Icône de confidentialité représentant une personne
États-Unis | Tous secteurs

Correspondance entre l'Avenant relatif au traitement des données dans le cloud de Google et les lois sur la confidentialité dans les États américains

Cette page a pour but de vous aider à comprendre l'approche adoptée par Google pour aider ses clients à se conformer aux lois sur la confidentialité des États américains dans les cas où Google agit en tant que sous-traitant des données client (y compris les données client à caractère personnel) pour fournir, sécuriser et surveiller Google Cloud, ce qui inclut Google Cloud Platform, Google Workspace, Looker (original) et les services Google SecOps. 

Nous mettons ici l'accent sur les droits des consommateurs, les obligations générales des entreprises/responsables du traitement et les obligations des fournisseurs de services/sous-traitants dans le cadre de ces lois, car nous comprenons bien que les clients peuvent avoir besoin de l'aide de Google pour s'assurer de leur conformité. Pour chaque exigence, nous vous expliquons comment les engagements contractuels de l'Avenant relatif au traitement des données dans le cloud (CDPA, Cloud Data Processing Addendum) et le mode de fonctionnement des services Google Cloud vous permettent de répondre à l'exigence concernée. Pour faciliter la consultation, nous avons résumé et regroupé les "thématiques" dans des descriptions générales dans les sections ci-dessous, étant donné qu'il existe de fortes similitudes entre de nombreuses lois applicables dans les différents États. Nous associons également ces descriptions aux lois applicables dans chaque État.

Notez que chaque loi associé à un État donné peut utiliser des termes définis spécifiques. Pour plus de clarté, nous nous référons sur cette page au Client en tant que "responsable du traitement" ou "entreprise", à Google en tant que "fournisseur de services" ou "sous-traitant", et à un utilisateur final du Client en tant que "consommateur".

Sur cette page, nous abordons les lois suivantes :

  • Loi sur la protection des données personnelles du consommateur en Californie (California Consumer Privacy Act, CCPA) telle qu'amendée par la loi sur les droits au respect de la confidentialité en Californie (CPRA) et les règlements associés à la CCPA
  • Loi sur la protection des données personnelles au Colorado (Colorado’s Colorado Privacy Act, CPA) et règlements associés à la CPA
  • Loi sur la protection des données personnelles au Connecticut (Connecticut’s Data Privacy Act, CTDPA), telle que modifiée par le projet de loi sénatoriale de substitution 3
  • Loi sur la protection des données personnelles au Delaware (Delaware Personal Data Privacy Act, DPDPA)
  • Charte des droits numériques de Floride (Florida’s Digital Bill of Rights, FDBR)
  • Loi sur la protection des données personnelles du consommateur dans l'Iowa (Iowa’s Consumer Data Protection Act, IACDPA)
  • Loi sur la protection des données personnelles du consommateur dans l'Indiana (Indiana’s Consumer Data Protection Act, INCDPA)
  • Loi sur la protection des données personnelles du consommateur au Montana (Montana’s Consumer Data Privacy Act, MTCDPA)
  • Loi sur la protection des données personnelles du consommateur en Oregon (Oregon’s Consumer Privacy Act, OCPA)
  • Loi sur la protection des informations au Tennessee (Tennessee’s Information Protection Act, TIPA)
  • Loi sur la sécurité et la protection des données personnelles au Texas (Texas Data Privacy and Security Act, TDPSA)
  • Loi sur la protection des données personnelles du consommateur de l'Utah (Utah Consumer Privacy Act, UCPA)
  • Loi sur la protection des données personnelles du consommateur en Virginie (Virginia Consumer Data Protection Act, VCDPA)

Droits des consommateurs

Droit d'accès

Les consommateurs peuvent demander à une entreprise de leur communiquer les informations à caractère personnel les concernant qu'elle détient.

Les clients peuvent accéder à leurs données (y compris celles de leurs utilisateurs finaux) sur Google Cloud à tout moment. Si Google reçoit une demande d'un consommateur concernant des données client à caractère personnel, notre équipe chargée de la confidentialité conseillera à la personne de vous adresser directement sa demande, en votre qualité de client Google Cloud. Les clients Google Cloud peuvent ainsi répondre à ces demandes en veillant à respecter leurs procédures et exigences internes.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 9.1 (Accès ; Rectification ; Traitement restreint ; Portabilité), Section 9.2 (Demandes de la personne concernée) et Section 12.1 (Équipe chargée de la protection des données dans le cloud) des Conditions générales du CDPA.


Droit de correction

Les consommateurs peuvent demander à une entreprise de corriger les éventuelles inexactitudes dans les données à caractère personnel qui les concernent.

Google fournit des fonctionnalités permettant aux clients d'accéder à leurs données client, de les rectifier et d'en restreindre le traitement, ainsi que de les récupérer ou de les supprimer. Par exemple, les clients peuvent utiliser les fonctionnalités suivantes de Google Cloud Platform et de Google Workspace : 

Console Cloud : une interface utilisateur graphique Web qui permet aux clients de gérer leurs ressources Google Cloud. 

Console d'administration : une interface utilisateur graphique Web qui permet aux clients de gérer leurs ressources Google Workspace. 

Outil de ligne de commande gcloud : un outil fournissant l'interface de ligne de commande principale pour Google Cloud. Une interface de ligne de commande est une interface utilisateur permettant d'interagir avec le système d'exploitation d'un ordinateur. 

États concernés: CA, CO, CT, DE, FL, IN, MT, OR, TN, TX, VA

Référence CDPA : Section 9.1 (Accès ; Rectification ; Traitement restreint ; Portabilité) et Section 9.2 (Demandes de la personne concernée) des Conditions générales du CDPA.


Droit de suppression

Les consommateurs peuvent demander à une entreprise de supprimer leurs données à caractère personnel.

Google fournit des fonctionnalités permettant aux clients de supprimer les données client par le biais des services. Pour en savoir plus sur la suppression des données sur Google Cloud Platform, consultez cette page. Pour Google Workspace (y compris Google Workspace for Education), consultez les articles du centre d'aide Supprimer ou retirer un compte utilisateur de votre organisation et Supprimer le compte Google de votre organisation.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 6 (Suppression des données) des Conditions générales du CDPA.


Droit de portabilité

Les consommateurs peuvent demander à une entreprise d'exporter leurs données à caractère personnel.

Google fournit des fonctionnalités permettant aux clients d'exporter leurs données par le biais des services. 

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 9.1 (Accès ; Rectification ; Traitement restreint ; Portabilité) des Conditions générales du CDPA.


Droit de refus

Les consommateurs peuvent demander à une entreprise d'exporter leurs données à caractère personnel.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques. Google s'engage à n'accéder aux données du client (y compris aux données à caractère personnel) ou à ne les utiliser que pour fournir, sécuriser et surveiller les services conformément aux conditions du contrat.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 5.2 (Respect des instructions du Client), Section 7.1.2 (Accès et conformité) et Section 9.1 (Accès ; Rectification ; Traitement restreint ; Portabilité) des Conditions générales du CDPA.


Droit à limiter l'utilisation des données sensibles

Les consommateurs peuvent limiter les finalités pour lesquelles une entreprise est autorisée à utiliser leurs informations sensibles.

Le client détermine les finalités pour lesquelles les données client à caractère personnel sont traitées par le biais des services. Google s'engage à traiter les données du client uniquement selon ses instructions. 

États concernés : CA

Référence CDPA : Section 9.1 (Accès ; Rectification ; Traitement restreint ; Portabilité) des Conditions générales du CDPA.


Exercice par les parents des droits d'un enfant

En ce qui concerne le traitement des données à caractère personnel d'une personne reconnue comme "enfant", un parent ou un tuteur légal peut exercer les droits de consommateur au nom de l'enfant.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : N/A


Méthodes pour envoyer des demandes concernant les droits

Les entreprises doivent mettre en place un processus permettant aux consommateurs de les contacter pour exercer leurs droits au respect de la confidentialité.

Consultez la section Processus de réponse aux demandes concernant les droits.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : N/A


Signaux de refus

Un consommateur peut désigner une autre personne pour agir en son nom afin de refuser le traitement de certaines données à caractère personnel.

Consultez la section Droit de refus.

États concernés : CA, CO, CT, MT, OR, TX

Référence CDPA : N/A


Processus de réponse aux demandes concernant les droits

Les entreprises doivent répondre aux demandes des consommateurs dans un délai raisonnable, et au plus tard 45 jours après leur réception.

Comme cela relève en définitive de la responsabilité des clients, si Google reçoit une demande d'un consommateur concernant ses données à caractère personnel, l'équipe Google chargée de la protection des données dans le cloud conseillera à la personne de vous adresser directement sa demande, en votre qualité de client Google Cloud. Les clients Google Cloud peuvent ainsi répondre à ces demandes en veillant à respecter leurs procédures et exigences internes.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 9.2 (Demandes des personnes concernées) des Conditions générales du CDPA.


Validation des demandes

Les entreprises doivent vérifier l'identité des consommateurs qui effectuent une demande pour exercer leurs droits. 

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CA, CO

Référence CDPA : N/A 


Procédure d'appel concernant les droits

Les entreprises doivent établir un processus interne permettant de faire appel de leur décision de ne pas répondre à une demande d'un consommateur.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, VA

Référence CDPA : N/A


Exigences de transfert de responsabilité pour les demandes concernant les droits

Les entreprises qui reçoivent des demandes de suppression d'informations personnelles de la part d'un consommateur doivent demander à tous les fournisseurs de services de supprimer lesdites informations.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques. Google permet aux clients de supprimer les données client à tout moment par le biais des fonctionnalités des services. Reportez-vous à la ligne 3 (droit de suppression).

États concernés : CA

Référence CDPA : Section 5.2 (Respect des instructions du Client) et Section 6 (Suppression des données) des Conditions générales du CDPA.


Minimisation et limitation des finalités

La collecte et l'utilisation des informations à caractère personnel d'un consommateur par une entreprise doivent être limitées à ce qui est raisonnablement nécessaire pour atteindre les objectifs pour lesquels les informations à caractère personnel concernées ont été collectées ou traitées.

Les clients décident quelles informations ils souhaitent transmettre aux services, quels services ils souhaitent utiliser, comment les utiliser et dans quel objectif les utiliser. Google s'engage à n'accéder aux données du client et à ne les utiliser que pour fournir, sécuriser et surveiller les services conformément aux conditions du contrat. 

États concernés : CA, CO, CT, DE, FL, IN, MT, OR, TN, TX, VA

Référence CDPA : Section 5.2 (Respect des instructions du Client) et Section 7.1.2 (Accès et conformité) des Conditions générales du CDPA.


Sécurité des données

Les entreprises doivent établir, implémenter et maintenir des pratiques de sécurité des données appropriées sur le plan administratif, technique et physique afin de protéger la confidentialité, l'intégrité et l'accessibilité des données à caractère personnel.

En plus des mesures de sécurité décrites dans l'annexe 2 du CDPA, Google fournit des fonctionnalités permettant aux clients d'implémenter des mesures de sécurité supplémentaires pour protéger les informations à caractère personnel. Cela peut nécessiter une configuration appropriée des fonctionnalités dans le cloud dont la gestion incombe au client.

Google gère la sécurité de son infrastructure (les matériels, logiciels, solutions de mise en réseau et installations nécessaires au fonctionnement des services). Google reconnaît que les clients doivent pouvoir examiner ses contrôles internes dans le cadre de leur évaluation des risques. Dans cette optique, Google se soumet à différents audits réalisés par des tiers indépendants au moins une fois par an, afin d'obtenir une validation externe de ses opérations et contrôles internes. Google s'engage à respecter au moins les normes internationales essentielles suivantes pendant la durée de notre contrat :

Google propose également aux clients des informations détaillées concernant ses pratiques de sécurité sur les pages suivantes :

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 7.1 (Mesures et contrôles de sécurité, et assistance de Google en matière de sécurité), Section 7.3 (Responsabilités du Client en matière de sécurité et évaluation de la sécurité), Section 7.4 (Certifications de conformité et rapports SOC) des Conditions générales, et Annexe 2 (Mesures de sécurité) du CDPA.


Discrimination en raison de l'exercice de droits

Les entreprises ne peuvent pas agir de manière discriminatoire à l'encontre des consommateurs qui exercent leurs droits.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : N/A


Traitement discriminatoire

Une entreprise ne peut pas traiter de données à caractère personnel en violation des lois fédérales et des lois des États qui interdisent toute discrimination illicite à l'encontre des consommateurs.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CO, CT, DE, FL, IA, IN, MT, TN, TX, VA

Référence CDPA : N/A 


Exigences en matière de consentement et de refus pour les données à caractère sensible

Une entreprise ne peut pas traiter des données sensibles concernant un consommateur sans obtenir au préalable son consentement. Dans le cas d'une personne reconnue comme "enfant", elle doit les traiter conformément à la loi COPPA.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : N/A 


Autres obligations de recueil du consentement

Une entreprise ne peut pas utiliser les données collectées par un appareil (par exemple, les données de reconnaissance vocale ou faciale) à des fins de surveillance sans consentement préalable.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : FL

Référence CDPA : N/A 


Mineurs – Consentement pour la vente, le partage et la publicité ciblée

Une entreprise ne peut pas traiter les données à caractère personnel d'un mineur à des fins de publicité ciblée ou de vente sans son consentement.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CA, CT, MT, OR

Référence CDPA : N/A 


Avis de collecte

Une entreprise doit informer les consommateurs par le biais d'un avis au moment de la collecte d'informations à caractère personnel ou avant celle-ci.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CA

Référence CDPA : N/A 


Avis de confidentialité

Les entreprises doivent fournir aux consommateurs un avis de confidentialité expliquant comment leurs données à caractère personnel seront traitées et quels sont leurs droits en tant que consommateurs.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : N/A


Autres obligations de transparence

Les informations divulguées aux consommateurs doivent être accessibles et compréhensibles.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CA, CO, FL

Référence CDPA : N/A

 

Divulgation des ventes et de l'utilisation de la publicité ciblée

Une entreprise est tenue d'indiquer si elle vend des informations à caractère personnel ou utilise le ciblage publicitaire, ainsi que de proposer une option de refus le cas échéant.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : N/A


Traitement de données anonymisées et pseudonymisées

Une entreprise qui utilise des données anonymisées doit adopter des mesures appropriées pour s'assurer que de telles données ne peuvent pas être associées à un consommateur spécifique. De plus, elle doit exiger que les destinataires de ces données anonymisées respectent cette obligation.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques. Google s'engage à n'accéder aux données client et à ne les utiliser que pour fournir, sécuriser et surveiller les services conformément aux conditions du contrat.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 5.2 (Respect des instructions du Client) des Conditions générales du CDPA.


Évaluations de la protection des données

Une entreprise doit effectuer une évaluation de la protection des données pour certaines activités de traitement.

Google s'engage à coopérer de façon raisonnable avec les clients pour les aider à réaliser les évaluations d'impact sur la protection des données. Pour Google Cloud Platform ou les services Google Workspace, veuillez consulter la page du centre de ressources sur les analyses d'impact relatives à la protection des données de Google pour découvrir ce qu'est une analyse d'impact relative à la protection des données, et pour déterminer si vous en avez besoin pour utiliser ces services.

États concernés : CO, CT, DE, FL, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 8 (Évaluations d'impact et consultations) des Conditions générales du CDPA.


Restrictions sur la revente d'informations à caractère personnel

Un tiers ne peut pas vendre des informations personnelles qui lui ont été vendues par une entreprise.

Google ne vend jamais les données de ses clients. Google s'engage à n'accéder aux données client et à ne les utiliser que pour fournir, sécuriser et surveiller les services conformément aux conditions du contrat.

États concernés : CA

Référence CDPA : Section 5.2 (Respect des instructions du Client) des Conditions générales du CDPA.


Exigences de formation et de conservation des enregistrements

Les entreprises doivent former leurs employés au traitement des demandes des consommateurs. De plus, elles doivent consigner des enregistrements des demandes et des réponses pendant 24 mois.

Il incombe au client de s'acquitter de cette responsabilité en fonction de ses activités commerciales et métier spécifiques.

États concernés : CA

Référence CDPA : Section 12.2 (Enregistrement des informations de traitement par Google) des Conditions générales du CDPA.

Exigences contractuelles pour toute vente, tout partage ou toute divulgation d'informations personnelles à des fournisseurs de services ou à des prestataires

Une entreprise qui vend les informations personnelles d'un consommateur doit conclure avec le tiers qui acquiert ces données un contrat imposant certaines exigences.

Google n'achète pas les données personnelles des clients et n'en vend pas à des tiers. Nos sous-traitants doivent respecter les normes élevées auxquelles nous-mêmes sommes soumis. En particulier, Google exige que ses sous-traitants se conforment au contrat conclu avec vous et qu'ils n'accèdent à vos données et ne les utilisent que dans la mesure où cela leur est nécessaire pour s'acquitter des obligations qui leur incombent. Google reste responsable de toutes les obligations sous-traitées.

État concerné : CA

Référence CDPA : Section 11.3 (Conditions requises pour l'engagement de sous-traitants indirects) des Conditions générales du CDPA.


Statut de responsable du traitement ou de sous-traitant

Le fait qu'une partie soit considérée comme un responsable du traitement ou un sous-traitant pour un traitement spécifique de données à caractère personnel dépend du contexte dans lequel les données à caractère personnel considérées doivent être traitées.

En ce qui concerne Google Cloud, Google agit en tant que sous-traitant pour les données personnelles du client. Le Client est un responsable du traitement ou un sous-traitant, selon le cas.

États concernés : CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 4.1 (Rôles des parties) des Conditions générales du CDPA.


Exigences contractuelles

Un contrat entre un responsable du traitement et un sous-traitant régit les procédures de traitement des données que doit suivre le sous-traitant lorsqu'il effectue le traitement pour le compte du responsable du traitement.

Le contrat du client, qui inclut l'Avenant relatif au traitement des données dans le cloud, régit les procédures de traitement des données que doit suivre Google concernant le traitement effectué pour le compte du client.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Annexe 1 (Objet et détails du traitement des données) du CDPA.


Limitations concernant l'utilisation des données

Le contrat entre un responsable du traitement et un sous-traitant définit les instructions de traitement des données, la nature et la finalité du traitement, le type de données faisant l'objet du traitement, la durée du traitement, ainsi que les droits et obligations des deux parties.

Google s'engage à ne traiter les données client à caractère personnel que conformément au CDPA, ce qui inclut l'Annexe 1, qui décrit l'objet et la durée du traitement, sa nature et sa finalité, ainsi que les catégories de données concernées. 

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 5.2 (Respect des instructions du Client) et Section 7.1.2 (Accès et conformité) des Conditions générales, et Annexe 1 (Objet et détails du traitement des données) du CDPA.


Imposer aux employés une obligation de confidentialité

Le contrat entre un responsable du traitement et un sous-traitant doit garantir que chaque personne traitant des données à caractère personnel est soumise à une obligation de confidentialité.

Les clients peuvent accéder à leurs données (y compris celles de leurs utilisateurs finaux) sur Google Cloud à tout moment. Si Google reçoit une demande d'une personne physique (par exemple, un utilisateur final du client) concernant des données client à caractère personnel, notre équipe chargée de la confidentialité conseillera à la personne de vous adresser directement sa demande, en votre qualité de client Google Cloud. Les clients Google Cloud peuvent ainsi répondre à ces demandes en veillant à respecter leurs procédures et exigences internes.

États concernés : CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Référence CDPA : Section 7.1.2 (Accès et conformité) des Conditions générales et Section 4 (Sécurité du personnel) de l'Annexe 2 (Mesures de sécurité) du CDPA.


Exigence d'audit

Le contrat entre le responsable du traitement et le sous-traitant doit garantir que le sous-traitant accepte de fournir à l'entreprise, à la demande de celle-ci, des informations permettant de démontrer le respect de ses obligations, ainsi que de se soumettre chaque année à des audits indépendants reposant sur des cadres de contrôle acceptés.

Google aide ses clients à se conformer aux réglementations en mettant à leur disposition des documents de sécurité pertinents, ainsi qu'en se soumettant au moins une fois par an à plusieurs audits réalisés par des tiers indépendants afin d'obtenir une validation externe de ses opérations et contrôles internes. La page Gestionnaire des rapports de conformité de Google offre un accès simple et à la demande à ces ressources de conformité essentielles, sans frais supplémentaires. Ces ressources comprennent nos derniers certificats ISO/CEI, rapports SOC et auto-évaluations.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, VA

Référence CDPA : Section 7.4 (Certifications de conformité et rapports SOC) et Section 7.5 (Examens et audits de conformité) des Conditions générales du CDPA.


Aide concernant les obligations du responsable du traitement

Un sous-traitant doit respecter les instructions de l'entreprise et l'aider à prendre en compte la nature du traitement et les informations auxquelles il a accès, ainsi qu'à répondre aux demandes des consommateurs concernant leurs droits.

Google s'engage à aider ses clients à répondre aux demandes des consommateurs, comme indiqué dans la section 9 des Conditions générales du CDPA.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, VA

Référence CDPA : reportez-vous aux réponses fournies dans les sections "Droits des consommateurs" et "Responsabilités des entreprises/responsables du traitement" ci-dessus. Section 9 (Accès, droits de la personne concernée, exportation des données) et section 9.2.2 (Assistance de Google pour traiter les demandes des personnes concernées) des Conditions générales du CDPA.


Aide concernant les obligations du responsable du traitement

Un sous-traitant doit respecter les instructions de l'entreprise et l'aider à prendre en compte la nature du traitement et les informations auxquelles il a accès, ainsi qu'à respecter les obligations qui sont les siennes en termes de sécurité du traitement de données personnelles et en lien avec d'éventuelles notifications de brèches de sécurité.

Google met en œuvre et maintient des mesures techniques, organisationnelles et physiques afin de protéger les données client contre toute divulgation ou tout accès non autorisé. Google informe rapidement les clients de tout incident relatif aux données et leur fournit les informations pertinentes dans les meilleurs délais. Google met également à la disposition de ses clients des contrôles de sécurité supplémentaires. 

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TX, UT, VA

Référence CDPA : Section 7.1 (Mesures et contrôles de sécurité, et assistance de Google en matière de sécurité), Section 7.1.4 (Assistance de Google en matière de sécurité), Section 7.2 (Incidents relatifs aux données), Section 7.2.1 (Notification d'incident) et Section 7.3 (Responsabilités du Client en matière de sécurité et évaluation de la sécurité) des Conditions générales, et Annexe 2 (Mesures de sécurité) du CDPA.


Aide concernant les obligations du responsable du traitement

En tenant compte de la nature du traitement et des informations auxquelles il a accès, le sous-traitant doit suivre les instructions de l'entreprise et l'aider en lui fournissant les informations nécessaires pour effectuer des évaluations de la protection des données.

Google s'engage à aider ses clients à effectuer des évaluations de la protection des données dans la section 8 des Conditions générales du CDPA. En outre, pour Google Cloud Platform et Google Workspace, Google met à disposition un centre de ressources sur les analyses d'impact relatives à la protection des données pour aider les clients.

États concernés : CA, CO, CT, DE, FL, IN, MT, OR, TX, VA

Référence CDPA : Section 8 (Évaluations d'impact et consultations) des Conditions générales du CDPA.


Possibilité de refuser un sous-traitant

Un sous-traitant chargé de traiter des données à caractère personnel ne peut être engagé que si l'entreprise a la possibilité de refuser de travailler avec celui-ci.

Google envoie aux clients un avis contenant des informations sur tout nouveau sous-traitant indirect engagé et leur donne la possibilité de refuser ce sous-traitant en résiliant le contrat pour "convenance personnelle". La nature de ses services étant de type "un à plusieurs", Google ne peut pas mettre en place un processus d'approbation pour chaque client. Nous imposons à nos sous-traitants de respecter les normes élevées auxquelles nous-mêmes sommes soumis. Google reste responsable de toutes les obligations incombant aux sous-traitants indirects. En particulier, Google exige que ses sous-traitants respectent le contrat conclu avec vous et qu'ils n'accèdent à vos données et ne les utilisent que dans la mesure où cela leur est nécessaire pour s'acquitter des obligations qui leur incombent.

États concernés : CO, CT, DE 

Référence CDPA : Section 11.1 (Autorisation d'engagement de sous-traitants indirects), Section 11.3 (Conditions requises pour l'engagement de sous-traitants indirects) et Section 11.4 (Possibilité de refuser un sous-traitant indirect) des Conditions générales du CDPA.


Restitution ou suppression des données à l'expiration de la Période de validité des services

Le contrat entre un responsable de traitement et un sous-traitant doit garantir que le sous-traitant procède à la destruction ou à la restitution de toutes les données client à caractère personnel à la fin de la fourniture des services.

Google supprimera toutes les données client (y compris les données client à caractère personnel) à la fin de la période de validité, conformément à la législation applicable, et dans un délai maximal de 180 jours. Pour en savoir plus sur le processus de suppression des données appliqué par Google et sur ses engagements, consultez l'Avenant relatif au traitement des données (CDPA) et la documentation sur la suppression des données dans Google Cloud.

États concernés : CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, VA

Référence CDPA : Section 6.1 (Suppression par le Client) et Section 6.2 (Restitution ou suppression à l'expiration de la Période de validité) des Conditions générales du CDPA.


Notifier le responsable du traitement si les obligations ne peuvent plus être respectées

Un sous-traitant doit avertir l'entreprise s'il estime ne plus être en mesure de remplir ses obligations vis-à-vis du CCPA.

Google avertira les clients en cas d'incapacité à remplir les obligations que lui impose le CCPA, sauf si les lois applicables le lui interdisent.

État concerné : CA

Référence CDPA : Section 3 (Conformité) de la sous-section dédiée au CCPA dans l'Annexe 3 (Lois spécifiques sur la confidentialité) du CDPA.

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

Essai gratuit
Google Cloud
DocumentationAssistance
Console
Se connecter
Security
Page d'accueilRenseignements et expertiseSecOpsSécurité du cloudRessources concernant la sécurité
Assistance à la réponse aux incidents
Nous contacter
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud