Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Amazon Simple Storage Service (S3) est le service de stockage objet d'Amazon Web Services. Il stocke des fichiers (images, vidéos, documents, sauvegardes) dans des buckets, exposés via HTTPS ou en origine derrière Amazon CloudFront. S3 ne pose pas de cookies côté client, mais transmet l'adresse IP des visiteurs à AWS, ce qui soulève des questions RGPD sur le choix de la région, le contrat de sous traitance et l'accès par les autorités américaines.
Amazon Simple Storage Service (S3) est le service de stockage objet phare d''Amazon Web Services. Il propose des buckets capables de stocker un nombre illimité de fichiers (images, vidéos, documents, archives, données applicatives, jeux de données ML) et les diffuse via HTTPS, URL pré signées, API REST ou en origine derrière Amazon CloudFront. S3 est un composant fondamental du web moderne : médiathèques, sauvegardes applicatives, sites statiques et téléchargements de CMS atterrissent souvent dans un bucket S3. Sur le plan de la confidentialité, S3 se distingue parce qu''il stocke ou relaie des données personnelles sans poser de cookies côté client.
S3 traite les objets que vous y déposez ainsi que les métadonnées de chaque requête : adresse IP, méthode HTTP, clé d''objet, taille, latence et en têtes personnalisés. Lorsque les Server Access Logs S3 ou AWS CloudTrail sont activés, ces journaux sont stockés dans un autre bucket et peuvent contenir des IP considérées comme des données personnelles. S3 ne pose pas de cookies sur le navigateur. Si le bucket est placé derrière CloudFront, AWS conserve également des logs d''edge à des fins de sécurité et de performance.
S3 est un sous traitant au sens de l''article 28 RGPD lorsqu''il diffuse les contenus d''un responsable. L''AWS Data Processing Addendum est le contrat standard, complété par les CCT UE intégrées au DPA RGPD d''AWS et la certification d''Amazon Web Services Inc. au Data Privacy Framework UE États Unis. La directive ePrivacy n''est généralement pas déclenchée puisque S3 n''écrit ni ne lit sur le terminal au delà du cache HTTP standard. Les enjeux principaux sont la localisation du stockage, le régime d''accès légal de la région choisie et la journalisation IP par S3 et CloudFront.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Non, le simple fait de servir un fichier depuis S3 ne requiert pas de consentement. Le stockage repose sur l''intérêt légitime ou l''exécution du contrat. Le consentement n''entre en jeu que si le bucket héberge des pixels de pistage, des assets marketing couplés à de l''analytics ou des scripts qui exigent eux mêmes un consentement. La discussion Schrems II est plus sensible lorsque les buckets sont en région US : le destinataire des données est alors aux États Unis, même en l''absence d''usage commercial, et la politique de confidentialité doit le mentionner.
AWS permet de choisir la région de stockage pour chaque bucket. Une région UE sans réplication ni accès cross région maintient le stockage en Europe. Cependant, Amazon Web Services Inc. est un responsable américain et certaines activités de support et de sécurité peuvent être effectuées depuis les États Unis. Conformément aux recommandations du CEPD après Schrems II, AWS publie une Transfer Impact Assessment pour les clients UE et fournit le Data Privacy Framework comme mécanisme de transfert. Le chiffrement côté client (SSE C ou KMS avec clés gérées par le client) ajoute une protection.
Choisissez une région UE pour les buckets contenant des données personnelles, signez le DPA AWS, activez le chiffrement côté serveur (KMS pour un contrôle renforcé), restreignez les accès via IAM et S3 Block Public Access, et limitez la durée de conservation des Server Access Logs. Documentez le rôle d''Amazon Web Services EMEA SARL comme entité contractuelle UE. Mentionnez Amazon S3 et AWS dans la politique en précisant région et mécanisme de transfert. Pour un bucket US indispensable, menez et documentez une AIPD/TIA et envisagez le chiffrement client.
Les sites web utilisant Amazon S3 doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Lorsque S3 héberge ou sert des données personnelles (fichiers utilisateurs, documents clients, photos de profil), une AIPD est recommandée pour les gros volumes, données sensibles ou buckets en région hors UE. Documentez la région, la configuration de chiffrement, l'appui sur le DPA AWS et les journaux qui capturent des IP.
Exemple de texte de consentement
Nous hébergeons certains contenus sur Amazon S3 (AWS). Leur chargement transmet votre adresse IP à l'infrastructure AWS, qui peut comporter des serveurs situés ou accessibles depuis les États Unis. Acceptez vous ?
Domaines tiers contactes
s3.amazonaws.coms3.eu-central-1.amazonaws.coms3.eu-west-1.amazonaws.coms3.eu-west-3.amazonaws.coms3.eu-north-1.amazonaws.coms3.dualstack.amazonaws.com<bucket>.s3.amazonaws.comcloudfront.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| No cookies set by S3 itself | none | N/A | Amazon S3 is a pure HTTPS object store and does not set browser cookies. When fronted by CloudFront with signed cookies, CloudFront cookies (CloudFront-Policy, CloudFront-Signature, CloudFront-Key-Pair-Id) may be set; these are documented under the CloudFront service. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Non. S3 est un pur service de stockage d'objets en HTTPS et ne pose pas de cookies côté client. Lorsque S3 est utilisé en origine derrière Amazon CloudFront, CloudFront peut poser des cookies techniques si les cookies signés sont activés, mais l'accès direct à S3 non.
Non, en tant que tel. Servir des assets statiques depuis S3 est nécessaire au fonctionnement du site et repose sur l'intérêt légitime ou l'exécution du contrat. Le consentement entre en jeu uniquement si les contenus sont des pixels de pistage, du marketing couplé à de la mesure ou des scripts qui exigent eux mêmes un consentement.
Intérêt légitime (art. 6(1)(f) RGPD) pour la diffusion d'assets, exécution du contrat (art. 6(1)(b)) lorsque S3 stocke des fichiers utilisateurs nécessaires au service et obligation légale (art. 6(1)(c)) pour les sauvegardes comptables. AWS agit comme sous traitant via l'AWS Data Processing Addendum.
Par défaut non, si vous choisissez une région UE sans réplication cross région. Amazon Web Services Inc. reste cependant accessible depuis les États Unis pour le support, la sécurité et les demandes des autorités. Le Data Privacy Framework et les CCT AWS couvrent les transferts résiduels. Pour des buckets en région US, le transfert est direct et doit être documenté.
Pour la diffusion classique d'assets, non. Pour un stockage à grande échelle de données personnelles (UGC, documents clients, santé, finance), réalisez une AIPD couvrant localisation, chiffrement, contrôles d'accès et journalisation, et incluez DPA AWS, configuration KMS et politiques de bucket.
Choisissez une région UE, signez le DPA RGPD d'AWS, activez le chiffrement côté serveur via KMS, verrouillez les buckets avec Block Public Access, restreignez l'accès via IAM et bucket policies, activez S3 Object Lock pour la rétention et limitez la durée des Server Access Logs et CloudTrail à ce qui est nécessaire.
Des services européens existent : OVHcloud Object Storage, Scaleway Object Storage, IONOS S3 et Hetzner Storage Box. Ils offrent une API compatible S3 tout en gardant les données en UE. Pour des besoins de cloud souverain en France, OVH SecNumCloud ou Outscale.
Indiquez l'utilisation d'Amazon S3 d'Amazon Web Services EMEA SARL (Luxembourg) comme sous traitant, la région de stockage, les catégories de données (fichiers utilisateurs, logs IP), la durée de conservation et le mécanisme de transfert (Data Privacy Framework et CCT intégrées au DPA RGPD d'AWS).