Google Cloud et les principes de confidentialité les plus courants

Notre responsabilité partagée en matière de conformité avec les règles de confidentialité.

Centre de ressources sur la confidentialité de Google CloudCentre de ressources Google Cloud pour l'analyse d'impact sur la protection des données

Notre parcours commun en matière de confidentialité

Bien que les responsabilités directes changent en fonction des services que vous utilisez, les commandes de confidentialité sont toujours entre vos mains et Google est toujours responsable de la protection de son infrastructure. Nous nous efforçons de travailler selon un modèle de destin partagé pour la gestion de la confidentialité et de la sécurité. Nous sommes convaincus que les partenariats actifs sont la clé pour vous aider à déployer des charges de travail et à travailler de manière conforme à la confidentialité, en vous fournissant des produits et des solutions. Cela permet également de transférer une partie des coûts liés à la confidentialité et à la conformité vers Google Cloud, au détriment des clients.

Responsables du traitement et sous-traitants des données

Selon de nombreuses réglementations sur la confidentialité courantes, l'étendue de la responsabilité dépend du fait que l'entité agisse en tant que responsable du traitement des données ou en tant que sous-traitant. La définition exacte varie selon les réglementations, mais de manière générale, le rôle du responsable du traitement consiste à déterminer les finalités et les moyens du traitement, tandis que le sous-traitant effectue le traitement conformément aux instructions du responsable du traitement.

Cette page décrit certains des principes de confidentialité communs applicables aux clients (qui agissent généralement en tant que responsables du traitement des données) et à Google Cloud (qui agit le plus souvent en tant que sous-traitant).

Principes de confidentialité communs clés pour les responsables de traitement

Les principes de confidentialité suivants sont pertinents pour les responsables de traitement qui stockent leurs données dans le cloud et s'appliquent dans de nombreux pays à travers le monde. Ces principes sont basés sur des normes et des cadres reconnus à l'échelle internationale (tels que les principes de confidentialité de l'OCDE, les principes de confidentialité des informations justes, ISO/CEI 27001, etc.) et sur les principales réglementations régionales (telles que la LGPD, le RGPD, la CPRA, etc.).

Pour savoir comment Google Cloud peut vous aider à respecter vos obligations en vertu de ces principes, consultez la page des produits concernés.

En savoir plus

Collecte et minimisation des données

Les données à caractère personnel doivent être pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont collectées.

Limite de la conservation des données

Les données à caractère personnel doivent être conservées sous une forme permettant d'identifier les personnes concernées pendant une durée n'excédant pas celle nécessaire.

Limite des finalités

Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

Intégrité et confidentialité

Les données à caractère personnel doivent être traitées de manière à assurer leur sécurité, y compris leur protection contre un traitement non autorisé ou illégal, ainsi que contre la perte, la destruction ou les dommages accidentels, à l'aide de mesures techniques ou organisationnelles appropriées.


Principes de confidentialité communs clés pour les sous-traitants de données

Nos accords sur le traitement des données pour Google Workspace et Google Cloud définissent clairement nos engagements en termes de confidentialité. Nous avons adapté ces règles au fil des ans en tenant compte des commentaires de nos clients et des autorités de régulation. Toutes les données importées par un client et ses utilisateurs dans nos systèmes seront traitées conformément aux instructions du client.

Respect de la confidentialité par les employés

Tous les employés Google sont tenus de signer un accord de confidentialité. Ils doivent également suivre des formations sur la confidentialité et la vie privée, ainsi que la formation au code de conduite. Le code de conduite Google traite particulièrement des responsabilités et du comportement attendu des employés en termes de protection des informations.

Pour consulter l'intégralité des conditions, consultez l'avenant relatif au traitement des données dans le cloud (CDPA) de Google Cloud et Google Workspace.

Les entreprises du groupe Google effectuent directement la majorité des activités de traitement des données nécessaires pour fournir les services Google Workspace et Google Cloud. Cependant, nous employons également des fournisseurs tiers pour nous aider à offrir ces services. Chacun d'entre eux est soumis à une procédure de sélection rigoureuse pour veiller à ce qu'il dispose de l'expertise technique requise, et soit en mesure de fournir le niveau de sécurité et de confidentialité adéquat.

Vous pouvez consulter les informations sur les sous-traitants indirects du groupe Google gérant les services Google Workspace et Google Cloud, ainsi que sur les sous-traitants tiers indirects impliqués.

Pour obtenir la liste complète des conditions contractuelles pertinentes, consultez :

  • Google Cloud et Google Workspace : Avenant relatif au traitement des données dans le cloud (ATDC)
  • Traitement des données | Section 5.2

Google gère une infrastructure mondiale conçue pour garantir un niveau de sécurité parfaitement adapté pendant l'intégralité du cycle de traitement des informations. Cette infrastructure est conçue pour garantir la sécurité et la confidentialité de nos services à tous les niveaux : déploiement, stockage des données avec boucliers de confidentialité de l'utilisateur final, communications entre les services et avec les clients via Internet, opérations effectuées par les administrateurs. Les services Google Workspace et Google Cloud sont exécutés sur cette infrastructure.

Nous avons conçu la sécurité de notre infrastructure sur plusieurs couches, de la sécurité physique des centres de données aux protections de notre matériel et de nos logiciels, jusqu'aux processus que nous avons mis en place pour assurer la sécurité des opérations. Cette protection en couches crée une base de sécurité solide pour toutes nos activités. Pour en savoir plus sur la sécurité de notre infrastructure, lisez notre livre blanc consacré à la présentation de la sécurité sur l'infrastructure de Google.

Disponibilité, intégrité et résilience

Nous concevons les composants de notre plate-forme de manière à garantir un niveau de redondance élevé. Nos centres de données sont répartis dans différents endroits pour minimiser les conséquences de dysfonctionnements potentiels au niveau régional sur les produits internationaux, pouvant être dus à des catastrophes naturelles ou des pannes locales. Dans le cas d'une panne matérielle, logicielle ou de réseau, les services sont automatiquement et instantanément permutés vers d'autres sites pour que les opérations se poursuivent sans interruption. Notre infrastructure à haute redondance aide les clients à se prémunir contre la perte de données.

Tests et sécurité de l'équipement

Google utilise des codes-barres et des identifiants d'appareils pour surveiller l'état et la localisation des équipements des centres de données lors des processus d'acquisition, d'installation, de retrait et de destruction. Lorsqu'un composant rate un test de performance au cours de son cycle de vie, il est retiré de l'inventaire et mis hors service. Les disques durs de Google utilisent des technologies telles que le chiffrement intégral de disque (FDE, full disk encryption) et le verrouillage de disque pour protéger les données au repos.

Tests de reprise après sinistre

Nous effectuons des tests de reprise après sinistre chaque année afin de créer un cadre commun pour les équipes dédiées aux infrastructures et aux applications. Nous testons ainsi les plans de communication, les scénarios de basculement, la transition opérationnelle et d'autres interventions d'urgence. Toutes les équipes participant à l'exercice de reprise après sinistre développent des plans de test et des revues "post-mortem", qui décrivent les résultats et les enseignements tirés des tests.

Chiffrement

Nous utilisons le chiffrement pour protéger les données en transit et au repos. Les données de Google Workspace en transit entre des régions sont protégées par un protocole HTTPS, qui est activé par défaut pour tous les utilisateurs. Les services Google Workspace et Google Cloud procèdent automatiquement au chiffrement des données client stockées au repos. Une ou plusieurs méthodes de chiffrement sont utilisées.

Contrôle des accès

Les niveaux et droits d'accès accordés aux employés Google dépendent de leur poste et de leur rôle. Les employés ont accès au minimum d'informations et uniquement à celles qui sont indispensables à l'exercice de leur fonction, à la hauteur des responsabilités qui leur ont été confiées. Les demandes d'accès complémentaire suivent un processus formel impliquant une requête et une approbation de la part d'un propriétaire de données ou de système, d'un gestionnaire ou d'autres responsables, conformément aux règles de sécurité énoncées par Google. L'accès physique aux centres de données qui hébergent les systèmes et composants d'infrastructure Google Cloud est restreint. Nous employons 24h/24 et 7j/7 un personnel de sécurité sur site, des agents de sécurité, des badges d'accès, des mécanismes d'identification biométriques, des verrous physiques, ainsi que des caméras pour surveiller l'intérieur et l'extérieur des sites.

Gestion des incidents

Google dispose d'une équipe dédiée à la sécurité chargée d'assurer la sécurité et la confidentialité des données des clients, et de gérer la sécurité 24h/24 et 7j/7, partout dans le monde. Les membres de cette équipe reçoivent des notifications en cas d'incident et sont tenus de solutionner les problèmes urgents 24h/24, 7j/7. Nous avons mis en place des stratégies de réponse aux incidents et des procédures documentées de résolution des incidents critiques. Les données collectées lors de ces événements servent à prévenir de nouveaux incidents et peuvent servir d'exemples lors de formations sur la sécurité des informations. Les processus de gestion des incidents et des réponses à apporter suivis par Google sont documentés. Les processus de gestion des incidents de Google sont régulièrement testés dans le cadre de nos programmes ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2 et FedRAMP. Cela garantit à nos clients et aux autorités de réglementation que nos dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité sont vérifiés de façon indépendante. Pour en savoir plus sur notre processus de réponse aux incidents, consultez notre livre blanc consacré au processus de réponse aux incidents liés aux données.

Gestion des failles

Nous recherchons des failles dans le système à l'aide d'un ensemble d'outils disponibles sur le marché ou conçus en interne, de tests d'intrusion intensifs automatisés et manuels, de procédures d'assurance qualité, d'examens de la sécurité logicielle et d'audits externes. Nous nous appuyons également sur la plus vaste communauté de recherche en sécurité et apprécions son aide au niveau de l'identification de failles dans Google Workspace, Google Cloud et les autres produits Google. Notre Vulnerability Reward Program incite les chercheurs à signaler les problèmes de conception et de mise en œuvre pouvant présenter un risque pour les données des clients.

Sécurité des produits - Google Workspace : pour en savoir plus, consultez la page https://workspace.google.com/security.

Sécurité des produits - Google Cloud : pour en savoir plus, consultez la page https://cloud.google.com/security/.

Pour consulter l'intégralité des conditions, accédez à :

  • Google Cloud et Google Workspace : Avenant relatif au traitement des données dans le cloud (ATDC)
  • Sécurité des données | Section 7
  • Mesures de sécurité | Annexe 2
  • Contenu associé : Livre blanc sur la sécurité de Google

Droits des personnes concernées

Les responsables du traitement peuvent utiliser les consoles d'administration et les fonctionnalités des services Google Workspace et Google Cloud pour accéder aux données qu'eux-mêmes ou leurs utilisateurs importent dans nos systèmes, pour les rectifier, pour limiter leur traitement ou encore pour les supprimer. Ces fonctionnalités leur permettent de remplir leurs obligations de répondre aux demandes des personnes concernées cherchant à exercer leurs droits en vertu du RGPD.

Équipe chargée de la protection des données

Google a désigné un DPD pour Google LLC et ses filiales, qui est chargé de couvrir le traitement des données relevant du RGPD, y compris dans le cadre de nos produits et services Cloud. Kristie Chon Flynn est déléguée à la protection des données chez Google. Kristie Chon Flynn est basée à Sunnyvale, aux États-Unis.

Si nécessaire, des équipes chargées de répondre aux demandes des clients sur la protection des données sont assignées aux produits Google Cloud. La manière de les contacter est décrite dans le contrat correspondant. Pour Google Workspace, les administrateurs des clients peuvent joindre l'équipe chargée de la protection des données dans le cloud via la page https://support.google.com/a/contact/googlecloud_dpr (ils doivent être connectés avec leur compte d'administrateur) et/ou directement en notifiant Google au préalable comme décrit dans le contrat applicable. Pour Google Cloud, l'équipe peut être contactée via la page https://support.google.com/cloud/contact/dpo.

Notifications d'incident

Dans le cadre de nos services Google Workspace et Google Cloud, nous proposons depuis de nombreuses années des engagements contractuels concernant la notification d'incident. Nous continuerons à vous informer rapidement des incidents impliquant les données de vos clients, comme stipulé dans les conditions sur les incidents liés aux données figurant dans nos contrats en vigueur.

Pour consulter l'intégralité des conditions, accédez à :

  • Google Cloud et Google Workspace : Avenant relatif au traitement des données dans le cloud (ATDC)
  • Évaluations d'impact et consultations | Section 8

Les administrateurs peuvent exporter les données client à l'aide de la fonctionnalité adéquate des services Google Workspace ou Google Cloud (pour en savoir plus, consultez la documentation Google Cloud), à tout moment pendant la durée de validité de l'accord. Cela fait plusieurs années que nous avons intégré des engagements concernant l'exportation des données dans nos conditions relatives au traitement des données. Nous continuerons par ailleurs de tout mettre en œuvre pour améliorer les fonctionnalités d'exportation des données, pour que vous puissiez télécharger facilement vos données client depuis les services Google Workspace et Google Cloud.

Vous pouvez également supprimer les données client à l'aide de la fonctionnalité adéquate des services Google Workspace ou Google Cloud à tout moment. Si vous nous donnez pour instruction de supprimer définitivement des données (par exemple, lorsque vous supprimez un e-mail qui ne peut pas être récupéré dans la corbeille), nous supprimons les données du client de tous nos systèmes dans un délai de 180 jours maximum, à moins que nous ne soyons tenus de les conserver.

Pour consulter l'intégralité des conditions, accédez à :

  • Google Cloud et Google Workspace : Avenant relatif au traitement des données dans le cloud (ATDC)
  • Suppression de données | Section 6
  • Droits de la personne concernée ; Exportation des données | Section 9.1

Google Cloud et Google Workspace : Avenant relatif au traitement des données dans le cloud (ATDC)

Sécurité des données | Section 7.4

En plus des conditions d'utilisation, nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour satisfaire à cette obligation, Google Workspace et Google Cloud se soumettent régulièrement à différents audits conduits par des tiers indépendants.

ISO/IEC 27001 (Gestion de la sécurité de l'information)

ISO/IEC 27001 est l'une des normes de sécurité indépendantes les plus reconnues et adoptées au niveau international. Google a obtenu cette certification pour les systèmes, les applications, les personnes, la technologie, les processus et les centres de données qui constituent son infrastructure commune partagée, ainsi que pour les produits Google Workspace et Google Cloud. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.

ISO/IEC 27017 (Sécurité dans le cloud) :

ISO/IEC 27017 est une norme internationale qui définit les bonnes pratiques concernant le contrôle de la sécurité de l'information. Elle est basée sur la norme ISO/IEC 27002 et est spécifiquement adaptée aux services cloud. Nos services Google Workspace et Google Cloud ont été certifiés conformes à cette norme. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.

ISO/IEC 27018 (Protection des informations personnelles dans le cloud)

ISO/IEC 27018 est une norme internationale qui définit les bonnes pratiques concernant la protection des informations personnelles dans les services cloud publics. Nos services Google Workspace et Google Cloud ont été certifiés conformes à cette norme. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.

ISO/IEC 27701 (Gestion des informations personnelles) :

ISO/IEC 27701 est une norme internationale de protection de la vie privée consacrée à la collecte et au traitement des informations personnelles. Elle étend les exigences des normes ISO/IEC 27001 et ISO/IEC 27002 à la confidentialité des données. En sa qualité de responsable du traitement des informations personnelles, Google a obtenu la certification ISO/CEI 27701 pour Google Workspace et Google Cloud. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.

SSAE18/ISAE 3402 (SOC 2/3) :

Les audits SOC (Service Organization Controls) 2 et 3 de l'AICPA (American Institute of Certified Public Accountants) définissent des principes et critères de confiance concernant la sécurité, la disponibilité, l'intégrité du traitement et la confidentialité des données. Google est conforme à la fois aux normes SOC 2 et SOC 3 pour Google Workspace et Google Cloud. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.

Passez à l'étape suivante

Démarrez votre prochain projet, consultez des tutoriels interactifs et gérez votre compte.

Nous contacter
Google Cloud
DocumentationAssistance
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Se connecter
Commencez l'essai gratuit.
Nous contacter
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud