Google Cloud et le Règlement général sur la protection des données (RGPD)

La conformité avec le RGPD est l'un des objectifs prioritaires de Google Cloud et de nos clients. Le RGPD vise à renforcer la protection des données à caractère personnel en Europe et influence notre manière à tous de travailler. Vous avez certainement beaucoup de questions, et nous sommes là pour y répondre. En termes de protection, de contrôle et de conformité, Google Cloud adopte une approche centrée sur les clients. Nous souhaitons être un acteur clé dans votre parcours RGPD.

LIVRE BLANC SUR GOOGLE CLOUD ET LE RGPD GUIDE DE RÉFÉRENCE RAPIDE GOOGLE CLOUD SUR LE RGPD GUIDE DE MISE EN ŒUVRE DE LA PROTECTION DES DONNÉES SUR G SUITE

Accéder à notre Centre de ressources pour le RGPD 

Qu'est-ce que le RGPD ?

Entré en application le 25 mai 2018, le RGPD remplace la Directive européenne sur la protection des données de 1995.

Le RGPD définit des exigences spécifiques pour les entreprises et les organisations établies en Europe ou proposant leurs services à des utilisateurs en Europe :

  • Il réglemente la manière dont les entreprises peuvent recueillir, utiliser et stocker des données à caractère personnel.
  • Il s'appuie sur les exigences actuelles en matière de documentation et de rapports pour accroître la responsabilité.
  • Il impose des amendes aux entreprises qui ne respectent pas ses exigences.

Ce que nous faisons

Google Cloud encourage les initiatives qui donnent la priorité à la sécurité et à la confidentialité des données des utilisateurs, et qui permettent de les améliorer. Maintenant que le RGPD est en vigueur, nous avons effectué plusieurs mises à jour pour que les clients Google Cloud puissent utiliser nos services en toute confiance. Si vous devenez partenaire de Google Cloud, nous soutiendrons vos efforts de différentes manières :

  1. Nous nous engageons dans nos contrats à respecter le RGPD en ce qui concerne le traitement des données à caractère personnel des clients dans tous les services Google Cloud Platform et G Suite.
  2. Nous proposons des fonctionnalités de sécurité supplémentaires pour vous aider à mieux protéger vos données à caractère personnel les plus sensibles.
  3. Nous fournissons la documentation et les ressources nécessaires pour vous aider à évaluer la confidentialité de nos services.
  4. Nous continuons de faire évoluer nos capacités en fonction des modifications du paysage réglementaire.

G Suite et Google Cloud Platform : engagements concernant le RGPD

Entre autres obligations, les responsables du traitement doivent faire appel uniquement à des processeurs de données capables de fournir des garanties suffisantes quant aux mesures techniques et organisationnelles qu'ils mettent en œuvre pour assurer le respect du RGPD. Lors de votre évaluation des services G Suite et Google Cloud Platform, nous vous recommandons de prendre en compte les éléments suivants :

Expertise concernant la protection des données

Google emploie des professionnels de la sécurité et de la confidentialité, dont certains des plus grands experts mondiaux en sécurité des informations, des applications et des réseaux. Leur mission : gérer les systèmes de défense de l'entreprise, développer des processus d'examen de la sécurité, renforcer l'infrastructure de sécurité et mettre en œuvre les règles de sécurité de Google.

Google emploie également de nombreux avocats, experts en conformité réglementaire et spécialistes des politiques publiques qui veillent à garantir la conformité de Google en matière de confidentialité et de sécurité.

Ces équipes interagissent avec les clients, les personnes concernées du secteur et les autorités de contrôle pour concevoir nos services G Suite et Google Cloud Platform de façon à répondre aux besoins de conformité des entreprises.

Ce que vous pouvez faire

Quelles sont vos responsabilités en tant que client ?

Les clients G Suite1 et Google Cloud Platform sont généralement responsables du traitement des données à caractère personnel qu'ils fournissent à Google dans le cadre de leur utilisation des services Google Cloud. Le responsable du traitement définit les finalités des données à caractère personnel et leurs modes de traitement. Le processeur de données intervient alors. Il s'agit généralement de nous. En tant que processeur de données, Google Cloud traite les données personnelles au nom du responsable du traitement lorsqu'il utilise G Suite ou Google Cloud Platform.

Qu'est-ce qu'un responsable du traitement ?

Les responsables du traitement sont chargés de mettre en œuvre des mesures techniques et organisationnelles adéquates pour garantir et prouver que les données sont traitées conformément au RGPD. Leurs obligations touchent aux principes de licéité, de loyauté, de transparence, de limitation des finalités, de minimisation et d'exactitude des données ainsi que de respect des droits des personnes concernées à l'égard de leurs données.

Vous trouverez des conseils sur vos responsabilités dans le cadre du RGPD en consultant régulièrement la rubrique correspondante des sites Web des autorités nationales ou principales chargées de la protection des données. Vous pouvez également lire les publications d'associations agissant dans le domaine de la confidentialité des données, telles que l'International Association of Privacy Professionals (IAPP). Nous veillerons également à ce que cette page sur le RGPD et notre Centre de ressources pour le RGPD reflètent les dernières mises à jour et actualités.

L'objectif de ce site est d'aider nos clients à mieux comprendre la position de Google Cloud concernant le RGPD. Nous vous recommandons de consulter un expert juridique pour obtenir des conseils quant aux exigences spécifiques qui s'appliquent à votre organisation, car le présent site ne constitue pas un avis juridique.

Par où commencer ?

En tant que client Google Cloud, le RGPD doit faire partie de votre stratégie de conformité en matière de protection des données. Voici quelques conseils :

  • Familiarisez-vous avec les dispositions du RGPD.
  • Créez un inventaire à jour des données à caractère personnel que vous gérez. Vous pouvez utiliser certains de nos outils pour identifier et classer ces données.
  • Passez en revue vos contrôles, règles et processus actuels de gestion et de protection des données afin de déterminer s'ils sont conformes au RGPD. Trouvez les lacunes et créez un plan pour y remédier.
  • Réfléchissez à la manière dont vous pouvez tirer parti des fonctionnalités de protection des données actuelles de Google Cloud pour mettre en place votre charte de régulation. Pour commencer, consultez les documents d'audit et de certification indépendants sur G Suite ou Google Cloud Platform.
  • Consultez et acceptez les nouvelles conditions concernant le traitement des données via le processus décrit ici pour l'Avenant relatif au traitement des données associé à G Suite, et sur cette page pour les Conditions relatives à la sécurité et au traitement des données associées à GCP.
1 G Suite inclut G Suite for Business et G Suite for Education. 2 Nous vous recommandons de faire appel à un conseiller juridique indépendant pour déterminer quelle autorité nationale ou principale chargée de la protection des données vous concerne.

Questions fréquentes

Qu'est-ce que le RGPD ?
Le Règlement général sur la protection des données est une loi sur la confidentialité qui a remplacé le 25 mai 2018 la Directive 95/46/CE sur la protection des données du 24 octobre 1995.
Le RGPD impose-t-il de stocker les données à caractère personnel dans l'UE ?
Non. À l'instar de la Directive 95/46/CE sur la protection des données, le RGPD définit des conditions concernant le transfert des données à caractère personnel en dehors de l'Union européenne. Pour les respecter, il est possible de mettre en place des mécanismes tels que des clauses contractuelles types.
Comment avez-vous mis à jour vos conditions de sorte qu'elles reflètent le RGPD ?
Depuis de nombreuses années, Google Cloud propose des conditions relatives au traitement des données qui définissent clairement notre engagement en termes de confidentialité et de sécurité envers nos clients. Le RGPD étant directement applicable aux fournisseurs de services cloud, quels que soient leurs engagements contractuels à cet égard, nous avons modifié nos conditions pour nous y adapter. Nos conditions mises à jour pour le RGPD reflètent notamment les dispositions de l'article 28, qui régissent l'utilisation d'un processeur de données par un client cloud.
Le RGPD accorde-t-il aux clients le droit d'effectuer un audit de Google Cloud ?
Conformément au RGPD, des droits d'audit doivent être accordés aux responsables du traitement dans les contrats les liant aux processeurs de données. Nos nouveaux accords sur le traitement des données incluent ces droits, au plus grand bénéfice de nos clients.
Quel rôle jouent les normes indépendantes ISO/IEC 27001, ISO/IEC 27017 et ISO/IEC 27018, ainsi que les rapports SOC 2/3, dans le cadre de la conformité avec le RGPD ?
Les clients peuvent utiliser nos certifications ISO indépendantes et nos rapports d'audit SOC 2/3 pour évaluer les risques, et vérifier qu'ils ont bien pris les mesures techniques et organisationnelles nécessaires.
Quelles autres informations et ressources sur le RGPD Google peut-il fournir ?
Consultez le site Web Businesses and Data de Google et notre Centre de ressources pour le RGPD.