Google Cloud et le Règlement général sur la protection des données (RGPD)

La conformité avec le RGPD est l'un des objectifs prioritaires de Google Cloud et de nos clients. Le RGPD vise à renforcer la protection des données à caractère personnel en Europe et influence notre manière à tous de travailler. Vous avez certainement beaucoup de questions, et nous sommes là pour y répondre. En termes de protection, de contrôle et de conformité, Google Cloud adopte une approche centrée sur les clients. Nous souhaitons être un acteur clé dans votre parcours RGPD.

GUIDE DE MISE EN ŒUVRE DE LA PROTECTION DES DONNÉES SUR GOOGLE WORKSPACE GUIDE DE MISE EN ŒUVRE DE LA PROTECTION DES DONNÉES SUR GOOGLE WORKSPACE FOR EDUCATION STOCKER DES DONNÉES EN TOUTE CONFIANCE AVEC GOOGLE CLOUD PLATFORM

Accéder à notre Centre de ressources pour le RGPD 

Clause de non-responsabilité : Le contenu du présent document est correct et représente l'état des connaissances à sa date de rédaction, soit novembre 2020. Les stratégies et les systèmes de sécurité de Google peuvent évoluer à mesure que nous améliorons la protection de nos clients. Lorsque nous faisons référence à Google Workspace, nous incluons également Google Workspace for Education. Nous proposerons également Google Workspace à nos clients des milieux éducatifs et associatifs dans les mois à venir.

Qu'est-ce que le RGPD ?

Entré en application le 25 mai 2018, le RGPD remplace la Directive européenne sur la protection des données de 1995.

Le RGPD définit des exigences spécifiques pour les entreprises et les organisations établies en Europe ou proposant leurs services à des utilisateurs en Europe :

  • Il réglemente la manière dont les entreprises peuvent recueillir, utiliser et stocker des données à caractère personnel.
  • Il s'appuie sur les exigences actuelles en matière de documentation et de rapports pour accroître la responsabilité.
  • Il impose des amendes aux entreprises qui ne respectent pas ses exigences.

Google Cloud et le RGPD

Google Cloud encourage les initiatives qui donnent la priorité à la sécurité et à la confidentialité des données à caractère personnel des clients, et qui permettent de les améliorer. Notre volonté est que les clients Google Cloud puissent utiliser nos services en toute confiance, au regard des exigences du RGPD. Si vous devenez partenaire de Google Cloud, nous soutiendrons vos efforts de mise en conformité avec le RGPD de différentes manières :

  1. Nous nous engageons dans nos contrats à respecter le RGPD en ce qui concerne le traitement des données à caractère personnel des clients dans tous les services Google Cloud Platform et Google Workspace.
  2. Nous proposons des fonctionnalités de sécurité supplémentaires pour vous aider à mieux protéger les données à caractère personnel les plus sensibles.
  3. Nous fournissons la documentation et les ressources nécessaires pour vous aider à évaluer la confidentialité de nos services.
  4. Nous continuons de faire évoluer nos capacités en fonction des modifications du paysage réglementaire.

Google Workspace et Google Cloud Platform : engagements concernant le RGPD

Entre autres obligations, les responsables du traitement doivent uniquement faire appel à des sous-traitants des données en mesure de fournir des garanties suffisantes quant à leur mise en œuvre des mesures techniques et organisationnelles nécessaires au respect du RGPD. Lors de votre évaluation des services Google Workspace et Google Cloud Platform, nous vous recommandons de prendre en compte les éléments suivants :

Expertise concernant la protection des données

Google emploie des professionnels de la sécurité et de la confidentialité, dont certains des plus grands experts mondiaux en sécurité des informations, des applications et des réseaux. Leur mission : gérer les systèmes de défense de l'entreprise, développer des processus d'examen de la sécurité, renforcer l'infrastructure de sécurité et mettre en œuvre les règles de sécurité de Google.

Google emploie également de nombreux avocats, experts en conformité réglementaire et spécialistes des politiques publiques qui veillent à garantir la conformité de Google Cloud en termes de confidentialité et de sécurité.

Ces équipes interagissent avec les clients, les parties prenantes du secteur et les autorités de contrôle pour concevoir nos services Google Workspace et Google Cloud Platform de façon à répondre aux besoins de conformité des entreprises.

Ce que vous pouvez faire

Quelles sont vos responsabilités en tant que client ?

Les clients Google Workspace1 et Google Cloud Platform sont généralement responsables du traitement des données à caractère personnel qu'ils fournissent à Google dans le cadre de leur utilisation des services. Le responsable du traitement définit les finalités des données à caractère personnel et leurs modes de traitement. Le sous-traitant des données intervient alors. Il s'agit généralement de nous. En tant que sous-traitant des données, Google Cloud traite les données à caractère personnel au nom du responsable du traitement lorsqu'il utilise Google Workspace ou Google Cloud Platform.

Qu'est-ce qu'un responsable du traitement ?

Les responsables du traitement, tout comme les sous-traitants des données, sont chargés de mettre en œuvre des mesures techniques et organisationnelles adéquates pour garantir que les données sont traitées conformément au RGPD. Leurs autres obligations touchent aux principes de licéité, de loyauté, de transparence, de limitation des finalités, de minimisation et d'exactitude des données ainsi que de respect des droits des personnes concernées à l'égard de leurs données.

Vous trouverez des conseils sur vos responsabilités dans le cadre du RGPD en consultant régulièrement la rubrique correspondante des sites Web des autorités nationales ou principales chargées de la protection des données. Vous pouvez également lire les publications d'associations agissant dans le domaine de la confidentialité des données, telles que l'International Association of Privacy Professionals (IAPP). Nous veillerons également à ce que cette page sur le RGPD et notre Centre de ressources pour le RGPD reflètent les dernières mises à jour et actualités.

L'objectif de ce site est d'aider nos clients à mieux comprendre la position de Google Cloud concernant le RGPD. Nous vous recommandons de consulter un juriste pour obtenir des conseils quant aux exigences spécifiques qui s'appliquent à votre organisation, car le présent site ne constitue pas un avis juridique.

Par où commencer ?

Si vous êtes, par exemple, un client Google Cloud basé dans l'Espace économique européen (EEE) ou au Royaume-Uni, ou que vous êtes responsable du traitement de données concernant des personnes vivant dans l'EEE ou au Royaume-Uni, vous devez intégrer le RGPD à votre stratégie de conformité en matière de protection des données. Voici quelques conseils :

  • Familiarisez-vous avec les dispositions du RGPD.
  • Créez un inventaire à jour des données à caractère personnel que vous gérez. Vous pouvez utiliser certains de nos outils pour identifier et classer ces données.
  • Passez en revue vos contrôles, règles et processus actuels de gestion et de protection des données afin de déterminer s'ils sont conformes au RGPD. Trouvez les lacunes et créez un plan pour y remédier.
  • Réfléchissez à la manière dont vous pouvez exploiter les fonctionnalités de protection des données actuelles de Google Cloud pour mettre en place votre charte de régulation. Pour commencer, passez en revue les documents d'audit et de certification tiers de Google Workspace ou Google Cloud Platform.
  • Consultez et acceptez (si nécessaire) les nouvelles conditions relatives au traitement des données via le processus décrit ici pour l'Avenant relatif au traitement des données associé à Google Workspace, et sur cette page pour les Conditions relatives à la sécurité et au traitement des données associées à GCP.
1 Google Workspace (anciennement G Suite) inclut Google Workspace for Teams, Google Workspace Business et Google Workspace for Education. Certains anciens forfaits G Suite sont encore pris en charge. 2 Nous vous recommandons de faire appel à un conseiller juridique indépendant pour déterminer quelle autorité nationale ou principale chargée de la protection des données vous concerne.

Questions fréquentes

Qu'est-ce que le RGPD ?
Le Règlement général sur la protection des données est une loi sur la confidentialité qui a remplacé le 25 mai 2018 la Directive 95/46/CE sur la protection des données du 24 octobre 1995.
Le RGPD impose-t-il de stocker les données à caractère personnel dans l'UE ?
Non. À l'instar de la Directive 95/46/CE sur la protection des données, le RGPD définit des conditions concernant le transfert des données à caractère personnel en dehors de l'Union européenne. Pour les respecter, il est possible de mettre en place des mécanismes tels que des clauses contractuelles types.
Comment avez-vous mis à jour vos conditions de sorte qu'elles reflètent le RGPD ?
Depuis de nombreuses années, Google Cloud propose des conditions relatives au traitement des données qui définissent clairement notre engagement en termes de confidentialité et de sécurité envers nos clients. Nous avons adapté ces conditions de sorte qu'elles reflètent le RGPD. Nos conditions mises à jour pour le RGPD reflètent notamment les dispositions de l'article 28, qui régissent l'utilisation d'un sous-traitant des données par un responsable du traitement.
Le RGPD accorde-t-il aux clients le droit d'effectuer un audit de Google Cloud ?
Conformément au RGPD, des droits d'audit doivent être accordés aux responsables du traitement dans les contrats les liant aux sous-traitants des données. Nos nouveaux accords sur le traitement des données incluent ces droits, au plus grand bénéfice de nos clients soumis au RGPD.
Quel rôle jouent les normes indépendantes ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, ainsi que les rapports SOC 2/3, dans le cadre de la conformité avec le RGPD ?
Les clients peuvent utiliser nos certifications ISO indépendantes et nos rapports d'audit SOC 2/3 pour évaluer les risques, et vérifier que les mesures techniques et organisationnelles nécessaires sont prises. Notre certification ISO/IEC 27701 apporte plus de clarté concernant les rôles et responsabilités liés à la protection de la vie privée, ce qui permet de se conformer plus facilement aux réglementations sur la confidentialité comme le RGPD.
Maintenant que le Privacy Shield (Bouclier de protection des données) a été invalidé, puis-je toujours utiliser Google Cloud et traiter des données à caractère personnel européennes de manière conforme aux exigences du RGPD ?
Même si Google continuera à examiner l'impact de l'arrêt pris par la Cour de justice de l'Union européenne (CJEU) dans l'affaire C-311/18, un point ne change pas : Google prendra les mesures nécessaires pour garantir aux citoyens de l'UE un haut niveau de protection de leur vie privée.
Google Cloud propose à ses clients des clauses contractuelles types, qui seront réputées s'appliquer automatiquement en l'absence de proposition par Google d'une solution de transfert alternative.
Quel que soit l'emplacement des données, leur protection reste une priorité pour Google. Nous avons reçu des certifications prouvant notre conformité avec des normes internationales reconnues telles que l'ISO/IEC 27001, l'ISO/IEC 27018 et l'ISO/IEC 27017. Vous trouverez la liste complète des offres de conformité de Google dans le Centre de ressources pour la conformité.
Quelles autres informations et ressources sur le RGPD Google peut-il fournir ?
Consultez le site Web Businesses and Data de Google et notre Centre de ressources pour le RGPD.