Google Cloud et le Règlement général sur la protection des données (RGPD)
La conformité avec le RGPD est l'un des objectifs prioritaires de Google Cloud et de nos clients. Le RGPD vise à renforcer la protection des données à caractère personnel en Europe et influence notre manière à tous de travailler. Vous avez certainement beaucoup de questions, et nous sommes là pour y répondre. En termes de protection, de contrôle et de conformité, Google Cloud adopte une approche centrée sur les clients. Nous souhaitons être un acteur clé dans votre parcours RGPD.
Accéder à notre Centre de ressources pour le RGPD arrow_forward
Clause de non-responsabilité : Le contenu du présent document est correct et représente l'état des connaissances à sa date de rédaction, soit novembre 2020. Les stratégies et les systèmes de sécurité de Google peuvent évoluer à mesure que nous améliorons la protection de nos clients. Lorsque nous faisons référence à Google Workspace, nous incluons également Google Workspace for Education. Nous proposerons également Google Workspace à nos clients des milieux éducatifs et associatifs dans les mois à venir.
Qu'est-ce que le RGPD ?
Entré en application le 25 mai 2018, le RGPD remplace la Directive européenne sur la protection des données de 1995.
Le RGPD définit des exigences spécifiques pour les entreprises et les organisations établies en Europe ou proposant leurs services à des utilisateurs en Europe :
- Il réglemente la manière dont les entreprises peuvent recueillir, utiliser et stocker des données à caractère personnel.
- Il s'appuie sur les exigences actuelles en matière de documentation et de rapports pour accroître la responsabilité.
- Il impose des amendes aux entreprises qui ne respectent pas ses exigences.
Google Cloud et le RGPD
Google Cloud encourage les initiatives qui donnent la priorité à la sécurité et à la confidentialité des données à caractère personnel des clients, et qui permettent de les améliorer. Notre volonté est que les clients Google Cloud puissent utiliser nos services en toute confiance, au regard des exigences du RGPD. Si vous devenez partenaire de Google Cloud, nous soutiendrons vos efforts de mise en conformité avec le RGPD de différentes manières :
- Nous nous engageons dans nos contrats à respecter le RGPD en ce qui concerne le traitement des données à caractère personnel des clients dans tous les services Google Cloud Platform et Google Workspace.
- Nous proposons des fonctionnalités de sécurité supplémentaires pour vous aider à mieux protéger les données à caractère personnel les plus sensibles.
- Nous fournissons la documentation et les ressources nécessaires pour vous aider à évaluer la confidentialité de nos services.
- Nous continuons de faire évoluer nos capacités en fonction des modifications du paysage réglementaire.
Google Workspace et Google Cloud Platform : engagements concernant le RGPD
Entre autres obligations, les responsables du traitement doivent uniquement faire appel à des sous-traitants des données en mesure de fournir des garanties suffisantes quant à leur mise en œuvre des mesures techniques et organisationnelles nécessaires au respect du RGPD. Lors de votre évaluation des services Google Workspace et Google Cloud Platform, nous vous recommandons de prendre en compte les éléments suivants :
Expertise concernant la protection des données
Google emploie des professionnels de la sécurité et de la confidentialité, dont certains des plus grands experts mondiaux en sécurité des informations, des applications et des réseaux. Leur mission : gérer les systèmes de défense de l'entreprise, développer des processus d'examen de la sécurité, renforcer l'infrastructure de sécurité et mettre en œuvre les règles de sécurité de Google.
Google emploie également de nombreux avocats, experts en conformité réglementaire et spécialistes des politiques publiques qui veillent à garantir la conformité de Google Cloud en termes de confidentialité et de sécurité.
Ces équipes interagissent avec les clients, les parties prenantes du secteur et les autorités de contrôle pour concevoir nos services Google Workspace et Google Cloud Platform de façon à répondre aux besoins de conformité des entreprises.
Accords sur le traitement des données
Nos accords sur le traitement des données pour Google Workspace et Google Cloud Platform définissent clairement nos engagements en termes de confidentialité. Nous avons adapté ces règles au fil des ans en tenant compte des commentaires de nos clients et des autorités de régulation.
Nous avons spécifiquement mis à jour nos conditions afin qu'elles reflètent le RGPD et afin de faciliter l'évaluation de la conformité de nos clients qui utilisent les services Google Cloud, ainsi que leur préparation à ces nouvelles exigences. En savoir plus sur l'Avenant relatif au traitement des données pour Google Workspace, les Clauses contractuelles types pour l'Union européenne associées à Google Workspace, les Conditions relatives à la sécurité et au traitement des données associées à GCP, et les Clauses contractuelles types pour l'Union européenne associées à GCP (CM).
Nos clients peuvent dès maintenant accepter les nouvelles conditions relatives au traitement des données via le processus décrit ici pour l'Avenant relatif au traitement des données pour Google Workspace, et sur cette page pour les Conditions relatives à la sécurité et au traitement des données associées à GCP.
Traitement conforme aux instructions
Toutes les données partagées par un client et ses utilisateurs dans nos systèmes seront traitées conformément aux instructions du client, telles qu'elles sont décrites dans nos accords mis à jour pour le RGPD sur le traitement des données.
Respect de la confidentialité par les employés
Tous les employés Google sont tenus de signer un accord de confidentialité. Ils doivent également suivre des formations sur la confidentialité et la vie privée, ainsi que la formation au code de conduite. Le code de conduite Google traite particulièrement des responsabilités et du comportement attendu des employés en termes de protection des informations.
Les entreprises du groupe Google effectuent directement la majorité des activités de traitement des données nécessaires pour fournir les services Google Workspace et Google Cloud Platform. Cependant, nous employons également des fournisseurs tiers pour nous aider à offrir ces services. Chacun d'entre eux est soumis à une procédure de sélection rigoureuse pour veiller à ce qu'il dispose de l'expertise technique requise, et soit en mesure de fournir le niveau de sécurité et de confidentialité adéquat.
Vous pouvez consulter les informations sur les sous-traitants indirects du groupe Google gérant les services Google Workspace et Google Cloud Platform, ainsi que sur les sous-traitants tiers indirects impliqués. Reportez-vous à cette page pour obtenir davantage d'informations sur les sous-traitants indirects gérant Google Workspace, et à cette page pour ceux gérant GCP. Nous avons également intégré les engagements relatifs aux sous-traitants indirects dans nos accords sur le traitement des données.
Selon le RGPD, les mesures techniques et organisationnelles nécessaires doivent être mises en œuvre pour garantir un niveau de protection adapté au risque encouru.
Google gère une infrastructure mondiale conçue pour garantir un niveau de sécurité parfaitement adapté pendant l'intégralité du cycle de traitement des informations. Cette infrastructure est conçue pour garantir la sécurité et la confidentialité de nos services à tous les niveaux : déploiement, stockage des données avec boucliers de confidentialité de l'utilisateur final, communications entre les services et avec les clients via Internet, opérations effectuées par les administrateurs. Les services Google Workspace et Google Cloud Platform sont exécutés sur cette infrastructure.
Nous avons conçu la sécurité de notre infrastructure sur plusieurs couches, de la sécurité physique des centres de données aux protections de notre matériel et de nos logiciels, jusqu'aux processus que nous avons mis en place pour assurer la sécurité des opérations. Cette protection en couches crée une base de sécurité solide pour toutes nos activités. Pour en savoir plus sur la sécurité de notre infrastructure, lisez notre livre blanc consacré à la présentation de la sécurité sur l'infrastructure de Google.
Disponibilité, intégrité et résilience
Nous concevons les composants de notre plate-forme de manière à garantir un niveau de redondance élevé. Nos centres de données sont répartis dans différents endroits pour minimiser les conséquences de dysfonctionnements potentiels au niveau régional sur les produits internationaux, pouvant être dus à des catastrophes naturelles ou des pannes locales. Dans le cas d'une panne matérielle, logicielle ou de réseau, les services sont automatiquement et instantanément permutés vers d'autres sites pour que les opérations se poursuivent sans interruption. Notre infrastructure à haute redondance aide les clients à se prémunir contre la perte de données.
Tests et sécurité de l'équipement
Google utilise des codes-barres et des identifiants d'appareils pour surveiller l'état et la localisation des équipements des centres de données lors des processus d'acquisition, d'installation, de retrait et de destruction. Lorsqu'un composant rate un test de performance au cours de son cycle de vie, il est retiré de l'inventaire et mis hors service. Les disques durs de Google utilisent des technologies telles que le chiffrement intégral de disque (FDE, full disk encryption) et le verrouillage de disque pour protéger les données au repos.
Tests de reprise après sinistre
Nous effectuons des tests de reprise après sinistre chaque année afin de créer un cadre commun pour les équipes dédiées aux infrastructures et aux applications. Nous testons ainsi les plans de communication, les scénarios de basculement, la transition opérationnelle et d'autres interventions d'urgence. Toutes les équipes participant à l'exercice de reprise après sinistre développent des plans de test et des revues "post-mortem", qui décrivent les résultats et les enseignements tirés des tests.
Chiffrement
Nous utilisons le chiffrement pour protéger les données en transit et au repos. Les données de Google Workspace en transit entre des régions sont protégées par un protocole HTTPS, qui est activé par défaut pour tous les utilisateurs. Les services Google Workspace et Cloud Platform procèdent automatiquement au chiffrement des données client stockées au repos. Une ou plusieurs méthodes de chiffrement sont utilisées. Pour en savoir plus sur le chiffrement des données, consultez notre livre blanc sur le chiffrement.
Contrôle des accès
Les niveaux et droits d'accès accordés aux employés Google dépendent de leur poste et de leur rôle. Les employés ont accès au minimum d'informations et uniquement à celles qui sont indispensables à l'exercice de leur fonction, à la hauteur des responsabilités qui leur ont été confiées. Les demandes d'accès complémentaire suivent un processus formel impliquant une requête et une approbation de la part d'un propriétaire de données ou de système, d'un gestionnaire ou d'autres responsables, conformément aux règles de sécurité énoncées par Google. L'accès physique aux centres de données qui hébergent les systèmes et composants d'infrastructure Google Cloud est restreint. Nous employons 24h/24 et 7j/7 un personnel de sécurité sur site, des agents de sécurité, des badges d'accès, des mécanismes d'identification biométriques, des verrous physiques, ainsi que des caméras pour surveiller l'intérieur et l'extérieur des sites.
Gestion des incidents
Google dispose d'une équipe dédiée à la sécurité chargée d'assurer la sécurité et la confidentialité des données des clients, et de gérer la sécurité 24h/24 et 7j/7, partout dans le monde. Les membres de cette équipe reçoivent des notifications en cas d'incident et sont tenus de solutionner les problèmes urgents 24h/24, 7j/7. Nous avons mis en place des stratégies de gestion des incidents et des procédures documentées de résolution des incidents critiques. Les données collectées lors de ces événements servent à prévenir de nouveaux incidents et peuvent servir d'exemples lors de formations sur la sécurité des informations. Les processus de gestion des incidents et des réponses à apporter suivis par Google sont documentés. Les processus de gestion des incidents de Google sont régulièrement testés dans le cadre de nos programmes ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2 et FedRAMP. Cela garantit à nos clients et aux autorités de réglementation que nos dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité sont vérifiés de façon indépendante. Pour en savoir plus sur notre processus de gestion des incidents, consultez notre livre blanc consacré au processus de gestion des incidents liés aux données.
Gestion des failles
Nous recherchons des failles dans le système à l'aide d'un ensemble d'outils disponibles sur le marché ou conçus en interne, de tests d'intrusion intensifs automatisés et manuels, de procédures d'assurance qualité, d'examens de la sécurité logicielle et d'audits externes. Nous nous appuyons également sur la plus vaste communauté de recherche en sécurité et apprécions son aide au niveau de l'identification de failles dans Google Workspace, Google Cloud Platform et les autres produits Google. Notre Vulnerability Reward Program incite les chercheurs à signaler les problèmes de conception et de mise en œuvre pouvant présenter un risque pour les données des clients.
Sécurité du produit : Google Workspace
Les clients Google Workspace peuvent utiliser les fonctionnalités et les configurations du produit pour assurer une protection supplémentaire de leurs données à caractère personnel contre le traitement non autorisé ou illégal :
- Les paramètres configurables des services principaux de Google Workspace, tels que Gmail, la Console d'administration Google, Agenda, Drive, Docs, Keep, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search et Google Groupes, vous permettent de sécuriser les données de votre organisation, de les utiliser et d'y accéder de façon conforme à vos exigences uniques.
- La validation en deux étapes, qui consiste à demander aux utilisateurs une preuve d'identité supplémentaire lors de la connexion, réduit le risque d'accès non autorisé. L'utilisation obligatoire de clés de sécurité, qui exige la fourniture d'une clé physique, renforce encore la sécurité des comptes utilisateur. Le Programme Protection Avancée constitue la meilleure protection proposée par Google aux utilisateurs les plus exposés aux attaques en ligne ciblées.
- La surveillance des connexions suspectes détecte les activités douteuses à l'aide de capacités de machine learning robustes.
- La sécurité renforcée des e-mails signe et chiffre les e-mails à l'aide de la méthode S/MIME.
- Le chiffrement : les données des clients Google Workspace sont chiffrées quand elles sont sur un disque, stockées sur un support de sauvegarde, transférées sur Internet ou en transit entre des centres de données.
- La protection contre la perte de données permet d'éviter le partage non autorisé d'informations sensibles au sein de Gmail et de Drive.
- La protection avancée contre l'hameçonnage et les logiciels malveillants protège contre les pièces jointes et les scripts suspects provenant d'expéditeurs non approuvés, ainsi que contre les images et les liens malveillants.
- La gestion des droits relatifs aux informations dans Drive vous permet de désactiver le téléchargement, l'impression et la copie de fichiers depuis le menu de partage avancé, et de définir des dates d'expiration pour l'accès aux fichiers.
- La gestion des points de terminaison offre une surveillance continue du système et prévient en cas d'activité suspecte enregistrée sur un appareil.
- Le Centre d'alerte permet de consulter les principales notifications, alertes et actions liées à Google Workspace. Les informations relatives à ces alertes potentielles aident les administrateurs à évaluer l'exposition de leur organisation aux problèmes de sécurité.
- Le Centre de sécurité réunit des données analytiques sur la sécurité, des recommandations de bonnes pratiques et une fonction de résolution intégrée, qui vous aident à protéger les données, les appareils et les comptes utilisateur de votre organisation. Il donne des informations sur le partage externe de fichiers et sur la manière dont les utilisateurs sont ciblés par du spam et des logiciels malveillants au sein de votre organisation. Son outil d'investigation vous donne par ailleurs accès à une fonction de résolution intégrée.
- L'accès contextuel permet d'appliquer des contrôles d'accès précis aux applications Google Workspace en fonction de l'identité d'un utilisateur et du contexte de sa demande d'accès.
- Google Vault vous permet de conserver, d'archiver, de rechercher et d'exporter les e-mails, le contenu des fichiers Google Drive et les chats enregistrés de votre organisation à des fins de conformité et de procédure d'eDiscovery.
- Le contrôle d'accès des applications régit l'accès aux services Google Workspace à l'aide du protocole OAuth 2.0. Les organisations peuvent contrôler l'accès des applications tierces et internes aux données Google Workspace et obtenir des informations sur les applications tierces déjà utilisées.
- Les emplacements des données vous permettent de stocker vos données concernées à l'emplacement géographique de votre choix en utilisant un règlement relatif à l'emplacement des données.
- Access Transparency vous permet de consulter les journaux consignant les actions effectuées par les équipes Google lorsqu'elles accèdent au contenu d'un compte utilisateur.
Pour en savoir plus, consultez la page https://workspace.google.com/security.
Sécurité du produit : GCP
Les clients GCP peuvent utiliser les fonctionnalités et les configurations du produit pour assurer une protection supplémentaire de leurs données à caractère personnel contre le traitement non autorisé ou illégal :
- Dans GCP, les données en transit entre des régions sont chiffrées par défaut. Ainsi, les requêtes sont chiffrées avant transmission et les données brutes sont protégées à l'aide du protocole Transport Layer Security (TLS). Une fois les données transférées à GCP pour y être stockées, GCP applique par défaut un chiffrement des données au repos.
- La validation en deux étapes, qui consiste à demander aux utilisateurs une preuve d'identité supplémentaire lors de la connexion, réduit le risque d'accès non autorisé. L'utilisation obligatoire de clés de sécurité, qui exige la fourniture d'une clé physique, renforce encore la sécurité des comptes utilisateur.
- Cloud Identity and Access Management (Cloud IAM) vous permet de créer et de gérer précisément les autorisations d'accès et de modification pour les ressources Google Cloud Platform.
- L'API Data Loss Prevention permet d'identifier et de surveiller le traitement de catégories spéciales de données à caractère personnel afin de mettre en œuvre des contrôles adéquats.
- Cloud Logging et Cloud Monitoring intègrent des systèmes de journalisation, de surveillance, d'alerte et de détection des anomalies à Google Cloud Platform.
- Cloud Identity-Aware Proxy (Cloud IAP) contrôle les accès aux applications cloud exécutées sur Google Cloud Platform.
- Cloud Security Scanner recherche et détecte des failles courantes dans les applications Google App Engine.
- VPC Service Controls offre une protection périmétrique des services qui stockent des données très sensibles, en permettant la segmentation des données au niveau de ces services.
- Cloud KMS et HSM permettent de gérer des clés de chiffrement et d'effectuer des opérations de cryptographie dans un cluster de modules de sécurité matériels (HSM) certifiés FIPS 140-2 de niveau 3. Le service de gestion des clés permet aux clients d'utiliser des clés de chiffrement gérées soit par Google, soit par le client, selon les critères requis pour répondre aux exigences de conformité.
- Cloud Security Command Center permet d'afficher et de surveiller l'inventaire des éléments cloud, d'analyser les systèmes de stockage pour rechercher les données sensibles, de détecter les failles Web courantes, ainsi que d'examiner les droits d'accès aux ressources critiques à partir d'un tableau de bord unique et centralisé.
- Access Approval oblige les administrateurs Google à demander au client son approbation explicite avant d'accéder à ses données. Access Approval envoie au client un e-mail et/ou un message Cloud Pub/Sub contenant une demande d'accès que le client doit valider. Le client peut autoriser l'accès via la console GCP ou l'API Access Approval à l'aide des informations contenues dans le message.
Pour en savoir plus, consultez la page https://cloud.google.com/security/.
1 Uniquement pour Google Cloud Platform.
Les administrateurs peuvent exporter les données client à l'aide de la fonctionnalité adéquate des services Google Workspace ou Google Cloud Platform (pour en savoir plus, consultez la documentation Google Cloud Platform), à tout moment pendant la durée de validité de l'accord. Cela fait plusieurs années que nous avons intégré des engagements concernant l'exportation des données dans nos conditions relatives au traitement des données. Nous continuerons par ailleurs de tout mettre en œuvre pour améliorer les fonctionnalités d'exportation des données, pour que vous puissiez télécharger facilement vos données client depuis les services Google Workspace et Google Cloud Platform.
Vous pouvez également supprimer les données client à l'aide de la fonctionnalité adéquate des services Google Workspace ou Google Cloud Platform à tout moment. Si vous nous donnez pour instruction de supprimer définitivement des données (par exemple, lorsque vous supprimez un e-mail qui ne peut pas être récupéré dans la corbeille), nous supprimons les données du client de tous nos systèmes dans un délai de 180 jours maximum, à moins que nous ne soyons tenus de les conserver.
Droits des personnes concernées
Les responsables du traitement peuvent utiliser les consoles d'administration et les fonctionnalités des services Google Workspace et Google Cloud Platform pour accéder aux données que leurs utilisateurs et eux-mêmes saisissent dans nos systèmes, les rectifier, limiter leur traitement ou les supprimer. Ces fonctionnalités leur permettent de remplir leurs obligations de répondre aux demandes des personnes concernées cherchant à exercer leurs droits en vertu du RGPD.
Équipe chargée de la protection des données
Google a désigné un DPD pour Google LLC et ses filiales, afin de couvrir le traitement des données relevant du RGPD, y compris pour l'ensemble des produits d'entreprise de Google Ireland Limited. Le délégué à la protection des données de Google est Emil Ochotta. Il est basé à Sunnyvale aux États-Unis.
Lorsque cela s'est avéré nécessaire, nous avons mis en place (pour les produits Google destinés aux entreprises) des équipes chargées de répondre aux demandes des clients sur la protection des données. La manière de les contacter est décrite dans le contrat correspondant. Pour Google Workspace, les administrateurs des clients peuvent joindre l'équipe chargée de la protection des données dans le cloud via la page https://support.google.com/a/contact/googlecloud_dpr (ils doivent être connectés avec leur compte d'administrateur) et/ou directement en notifiant Google au préalable comme décrit dans le contrat applicable. Pour Google Cloud Platform, ils peuvent contacter cette équipe via la page https://support.google.com/cloud/contact/dpo.
Notifications d'incident
Dans le cadre de nos services Google Workspace et Google Cloud Platform, nous proposons depuis de nombreuses années des engagements contractuels concernant la notification d'incident. Nous continuerons à vous informer rapidement des incidents impliquant les données de vos clients, comme stipulé dans les conditions sur les incidents liés aux données figurant dans nos contrats en vigueur.
Le RGPD propose plusieurs mécanismes facilitant les transferts de données à caractère personnel en dehors de l'UE. Ces mécanismes ont pour but d'apporter un niveau de protection adapté ou d'assurer la mise en œuvre de mesures de protection appropriées lorsque des données à caractère personnel sont transférées dans un autre pays.
Le niveau de protection adapté peut être confirmé par des décisions d'adéquation, telles que celles appuyant l'Act on the Protection of Personal Information (APPI, acte sur la protection des données personnelles) au Japon et la loi sur la protection des données à caractère personnel en Suisse.
Lorsque des données à caractère personnel sont transférées en dehors de l'UE vers des pays tiers non couverts par des décisions d'adéquation, nous nous engageons, conformément à nos accords sur le traitement des données, à maintenir un mécanisme facilitant les transferts de ces données comme le requiert le RGPD. En 2017, les autorités européennes de protection des données nous ont également confirmé que nos clauses contractuelles types sont conformes. Cela signifie que nos engagements contractuels pour Google Workspace et Google Cloud Platform sont conformes et permettent d'encadrer légalement les transferts de données personnelles de l'UE vers les pays tiers qui n'offrent pas une protection appropriée.
Nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour répondre à cette exigence, nous soumettons régulièrement nos services Google Workspace et Google Cloud Platform à des audits tiers.
ISO/IEC 27001 (Gestion de la sécurité de l'information)
ISO/IEC 27001 est l'une des normes de sécurité indépendantes les plus reconnues et adoptées au niveau international. Google a obtenu cette certification pour les systèmes, les applications, les personnes, la technologie, les processus et les centres de données qui constituent son infrastructure commune partagée, ainsi que pour les produits Google Workspace et Google Cloud Platform. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
ISO/IEC 27017 (Sécurité dans le cloud)
ISO/IEC 27017 est une norme internationale qui définit les bonnes pratiques concernant le contrôle de la sécurité de l'information. Elle est basée sur la norme ISO/IEC 27002 et est spécifiquement adaptée aux services cloud. Nos services Google Workspace et Google Cloud Platform ont été certifiés conformes à cette norme. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
ISO/IEC 27018 (Protection des informations personnelles dans le cloud)
ISO/IEC 27018 est une norme internationale qui définit les bonnes pratiques concernant la protection des informations personnelles dans les services cloud publics. Nos services Google Workspace et Google Cloud Platform ont été certifiés conformes à cette norme. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
ISO/IEC 27701 (Gestion des informations à caractère personnel)
ISO/IEC 27701 est une norme internationale de protection de la vie privée consacrée à la collecte et au traitement des informations personnelles. Elle étend les exigences des normes ISO/IEC 27001 et ISO/IEC 27002 à la confidentialité des données. En sa qualité de responsable du traitement des informations personnelle, Google a obtenu la certification ISO/IEC 27701 pour Google Workspace et Google Cloud Platform. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
SSAE18/ISAE 3402 (SOC 2/3)
Les audits SOC (Service Organization Controls) 2 et 3 de l'AICPA (American Institute of Certified Public Accountants) définissent des principes et critères de confiance concernant la sécurité, la disponibilité, l'intégrité du traitement et la confidentialité des données. Google est conforme à la fois aux normes SOC 2 et SOC 3 pour Google Workspace et Google Cloud Platform. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
Ce que vous pouvez faire
Quelles sont vos responsabilités en tant que client ?
Les clients Google Workspace1 et Google Cloud Platform sont généralement responsables du traitement des données à caractère personnel qu'ils fournissent à Google dans le cadre de leur utilisation des services. Le responsable du traitement définit les finalités des données à caractère personnel et leurs modes de traitement. Le sous-traitant des données intervient alors. Il s'agit généralement de nous. En tant que sous-traitant des données, Google Cloud traite les données à caractère personnel au nom du responsable du traitement lorsqu'il utilise Google Workspace ou Google Cloud Platform.
Qu'est-ce qu'un responsable du traitement ?
Les responsables du traitement, tout comme les sous-traitants des données, sont chargés de mettre en œuvre des mesures techniques et organisationnelles adéquates pour garantir que les données sont traitées conformément au RGPD. Leurs autres obligations touchent aux principes de licéité, de loyauté, de transparence, de limitation des finalités, de minimisation et d'exactitude des données ainsi que de respect des droits des personnes concernées à l'égard de leurs données.
Vous trouverez des conseils sur vos responsabilités dans le cadre du RGPD en consultant régulièrement la rubrique correspondante des sites Web des autorités nationales ou principales chargées de la protection des données. Vous pouvez également lire les publications d'associations agissant dans le domaine de la confidentialité des données, telles que l'International Association of Privacy Professionals (IAPP). Nous veillerons également à ce que cette page sur le RGPD et notre Centre de ressources pour le RGPD reflètent les dernières mises à jour et actualités.
L'objectif de ce site est d'aider nos clients à mieux comprendre la position de Google Cloud concernant le RGPD. Nous vous recommandons de consulter un juriste pour obtenir des conseils quant aux exigences spécifiques qui s'appliquent à votre organisation, car le présent site ne constitue pas un avis juridique.
Par où commencer ?
Si vous êtes, par exemple, un client Google Cloud basé dans l'Espace économique européen (EEE) ou au Royaume-Uni, ou que vous êtes responsable du traitement de données concernant des personnes vivant dans l'EEE ou au Royaume-Uni, vous devez intégrer le RGPD à votre stratégie de conformité en matière de protection des données. Voici quelques conseils :
- Familiarisez-vous avec les dispositions du RGPD.
- Créez un inventaire à jour des données à caractère personnel que vous gérez. Vous pouvez utiliser certains de nos outils pour identifier et classer ces données.
- Passez en revue vos contrôles, règles et processus actuels de gestion et de protection des données afin de déterminer s'ils sont conformes au RGPD. Trouvez les lacunes et créez un plan pour y remédier.
- Réfléchissez à la manière dont vous pouvez exploiter les fonctionnalités de protection des données actuelles de Google Cloud pour mettre en place votre charte de régulation. Pour commencer, passez en revue les documents d'audit et de certification tiers de Google Workspace ou Google Cloud Platform.
- Consultez et acceptez (si nécessaire) les nouvelles conditions relatives au traitement des données via le processus décrit ici pour l'Avenant relatif au traitement des données associé à Google Workspace, et sur cette page pour les Conditions relatives à la sécurité et au traitement des données associées à GCP.

Questions fréquentes
- Qu'est-ce que le RGPD ?
- Le Règlement général sur la protection des données est une loi sur la confidentialité qui a remplacé le 25 mai 2018 la Directive 95/46/CE sur la protection des données du 24 octobre 1995.
- Le RGPD impose-t-il de stocker les données à caractère personnel dans l'UE ?
- Non. À l'instar de la Directive 95/46/CE sur la protection des données, le RGPD définit des conditions concernant le transfert des données à caractère personnel en dehors de l'Union européenne. Pour les respecter, il est possible de mettre en place des mécanismes tels que des clauses contractuelles types.
- Comment avez-vous mis à jour vos conditions de sorte qu'elles reflètent le RGPD ?
- Depuis de nombreuses années, Google Cloud propose des conditions relatives au traitement des données qui définissent clairement notre engagement en termes de confidentialité et de sécurité envers nos clients. Nous avons adapté ces conditions de sorte qu'elles reflètent le RGPD. Nos conditions mises à jour pour le RGPD reflètent notamment les dispositions de l'article 28, qui régissent l'utilisation d'un sous-traitant des données par un responsable du traitement.
- Le RGPD accorde-t-il aux clients le droit d'effectuer un audit de Google Cloud ?
- Conformément au RGPD, des droits d'audit doivent être accordés aux responsables du traitement dans les contrats les liant aux sous-traitants des données. Nos nouveaux accords sur le traitement des données incluent ces droits, au plus grand bénéfice de nos clients soumis au RGPD.
- Quel rôle jouent les normes indépendantes ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, ainsi que les rapports SOC 2/3, dans le cadre de la conformité avec le RGPD ?
- Les clients peuvent utiliser nos certifications ISO indépendantes et nos rapports d'audit SOC 2/3 pour évaluer les risques, et vérifier que les mesures techniques et organisationnelles nécessaires sont prises. Notre certification ISO/IEC 27701 apporte plus de clarté concernant les rôles et responsabilités liés à la protection de la vie privée, ce qui permet de se conformer plus facilement aux réglementations sur la confidentialité comme le RGPD.
- Maintenant que le Privacy Shield (Bouclier de protection des données) a été invalidé, puis-je toujours utiliser Google Cloud et traiter des données à caractère personnel européennes de manière conforme aux exigences du RGPD ?
- Même si Google continuera à examiner l'impact de l'arrêt pris par la Cour de justice de l'Union européenne (CJEU) dans l'affaire C-311/18, un point ne change pas : Google prendra les mesures nécessaires pour garantir aux citoyens de l'UE un haut niveau de protection de leur vie privée.
- Google Cloud propose à ses clients des clauses contractuelles types, qui seront réputées s'appliquer automatiquement en l'absence de proposition par Google d'une solution de transfert alternative.
- Quel que soit l'emplacement des données, leur protection reste une priorité pour Google. Nous avons reçu des certifications prouvant notre conformité avec des normes internationales reconnues telles que l'ISO/IEC 27001, l'ISO/IEC 27018 et l'ISO/IEC 27017. Vous trouverez la liste complète des offres de conformité de Google dans le Centre de ressources pour la conformité.
- Quelles autres informations et ressources sur le RGPD Google peut-il fournir ?
- Consultez le site Web Businesses and Data de Google et notre Centre de ressources pour le RGPD.