Introduction

Une analyse d'impact relative à la protection des données (AIPD) est un processus documenté entrepris par un responsable du traitement des données pour décrire, évaluer et gérer les risques liés à la protection des données d'un projet, et pour démontrer le respect des obligations de protection des données. Dans ce contexte, un "projet" pourrait être une sous-traitance par une organisation impliquant l'utilisation de Google, ou l'utilisation de Google Workspace for Education pour favoriser l'enseignement, l'apprentissage et la collaboration.

Les organisations ne sont tenues de réaliser une analyse d'impact relative à la protection des données (AIPD) que pour les données à caractère personnel qu'elles traitent en tant que "responsable du traitement". Ce terme est défini dans le RGPD. Il signifie essentiellement que votre organisation détermine comment et dans quel but elle traitera les données à caractère personnel. Nous sommes conscients que certains de nos clients peuvent eux-mêmes être sous-traitants des données. Cependant, ce centre de ressources est principalement destiné aux organisations qui utilisent les services cloud en tant que responsables du traitement. 

Une AIPD doit décrire :

• Comment et pourquoi vous traiterez les données à caractère personnel. De plus, elle doit identifier la base légale RGPD pour ce traitement.

• Votre évaluation de la nécessité et de la proportionnalité du traitement (pourquoi vous devez traiter les données à caractère personnel pour atteindre votre objectif). Cela inclut les sous-traitants des données (tels que Google) que vous utilisez pour assurer le traitement de vos données.

• Tous les risques potentiels que vous avez identifiés et les mesures que vous allez prendre pour les gérer et les atténuer. Une analyse d'impact relative à la protection des données (AIPD) peut être un moyen efficace d'évaluer et de démontrer la conformité de votre projet aux principes de protection des données. 

Si vous démarrez un nouveau projet qui implique le traitement de données à caractère personnel, il est important de décider rapidement si vous avez besoin d'une analyse d'impact relative à la protection des données (AIPD) et de vous familiariser avec le processus. La réalisation anticipée d'une analyse d'impact relative à la protection des données (AIPD) peut également vous aider à identifier les changements que vous pourriez avoir besoin (ou choisir) d'apporter à votre projet. Si vous déterminez que vous avez besoin d'une analyse d'impact relative à la protection des données (AIPD), le RGPD vous impose de la réaliser avant que le traitement des données à caractère personnel ne commence. Consultez la section Avez-vous besoin d'une analyse d'impact relative à la protection des données (AIPD) ?.

L'analyse d'impact relative à la protection des données (AIPD) doit également être passée en revue de manière continue. En cas de changements significatifs dans le traitement des données à caractère personnel (par exemple, si vous décidez d'utiliser les services cloud pour de nouvelles charges de travail ou pour traiter différents ensembles de données), vous devez réévaluer les risques et déterminer si des mesures supplémentaires peuvent être nécessaires pour les réduire.

En tant que responsable du traitement, votre organisation est tenue de déterminer si une analyse d'impact relative à la protection des données (AIPD) est nécessaire et de la préparer. 

Si votre organisation dispose d'un délégué à la protection des données (DPD), il est important que vous lui demandiez conseil pour mener à bien une analyse d'impact relative à la protection des données (AIPD). Vous pouvez également faire appel à d'autres équipes ou personnes de votre organisation disposant des compétences et de l'expertise appropriées pour soutenir le processus (par exemple, les équipes informatiques, de conformité ou juridique).

L'analyse d'impact relative à la protection des données (AIPD) peut être réalisée en interne ou sous-traitée à un conseiller externe, mais vous en restez responsable.

En tant que responsable du traitement, vous devez procéder à une analyse d'impact relative à la protection des données (AIPD) si le traitement des données à caractère personnel impliqué dans votre projet est susceptible de présenter un "risque élevé" pour les droits et les libertés des personnes. Certains types de traitements sont toujours considérés comme "à haut risque" et nécessitent toujours une AIPD. Pour les autres types de traitement, vous devez procéder à une évaluation objective des risques encourus. 

Le Comité européen de la protection des données a identifié l'utilisation de nouvelles technologies comme l'un des facteurs pouvant indiquer un "risque élevé" et a établi des directives selon lesquelles de nombreuses opérations de traitement du secteur public s'appuyant sur des services cloud nécessitent probablement une analyse d'impact relative à la protection des données (AIPD).

Pour en savoir plus, consultez la section "Comment décider si le traitement des données nécessite une AIPD ?" ci-dessous.

Les informations ci-dessous devraient vous aider à déterminer si vous devez mener une AIPD. Toutefois, nous vous recommandons de consulter les conseils de l'autorité chargée de la protection des données dans votre pays et de faire appel à un conseil juridique indépendant.  

Si vous agissez uniquement en tant que sous-traitant des données, vous n'avez pas besoin d'effectuer d'analyse d'impact relative à la protection des données (AIPD), bien que cela reste un exercice de conformité utile. 

En vertu du RGPD, certaines activités de traitement nécessiteront toujours une analyse d'impact relative à la protection des données (AIPD). C'est le cas où votre projet implique l'un des éléments suivants :

• Le traitement automatisé des données à caractère personnel impliquant une évaluation systématique et approfondie des aspects personnels des individus (y compris tout profilage), où ce traitement éclaire des décisions produisant des effets juridiques (ou significatifs) sur ces personnes.

Par exemple, si vous utilisez les services cloud pour analyser de manière automatisée (par exemple, sans intervention humaine) des données à caractère personnel concernant vos employés (par exemple, leurs performances professionnelles), et que cela pourrait avoir une incidence sur leurs conditions d'emploi ou leur salaire individuel, vous aurez probablement besoin d'une analyse d'impact relative à la protection des données (AIPD).

• Traitement à grande échelle de catégories spéciales de données ou de données concernant des condamnations ou des crimes. 

Par exemple, si vous utilisez Cloud Storage pour stocker de grands ensembles de données de données de santé concernant des personnes, tels que des dossiers médicaux ou des résultats de tests cliniques, vous aurez probablement besoin d'une analyse d'impact relative à la protection des données (AIPD).

• Surveillance systématique à grande échelle des zones accessibles au public. Dans ce contexte, une zone accessible au public est une zone ouverte à tout membre du public.

Par exemple, si vous avez l'intention d'intégrer votre système de CCTV aux services cloud, par exemple en stockant dans le cloud les vidéos de vidéosurveillance de vos bureaux, vous aurez probablement besoin d'une analyse d'impact relative à la protection des données (AIPD).

Remarque : Chaque autorité européenne de protection des données a défini des types supplémentaires de traitement qui nécessiteront toujours une analyse d'impact relative à la protection des données (AIPD). Vous devez donc consulter les exigences supplémentaires applicables à votre pays. 

Le traitement décrit dans la section ci-dessus nécessite toujours une analyse d'impact relative à la protection des données (AIPD). Cependant, même si votre traitement ne relève pas de ces catégories, vous devez déterminer s'il présente un "risque élevé" pour les droits et les libertés des personnes.

Pour prendre cette décision, vous devez évaluer objectivement les risques liés à votre traitement. Votre évaluation doit tenir compte de la nature, de la portée, du contexte et des finalités du traitement. En d'autres termes, ce que vous faites avec les données personnelles et pour quelle raison, ainsi que toutes les circonstances connexes. 

Une analyse d'impact relative à la protection des données (AIPD) est plus susceptible d'être requise lorsque le traitement implique l'utilisation de nouvelles technologies. Cela ne signifie pas nécessairement que tout traitement impliquant de nouvelles technologies nécessitera par défaut une analyse d'impact relative à la protection des données (AIPD). Toutefois, si votre organisation utilise des technologies innovantes ou des applications novatrices reposant sur des technologies existantes, cette utilisation doit être prise en compte dans votre évaluation. Nous recommandons aux clients des services cloud de prêter une attention particulière au rôle que joue la technologie de Google Cloud dans leur traitement lorsqu'ils préparent leur évaluation des risques.

Le Comité européen de la protection des données (CEPD) a établi des consignes pour déterminer si votre traitement est susceptible de présenter un "risque élevé". Ces conseils incluent neuf facteurs qui indiquent un "risque élevé" :

1. Votre processus implique le profilage, l'évaluation ou la notation des personnes (par exemple, pour des scores de crédit).

2. Vous prenez des décisions automatiques basées sur des données à caractère personnel et ayant des répercussions juridiques ou significatives sur des personnes (recrutement en ligne ou refus d'une demande de crédit en ligne, par exemple).

3. Vous surveillez systématiquement les personnes (par exemple, CCTV ou suivi de position).

4. Vous traitez des données spéciales appartenant à des catégories spécifiques ou des données à caractère personnel de nature très confidentielles (par exemple, des dossiers médicaux).

5. Vous traitez des données personnelles à grande échelle. Étant donné que les "grandes échelles" ne sont pas définies dans les présents conseils, vous devez vous fier à votre jugement.

6. Vous associez ou combinez différents ensembles de données (par exemple, si vous avez obtenu un ensemble de données distinct auprès d'un tiers pour enrichir un ensemble de données existant).

7. Vous traitez des données concernant des personnes vulnérables (par exemple, des enfants ou des patients).

8. Vous appliquez de nouvelles solutions technologiques ou organisationnelles, ou vous utilisez des technologies innovantes (par exemple, l'intelligence artificielle).

9. Votre traitement des données empêche les personnes d'exercer un droit ou d'utiliser un service ou un contrat (refus d'un prêt individuel, par exemple).

En règle générale, si votre traitement des données répond à au moins deux de ces facteurs de risque, vous devrez probablement mener une analyse d'impact relative à la protection des données (AIPD).

Un autre facteur pouvant influencer votre décision est de savoir si votre organisation est un organisme public ou si elle traite des données à caractère personnel dans le secteur public (par exemple, des services gouvernementaux, des conseils régionaux ou des municipalités). Le CEPD a émis des directives selon lesquelles de nombreuses opérations de traitement du secteur public reposant sur des services cloud présentent un "risque élevé", par exemple en raison de la nature sensible des données ou de l'ampleur du traitement.

Certaines autorités chargées de la protection des données ont développé des outils d'évaluation des risques pour vous aider à décider si vous avez besoin d'une analyse d'impact relative à la protection des données (AIPD). Nous vous recommandons donc vivement de consulter le site Web de votre autorité pour obtenir des conseils.

En tant que responsable du traitement des données, il est de votre responsabilité de déterminer si une analyse d'impact relative à la protection des données (AIPD) est nécessaire et de la préparer. Google ne peut pas mener d'analyse d'impact relative à la protection des données (AIPD) au nom de ses clients, mais nous fournissons une assistance en mettant à disposition des informations et d'autres ressources qui peuvent vous aider à mener à bien cette analyse d'impact relative à la protection des données (AIPD) pour votre utilisation des services cloud.

Une analyse d'impact relative à la protection des données (AIPD) comprend généralement plusieurs phases clés, qui sont abordées plus en détail dans la présente section :

1. Décrire le traitement des données.

2. Évaluer la nécessité et la proportionnalité.

3. Décrire les risques et la manière dont vous allez les gérer.

4. Recueillir des données supplémentaires.

5. Documenter vos conclusions.

Il n'existe pas de format défini pour une analyse d'impact relative à la protection des données (AIPD). Certaines autorités chargées de la protection des données ont publié des modèles que vous pouvez utiliser, mais vous pouvez également vous servir des modèles fournis par Google Cloud (voir Comment Google vous assiste pour votre AIPD).

Que vous utilisiez un modèle ou que vous créiez votre propre format d'analyse d'impact relative à la protection des données, cette dernière doit inclure les éléments suivants :

• Comment et pourquoi votre organisation traitera les données à caractère personnel et quelle est votre base légale RGPD (par exemple, le consentement, exécution d'un contrat ou intérêts légitimes).

• Votre évaluation de la nécessité et de la proportionnalité du traitement (pourquoi vous devez traiter les données à caractère personnel pour atteindre votre objectif).

• Tous les risques potentiels que vous avez identifiés et les mesures que vous allez prendre pour les gérer et les atténuer. Cela peut être un moyen efficace d'évaluer et de démontrer la conformité de votre projet avec les principes de protection des données.

De plus, la surveillance régulière des activités de traitement des données pour lesquelles votre AIPD est menée, ainsi que l'intégration de mises à jour le cas échéant, constituent un élément clé du cycle de vie global de l'analyse d'impact relative à la protection des données (AIPD). En cas de changement important affectant les activités de traitement des données, nous vous conseillons de passer en revue et de mettre à jour en conséquence les parties pertinentes de l'analyse d'impact relative à la protection des données (AIPD).

1. Décrire le traitement des données.

Vous devez fournir une description fonctionnelle de votre traitement des données. Dans ce cas, il peut être utile de vous poser les questions suivantes :

• Quels types de données à caractère personnel seront utilisés dans votre projet (par exemple les noms, coordonnées, informations financières, adresses e-mail) ?

• À qui appartiennent les données à caractère personnel (également appelées "personnes concernées") ? Par exemple, vos employés, vos clients ou vos élèves.

• Quelle est la source des données à caractère personnel ? Allez-vous les collecter directement auprès des personnes concernées ou par le biais d'un tiers ? 

• À quelles fins utiliserez-vous les données ? En d'autres termes, pourquoi les traitez-vous ?

• Comment comptez-vous utiliser les données ? Comment allez-vous les stocker ? Combien de temps les conserverez-vous ?

• Qui aura accès aux données à caractère personnel au sein de votre organisation ?

• Les données seront-elles partagées avec des personnes extérieures à votre organisation ?

Vous pouvez également inclure un diagramme, un organigramme ou d'autres supports visuels dans votre description. 

2. Évaluer la nécessité et la proportionnalité. 

La nécessité et la proportionnalité sont des principes clés de la législation européenne sur la protection des données. Pour démontrer la nécessité et la proportionnalité de votre traitement, vous devez montrer comment vous comptez respecter vos obligations de protection des données au titre du RGPD. Votre évaluation doit montrer que vous avez réfléchi aux points suivants :

• Sur quelle base légale de l'article 6 du RGPD votre traitement des données est-il fondé (par exemple : consentement, exécution d'un contrat, intérêts légitimes, etc…) ? Si vous invoquez vos intérêts légitimes, vous devez les décrire.

• Le traitement est-il nécessaire pour atteindre votre objectif ? Êtes-vous certain de ne pas pouvoir atteindre cet objectif sans traiter les données à caractère personnel ?

• Comment allez-vous vous assurer de ne pas traiter plus de données à caractère personnel que nécessaire ? Avez-vous envisagé la pseudonymisation ou l'anonymisation des données ?

• Comment informerez-vous les personnes concernées que vous traitez leurs données à caractère personnel et leur fournirez-vous les informations requises au titre du RGPD (par exemple, les règles ou avis de confidentialité) ?

• Informez-vous les personnes concernées de leurs droits concernant l'utilisation que vous faites de leurs données à caractère personnel, notamment l'accès aux données à caractère personnel ou l'opposition à leur traitement ? Pour en savoir plus sur la manière dont les Services cloud soutiennent les droits des personnes concernées, consultez la page Comment Google soutient votre AIPD. 

• Avez-vous défini des durées de conservation maximales pour les données à caractère personnel ? En quoi sont-elles justifiées et quelles mesures pouvez-vous prendre pour vous assurer que les données sont supprimées au moment opportun ?

• Quels sous-traitants des données utilisez-vous pour votre traitement ? Google Cloud sera l'un de vos sous-traitants des données. Vous devez le documenter dans votre analyse d'impact relative à la protection des données (AIPD). Pour en savoir plus sur Google et ses sous-traitants indirects, consultez la section Comment Google vous assiste pour votre AIPD. 

• Si vous partagez des données avec des entités (par exemple, avec des entreprises externes ou avec vos propres filiales) basées en dehors de l'espace économique européen (ou dans des pays appliquant des décisions d'adéquation comme le Royaume-Uni), quelles mesures avez-vous prises pour protéger les données dans ces pays tiers ? Pour en savoir plus sur les mesures de protection de Google Cloud pour les transferts de données, consultez Comment Google vous assiste votre AIPD. 

• Si le traitement respecte un code de conduite approuvé par une autorité chargée de la protection des données, vous devez en tenir compte. Pour en savoir plus sur l'adhésion de Google au code de conduite cloud de l'UE, consultez la page Comment Google vous assiste pour votre AIPD.

3. Décrire les risques et la manière dont vous allez les gérer.

Votre analyse d'impact relative à la protection des données AIPD doit identifier les risques liés aux droits et aux libertés des personnes qui pourraient découler du traitement de vos données. 

L'identification de ces risques est un élément crucial de l'analyse d'impact relative à la protection des données (AIPD). Il s'agit de votre évaluation de l'impact réel de l'activité de traitement des données. L'impact et les risques sont susceptibles de varier en fonction des activités de votre organisation, de la nature des données à caractère personnel et des personnes concernées. 

Il existe de nombreuses façons d'évaluer l'impact et les risques liés à la protection des données, et le RGPD n'impose aucune approche spécifique. Certaines autorités chargées de la protection des données ont publié des documents et des outils pour aider les organisations à effectuer cette évaluation, ce qui peut vous être utile.

Vous trouverez ci-dessous quelques-uns des éléments susceptibles de faire partie de votre évaluation.

A) Quels risques potentiels devez-vous prendre en compte ?

Votre analyse d'impact relative à la protection des données (AIPD) doit tenir compte des impacts négatifs qui pourraient se produire à la suite de votre projet. Il peut être utile de se mettre à la place des personnes dont les données à caractère personnel seront traitées, et de réfléchir à ce qui pourrait les inquiéter. 

Exemples de risques potentiels :

• Utilisation surprenante ou inattendue de données à caractère personnel pour les personnes.

• Perte de contrôle des personnes sur leurs données personnelles.

• Discrimination ou biais.

• Augmentation du risque d'usurpation d'identité ou de fraude.

• Invasion de la vie personnelle des personnes.

• Perte de confidentialité.

• Restauration de l'identification de données pseudonymisées.

• Divulgation d'informations sensibles ou d'informations sur des personnes vulnérables (des enfants, par exemple).

• Collecte d'informations inexactes ou hypothèses inexactes sur les personnes.

Dans votre évaluation, vous pouvez également inclure vos propres risques en tant qu'organisation (par exemple tout risque d'atteinte à la réputation, de mesures réglementaires ou de perte de confiance du public).

Pensez également au niveau de risque, en tenant compte à la fois de la probabilité et de la gravité du préjudice potentiel. Par exemple, un risque peut être très grave, mais peut être très improbable dans la pratique. D'autre part, un risque peut être relativement mineur, mais avoir une forte probabilité de survenir. Il peut être utile d'attribuer un score de risque numérique ou d'utiliser une approche de type "feu de signalisation" (rouge/orange/vert). 

B) Quelles mesures pouvez-vous prendre pour atténuer les risques ?

Une fois que vous avez évalué le niveau de risque, vous devez identifier les mesures que vous pouvez prendre pour atténuer ces risques. Voici quelques exemples de mesures d'atténuation :

• Décider de ne pas collecter certaines données à caractère personnel.

• Pseudonymiser les données.

• Exclure les personnes vulnérables de l'ensemble de données, dans la mesure du possible.

• Mettre en œuvre des mesures visant à garantir un niveau de sécurité adapté au risque.

• Mettre en œuvre des politiques internes de gestion des données pour le personnel.

• Former le personnel à l'utilisation des données à caractère personnel.

• Prendre des mesures supplémentaires pour informer les personnes de la façon dont l'organisation traitera leurs données à caractère personnel.

• Permettre aux personnes de choisir la manière dont leurs données à caractère personnel seront utilisées.

Vous n'avez pas besoin d'éliminer complètement tous les risques. Toutefois, vous devriez être en mesure de réduire les risques globaux à un niveau acceptable, conformément à vos obligations au titre du RGPD. Lors de l'évaluation des risques résiduels, vous pouvez prendre en compte les avantages de votre projet, y compris les avantages pour les personnes. Si les risques résiduels restent "élevés", vous pouvez décider de ne pas poursuivre le projet ou de consulter votre autorité chargée de la protection des données avant de poursuivre.

4. Recueillir des données supplémentaires.

Si votre organisation dispose d'un délégué à la protection des données (DPD), vous êtes tenu, au titre du RGPD, de solliciter son avis lors de la préparation d'une analyse d'impact relative à la protection des données AIPD. Il peut également être utile de discuter avec d'autres partenaires de votre organisation, comme par exemple les équipes informatiques, de conformité ou juridiques. 

En fonction de la nature de votre projet et des risques encourus, vous pouvez également demander l'avis des personnes dont vous allez traiter les données. Ces questions peuvent prendre plusieurs formes, en fonction de votre projet et de votre lieu de travail. Par exemple, vous pouvez vous adresser à vos employés pour répondre à leurs questions ou préoccupations, consulter les représentants du personnel de votre organisation (par exemple, un comité d'entreprise ou un syndicat, le cas échéant) ou réaliser des études de marché pour connaître le point de vue de vos utilisateurs finaux (par exemple, vos clients si vous êtes un commerce). 

5. Documenter vos conclusions.

Une fois votre évaluation terminée, vous devez consigner les éléments suivants dans votre analyse d'impact relative à la protection des données (AIPD) :

• Les risques liés au traitement planifié des données à caractère personnel que vous avez identifié.

• Les mesures que vous allez prendre pour atténuer ces risques.

• Dans quelle mesure subsistent des risques résiduels et quel est le niveau de ces risques résiduels.

• Si vous devez prendre des mesures supplémentaires, par exemple consulter votre autorité chargée de la protection des données.

Si, dans le cadre de l'analyse d'impact relative à la protection des données (AIPD), vous avez été en mesure d'atténuer suffisamment les risques identifiés, vous pouvez choisir de poursuivre sans consulter l'autorité chargée de la protection des données de votre organisation.

Toutefois, si vous estimez que vous n'êtes pas en mesure de réduire les risques résiduels à un niveau acceptable et que, d'après votre évaluation, le traitement présente tout de même un "risque élevé", vous devez consulter votre autorité chargée de la protection des données avant de commencer le traitement. Vous pouvez également décider de ne pas poursuivre le projet. 

Nous proposons deux modèles d'analyse d'impact relative à la protection des données (AIPD) : un pour Google Workspace (y compris Google Workspace for Education) et un pour Google Cloud :

• Modèle d'analyse d'impact relative à la protection des données (DPIA) pour Google Workspace

• Modèle d'analyse d'impact relative à la protection des données (DPIA) pour Google Cloud

Ces modèles peuvent être un outil utile pour vous aider à réfléchir, planifier et mener votre analyse d'impact relative à la protection des données (AIPD). Bien qu'ils aient été conçus pour être utilisés dans le cadre des services cloud, ils n'anticipent pas (et ne peuvent pas anticiper) tous les cas d'utilisation possibles pour les services cloud. Par conséquent, ils sont génériques et doivent être considérés comme une suggestion de point de départ. De plus, les informations qu'ils contiennent ne constituent pas un conseil juridique. N'oubliez pas que l'analyse d'impact relative à la protection des données (AIPD) relève de votre responsabilité en tant que responsable du traitement des données. Elle doit être spécifique aux cas d'utilisation prévus pour les services cloud.

Il n'existe pas de format défini pour l'analyse d'impact relative à la protection des données (DPIA). Vous pouvez utiliser la méthode de votre choix, à condition qu'elle respecte les exigences réglementaires. Certaines autorités chargées de la protection des données ont publié leurs propres modèles d'analyse d'impact relative à la protection des données (AIPD). Vous pouvez donc consulter les formats qu'ils proposent.

Pour aider nos clients à décrire le traitement des données adapté, vous trouverez ci-dessous des informations sur les services Cloud. Vous trouverez également des liens vers des documents supplémentaires sur les services cloud qui peuvent vous être utiles pour remplir cette section de votre analyse d'impact relative à la protection des données (AIPD).

Quelles données à caractère personnel doit couvrir l'analyse d'impact relative à la protection des données (AIPD) ?

L'analyse d'impact relative à la protection des données (AIPD) doit couvrir toutes les données à caractère personnel que vous traitez en tant que responsable du traitement et qui correspondent à la définition des "Données à caractère personnel du client" de notre Avenant relatif au traitement des données dans le cloud (CDPA). 

Conformément à l'annexe 1 du CDPA, les catégories de données à caractère personnel traitées par le biais des services cloud englobent toutes les données concernant des personnes fournies à Google via les services cloud, par les clients (ou à leur demande) ou par les utilisateurs finaux. 

En pratique, cela peut inclure :

• Les informations personnelles, qui incluent toute information identifiant la personne concernée et ses caractéristiques personnelles, y compris son nom, son adresse, ses coordonnées, son âge, sa date de naissance, son sexe et sa description physique.

• Les informations sur l'emploi, qui incluent les informations concernant l'emploi de la personne concernée, y compris les antécédents d'emploi et de carrière, les détails relatifs au recrutement et à la cessation d'emploi, les registres de présence, les évaluations de performances, les dossiers de formation et les dossiers de sécurité.

• Les informations financières, qui incluent les informations relatives aux affaires financières de la personne concernée, y compris les revenus, le salaire, les actifs et les investissements, les paiements, la solvabilité, les prêts, les avantages, les subventions, les assurances et les informations sur la retraite.

• Les informations sur l'éducation et la formation, qui incluent les informations concernant l'éducation et la formation professionnelle de la personne concernée, y compris les dossiers scolaires, les qualifications, les compétences, les dossiers de formation, l'expertise professionnelle, les dossiers des élèves et étudiants.

• Les informations personnelles émises en tant qu'identifiant par une autorité publique, y compris les informations de passeport, les numéros de sécurité sociale, les numéros de carte d'identité et les détails du permis de conduire.

• Les informations circonstancielles concernant la famille, le mode de vie et la situation sociale, qui incluent toute information concernant la famille, le mode de vie ou la situation sociale de la personne concernée, y compris les informations sur la famille et les autres membres du foyer, les habitudes, le logement, les détails de voyage, les activités de loisirs et l'adhésion à des organisations caritatives ou bénévoles.

• Toutes autres données à caractère personnel contrôlées par votre organisation.

En fonction de votre utilisation des services cloud, les données à caractère personnel peuvent inclure des catégories spéciales de données à caractère personnel, c'est-à-dire des données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques, les données biométriques (utilisées à des fins d'identification) ou de santé, la vie sexuelle ou l'orientation sexuelle.

Informations supplémentaires si Google traite les données des services en qualité de sous-traitant

Outre le traitement des données à caractère personnel du client par Google, Google traite également les données des services lorsqu'il fournit les services cloud. Selon l'avis de confidentialité de Google Cloud, les données des services sont les informations personnelles que Google collecte ou génère dans le cadre de la fourniture ou de l'administration des services Cloud, à l'exclusion des données client. 

Les clients Google Workspace for Education peuvent accepter les conditions du contrat avec Google (l'Avenant relatif aux données des services Google Workspace for Education) en vertu desquelles ils seront responsables du traitement des données des services, en indiquant Google comme sous-traitant des données des services, à l'exception du traitement limité des données des services pour lequel Google continuera d'agir en tant que responsable du traitement. Ces clients peuvent souhaiter utiliser les parties de ce centre de ressources qui ont le même titre que la présente sous-section afin de gérer l'utilisation des données des services dans leurs analyses d'impact relative à la protection des données.

Comment décririez-vous le traitement dans le cadre de votre utilisation des services Cloud ?

Lorsque vous décrivez les activités de traitement, il peut être utile de lire notre description des services et fonctionnalités disponibles dans le cadre des services Cloud.

• Google Workspace et Google Workspace for Education sont des outils de productivité et de collaboration. Les services sont décrits dans le Récapitulatif des services Google Workspace (veuillez accéder à l'édition/au SKU qui vous concerne). Pour en savoir plus sur ces services, consultez cette page pour Google Workspace et cette page pour Google Workspace for Education.

• Google Cloud comprend plus de 150 produits de cloud computing, d'analyse de données et de machine learning. Les services disponibles pour les clients Google Cloud sont décrits dans le Récapitulatif des services Google Cloud. Pour en savoir plus sur ces services, cliquez ici.

Que signifie l'utilisation des services cloud pour vos finalités de traitement des données ?

Votre analyse d'impact relative à la protection des données (AIPD) doit décrire les finalités pour lesquelles vous (en tant que responsable du traitement) demandez à vos sous-traitants de traiter les données à caractère personnel en votre nom.

Quelles que soient vos finalités, lorsque vous utilisez les services cloud, vous faites appel à Google Cloud pour traiter les données à caractère personnel du client en votre nom (afin d'atteindre une ou plusieurs de vos finalités). En tant que responsable du traitement de ces données, vous demandez à Google Cloud (en tant que sous-traitant) de les traiter conformément au contrat de services cloud applicable (y compris le CDPA) et au droit applicable, uniquement aux fins suivantes :

• Fournir, sécuriser et surveiller les services cloud et les services d'assistance technique fournis dans le cadre de votre contrat de services cloud

• Tel que spécifié par votre utilisation des services cloud et des services d'assistance technique concernés, ou via toute autre instruction écrite que vous avez donnée en vertu du CDPA et que Google reconnaît comme telle.

Google se conformera à vos instructions en vertu du CDPA (sauf si la législation européenne l'interdit) en ce qui concerne un tel traitement.

Informations supplémentaires si Google traite les données des services en qualité de sous-traitant

Si vous êtes un client Google Workspace for Education et que vous avez choisi d'accepter l'Avenant relatif aux données des services Google Workspace for Education, les instructions que Google Cloud (en tant que sous-traitant) suivra en ce qui concerne les données des services sont définies dans cet avenant.

Quels tiers auront accès aux données à caractère personnel dans les services cloud ?

Votre analyse d'impact relative à la protection des données (AIPD) doit indiquer tous les tiers avec lesquels vous partagerez des données à caractère personnel :

• Lorsque vous utilisez les services cloud, vous partagez les données à caractère personnel du client avec l'entité contractante Google indiquée dans le CDPA, qui sera un sous-traitant de ces données. Pour vérifier l'entité correcte, cliquez ici.

• Google Cloud fait également appel à des sous-traitants indirects pour réaliser des activités limitées en lien avec les services cloud, telles que les services d'assistance technique, les opérations des centres de données ou la maintenance des services. En acceptant notre CDPA, vous autorisez la nomination de ces tiers.

Remarque : Vous trouverez une liste des sous-traitants indirects (ainsi que des informations sur leurs activités) pour Google Workspace (y compris Google Workspace for Education) ici et pour Google Cloud ici.

En cas de recours à des sous-traitants indirects, Google s'engage à garantir les points suivants :

• Chaque sous-traitant indirect n'a accès aux données client (y compris les données à caractère personnel du client) que dans le cadre des activités limitées qui lui sont sous-traitées, conformément au contrat de services cloud conclu entre Google et le client (y compris le CDPA).

• Si le traitement des données à caractère personnel du client est soumis au RGPD (ou à toute autre législation européenne sur la protection des données), les obligations de protection des données décrites dans le CDPA sont imposées aux sous-traitants indirects.

• Nos clients reçoivent un avis préalable avant qu'un nouveau sous-traitant indirect ne commence à traiter des données client (y compris les données à caractère personnel du client), cet avis incluant le nom et l'emplacement du sous-traitant indirect ainsi que les activités qu'il effectuera.

Informations supplémentaires si Google traite les données des services en qualité de sous-traitant

Si vous êtes un client Google Workspace for Education et que vous avez choisi d'accepter l'Avenant relatif aux données des services Google Workspace for Education, les sous-traitants indirects de Google en charge des comptes personnels du client sont également des sous-traitants indirects des données des services et sont soumis à des engagements similaires concernant les données des services, qui sont définis dans cet avenant.

Où les données sont-elles stockées et traitées ?

Compte tenu de la nature mondiale de nos services de cloud public, nous disposons d'installations dans toutes les régions (à l'échelle mondiale) pour stocker et traiter les données client (y compris les données à caractère personnel du client).

Vous trouverez plus d'informations sur les lieux où Google et ses sous-traitants indirects gèrent des installations :

Pour Google Workspace (y compris Google Workspace for Education) :

• Installations de Google

• Installations des sous-traitants indirects 

Pour Google Cloud :

• Installations de Google

• Installations des sous-traitants indirects

De plus amples informations sur l'infrastructure (par exemple, le matériel et les réseaux) utilisée pour traiter les données client (y compris les données à caractère personnel du client) sont disponibles dans notre Présentation de la conception de l'infrastructure de sécurité, ainsi que dans :

• Pour Google Workspace (y compris Google Workspace for Education), dans le livre blanc sur la sécurité de Google Workspace.

• Pour Google Cloud, dans la Présentation de la sécurité Google.

Nous sommes conscients que certains clients souhaitent avoir plus de choix et de contrôle sur l'emplacement de leurs données client :

• Pour Google Cloud : les clients peuvent configurer les services listés ici pour stocker leurs données clients au repos dans une région ou un emplacement multirégional spécifique, comme indiqué sur la page emplacements Cloud. Cet engagement est indiqué dans la section "Emplacement des données" des Conditions spécifiques aux services Google Cloud. En outre, les clients peuvent également configurer une règle d'administration qui restreint l'emplacement physique des nouvelles ressources pour les services compatibles.

• Pour Google Workspace (y compris Google Workspace for Education) : les clients disposant d'éditions éligibles peuvent utiliser la fonctionnalité de régions des données, qui leur permet de sélectionner une région de données (par exemple, l'Europe) pour stocker leurs données client couvertes (y compris les sauvegardes) au repos. Cette fonctionnalité s'applique actuellement aux données et aux services principaux de Google Workspace décrits ici (voir la section "Régions des données" des Conditions spécifiques aux services Google Workspace).

Informations supplémentaires si Google traite les données des services en qualité de sous-traitant

Pour les clients Google Workspace for Education qui ont choisi d'accepter l'Avenant relatif aux données des services Google Workspace for Education, les informations sur les installations de nos "Sous-traitants indirects" sont disponibles via le lien correspondant dans l'avenant.

Combien de temps Google Cloud conserve-t-il les données client ?

Sauf si notre client les supprime avant cette échéance, Google Cloud traitera les données client à la fois :

• Pendant la durée du CDPA (qui prendra fin à la fin de la provision des services cloud)

• Pendant une période après la fin de la période de validité jusqu'à la suppression des données. Après une période de récupération de 30 jours maximum, Google supprimera les données dès que possible et dans un délai maximal de 180 jours, sauf si la loi exige de les conserver. Si vous souhaitez conserver les données après la fin de la période de validité, vous pouvez demander à Google de vous les restituer avant la fin de la période de validité en utilisant des fonctionnalités intégrées, telles que les outils d'exportation de données.

Vous pouvez également supprimer les données client à tout moment pendant la période de validité en utilisant les fonctionnalités intégrées aux services cloud que vous utilisez. Lorsque vous utilisez la fonctionnalité des services cloud pour supprimer les données client, Google supprime les données dès que raisonnablement possible et dans un délai maximal de 180 jours, sauf si la loi exige de les conserver.

Pour en savoir plus sur la conservation et la suppression :

• Pour Google Workspace (y compris Google Workspace for Education), consultez les articles Supprimer ou retirer un compte utilisateur de votre organisation et Supprimer le compte Google de votre organisation.

• Pour Google Cloud, consultez notre page Suppression des données sur Google Cloud.

Veuillez noter que vous êtes responsable des copies des données que vous pouvez choisir de conserver en dehors des systèmes de Google ou de ses sous-traitants indirects.

Informations supplémentaires si Google traite les données des services en qualité de sous-traitant

Pour les clients Google Workspace for Education qui ont choisi d'accepter l'Avenant relatif aux données des services Google Workspace for Education, les engagements de Google concernant la conservation et la suppression des données des services sont définies dans cet avenant.

Lors de l'évaluation de la nécessité et de la proportionnalité de votre traitement, votre analyse d'impact relative à la protection des données (AIPD) doit couvrir différents aspects de votre conformité avec les principes de protection des données.

Bien qu'il vous incombe en tant que responsable du traitement de démontrer la conformité, les protections, les caractéristiques et les fonctionnalités intégrées aux services cloud peuvent vous aider dans votre évaluation.

Comment Google peut-il vous aider dans vos efforts de minimisation des données ?

En plus des mesures techniques et organisationnelles que vous avez mises en place pour vous assurer que vous ne traitez que la quantité minimale de données à caractère personnel nécessaire pour atteindre les objectifs annoncés, Google Cloud peut mettre à votre disposition certaines fonctionnalités et ressources permettant de réduire la quantité de données à caractère personnel traitées dans les services cloud. Consultez par exemple notre documentation Google Cloud sur l'anonymisation des données sensibles et la pseudonymisation.

Comment Google peut-il vous aider à respecter les droits des personnes concernées ?

En tant que responsable du traitement des données à caractère personnel, vous êtes tenu d'informer les individus de leurs droits concernant leurs données à caractère personnel (par exemple, les droits d'accès, d'effacement et de portabilité), et de répondre à toute demande que vous recevez de la part des personnes qui exercent ces droits.

Pour vous aider à respecter vos obligations, Google vous permettra, conformément aux fonctionnalités des services cloud, de supprimer, consulter, exporter, rectifier ou restreindre le traitement des données client (y compris les données à caractère personnel du client).

Si l'équipe Google chargée de la protection des données dans le cloud reçoit une demande d'une personne physique qui se rapporte aux données à caractère personnel du client et identifie votre organisation, Google conseillera à cette personne de vous envoyer sa demande. Google vous informera rapidement de la réception de la demande et n'y répondra pas sans votre autorisation. 

Pour Google Workspace (y compris Google Workspace for Education), le guide sur les demandes des personnes concernées (DSR) fournit des informations sur la façon dont vous pouvez utiliser ces services pour vous aider à répondre aux demandes des personnes concernées.

Informations supplémentaires si Google traite les données des services en tant que sous-traitant

Pour les clients Google Workspace for Education qui ont choisi d'accepter l'Avenant relatif aux données des services Google Workspace for Education, Google propose également les engagements décrits dans cette section pour les données des services que Google traite en tant que sous-traitant.

Quelles sont les protections en place pour les transferts de données internationaux ?

Vous (en tant que responsable du traitement) et Google (en tant que sous-traitant) êtes tenus de vous assurer que tout transfert des données à caractère personnel du client (et des données des services) pour les clients Google Workspace for Education ayant choisi d'accepter l'Avenant relatif aux données des services Google Workspace for Education) pour les pays situés en dehors de l'espace économique européen (qui n'ont pas de décisions d'adéquation) respectent les exigences du RGPD concernant les transferts de données. Ces pays sont communément appelés "pays tiers". 

À moins que Google n'ait adopté une solution de transfert alternative (par exemple, le cadre de protection des données UE-États-Unis), lorsque des données sont transférées vers un pays tiers, nous nous appuyons sur les clauses contractuelles types (CCT) approuvées par la Commission européenne, comme indiqué dans notre livre blanc Approche de Google Cloud vis-à-vis des clauses contractuelles types de l'Union européenne. Plus spécifiquement, vous pouvez consulter la section du livre blanc intitulée "Approche mise à jour de Google Cloud concernant les CCT" pour comprendre quels modules CCT s'appliquent aux transferts correspondants de données à caractère personnel du client. Nos engagements contractuels en ce qui concerne les transferts des données à caractère personnel du client vers des pays tiers sont définis dans la section "Emplacements de traitement des données" du CDPA. 

Nous fournissons également des informations supplémentaires sur les mesures de protection techniques, juridiques et organisationnelles mises en place par Google pour protéger les transferts de données internationaux :

• Pour Google Workspace (y compris Google Workspace for Education), consultez le livre blanc Mesures de protection pour les transferts de données internationaux avec Google Workspace et Google Workspace for Education.

• Pour Google Cloud, consultez notre livre blanc Mesures de protection pour les transferts de données internationaux avec Google Cloud.

Ces livres blancs contiennent des informations sur la législation des États-Unis et son applicabilité aux services cloud, afin d'aider les clients à effectuer une évaluation des risques compte tenu de la décision de la Cour de justice de l'Union européenne intitulée "Schrems II". 

Concernant les solutions de transfert alternatives, nous accueillons le cadre de protection des données et nous travaillons à l'adopter pour les transferts de données à caractère personnel de l'UE vers les États-Unis. Conformément aux exigences du CDPA, nous informerons nos clients lorsque nous adopterons le cadre de protection des données en tant que solution de transfert alternative, ce que nous prévoyons de faire dans un avenir proche. Une fois que nous aurons adopté le cadre de protection des données en tant que solution de transfert alternative, nous nous assurerons que les transferts de données internationaux correspondants sont effectués conformément à celui-ci. 

Est-ce que Google respecte un code de conduite approuvé ?

Google adhère au Code de conduite cloud du RGPD pour l'UE en ce qui concerne les services cloud. 

Le code de conduite cloud est un mécanisme permettant aux fournisseurs de services cloud de démontrer comment ils offrent des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées en tant que sous-traitants au titre du RGPD. Cliquez ici pour savoir quels services cloud sont concernés. 

Le code de conduite cloud a été approuvé par l'autorité belge chargée de la protection des données le 20 mai 2021 sur la base d'un avis positif du comité européen de la protection des données. 

Une fois que vous avez évalué les risques liés à votre traitement des données, votre analyse d'impact relative à la protection des données (AIPD) doit expliquer comment vous prévoyez d'atténuer ces risques. Cela signifie généralement de démontrer que vous avez mis en place des mesures techniques et organisationnelles adaptées aux risques encourus, y compris des mesures pour la sécurité des données.

Lorsque vous utilisez les services cloud, le traitement des données client bénéficie des points suivants :

• Mesures de sécurité de pointe mises en œuvre et gérées par Google.

• Des ressources, fonctionnalités, caractéristiques et/ou contrôles de sécurité supplémentaires mis à la disposition des utilisateurs des services cloud, que vous pouvez choisir d'utiliser selon votre choix.

• Engagements contractuels de Google concernant les mesures techniques, organisationnelles et physiques. 

Informations supplémentaires si Google traite les données des services en qualité de sous-traitant

Pour les clients Google Workspace for Education qui ont choisi d'accepter l'Avenant relatif aux données des services Google Workspace for Education, cela inclut également des engagements contractuels équivalents en ce qui concerne les mesures de sécurité pour les données des services que Google traite en tant que sous-traitant. 

Lorsque vous signez le CDPA, vous acceptez que ces mesures offrent un niveau de sécurité approprié compte tenu des risques liés à votre traitement des données.

Quelles mesures de sécurité Google applique-t-il pour les services Cloud ?

Étant une entreprise novatrice dans le cloud, Google comprend la sécurité dans le cloud. Nous faisons de la sécurité une priorité absolue dans nos opérations, et les services cloud sont conçus pour offrir une sécurité supérieure à celle de nombreuses approches sur site.

La sécurité détermine la structure organisationnelle, la culture, les priorités en matière de formation et les processus de recrutement de Google. Elle façonne la conception de nos centres de données et les technologies qu'ils hébergent. Elle est au cœur de nos opérations quotidiennes et est notre priorité dans la manière dont nous traitons les données client et les données des services. Elle influence également les certifications et les rapports d'audit que nous produisons.

Vous pouvez consulter la Présentation de la conception de l'infrastructure de sécurité de Google pour en savoir plus sur la manière dont notre infrastructure technique à l'échelle mondiale est conçue pour garantir un déploiement sécurisé des services cloud, des communications sécurisées entre les services, des communications sécurisées et privées avec les clients sur Internet, et des opérations sécurisées pour les administrateurs.

Vous trouverez également des informations plus spécifiques sur les mesures techniques et organisationnelles gérées par Google :

• Pour Google Workspace (y compris Google Workspace for Education), consultez le livre blanc sur la sécurité dans Google Workspace. 

• Pour Google Cloud, consultez la présentation de la sécurité Google et les livres blancs sur la sécurité avec Google Cloud. 

Des ressources supplémentaires sur les mesures de sécurité techniques et organisationnelles de Google pour les services cloud sont disponibles dans notre Centre des bonnes pratiques de sécurité et notre Centre de ressources sur la confidentialité.

Quels contrôles de sécurité facultatifs pouvez-vous appliquer à votre utilisation des services cloud ?

Google propose également des contrôles de sécurité supplémentaires facultatifs pour aider les clients des services cloud à répondre à leurs besoins en matière de sécurité et de conformité. Il s'agit de ressources, de caractéristiques, de fonctionnalités et de contrôles de sécurité que les clients peuvent utiliser selon leur choix, y compris la console d'administration, les solutions de chiffrement, les outils de journalisation et de surveillance, ainsi que la gestion de l'authentification et des accès (IAM).

Vous trouverez plus d'informations sur la façon dont votre organisation peut configurer les services cloud :

• Pour Google Workspace (y compris Google Workspace for Education), nos guides d'implémentation de la protection des données Google Workspace et Google Workspace for Education fournissent des informations sur la façon dont les clients peuvent utiliser et configurer les services et paramètres pertinents.

• Pour Google Cloud, notre framework d'architecture Google Cloud présente les bonnes pratiques et les recommandations d'implémentation, et peut aider les clients à concevoir leur déploiement Google Cloud en fonction des besoins de leur entreprise.

Nous proposons d'autres ressources pour vous aider à répondre à vos besoins en termes de sécurité et de conformité dans notre Centre des bonnes pratiques de sécurité et notre Centre de ressources sur la confidentialité.

Quels sont les engagements contractuels et autres de Google ?

Le CDPA définit les engagements contractuels de Google en ce qui concerne les données client, y compris les données à caractère personnel du client. Google s'engage, entre autres, à mettre en œuvre et à maintenir des mesures techniques, organisationnelles et physiques pour protéger les données client contre les destructions, pertes, altérations, divulgations ou accès accidentels ou illégaux.

Ces mesures sont décrites plus en détail dans l'Annexe 2 de la CDPA et incluent des engagements concernant la sécurité des centres de données et du réseau, le contrôle des accès et des sites, la sécurité des données, la sécurité du personnel et la sécurité des sous-traitants indirects.

De plus, les Engagements de Google Cloud concernant la confidentialité des données des entreprises décrivent de manière plus générale comment nous aidons à protéger les données des clients qui utilisent nos services cloud :

1. Vous contrôlez vos données : les données client sont vos données, pas celles de Google. Nous traitons toujours vos données conformément aux accords que vous avez conclus.

2. Nous n'utilisons jamais vos données à des fins de ciblage publicitaire : nous ne traitons pas vos données client à des fins publicitaires ni pour améliorer les produits Google Ads.

3. Nous faisons preuve de transparence en ce qui concerne la collecte et l'utilisation des données : nous nous engageons à faire preuve de transparence, ainsi qu'à respecter les réglementations comme le RGPD et les bonnes pratiques en matière de confidentialité.

4. Nous ne vendons jamais les données client ni les données des services : nous ne vendons jamais les données client ni les données des services à des tiers.

5. La sécurité et la confidentialité sont des critères essentiels pour la conception de tous nos produits : donner la priorité à la confidentialité des données de nos clients passe par la protection des données que vous nous confiez. Nous intégrons dans nos produits les technologies de sécurité les plus performantes.

Informations supplémentaires si Google traite les données des services en qualité de sous-traitant

Si vous êtes un client Google Workspace for Education et que vous avez choisi d'accepter l'Avenant relatif aux données des services Google Workspace for Education, les engagements contractuels de Google concernant les données des services traitées en qualité de sous-traitant sont définis dans cet avenant.

Comment Google traite-t-il les demandes des organismes chargés de l'application des lois ?

Google a mis au point un processus transparent et complet qui respecte les bonnes pratiques internationales concernant les demandes d'accès aux données émanant des autorités et des organismes chargés de l'application des lois. Google Cloud fournit une réponse au cas par cas, en tenant compte de différentes circonstances et en s'appuyant sur les obligations légales, les contrats client et les règles de confidentialité. 

La procédure que Google Cloud suivra pour traiter de telles demandes est décrite dans notre livre blanc sur les Demandes gouvernementales concernant les données des clients Cloud.

De plus, notre rapport Transparence des informations divulgue, lorsque la loi applicable l'autorise, le nombre de demandes d'informations sur les clients Enterprise Cloud émises par les organismes chargés de l'application des lois et les organismes gouvernementaux. 

Comment Google Cloud démontre-t-il la conformité ?

Les Services cloud font régulièrement l'objet d'une vérification indépendante de leurs contrôles de sécurité, de confidentialité et de conformité, ainsi que de certifications, d'attestations et de rapports d'audit destinés à prouver leur conformité. Les Clients peuvent accéder à diverses certifications (dont ISO 27001, 27017, 27018 et 27701), rapports d'audit (dont SOC 1, 2 et 3) et autres ressources pertinentes dans notre Gestionnaire des rapports de conformité et télécharger les documents. 

En outre, pour démontrer notre engagement continu à protéger les données des services, nous avons élargi le champ d'application de nos certifications ISO 27001, 27017, 27018 et 27701 afin d'inclure également les données des services (dans lesquelles nous agissons en tant que sous-traitant de ces données) pour les données des services Google Workspace. 

En outre, comme indiqué ci-dessus, Google adhère au Code de conduite cloud du RGPD de l'UE, un mécanisme permettant aux fournisseurs de services cloud de démontrer comment ils offrent des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles appropriées en tant que sous-traitants au titre du RGPD.