Les engagements de Google Cloud pour la protection des données européennes
Marc Crandall
Director and Global Head of Privacy, Google Cloud
Nathaly Rey
Head of Privacy Regulatory Strategy & Compliance, Google Cloud
Essayer GCP
Les nouveaux clients peuvent explorer et évaluer Google Cloud avec des conditions exceptionnelles.
EssayerDes entreprises de la distribution aux constructeurs automobiles, en passant par les services financiers, de nombreuses organisations de toute l’Europe appuient leur Business sur les services Google Cloud. Plus que jamais, nous nous engageons à aider nos clients à se conformer aux exigences de sécurité les plus strictes en matière de protection des données. Un engagement qui se concrétise par des contrôles techniques de pointe, des accords contractuels et une transparence continue pour soutenir les évaluations des risques et les besoins de conformité de nos clients.
Le 21 juin 2021, le Conseil européen pour la protection des données (EDPB) a publié ses recommandations finales concernant les mesures complémentaires faisant suite à l'arrêt de la Cour de justice de l'Union européenne. Rappelons que cette dernière a invalidé le framework « Privacy Shield » entre l’UE et les États-Unis et a confirmé la validité des clauses contractuelles types de l'Union européenne (CSC). Les orientations de l’EDPB sont importantes pour aider les organisations à gérer les transferts internationaux de données. Bon nombre des recommandations du Comité s'harmonisent avec nos pratiques de longue date.
À la lumière de ce qui précède, nous tenons à réaffirmer notre engagement à respecter le RGPD et à aider les clients de Google Cloud à atteindre leurs objectifs de conformité dans l'utilisation de nos services. En particulier :
Un cloud contrôlé par nos clients
Nos clients sont propriétaires de leurs données et nous pensons qu'ils devraient bénéficier des plus hauts niveaux de contrôle sur les données stockées dans le cloud. Notre cloud public offre aux clients des hauts niveaux de visibilité et de contrôle sur leurs données à travers nos services.
Nous avons ces dernières années multiplié les fonctionnalités pour permettre aux clients Google Cloud de stocker leurs données en région européenne, de s’assurer qu’aucune donnée n’est déplacée hors d’Europe, d’interdire aux utilisateurs et aux administrateurs hors d’Europe d’accéder aux données. Ils peuvent aussi contrôler précisément qui accède à leurs données en gérant eux-mêmes leurs propres clés de chiffrement, s’assurant au passage que ces clés sont bien stockées en région européenne et en les conservant hors de l’infrastructure Google Cloud.
Nos clients peuvent également exiger des justifications détaillées avant d’approuver au cas par cas les demandes de clés en utilisant External Key Manager. Ils peuvent ainsi refuser à Google et à ses ingénieurs support la capacité de déchiffrer les données quelle que soit la raison grâce à l’outil Key Access Justifications désormais officiellement disponible pour tous.
Pour en savoir plus, n’hésitez pas à consulter notre billet de Blog sur le contrôle avancé et la visibilité dans le cloud. Et pour mieux comprendre notre engagement d’un point de vue technique, reportez-vous à notre billet sur les options proposées en matière de localisation du stockage, de la transparence opérationnelle et de contrôle. Google Cloud a été le premier et demeure actuellement le seul fournisseur de cloud à offrir aux clients la possibilité de stocker et de gérer des clés de chiffrement (des données transférées dans le cloud) en dehors de l'infrastructure du fournisseur, avec un contrôle programmatique sur le déchiffrement s’appuyant sur un mécanisme de justifications précises, y compris en cas de demandes d'accès provenant d’organismes gouvernementaux.
Nos clients Google Workspace (autrefois G Suite) peuvent également choisir de conserver leurs données en Europe. Et ce n’est pas tout. Nous allons encore renforcer le chiffrement dans Workspace en donnant aux clients le contrôle direct non seulement des clés de chiffrement mais aussi du service d’identité utilisé pour accéder à ces clés. Avec un tel chiffrement côté client, vos données sont indéchiffrables par Google mais vos utilisateurs continuent de profiter de toute la richesse collaborative de Google Workspace sur le Web, d’accéder à leurs contenus sur les appareils mobiles et de partager des fichiers chiffrés avec les clients et partenaires externes de l’entreprise.
Cette fonctionnalité de sécurité est actuellement en « Bêta publique » sur Google Drive, Docs, Sheets et Slides mais sera étendue ultérieurement à d’autres services Workspace. Et rappelons que nos clients peuvent également s’appuyer sur des solutions tierces pour bénéficier d’un chiffrement de bout en bout sous Gmail. Avec ces solutions, les clients peuvent garder les clés dans leur géo-localisation préférée et contrôler pleinement l'accès aux contenus couverts.
Soyez convaincus de notre engagement. Google Cloud va poursuivre ses efforts et continuer d’investir dans davantage de fonctionnalités à même de vous garantir un total contrôle de l’emplacement de vos données et des accès à votre patrimoine informationnel.
De nouvelles clauses contractuelles types
La Commission européenne a récemment publié de nouvelles clauses contractuelles types (aussi dénommées CSC) pour aider à protéger les données personnelles européennes. Google Cloud prévoit de mettre en œuvre ces nouvelles CSC pour renforcer la protection des données de nos clients et satisfaire aux exigences réglementaires sur la protection de la vie privée. Comme les précédentes versions des CSC, ces nouvelles clauses peuvent être utilisées pour faciliter les transferts légaux de données.
De la transparence pour une meilleure gestion des risques
Selon l’approche fondée sur le risque encouragée par l’EDBP, chaque exportateur de données devrait évaluer les risques en matière de droits fondamentaux pour chaque transfert avant de le mettre en pratique.
Notre dernier Rapport sur la Transparence révèle le nombre de requêtes émises par les forces de l’ordre et autres organismes gouvernementaux pour accéder à des données de nos clients Enterprise Cloud. L’historique de ces chiffres montrent que le nombre de requêtes est infime comparé au nombre de clients Enterprise Cloud. Ainsi, nous n'avons divulgué aucune donnée client Google Cloud Platform Enterprise en réponse aux demandes du gouvernement durant la dernière période couverte par ce rapport. Autrement dit, la probabilité que des données de clients Enterprise Cloud soient concernées par ces types de demandes est en réalité très faible.
Parallèlement, nous aidons activement nos clients à évaluer nos réponses aux demandes gouvernementales (aussi rares soient-elles) d’accès aux données client dans le cloud, en leur fournissant une vision claire et précise de nos processus.
Responsabilité
Nous cherchons sans cesse des moyens pour renforcer notre responsabilité et augmenter l’accompagnement de nos clients dans leurs efforts de conformité. Nous avons récemment annoncé notre adhésion au Code de Conduite de la directive RGPD de l’UE.
Outils de collaboration efficaces entre les acteurs de l’industrie et les autorités chargées de la protection des données, les Codes de Conduite offrent aux entreprises un socle commun de meilleures pratiques à adopter pour répondre aux exigences les plus strictes en matière de protection des données. Nous sommes convaincus que ce Code constitue une base solide pour concevoir une solution d’envergure internationale afin de régir les transferts de données dans le cloud. C’est pourquoi nous continuerons à soutenir les efforts de l’industrie dans ce domaine.
Certifications à l’appui, nous continuerons également à nous conformer aux normes de sécurité et de protection de la vie privée internationales, dont ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 et ISO/IEC 27701. Ces certifications, délivrées par des tiers indépendants, sont la preuve de notre engagement constant en faveur de la sécurité et de la confidentialité à l’échelle mondiale.
Défense efficace des politiques
Nous continuerons à défendre les principes qui, selon nous, devraient guider les gouvernements dans leurs demandes d’accès aux données des entreprises, et ce partout dans le monde.
L’engagement des gouvernements, tant d’un point de vue bilatéral que multilatéral, est essentiel pour moderniser les lois. Il est aussi indispensable pour établir des règles permettant de produire des preuves électroniques reconnues par chaque pays, respectueuses des normes internationales et qui permettent de résoudre les éventuels confits législatifs. Google soutient depuis longtemps les efforts allant dans ce sens, y compris sur les travaux visant à trouver un successeur au Privacy Shield entre les Etats-Unis et l’UE afin de rétablir la sécurité juridique sur les flux transatlantiques de données personnelles et d’élaborer des règles communes mondiales autour de l’accès des gouvernements aux données régies par l’OCDE (Organisation de Coopération et de Développement Economiques). Nous allons continuer à apporter notre soutien à ces efforts tout en protégeant la confidentialité et la sécurité de nos clients.
Des millions d’entreprises ayant des utilisateurs en Europe comptent sur nos services cloud pour assurer leurs activités au quotidien. Nous sommes fermement déterminés à leur apporter notre soutien en proposant un large éventail d’outils de conformité, respectueux des recommandations de l’EDBP (European Data Protection Board), afin de les aider à remplir leurs obligations réglementaires.
