Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Amazon Web Services est la principale plateforme cloud au monde, proposant calcul, stockage, distribution de contenu (CloudFront), bases de donnees, machine learning et des centaines d'autres services. De nombreux sites europeens utilisent AWS via CloudFront pour les assets statiques, S3 pour le stockage media, EC2 ou Lambda pour l'hebergement applicatif, et CloudWatch ou QuickSight pour l'analytique. Comme AWS est exploite par Amazon Web Services Inc., une societe sous controle americain, chaque deploiement europeen doit traiter les transferts internationaux et documenter une base legale claire au titre du RGPD.
Amazon Web Services (AWS) est la principale plateforme cloud au monde, exploitee par Amazon Web Services Inc., filiale d''Amazon.com Inc. enregistree a Seattle, Washington. Sur un site europeen, AWS se manifeste principalement sous trois formes : Amazon CloudFront qui distribue images, scripts et HTML depuis des points de presence proches du visiteur, Amazon S3 qui stocke les assets statiques et les medias televerses, et Amazon EC2 ou AWS Lambda qui executent le backend applicatif. D''autres briques comme Amazon Cognito (authentification), Amazon Pinpoint (push, e-mail), AWS WAF (filtrage securite) ou Amazon Rekognition (analyse d''image) peuvent egalement traiter des donnees personnelles.
Meme lorsqu''une region europeenne est selectionnee, AWS reste soumis a la juridiction americaine. Les equipes de support situees aux Etats-Unis peuvent acceder a l''infrastructure pour resoudre les incidents, les services IAM et la facturation passent par des endpoints globaux, et certains services geres repliquent leurs metadonnees entre regions. Cette double empreinte UE/US est la question centrale du RGPD pour tout deploiement AWS.
AWS ne depose pas de cookies marketing par lui-meme. La couche infrastructure pose un petit nombre de cookies techniques : AWSALB et AWSALBCORS utilises par l''Application Load Balancer pour conserver une session sur le meme backend, AWSELB utilise par l''ancien Classic Load Balancer, ainsi que des identifiants similaires lorsque la session collante est activee. CloudFront ne depose pas de cookie par defaut mais traite l''adresse IP du visiteur, l''en-tete User-Agent, l''URL demandee et les metadonnees TLS. Les journaux peuvent etre conserves dans des buckets Amazon S3 configures par l''editeur.
Lorsque des services de niveau superieur sont empiles sur AWS, comme Amazon Pinpoint, AWS Personalize ou Amazon Connect, des identifiants et donnees de profil supplementaires sont traites. L''editeur du site reste responsable de traitement et doit documenter chaque cookie ou entree de stockage local declenche par les composants AWS.
Amazon Web Services Inc. agit comme sous-traitant lorsqu''il heberge un site europeen, l''editeur restant responsable de traitement. La signature du DPA AWS est obligatoire et le document est disponible dans le portail AWS Artifact. Le DPA integre les clauses contractuelles types de la Commission europeenne et l''addendum britannique, liste les sous-traitants ulterieurs et decrit les mesures de securite alignees sur ISO 27001, ISO 27018, SOC 2 et le code de conduite cloud europeen.
Au titre de la directive ePrivacy transposee en droit national (LCEN en France, TTDSG en Allemagne, LSSI-CE en Espagne), chaque cookie ou identifiant non strictement necessaire depose via un composant AWS exige un consentement libre et eclaire avant stockage sur le terminal. Les cookies de repartition de charge sont generalement consideres comme strictement necessaires et sont exemptes, mais ce n''est pas le cas des cookies analytiques, de personnalisation ou publicitaires construits sur AWS.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Amazon Web Services Inc. est certifie sous le EU-US Data Privacy Framework, reconnu par la Commission europeenne dans la decision d''adequation 2023/1795. Les transferts de l''UE vers AWS aux Etats-Unis beneficient donc d''une base d''adequation, completee par les clauses contractuelles types pour les pays non couverts. Apres l''arret Schrems II, des mesures supplementaires telles que les cles de chiffrement gerees par le client (AWS KMS avec cles importees), des politiques IAM strictes et une evaluation d''impact des transferts (TIA) sont fortement recommandees.
Les editeurs traitant des charges de travail sensibles peuvent epingler les services aux regions UE, activer AWS Nitro Enclaves et exclure contractuellement l''acces support americain via la feuille de route AWS European Sovereign Cloud annoncee pour la region Brandebourg.
Pour un usage purement infrastructure (hebergement, cache CDN, filtrage securite), l''article 6, paragraphe 1, point f du RGPD (interet legitime) constitue la base legale standard, soutenue par une evaluation d''interet legitime documentee. Pour toute fonctionnalite AWS qui profile les utilisateurs, fait de l''analyse ou alimente la publicite, un consentement prealable obtenu via une CMP conforme est obligatoire avant tout appel SDK ou pixel AWS.
Signer le DPA AWS, restreindre les charges aux regions UE quand le metier le permet, activer le chiffrement au repos et en transit avec des cles client, limiter les acces IAM a des roles nommes, configurer la retention des logs au strict necessaire, mentionner AWS et ses sous-traitants pertinents dans la politique de confidentialite, documenter l''evaluation d''impact des transferts, et integrer chaque cookie ou pixel declenche par AWS dans la CMP afin qu''il ne se charge qu''apres opt-in explicite lorsque le consentement est requis.
Les sites web utilisant Amazon Web Services (AWS) doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative a la protection des donnees (AIPD) est recommandee lorsque AWS heberge des donnees personnelles a grande echelle, traite des donnees sensibles, ou combine CloudFront, AWS WAF et CloudWatch avec des identifiants utilisateurs. L'AIPD doit couvrir le choix de region, le chiffrement, les controles IAM, la liste des sous-traitants, les durees de conservation et le plan de reponse aux demandes d'acces des autorites americaines.
Exemple de texte de consentement
Nous utilisons Amazon Web Services pour heberger et delivrer ce site, y compris la diffusion via Amazon CloudFront. AWS peut deposer des cookies techniques pour la repartition de charge et traiter votre adresse IP. Certains flux transitent par les Etats-Unis sous l'egide du EU-US Data Privacy Framework et des clauses contractuelles types. En cliquant sur Accepter, vous autorisez ces traitements pour les fonctionnalites analytiques et de personnalisation reposant sur AWS.
Domaines tiers contactes
amazonaws.comcloudfront.netawsstatic.coms3.amazonaws.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| AWSALB | HTTP cookie | 7 days | Application Load Balancer sticky session: keeps a visitor on the same backend instance during a session. |
| AWSALBCORS | HTTP cookie | 7 days | Same as AWSALB but compatible with cross-origin requests using the SameSite=None attribute. |
| AWSELB | HTTP cookie | Session | Classic Load Balancer sticky session, legacy equivalent of AWSALB. |
| AWSELBCORS | HTTP cookie | Session | Classic Load Balancer sticky session in cross-origin context. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
AWS ne pose que quelques cookies techniques. L'Application Load Balancer peut placer AWSALB et AWSALBCORS (7 jours) pour garder un visiteur sur le meme backend, et l'ancien Classic Load Balancer utilise AWSELB et AWSELBCORS. CloudFront ne pose pas de cookie par defaut, mais en mode signed cookies pour du contenu protege il peut stocker CloudFront-Key-Pair-Id et CloudFront-Policy. Les services AWS de plus haut niveau comme Pinpoint ou Personalize posent leurs propres identifiants supplementaires.
Pour un usage purement infrastructure, comme la mise en cache CloudFront d'assets statiques ou un Application Load Balancer qui maintient une session, les cookies de repartition de charge sont generalement strictement necessaires et exemptes de consentement prealable au titre de la directive ePrivacy. Le consentement devient obligatoire des que des composants AWS servent a l'analytique, a la publicite, a la personnalisation ou au profilage.
L'interet legitime au titre de l'article 6, paragraphe 1, point f du RGPD est la base la plus frequente pour l'hebergement et la securite, sous reserve d'une evaluation d'interet legitime documentee. Le consentement (article 6, paragraphe 1, point a) est requis pour le marketing et le profilage. La necessite contractuelle (article 6, paragraphe 1, point b) peut s'appliquer quand AWS heberge un service auquel le visiteur s'est expressement abonne.
Oui. Meme si une region UE est choisie, le support, IAM et certains services globaux peuvent acceder aux donnees depuis les Etats-Unis. Amazon Web Services Inc. est certifie sous le EU-US Data Privacy Framework reconnu par la Commission europeenne et AWS fournit les clauses contractuelles types via son DPA. Des mesures supplementaires comme les cles de chiffrement gerees par le client sont fortement recommandees apres l'arret Schrems II.
Une analyse d'impact relative a la protection des donnees est recommandee des qu'AWS heberge des donnees personnelles a grande echelle, traite des donnees sensibles, ou combine securite, distribution de contenu et analytique avec des identifiants utilisateurs. L'AIPD doit couvrir le choix de region, le chiffrement, les controles IAM, la retention, les sous-traitants et la reponse aux demandes d'acces des autorites americaines.
Signer le DPA AWS dans AWS Artifact, restreindre les charges aux regions UE quand c'est possible, activer le chiffrement au repos et en transit avec des cles client, limiter les politiques IAM a des roles nommes, conserver les logs au strict necessaire et integrer chaque cookie ou pixel declenche par AWS dans la CMP afin qu'il ne se charge qu'apres opt-in explicite lorsque le consentement est requis.
Pour un besoin CDN pur, Bunny CDN, KeyCDN et Scaleway Edge sont europeens. Pour le stockage objet, Scaleway, OVHcloud et Hetzner proposent des offres compatibles S3 dans des regions UE. Pour le calcul et le serverless, OVHcloud, Scaleway, Hetzner et la future AWS European Sovereign Cloud sont envisageables. Le bon choix depend de la charge, des certifications requises et des SLA.
Mentionner AWS comme sous-traitant dans la politique de confidentialite, nommer CloudFront et tout autre service AWS utilise, decrire les cookies techniques deposes (AWSALB, AWSALBCORS, AWSELB), evoquer le EU-US Data Privacy Framework et l'usage de clauses contractuelles types, lier le DPA AWS et fournir un point de contact pour les demandes des personnes concernees.