée sur des contrôles de sécurité évolutifs ainsi que sur différents niveaux de protection des informations clients. Par exemple, AWS gère attentivement les risques potentiels liés aux inondations et aux séismes. Nous utilisons des barrières physiques, des agents de sécurité, une technologie de détection des menaces et un processus d'examen approfondi pour limiter l'accès aux centres de données. Nous sauvegardons nos systèmes, testons régulièrement l'équipement et les processus, et formons continuellement les employés d'AWS pour qu'ils soient prêts à faire face aux imprévus.

    Pour valider la sécurité de nos centres de données, des auditeurs externes effectuent des tests sur plus de 2 600 normes et exigences tout au long de l'année. Grâce à cette évaluation indépendante, nous garantissons que les normes de sécurité sont toujours respectées, voire dépassées. Grâce à toutes ces mesures, les entreprises les plus réglementées du monde font confiance à AWS chaque jour pour la protection de leurs données.

    En savoir plus sur la façon dont nous sécurisons les centres de données AWS en effectuant une visite virtuelle » 
  • Les clients peuvent choisir d'utiliser une région, toutes les régions ou une combinaison de régions, y compris les régions du Brésil et des États-Unis. Visitez la page relative à l'infrastructure mondiale d'AWS pour consulter la liste complète des régions AWS. 

Des questions ? Contactez un représentant commercial d'AWS
Vous vous intéressez aux rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »