Ce contenu a été mis à jour pour la dernière fois en mai 2024, et correspond à l'état des connaissances à sa date de rédaction. Les règles et les systèmes de sécurité de Google peuvent changer par la suite, car nous améliorons continuellement la protection de nos clients.
Ce document présente le processus sécurisé de suppression des données client sur Google Cloud. Comme défini dans les Conditions d'utilisation de Google Cloud, les données client sont des données fournies à Google par les clients ou les utilisateurs finaux via les services associés au compte.
Ce document explique comment les données client sont stockées dans Google Cloud, le pipeline de suppression et comment nous empêchons toute reconstruction des données stockées sur notre plate-forme.
Pour en savoir plus sur nos engagements concernant la suppression des données, consultez l'Avenant relatif au traitement des données dans le cloud (Clients).
Stockage et réplication des données
Google Cloud propose des services de stockage et des services de bases de données tels que Bigtable et Spanner. La plupart des applications et des services Google Cloud accèdent indirectement à l'infrastructure de stockage de Google à l'aide de ces services cloud.
La réplication des données est essentielle pour obtenir des solutions à faible latence, hautement disponibles, évolutives et durables. Les copies redondantes des données client peuvent être stockées localement, régionalement et même mondialement, en fonction de votre configuration et des exigences de vos projets. Les actions sur les données dans Google Cloud peuvent être répliquées simultanément dans plusieurs centres de données, ce qui permet aux données client de rester hautement disponibles. Lorsque des modifications affectant les performances surviennent au sein de l'environnement matériel, logiciel ou réseau, les données client sont automatiquement transférées vers un autre système ou site, en fonction des paramètres de configuration des clients. Ainsi, leurs projets restent actifs à grande échelle et sans interruption.
Au niveau du stockage physique, les données client sont stockées au repos dans deux types de systèmes : les systèmes de stockage actifs et les systèmes de stockage de sauvegarde. Ces deux types de systèmes traitent les données différemment. Les systèmes de stockage actifs sont des serveurs de production de Google Cloud qui exécutent les couches d'application et de stockage de Google. Ils se composent de vastes baies de disques qui servent à écrire de nouvelles données, ainsi qu'à stocker et à récupérer des données dans plusieurs copies répliquées. Les systèmes de stockage actifs sont optimisés pour effectuer des opérations de lecture et d'écriture en direct sur les données client, le tout rapidement et à grande échelle.
Les systèmes de stockage de sauvegarde de Google conservent des copies complètes et incrémentielles des systèmes actifs de Google pendant une période définie. Google est ainsi en mesure de récupérer des données et des systèmes en cas d'interruption ou de sinistre. Contrairement aux systèmes actifs, les systèmes de sauvegarde sont conçus pour recevoir des instantanés périodiques des systèmes Google. En outre, les copies de sauvegarde sont éliminées après une certaine période à mesure que de nouvelles sauvegardes sont effectuées.
Dans les systèmes de stockage décrits ci-dessus, les données client sont chiffrées lorsqu'elles sont stockées au repos. Pour en savoir plus, consultez la page Chiffrement au repos par défaut.
Pipeline de suppression des données
Une fois que les données client sont stockées dans Google Cloud, nos systèmes sont conçus pour les conserver de manière sécurisée jusqu'à ce que toutes les étapes du pipeline de suppression des données soient terminées. Cette section décrit les étapes de suppression.
Étape 1 – Demande de suppression
La suppression des données client commence lorsque vous demandez leur suppression. En règle générale, les demandes de suppression sont dirigées vers une ressource spécifique, vers un projet Google Cloud ou vers votre compte Google. Les demandes de suppression peuvent être traitées de différentes manières selon leur champ d'application :
- Suppression de ressources : les ressources individuelles contenant des données client, telles que des buckets Cloud Storage, peuvent être supprimées de plusieurs manières à partir de la console Google Cloud ou à l'aide d'une API. Par exemple, vous pouvez émettre une commande de suppression de bucket ou
gcloud storage rm
pour supprimer un bucket de stockage via la ligne de commande, ou sélectionner un bucket de stockage et le supprimer depuis la console Google Cloud. - Suppression de projet : vous pouvez arrêter un projet Google Cloud dont vous êtes propriétaire. La suppression d'un projet fonctionne comme une demande de suppression groupée de toutes les ressources liées au numéro de projet correspondant.
- Suppression de compte Google : lorsque vous supprimez votre compte Google, tous les projets qui ne sont pas associés à une organisation et dont vous êtes l'unique propriétaire sont supprimés. Lorsqu'un projet n'appartient pas à une organisation et qu'il compte plusieurs propriétaires, il n'est pas supprimé tant que tous les propriétaires n'ont pas été retirés du projet ou n'ont pas supprimé leur compte Google. Ainsi, les projets se poursuivent tant qu'ils ont un propriétaire.
- Suppression d'un compte Google Workspace ou Cloud Identity : les organisations associées à un compte Google Workspace ou Cloud Identity sont supprimées lorsque vous supprimez un compte Google Workspace ou Cloud Identity. Pour en savoir plus, consultez la section Supprimer le compte Google de votre organisation.
Vous utilisez les demandes de suppression principalement pour gérer vos données. Toutefois, Google peut envoyer automatiquement des demandes de suppression, par exemple lorsque vous mettez fin à votre relation avec Google.
Étape 2 – Suppression réversible
La suppression réversible est le point du processus qui vous offre une brève période interne de préparation et de récupération. Elle vous permet de récupérer des données que vous avez accidentellement marquées pour suppression. Chaque produit Google Cloud peut adopter et configurer une période de récupération définie avant la suppression des données des systèmes de stockage sous-jacents, tant que cette période se conforme au calendrier de suppression global de Google.
Lorsque des projets sont supprimés, Google Cloud identifie d'abord le numéro de projet unique, puis diffuse un signal de suspension aux produits Google Cloud (Compute Engine et Bigtable, par exemple) qui contiennent ce numéro de projet. Dans ce cas, Compute Engine suspend les opérations associées à ce numéro de projet, et les tables correspondantes dans Bigtable sont soumises à une période de récupération interne de 30 jours maximum. À la fin de la période de récupération, Google Cloud envoie un signal à ces mêmes produits et commence la suppression logique des ressources liées au numéro de projet unique. Google attend ensuite (et, si nécessaire, rediffuse le signal initial) de recevoir un signal de confirmation de la part des produits concernés pour terminer la suppression du projet.
Lorsqu'un compte Google est clôturé, Google Cloud peut imposer une période de récupération interne de 30 jours maximum, en fonction des activités passées du compte. Une fois ce délai écoulé, un signal contenant l'ID utilisateur du compte de facturation supprimé est envoyé aux produits Google, et les ressources Google Cloud qui ne sont associées qu'à cet ID utilisateur sont marquées pour suppression.
Étape 3 – Suppression logique des données des systèmes actifs
Une fois des données marquées pour suppression et l'éventuelle période de récupération écoulée, les données sont supprimées successivement des systèmes de stockage actifs et de sauvegarde de Google. Dans les systèmes actifs, les données sont supprimées de deux manières.
Pour tous les produits Google Cloud des catégories de projets Calcul, Stockage et Base de données (sauf Cloud Storage), les copies des données supprimées sont marquées en tant qu'espace disponible et sont écrasées au fil du temps. Dans un système de stockage actif (tel que Cloud Bigtable), les données supprimées sont stockées sous forme d'entrées dans une vaste table structurée. Compacter des tables existantes afin d'écraser des données supprimées peut s'avérer coûteux, car cela implique la réécriture de tables de données existantes (non supprimées). Par conséquent, des opérations de récupération de mémoire par marquage et libération, et des événements majeurs de compactage sont planifiées à intervalles réguliers, ce qui permet de regagner de l'espace de stockage et d'écraser les données supprimées.
Dans Google Cloud Storage, les données client sont également supprimées par le biais de l'effacement cryptographique. Il s'agit d'une technique classique qui rend des données illisibles en supprimant les clés de chiffrement nécessaires à leur déchiffrement. Qu'il s'applique à des clés de chiffrement fournies par Google ou par le client, l'effacement cryptographique présente l'avantage de permettre la suppression logique avant même que tous les blocs supprimés au sein des données n'aient été écrasés dans les systèmes de stockage actifs et de sauvegarde de Google Cloud.
Étape 4 – Expiration des systèmes de sauvegarde
Tout comme pour les systèmes actifs de Google, la suppression des données des systèmes de sauvegarde s'effectue à l'aide de techniques d'écrasement et de chiffrement. Toutefois, dans le cas des systèmes de sauvegarde, les données client sont généralement stockées dans de vastes instantanés regroupés de systèmes actifs, qui sont conservés pendant des périodes fixes. Cela permet d'assurer la continuité des activités en cas de sinistre (telle qu'une interruption affectant un centre de données tout entier), lorsqu'il peut s'avérer nécessaire de consacrer du temps et des ressources à la restauration complète d'un système à partir de systèmes de sauvegarde. Conformément aux pratiques raisonnables de continuité des activités, des instantanés complets et incrémentiels des systèmes actifs sont enregistrés à intervalles quotidiens, hebdomadaires ou mensuels et sont éliminés après une période prédéfinie afin de libérer de la place pour des instantanés plus récents.
Lorsqu'une sauvegarde est éliminée, elle est marquée en tant qu'espace disponible et écrasée par de nouvelles sauvegardes quotidiennes, hebdomadaires ou mensuelles.
Notez que tout cycle de sauvegarde raisonnable impose un délai prédéfini lors de la propagation d'une demande de suppression de données via des systèmes de sauvegarde. Lorsque des données client sont supprimées des systèmes actifs, elles ne sont plus copiées dans les systèmes de sauvegarde. Les sauvegardes effectuées avant la suppression expirent régulièrement en fonction du cycle de sauvegarde prédéfini.
Enfin, l'effacement cryptographique des données supprimées peut se produire avant l'expiration de la sauvegarde contenant les données client. Sans la clé de chiffrement utilisée pour chiffrer des données client spécifiques, celles-ci deviennent irrécupérables, même pendant la durée de vie restante des systèmes de sauvegarde de Google.
Calendrier de suppression
Google Cloud est conçu pour offrir de hautes performances en termes de vitesse, de disponibilité, de durabilité et de cohérence. La conception des systèmes optimisés pour ces attributs de performance doit être soigneusement équilibrée avec la nécessité d'une suppression rapide des données. Google Cloud s'engage à supprimer les données client dans un délai maximum de six mois (180 jours). Cet engagement s'applique aux étapes du pipeline de suppression de Google décrit ci-dessus, y compris les étapes suivantes :
- Étape 2 : une fois la demande de suppression effectuée, les données sont généralement immédiatement marquées pour suppression, et notre objectif est d'effectuer cette étape dans un délai maximum de 24 heures. Une fois les données marquées pour suppression, une période de récupération interne de 30 jours maximum peut être appliquée en fonction du service ou de la demande de suppression.
- Étape 3 : temps nécessaire pour terminer les tâches de récupération de mémoire et de suppression logique des données des systèmes actifs. Ces processus peuvent se produire immédiatement après la réception de la demande de suppression, selon le niveau de réplication des données et la fréquence des cycles de récupération de mémoire en cours. Une fois la demande de suppression effectuée, l'opération prend généralement environ deux mois pour les systèmes actifs, ce qui suffit généralement à effectuer deux cycles majeurs de récupération de mémoire et à garantir la fin de la suppression logique.
- Étape 4 : le cycle de sauvegarde de Google est conçu pour que les données supprimées des sauvegardes du centre de données expirent dans les six mois suivant la demande de suppression. La suppression peut survenir plus tôt en fonction du niveau de réplication des données et de la fréquence des cycles de sauvegarde en cours de Google.
Le schéma suivant illustre les étapes du pipeline de suppression de Google Cloud et le moment où les données sont effacées des systèmes actifs et de sauvegarde.
Assurer la destruction des supports en toute sécurité
Un programme rigoureux de nettoyage des supports renforce la sécurité du processus de suppression en empêchant toute attaque scientifique à l'encontre des supports de stockage physiques une fois leur cycle de vie terminé.
Google surveille méticuleusement la position et l'état de tous les équipements de stockage de ses centres de données lors des processus d'acquisition, d'installation, de retrait et de destruction. Nous utilisons pour cela des codes-barres et des identifiants d'appareils que nous suivons dans notre base de données. Nous mettons également en œuvre différentes technologies telles que l'identification biométrique, la détection de métaux, les caméras, les barrières de sécurité pour véhicules et les systèmes de détection d'intrusion à laser pour empêcher toute sortie non autorisée du matériel des centres de données. Pour en savoir plus, consultez la présentation de la sécurité sur l'infrastructure Google.
Les supports de stockage physiques peuvent être mis hors service pour diverses raisons. Lorsqu'un composant rate un test de performance au cours de son cycle de vie, il est retiré de l'inventaire et mis hors service. Google met également à niveau le matériel obsolète afin d'améliorer la vitesse de traitement et les économies d'énergie, ou d'augmenter la capacité de stockage. Que la mise hors service d'un support de stockage ait lieu en raison d'une panne, d'une mise à niveau ou pour un autre motif, des mesures de sécurité appropriées sont adoptées. Les disques durs de Google utilisent des technologies telles que le chiffrement intégral de disque (FDE, full disk encryption) et le verrouillage de disque pour protéger les données au repos pendant la mise hors service. Lors du retrait d'un disque dur, les personnes autorisées vérifient que le disque est bien effacé en remplaçant ses données par des zéros et en effectuant un processus de vérification en plusieurs étapes pour garantir que le disque ne contient aucune donnée.
Si le support de stockage ne peut pas être effacé pour une raison quelconque, il est stocké en toute sécurité jusqu'à ce qu'il puisse être détruit physiquement. Selon l'équipement disponible, nous écrasons et déformons le disque dur ou le déchiquetons. Dans les deux cas, le disque est recyclé dans une installation sécurisée pour que personne ne puisse accéder aux données des disques Google mis hors service. Chaque centre de données respecte une politique de destruction très stricte et met en œuvre les techniques décrites ci-dessus pour assurer la conformité avec la norme NIST SP 800-88 Révision 1 Guidelines for Media Sanitization (Consignes concernant la destruction des supports) et la réglementation DoD 5220.22-M NISPOM (National Industrial Security Program Operating Manual).