Protection des données dans le cloud Atlassian

À l'automne 2020, Atlassian a annoncé la consolidation de son offre de licences et se concentre désormais sur le développement de ses produits sur les plateformes Data Center et Atlassian Cloud. De nombreux clients (Server) évaluent donc quelle option est la plus adaptée à leur entreprise. À la lumière des différents enjeux, plusieurs questions se posent, notamment en ce qui concerne la protection des données dans Atlassian Cloud. Où et comment les données sont-elles stockées ? L’utilisation d’Atlassian Cloud est-elle conforme au RGPD ? Quelles sont les options disponibles ?

Dans cet article de blog, nous avons résumé pour vous les réponses aux questions essentielles concernant la protection des données.

Avertissement : Communardo GmbH ne peut fournir aucun conseil juridique. Veuillez vérifier et évaluer au cas par cas, avec votre délégué à la protection des données, si Atlassian Cloud est adapté à votre entreprise. Par ailleurs, nous mettons régulièrement à jour cet article de blog dès qu’il y a des nouveautés sur le sujet. La dernière mise à jour a eu lieu en juin 2022.

Pour vous aider dans votre prise de décision, nous mettons à votre disposition notre longue expérience avec Atlassian Cloud et restons à vos côtés à tout moment pour vous conseiller, grâce à nos échanges continus avec des délégués à la protection des données qualifiés. Si vous avez des questions ou si vous êtes intéressé par une migration vers le cloud, nous serons ravis de vous aider. N’hésitez pas à nous contacter.

Où Atlassian stocke-t-il les données de Jira et Confluence Cloud ?

Les données d'Atlassian Cloud sont hébergées chez Amazon Web Services (AWS) dans les régions suivantes : États-Unis, Allemagne, Irlande, Singapour et Australie.

Où sont stockées les différentes données ?

Par défaut, Atlassian utilise tous les centres de données mentionnés ci-dessus (localisation des données : mondiale). Sur demande, les clients peuvent toutefois choisir une autre localisation des données (par exemple, l'UE).
Cela signifie que la plupart des données seront stockées uniquement sur des serveurs situés dans l'UE (Francfort-sur-le-Main et Dublin).
Cette fonctionnalité est disponible pour tous les clients payants (Standard, Premium, Enterprise).

Pour les premier et deuxième trimestres 2023, la résidence des données en Allemagne figure désormais officiellement dans la feuille de route d’Atlassian Cloud.

Les données suivantes peuvent être attribuées à une région (par exemple, l’UE) :

Données Jira Software :

• Toutes les pièces jointes
• Données des tableaux et des sprints
• Commentaires
• Données de notification dans le produit
• Problème Jira et contenu des champs (y compris les champs système et les champs personnalisés)
• Données de recherche Jira
• Données de configuration des projets (y compris les workflows, la configuration des champs personnalisés et la configuration des tableaux)

Données de Jira Service Management :

• Toutes les pièces jointes
• Commentaires
• Données de notification dans le produit
• Données des objets Insight et données de configuration des schémas
• Tâches Jira, types de demandes et contenu des champs (y compris les champs système et les champs personnalisés)
• Données de recherche Jira
• Données de configuration de projet (y compris les workflows et la configuration des champs personnalisés)
• Données de file d'attente

Données Confluence :

• Données des pages et des blogs Confluence
• Toutes les pièces jointes
• Commentaires
• Nombre de « J'aime » sur les pages et les commentaires
• Données de notification dans le produit
• Métadonnées de la page
• Données sources pour les notifications par e-mail

Certaines données (par exemple, les données d'analyse) sont actuellement hébergées aux États-Unis ou ne peuvent pas être limitées à une région spécifique. Vous trouverez ici un aperçu détaillé.

Comment pouvez-vous définir l'emplacement de stockage des données ?

Les administrateurs de l'organisation peuvent vérifier sur admin.atlassian.com, dans la section « Sécurité », quelle option de résidence des données est actuellement active.
Si vous souhaitez changer d'option (par exemple, passer de « global » à « UE »), n'hésitez pas à contacter Atlassian ou à nous contacter.

Astuce : si vous souscrivez à votre site Cloud via Communardo, vous bénéficiez gratuitement de la résidence des données dans l’UE dès le premier jour.

Comment utiliser Jira et Confluence Cloud en conformité avec le RGPD ?

Atlassian dispose déjà aujourd’hui d’une série de fonctionnalités de conformité, telles que SOC2, PCI DSS, ISO 27001/27018. Le transfert et le stockage des données s’effectuent de manière chiffrée. Les certifications existantes couvrent une grande partie des exigences du RGPD en matière de sécurité et de protection des données. Afin d’agir en conformité avec le RGPD, un accord sur le traitement des données (ATD) – en anglais : Data Processing Addendum — qui contient explicitement les clauses contractuelles types de l’UE (enanglais : Standard Contractual Clauses, SCC). L’accord signé par Atlassian est disponible en téléchargement sur le site web. Une fois contresigné par votre entreprise et renvoyé à Atlassian, cet accord devient contraignant et permet d’utiliser le cloud Atlassian en conformité avec le RGPD.

Où sont stockées les données des applications ?

Le fournisseur de l’application est responsable du stockage et du traitement des données issues des applications cloud. Les informations sont mises à disposition par les éditeurs sur l’Atlassian Marketplace, dans la section « Privacy and security » (Confidentialité et sécurité), sous « Vendor privacy policy » (Politique de confidentialité de l’éditeur). Si les dispositions de l’éditeur ne répondent pas à vos questions, nous vous recommandons de contacter directement l’éditeur. Les coordonnées du fournisseur sont disponibles sur le Marketplace, dans l’onglet « Support ».

À l’heure actuelle, certaines applications du Marketplace et certaines données d’application ne sont pas couvertes par la garantie de résidence des données d’Atlassian. Des travaux sont en cours pour y remédier. Atlassian publie des mises à jour à ce sujet dans sa feuille de route Cloud (titre : « Résidence des données pour les applications »).

Notre conclusion

Il est possible d’utiliser à la fois Jira et Confluence dans Atlassian Cloud en respectant la réglementation en matière de protection des données. Cependant, n’oubliez pas que la protection des données est un sujet qui doit être abordé au cas par cas par chaque entreprise. Pour approfondir vos recherches, nous mettons à votre disposition ci-dessous une liste de liens :

• Feuille de route d’Atlassian Cloud en matière de gestion des données
• Aperçu des données stockées et de leur emplacement
• Certifications de conformité Atlassian
• Accord complémentaire relatif au traitement des données
• Informations sur la protection des données, la conformité et la sécurité
• Engagement d'Atlassian envers le RGPD

Nous sommes Partenaire Platine et Partenaire de solutions d’entreprise d’Atlassian et mettons volontiers notre longue expérience à votre service pour vous aider à répondre à vos besoins spécifiques en matière de protection des données. 

Prêt à passer à l'étape suivante ? Découvrons ensemble si votre entreprise est prête pour le cloud.