Sécurité et résilience
Chez Scaleway, nous ne faisons aucun compromis en matière de données.
La sécurité des données de nos clients, en plus d'être notre cœur de métier, est notre priorité quotidienne. C'est pourquoi Scaleway a mis en place une démarche de gestion de la sécurité de l'information et met en œuvre les meilleures pratiques en matière de sécurité, renforcées en permanence par un processus d'amélioration continue. L'obtention de labels et de certifications conformes aux normes de l'industrie, qui sont une garantie de qualité et de confiance pour nos clients, est le résultat de ces efforts visant à offrir à nos clients une protection toujours plus élevée.
Conformité et certifications
ISO/IEC 27001:2022
La norme ISO/IEC 27001:2022 est la norme de référence pour les systèmes de gestion de la sécurité de l'information (SGSI). Elle définit les exigences auxquelles un SGSI doit satisfaire.
La norme ISO/IEC 27001:2022 fournit aux entreprises de toutes tailles et de tous secteurs des lignes directrices pour établir, mettre en œuvre, maintenir et améliorer en permanence un système de gestion de la sécurité de l'information.
La conformité à la norme ISO/IEC 27001:2022 signifie qu'une organisation ou une entreprise a mis en place un système pour gérer les risques liés à la sécurité des données détenues ou traitées par l'entreprise, et que ce système respecte toutes les meilleures pratiques et tous les principes établis dans cette norme internationale.
HDS
Scaleway est certifié « Hébergeur de Données de Santé » depuis juillet 2024. Géré par l'Agence Nationale de la Santé numérique (ANS), sous la tutelle du ministère de la Santé, le référentiel de certification HDS est l'un des plus exigeants auquel doivent se conformer les prestataires de services numériques pour héberger et gérer des données de santé en France. La certification de Scaleway confirme la mise en œuvre de mesures techniques et organisationnelles rigoureuses pour protéger les données de santé, le respect des exigences légales et réglementaires, et la soumission à des audits réguliers afin de garantir un niveau élevé de sécurité des données de santé.
SecNumCloud
Scaleway a annoncé son entrée dans le processus de qualification SecNumCloud en janvier 2025.
SecNumCloud est une qualification française qui certifie que les solutions cloud répondent aux normes les plus élevées en matière de sécurité et de conformité, en particulier pour les données sensibles. Elle garantit aux entreprises clientes qu'elles bénéficient d'une infrastructure cloud sécurisée et conforme aux exigences légales et réglementaires françaises et européennes.
Une fois obtenue, la qualification finale attestera que l'offre « Scaleway Cloud » répond aux exigences fixées par le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) et l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), satisfaisant ainsi aux normes des plus hauts niveaux de l'administration française.
GDPR
Scaleway accorde une grande importance à la protection des données de ses clients et au respect de leur vie privée. À ce titre, Scaleway, en tant que fournisseur européen de services cloud, s'engage à respecter le règlement général sur la protection des données (UE) 2016/679 (RGPD) et à protéger les données de ses clients, notamment par la mise en œuvre de mesures contractuelles, techniques et organisationnelles, afin de répondre au mieux à leurs besoins.
Tableau des garanties HDS
Les offres HDS s'inscrivent dans le cadre d'un processus commercial spécifique. Il est strictement interdit d'héberger des données de santé sans passer par le processus dédié. Si vous souhaitez en savoir plus sur les conditions générales d'abonnement, veuillez nous contacter directement sur cette page.
Dans le cadre de nos offres HDS, aucun transfert de données personnelles de santé vers un pays situé en dehors de l'Espace économique européen n'est effectué, sauf instruction préalable du responsable du traitement des données. De plus, aucun transfert de données personnelles de santé n'est effectué en dehors de la France, car nos offres HDS se limitent à l'hébergement dans nos centres de données situés en France.
| Scaleway SAS | Opcore SAS | |
|---|---|---|
| Nom commercial de l'acteur | Scaleway SAS | Opcore SAS |
| Rôle dans le service d'hébergement (hébergeur/processeur) | Hébergeur | Processeur |
| Certifié HDS(oui/non/exempté) | Oui | Oui |
| Qualifié SecNumCloud 3.2 | Non | Non |
| Hébergement d'activités auxquelles le joueur participe |
Activities #1 and #2 (Dedibox & Elastic Metal) Activities #1, #2, #3, #4 (Object and Block Storage) Activities #1, #2 and #3 (Virtual Private Cloud) Activities #1, #2, #3, #4 (Instances) | Activity #1 |
| Accès aux données personnelles relatives à la santé provenant de pays situés en dehors de l'Espace économique européen, par l'hébergeur ou l'un de ses sous-traitants (exigence n° 29 du cadre HDS) |
Non, aucun accès aux données provenant d'un pays situé en dehors de l'Espace économique européen. Si oui, précisez le pays concerné : - couvert par une décision d'adéquation au sens de l'article 45 du RGPD : N/A - non couvert par une décision d'adéquation au sens de l'article 45 du RGPD : N/A |
Non, aucun accès aux données provenant d'un pays situé en dehors de l'Espace économique européen. Si oui, précisez le pays concerné : - couvert par une décision d'adéquation au sens de l'article 45 du RGPD : N/A - non couvert par une décision d'adéquation au sens de l'article 45 du RGPD : N/A |
| Hôte ou sous-traitant exposé à un risque d'accès à des données à caractère personnel relatives à la santé provenant de pays situés en dehors de l'Espace économique européen, imposé par la législation d'un pays tiers en violation du droit de l'Union européenne (exigence n° 30 du cadre HDS) |
Non Si oui, précisez le pays concerné : N/A |
Non Si oui, précisez le pays concerné : N/A |
Sécurité opérationnelle et réponse aux incidents
Le CSIRT (Computer Security Incident Response Team) Scaleway est l'équipe opérationnelle chargée de répondre aux incidents de sécurité informatique et de prévenir les risques liés à la cybersécurité. Son rôle principal est d'assurer une gestion efficace et coordonnée des incidents de sécurité, en minimisant leur impact sur les systèmes, les données et les opérations de l'organisation.