Google Cloud et le Règlement général sur la protection des données (RGPD)

La conformité avec le RGPD est l'un des objectifs prioritaires de Google Cloud et de nos clients. Le RGPD vise à renforcer la protection des données à caractère personnel en Europe et influence notre manière à tous de travailler. Vous avez certainement beaucoup de questions, et nous sommes là pour y répondre. En termes de protection, de contrôle et de conformité, Google Cloud adopte une approche centrée sur les clients. Nous souhaitons être un acteur clé dans votre parcours RGPD.

LIVRE BLANC SUR GOOGLE CLOUD ET LE RGPD GUIDE DE RÉFÉRENCE RAPIDE GOOGLE CLOUD SUR LE RGPD GUIDE DE MISE EN ŒUVRE DE LA PROTECTION DES DONNÉES SUR G SUITE

Accéder à notre Centre de ressources pour le RGPD 

Qu'est-ce que le RGPD ?

Entré en application le 25 mai 2018, le RGPD remplace la Directive européenne sur la protection des données de 1995.

Le RGPD définit des exigences spécifiques pour les entreprises et les organisations établies en Europe ou proposant leurs services à des utilisateurs en Europe :

  • Il réglemente la manière dont les entreprises peuvent recueillir, utiliser et stocker des données à caractère personnel.
  • Il s'appuie sur les exigences actuelles en matière de documentation et de rapports pour accroître la responsabilité.
  • Il impose des amendes aux entreprises qui ne respectent pas ses exigences.

Ce que nous faisons

Google Cloud encourage les initiatives qui donnent la priorité à la sécurité et à la confidentialité des données des utilisateurs, et qui permettent de les améliorer. Maintenant que le RGPD est en vigueur, nous avons effectué plusieurs mises à jour pour que les clients Google Cloud puissent utiliser nos services en toute confiance. Si vous devenez partenaire de Google Cloud, nous soutiendrons vos efforts de différentes manières :

  1. Nous nous engageons dans nos contrats à respecter le RGPD en ce qui concerne le traitement des données à caractère personnel des clients dans tous les services Google Cloud Platform et G Suite.
  2. Nous proposons des fonctionnalités de sécurité supplémentaires pour vous aider à mieux protéger vos données à caractère personnel les plus sensibles.
  3. Nous fournissons la documentation et les ressources nécessaires pour vous aider à évaluer la confidentialité de nos services.
  4. Nous continuons de faire évoluer nos capacités en fonction des modifications du paysage réglementaire.

G Suite et Google Cloud Platform : engagements concernant le RGPD

Entre autres obligations, les responsables du traitement doivent faire appel uniquement à des processeurs de données capables de fournir des garanties suffisantes quant aux mesures techniques et organisationnelles qu'ils mettent en œuvre pour assurer le respect du RGPD. Lors de votre évaluation des services G Suite et Google Cloud Platform, nous vous recommandons de prendre en compte les éléments suivants :

Expertise concernant la protection des données

Google emploie des professionnels de la sécurité et de la confidentialité, dont certains des plus grands experts mondiaux en sécurité des informations, des applications et des réseaux. Leur mission : gérer les systèmes de défense de l'entreprise, développer des processus d'examen de la sécurité, renforcer l'infrastructure de sécurité et mettre en œuvre les règles de sécurité de Google.

Google emploie également de nombreux avocats, experts en conformité réglementaire et spécialistes des politiques publiques qui veillent à garantir la conformité de Google en matière de confidentialité et de sécurité.

Ces équipes interagissent avec les clients, les personnes concernées du secteur et les autorités de contrôle pour concevoir nos services G Suite et Google Cloud Platform de façon à répondre aux besoins de conformité des entreprises.

Expertise concernant la protection des données

Google emploie des professionnels de la sécurité et de la confidentialité, dont certains des plus grands experts mondiaux en sécurité des informations, des applications et des réseaux. Leur mission : gérer les systèmes de défense de l'entreprise, développer des processus d'examen de la sécurité, renforcer l'infrastructure de sécurité et mettre en œuvre les règles de sécurité de Google.

Google emploie également de nombreux avocats, experts en conformité réglementaire et spécialistes des politiques publiques qui veillent à garantir la conformité de Google en matière de confidentialité et de sécurité.

Ces équipes interagissent avec les clients, les personnes concernées du secteur et les autorités de contrôle pour concevoir nos services G Suite et Google Cloud Platform de façon à répondre aux besoins de conformité des entreprises.

Accords sur le traitement des données

Nos accords sur le traitement des données pour G Suite et Google Cloud Platform définissent clairement nos engagements envers les clients en ce qui concerne la confidentialité. Nous avons adapté ces règles au fil des ans en tenant compte des commentaires de nos clients et des autorités de régulation.

Plus récemment, nous avons spécifiquement mis à jour nos conditions afin qu'elles reflètent le RGPD. Nous avons publié cette version mise à jour bien avant l'entrée en vigueur du Règlement, afin de faciliter l'évaluation de la conformité de nos clients qui utilisent les services Google Cloud et leur préparation à ces nouvelles exigences.

Nos clients peuvent dès maintenant accepter les nouvelles conditions relatives au traitement des données via le processus décrit ici pour l'Avenant relatif au traitement des données associé à G Suite, et sur cette page pour les Conditions relatives à la sécurité et au traitement des données associées à Google Cloud Platform.

Traitement conforme aux instructions

Toutes les données partagées par un client et ses utilisateurs dans nos systèmes seront traitées conformément aux instructions du client, telles qu'elles sont décrites dans nos accords mis à jour pour le RGPD sur le traitement des données.

Respect de la confidentialité par les employés

Tous les employés Google sont tenus de signer un accord de confidentialité. Ils doivent également suivre des formations relatives à la confidentialité et à la vie privée, ainsi que la formation au code de conduite. Le code de conduite Google traite en particulier des responsabilités et du comportement attendu des employés en ce qui concerne la protection des informations.

Les entreprises du groupe Google effectuent directement la majorité des activités de traitement des données nécessaires pour fournir les services G Suite et Google Cloud Platform. Cependant, nous faisons également appel à des fournisseurs tiers pour nous aider à offrir ces services. Chacun d'entre eux est soumis à une procédure de sélection rigoureuse pour veiller à ce qu'il dispose de l'expertise technique requise, et soit en mesure de fournir le niveau de sécurité et de confidentialité adéquat.

Vous pouvez consulter les informations sur les sous-traitants indirects du groupe Google gérant les services G Suite et Google Cloud Platform, ainsi que sur les sous-traitants tiers indirects impliqués. Nous avons également intégré dans nos accords sur le traitement des données les engagements concernant les sous-traitants indirects.

Selon le RGPD, les mesures techniques et organisationnelles nécessaires doivent être mises en œuvre pour garantir un niveau de protection adapté au risque encouru.

Google gère une infrastructure mondiale conçue pour garantir un niveau de sécurité parfaitement adapté pendant l'intégralité du cycle de traitement des informations. Cette infrastructure est conçue pour garantir la sécurité et la confidentialité de nos services à tous les niveaux : déploiement, stockage des données avec boucliers de confidentialité de l'utilisateur final, communications entre les services et avec les clients via Internet, opérations effectuées par les administrateurs. Les services G Suite et Google Cloud Platform sont exécutés sur cette infrastructure.

Nous avons conçu la sécurité de notre infrastructure sur plusieurs couches, de la sécurité physique des centres de données aux protections de notre matériel et de nos logiciels, jusqu'aux processus que nous avons mis en place pour assurer la sécurité des opérations. Cette protection en couches crée une base de sécurité solide pour toutes nos activités. Pour en savoir plus sur la sécurité de notre infrastructure, lisez notre livre blanc consacré à la présentation de la sécurité sur l'infrastructure de Google.

Disponibilité, intégrité et résilience

Nous concevons les composants de notre plate-forme de manière à garantir un niveau de redondance élevé. Nos centres de données sont répartis dans différents endroits pour minimiser les conséquences de dysfonctionnements potentiels au niveau régional sur les produits internationaux, pouvant être dus à des catastrophes naturelles ou des pannes locales. Dans le cas d'une panne matérielle, logicielle ou de réseau, les services sont automatiquement et instantanément permutés vers d'autres sites pour que les opérations se poursuivent sans interruption. Notre infrastructure à haute redondance aide les clients à se prémunir contre la perte de données.

Tests

Nous effectuons des tests de reprise après sinistre chaque année afin de créer un cadre commun pour les équipes dédiées aux infrastructures et aux applications. Nous testons ainsi les plans de communication, les scénarios de basculement, la transition opérationnelle et d'autres interventions d'urgence. Toutes les équipes participant à l'exercice de reprise après sinistre développent des plans de test et des revues "post-mortem", qui décrivent les résultats et les enseignements tirés des tests.

Chiffrement

Nous utilisons le chiffrement pour protéger les données en transit et au repos. Les données en transit vers G Suite sont protégées par un protocole HTTPS activé par défaut pour tous les utilisateurs. Les services G Suite et Google Cloud Platform procèdent automatiquement au chiffrement des données client au repos, à l'aide d'un ou plusieurs mécanismes de chiffrement. Pour découvrir des informations détaillées sur le chiffrement des données, consultez notre livre blanc sur le chiffrement.

Contrôle des accès

Les niveaux et droits d'accès accordés aux employés Google dépendent de leur poste et de leur rôle. Les employés ont accès au minimum d'informations et uniquement à celles qui sont indispensables à l'exercice de leur fonction, à la hauteur des responsabilités qui leur ont été confiées. Les demandes d'accès complémentaire suivent un processus formel impliquant une requête et une approbation de la part d'un propriétaire de données ou de système, d'un gestionnaire ou d'autres responsables, conformément aux règles de sécurité énoncées par Google.

Gestion des failles

Nous recherchons des failles dans le système à l'aide d'un ensemble d'outils disponibles sur le marché et conçus en interne, de tests d'intrusion intensifs automatisés et manuels, de procédures d'assurance qualité, d'examens de la sécurité logicielle et d'audits externes. Nous nous appuyons également sur la plus vaste communauté de recherche en sécurité et apprécions son aide au niveau de l'identification de failles dans G Suite, Google Cloud Platform et les autres produits Google. Notre Vulnerability Reward Program incite les chercheurs à signaler les problèmes de conception et de mise en œuvre pouvant présenter un risque pour les données des clients.

Sécurité du produit : G Suite

Les clients G Suite peuvent utiliser les fonctionnalités et les configurations du produit pour assurer une protection supplémentaire de leurs données à caractère personnel contre le traitement non autorisé ou illégal :

  • La validation en deux étapes, qui consiste à demander aux utilisateurs une preuve d'identité supplémentaire lors de la connexion, réduit le risque d'accès non autorisé. L'utilisation obligatoire de clés de sécurité, qui exige la fourniture d'une clé physique, renforce encore la sécurité des comptes utilisateur.
  • La surveillance des connexions suspectes détecte les activités douteuses à l'aide de capacités de machine learning robustes.
  • La sécurité renforcée des e-mails signe et chiffre les e-mails à l'aide de la méthode S/MIME.
  • La protection contre la perte de données permet d'éviter le partage non autorisé d'informations sensibles au sein de Gmail et de Drive. Pour en savoir plus, consultez notre livre blanc sur la protection contre la perte de données.
  • La gestion des droits relatifs aux informations dans Drive permet de désactiver le téléchargement, l'impression et la copie de fichiers depuis le menu de partage avancé, et de définir des dates d'expiration pour l'accès aux fichiers.
  • La gestion des appareils mobiles offre une surveillance continue du système et vous prévient en cas d'activité suspecte enregistrée sur l'appareil.
  • Le Centre de sécurité donne des informations sur le partage externe de fichiers, et sur la manière dont les utilisateurs sont ciblés par du spam et des logiciels malveillants au sein de votre organisation, le tout dans un même tableau de bord complet. Vous pouvez également y afficher des métriques qui vous permettront de démontrer l'efficacité des mesures de sécurité.
  • Google Vault permet de conserver, d'archiver, de rechercher et d'exporter les e-mails, le contenu des fichiers Google Drive et les chats enregistrés de votre organisation, à des fins de conformité et de procédure d'eDiscovery.

    La surveillance des accès des applications tierces offre de la visibilité et du contrôle sur les applications tierces grâce à l'utilisation de OAuth pour l'authentification et l'accès aux données d'entreprise. L'accès OAuth peut être désactivé à des niveaux précis, et les applications tierces approuvées peuvent être ajoutées à la liste blanche.

Pour en savoir plus, consultez la page https://gsuite.google.com/security.

Sécurité produit : GCP

Les clients GCP peuvent utiliser les fonctionnalités et les configurations du produit pour assurer une protection supplémentaire de leurs données à caractère personnel contre le traitement non autorisé ou illégal :

Pour en savoir plus, consultez la page https://cloud.google.com/security/.

Les administrateurs peuvent exporter les données client à l'aide de la fonctionnalité des services G Suite ou Google Cloud Platform prévue à cet effet (pour en savoir plus, consultez la documentation Google Cloud Platform), à tout moment pendant la durée de validité de l'accord. Cela fait plusieurs années que nous avons intégré des engagements relatifs à l'exportation des données dans nos conditions relatives au traitement des données, et nous les avons mis à jour en fonction du RGPD. Nous continuons de tout mettre en œuvre pour améliorer la robustesse des fonctionnalités d'exportation des données et pour faciliter le téléchargement sécurisé de vos données d'entreprise depuis les services G Suite et Google Cloud Platform.

Vous pouvez également supprimer les données client à l'aide de la fonctionnalité des services G Suite ou Google Cloud Platform à tout moment. Si vous nous donnez pour instruction de supprimer définitivement des données (par exemple, lorsque vous supprimez un e-mail qui ne peut pas être récupéré dans la corbeille), nous supprimerons les données pertinentes du client concerné de tous nos systèmes dans un délai maximal de 180 jours, à moins que nous ne soyons tenus de les conserver.

Droits des personnes concernées

Les responsables du traitement des données peuvent utiliser les consoles d'administration et les fonctionnalités des services G Suite et Google Cloud Platform pour accéder aux données que leurs utilisateurs et eux-mêmes saisissent dans nos systèmes, les rectifier, limiter leur traitement ou les supprimer. Ces fonctionnalités leur permettent de remplir leurs obligations de répondre aux demandes des personnes concernées cherchant à exercer leurs droits en vertu du RGPD.

Équipe chargée de la protection des données

Google a désigné un DPO pour Google LLC et ses filiales, afin de couvrir le traitement des données relevant du RGPD, y compris pour l'ensemble des produits d'entreprise de Google Ireland Limited. Keith Enright (directeur en charge de la protection de la confidentialité) a été nommé en tant que délégué à la protection des données de Google LLC. Il est basé à San Francisco aux États-Unis.

Lorsque cela s'est avéré nécessaire, nous avons mis en place (pour les produits Google destinés aux entreprises) des équipes chargées de répondre aux demandes des clients sur la protection des données. La manière de les contacter est décrite dans le contrat correspondant. Pour G Suite, l'équipe chargée de la protection des données cloud est joignable par les administrateurs du client via la page https://support.google.com/a/contact/googlecloud_dpr (ils doivent être connectés avec leur compte d'administrateur) et/ou directement en notifiant Google au préalable comme décrit dans le contrat applicable. Pour Google Cloud Platform, l'équipe chargée de la protection des données est joignable via la page https://support.google.com/cloud/contact/dpo.

Notifications d'incident

Dans le cadre de nos services G Suite et Google Cloud Platform, nous proposons depuis de nombreuses années des engagements contractuels concernant la notification d'incident. Nous continuerons à vous informer rapidement des incidents impliquant les données de vos clients, tel que stipulé dans nos conditions sur les incidents relatifs aux données, ainsi que dans nos accords et conditions mis à jour pour le RGPD.

Le RGPD propose plusieurs mécanismes facilitant les transferts de données à caractère personnel en dehors de l'UE. Ces mécanismes ont pour but d'apporter un niveau de protection adapté ou d'assurer la mise en œuvre de mesures de protection appropriées lorsque des données à caractère personnel sont transférées dans un autre pays.

Les mesures de protection adéquates peuvent être décrites dans des clauses contractuelles types. Le niveau de protection adapté peut être confirmé par des décisions d'adéquation, telles que celles appuyant le bouclier de protection des données UE-États-Unis (Privacy Shield).

Conformément à nos accords actuels sur le traitement des données, nous nous engageons contractuellement à maintenir un mécanisme facilitant les transferts de données à caractère personnel en dehors de l'UE, comme le requiert le RGPD. La certification Google s'inscrivant dans le cadre défini par les boucliers UE-États-Unis et Suisse-États-Unis recouvre G Suite et Google Cloud Platform. Les autorités européennes chargées de la protection des données nous ont également confirmé que nos clauses contractuelles types sont conformes. En d'autres termes, nos engagements contractuels pour G Suite et Google Cloud Platform sont entièrement conformes et permettent d'encadrer légalement les transferts de données à caractère personnel de l'UE vers le reste du monde.

Nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour répondre à cette exigence, nous soumettons régulièrement nos services G Suite et Google Cloud Platform à des audits tiers.

ISO 27001 (Gestion de la sécurité de l'information)

ISO 27001 est l'une des normes de sécurité indépendantes les plus reconnues et adoptées au niveau international. Google a obtenu cette certification pour les systèmes, les applications, les personnes, la technologie, les processus et les centres de données qui constituent son infrastructure commune partagée, ainsi que pour les produits G Suite et Google Cloud Platform.

ISO 27017 (Sécurité dans le cloud)

ISO 27017 est une norme internationale qui définit les bonnes pratiques concernant le contrôle de la sécurité de l'information. Elle est basée sur la norme ISO/CEI 27002 et est spécifiquement adaptée aux services cloud. Nos services G Suite et Google Cloud Platform ont été certifiés conformes à la norme ISO 27017.

ISO 27018 (Protection des informations personnelles dans le cloud)

ISO 27018 est une norme internationale qui définit les bonnes pratiques sur la protection des informations personnelles (PII) dans les services cloud publics. Nos services G Suite et Google Cloud Platform ont été certifiés conformes à cette norme.

SSAE 16/ISAE 3402 (SOC 2/3)

Les audits SOC (Service Organization Controls) 2 et 3 de l'AICPA (American Institute of Certified Public Accountants) définissent des principes et critères de confiance relatifs à la sécurité, à la disponibilité, à l'intégrité du traitement et à la confidentialité des données. Nous disposons des rapports SOC 2 et SOC 3 pour Google Cloud Platform et G Suite.

Ce que vous pouvez faire

Quelles sont vos responsabilités en tant que client ?

Les clients G Suite1 et Google Cloud Platform sont généralement responsables du traitement des données à caractère personnel qu'ils fournissent à Google dans le cadre de leur utilisation des services Google Cloud. Le responsable du traitement définit les finalités des données à caractère personnel et leurs modes de traitement. Le processeur de données intervient alors. Il s'agit généralement de nous. En tant que processeur de données, Google Cloud traite les données personnelles au nom du responsable du traitement lorsqu'il utilise G Suite ou Google Cloud Platform.

Qu'est-ce qu'un responsable du traitement ?

Les responsables du traitement sont chargés de mettre en œuvre des mesures techniques et organisationnelles adéquates pour garantir et prouver que les données sont traitées conformément au RGPD. Leurs obligations touchent aux principes de licéité, de loyauté, de transparence, de limitation des finalités, de minimisation et d'exactitude des données ainsi que de respect des droits des personnes concernées à l'égard de leurs données.

Vous trouverez des conseils sur vos responsabilités dans le cadre du RGPD en consultant régulièrement la rubrique correspondante des sites Web des autorités nationales ou principales chargées de la protection des données. Vous pouvez également lire les publications d'associations agissant dans le domaine de la confidentialité des données, telles que l'International Association of Privacy Professionals (IAPP). Nous veillerons également à ce que cette page sur le RGPD et notre Centre de ressources pour le RGPD reflètent les dernières mises à jour et actualités.

L'objectif de ce site est d'aider nos clients à mieux comprendre la position de Google Cloud concernant le RGPD. Nous vous recommandons de consulter un expert juridique pour obtenir des conseils quant aux exigences spécifiques qui s'appliquent à votre organisation, car le présent site ne constitue pas un avis juridique.

Par où commencer ?

En tant que client Google Cloud, le RGPD doit faire partie de votre stratégie de conformité en matière de protection des données. Voici quelques conseils :

  • Familiarisez-vous avec les dispositions du RGPD.
  • Créez un inventaire à jour des données à caractère personnel que vous gérez. Vous pouvez utiliser certains de nos outils pour identifier et classer ces données.
  • Passez en revue vos contrôles, règles et processus actuels de gestion et de protection des données afin de déterminer s'ils sont conformes au RGPD. Trouvez les lacunes et créez un plan pour y remédier.
  • Réfléchissez à la manière dont vous pouvez tirer parti des fonctionnalités de protection des données actuelles de Google Cloud pour mettre en place votre charte de régulation. Pour commencer, consultez les documents d'audit et de certification indépendants sur G Suite ou Google Cloud Platform.
  • Consultez et acceptez les nouvelles conditions relatives au traitement des données via le processus décrit ici pour l'Avenant relatif au traitement des données associé à G Suite, et sur cette page pour les Conditions relatives à la sécurité et au traitement des données associées à GCP.
1 G Suite inclut G Suite for Business et G Suite for Education. 2 Nous vous recommandons de faire appel à un conseiller juridique indépendant pour déterminer quelle autorité nationale ou principale chargée de la protection des données vous concerne.

Questions fréquentes

Qu'est-ce que le RGPD ?
Le Règlement général sur la protection des données est une loi sur la confidentialité qui a remplacé le 25 mai 2018 la Directive 95/46/CE sur la protection des données du 24 octobre 1995.
Le RGPD impose-t-il de stocker les données à caractère personnel dans l'UE ?
Non. À l'instar de la Directive 95/46/CE sur la protection des données, le RGPD définit des conditions concernant le transfert des données à caractère personnel en dehors de l'Union européenne. Pour les respecter, il est possible de mettre en place des mécanismes tels que des clauses contractuelles types.
Comment avez-vous mis à jour vos conditions de sorte qu'elles reflètent le RGPD ?
Depuis de nombreuses années, Google Cloud propose des conditions relatives au traitement des données qui définissent clairement notre engagement en termes de confidentialité et de sécurité envers nos clients. Le RGPD étant directement applicable aux fournisseurs de services cloud, quels que soient leurs engagements contractuels à cet égard, nous avons modifié nos conditions pour nous y adapter. Nos conditions mises à jour pour le RGPD reflètent notamment les dispositions de l'article 28, qui régissent l'utilisation d'un processeur de données par un client cloud.
Le RGPD accorde-t-il aux clients le droit d'effectuer un audit de Google Cloud ?
Conformément au RGPD, des droits d'audit doivent être accordés aux responsables du traitement dans les contrats les liant aux processeurs de données. Nos nouveaux accords sur le traitement des données incluent ces droits, au plus grand bénéfice de nos clients.
Quel rôle jouent les normes ISO 27001, ISO 27017 et ISO 27018, et les rapports SOC 2/3, dans le cadre de la conformité avec le RGPD ?
Les clients peuvent utiliser nos certifications ISO indépendantes et nos rapports d'audit SOC 2/3 pour évaluer les risques, et vérifier qu'ils ont bien pris les mesures techniques et organisationnelles nécessaires.
Quelles autres informations et ressources sur le RGPD Google peut-il fournir ?
Consultez le site Web Business and Data et notre Centre de ressources pour le RGPD.