Google Cloud et le Règlement général sur la protection des données (RGPD)
Le Règlement général sur la protection des données (RGPD) est une loi sur la confidentialité qui a remplacé le 25 mai 2018 la Directive 95/46/CE sur la protection des données du 24 octobre 1995. Le RGPD définit des exigences spécifiques pour les entreprises et les organisations établies en Europe ou proposant leurs services à des utilisateurs en Europe.
- Il réglemente la manière dont les entreprises peuvent recueillir, utiliser et stocker des données à caractère personnel.
- Il s'appuie sur les exigences actuelles en matière de documentation et de rapports pour accroître la responsabilité.
- Il impose des amendes aux entreprises qui ne respectent pas ses exigences.
Google Cloud encourage les initiatives qui donnent la priorité à la sécurité et à la confidentialité des données à caractère personnel des clients, et qui permettent de les améliorer. Notre volonté est que les clients Google Cloud puissent utiliser nos services en toute confiance, au regard des exigences du RGPD. Si vous devenez partenaire de Google Cloud, nous soutiendrons vos efforts de mise en conformité avec le RGPD de différentes manières :
- Nous nous engageons dans nos contrats à respecter le RGPD en ce qui concerne le traitement des données à caractère personnel des clients dans tous les services Google Cloud et Google Workspace.
- Nous proposons des fonctionnalités de sécurité supplémentaires pour vous aider à mieux protéger les données à caractère personnel les plus sensibles.
- Nous fournissons la documentation et les ressources nécessaires pour vous aider à évaluer la confidentialité de nos services.
- Nous continuons de faire évoluer nos capacités en fonction des modifications du paysage réglementaire.
Google Workspace et Google Cloud : engagements concernant le RGPD
Les responsables du traitement doivent faire appel à des sous-traitants des données ayant mis en œuvre des mesures techniques et organisationnelles appropriées. Lors de votre évaluation de Google Cloud dans le cadre du RGPD, tenez compte des points suivants :
EXPERTISE, FIABILITÉ ET RESSOURCES
Expertise concernant la protection des données
Google emploie des professionnels de la sécurité et de la confidentialité, dont certains des plus grands experts mondiaux en sécurité des informations, des applications et des réseaux. Leur mission : gérer les systèmes de défense de l'entreprise, développer des processus d'examen de la sécurité, renforcer l'infrastructure de sécurité et mettre en œuvre les règles de sécurité de Google.
Google emploie également de nombreux avocats, experts en conformité réglementaire et spécialistes des politiques publiques qui veillent à garantir la conformité de Google Cloud en termes de confidentialité et de sécurité.
Ces équipes interagissent avec les clients, les parties prenantes du secteur et les autorités de contrôle pour concevoir nos services Google Workspace et Google Cloud de façon à répondre aux besoins de conformité des entreprises.
ENGAGEMENTS RELATIFS À LA PROTECTION DES DONNÉES
Accords sur le traitement des données
Nos accords sur le traitement des données pour Google Workspace et Google Cloud définissent clairement nos engagements en termes de confidentialité. Nous avons adapté ces règles au fil des ans en tenant compte des commentaires de nos clients et des autorités de régulation.
Nous avons spécifiquement mis à jour nos conditions afin qu'elles reflètent le RGPD et afin de faciliter l'évaluation de la conformité de nos clients qui utilisent les services Google Cloud, ainsi que leur préparation à ces nouvelles exigences. Pour en savoir plus, consultez les ressources suivantes : Avenant relatif au traitement des données pour Google Workspace, Clauses contractuelles types de Google Workspace pour l'UE, Conditions relatives à la sécurité et au traitement des données pour Google Cloud, Clauses contractuelles types (CCT) de Google Cloud pour l'UE.
Nos clients peuvent accepter ces nouvelles conditions relatives au traitement des données via le processus décrit pour l'Avenant relatif au traitement des données associé à Google Workspace et pour les Conditions relatives à la sécurité et au traitement des données pour Google Cloud.
Traitement conforme aux instructions
Toutes les données partagées par un client et ses utilisateurs dans nos systèmes seront traitées conformément aux instructions du client, telles qu'elles sont décrites dans nos accords mis à jour pour le RGPD sur le traitement des données.
Respect de la confidentialité par les employés
Tous les employés Google sont tenus de signer un accord de confidentialité. Ils doivent également suivre des formations sur la confidentialité et la vie privée, ainsi que la formation au code de conduite. Le code de conduite Google traite particulièrement des responsabilités et du comportement attendu des employés en termes de protection des informations.
UTILISATION DE PRESTATAIRES
Les entreprises du groupe Google effectuent directement la majorité des activités de traitement des données nécessaires pour fournir les services Google Workspace et Google Cloud. Cependant, nous employons également des fournisseurs tiers pour nous aider à offrir ces services. Chacun d'entre eux est soumis à une procédure de sélection rigoureuse pour veiller à ce qu'il dispose de l'expertise technique requise, et soit en mesure de fournir le niveau de sécurité et de confidentialité adéquat.
Vous pouvez consulter les informations sur les sous-traitants indirects du groupe Google gérant les services Google Workspace et Google Cloud, ainsi que sur les sous-traitants tiers indirects impliqués. Reportez-vous à cette page pour obtenir davantage d'informations sur les sous-traitants indirects gérant Google Workspace, et à cette page pour ceux gérant Google Cloud. Nous avons également intégré les engagements relatifs aux sous-traitants indirects dans nos accords sur le traitement des données.
SÉCURITÉ DES SERVICES
Selon le RGPD, les mesures techniques et organisationnelles nécessaires doivent être mises en œuvre pour garantir un niveau de protection adapté au risque encouru.
Google gère une infrastructure mondiale conçue pour garantir un niveau de sécurité parfaitement adapté pendant l'intégralité du cycle de traitement des informations. Cette infrastructure est conçue pour garantir la sécurité et la confidentialité de nos services à tous niveaux : déploiement, stockage des données avec mesures de confidentialité pour l'utilisateur final, communications entre les services et avec les clients via Internet, opérations effectuées par les administrateurs. Les services Google Workspace et Google Cloud sont exécutés sur cette infrastructure.
Nous avons conçu la sécurité de notre infrastructure sur plusieurs couches, de la sécurité physique des centres de données aux protections de notre matériel et de nos logiciels, jusqu'aux processus que nous avons mis en place pour assurer la sécurité des opérations. Cette protection en couches crée une base de sécurité solide pour toutes nos activités. Pour en savoir plus sur la sécurité de notre infrastructure, lisez notre livre blanc consacré à la présentation de la sécurité sur l'infrastructure de Google.
Disponibilité, intégrité et résilience
Nous concevons les composants de notre plate-forme de manière à garantir un niveau de redondance élevé. Nos centres de données sont répartis dans différents endroits pour minimiser les conséquences de dysfonctionnements potentiels au niveau régional sur les produits internationaux, pouvant être dus à des catastrophes naturelles ou des pannes locales. Dans le cas d'une panne matérielle, logicielle ou de réseau, les services sont automatiquement et instantanément permutés vers d'autres sites pour que les opérations se poursuivent sans interruption. Notre infrastructure à haute redondance aide les clients à se prémunir contre la perte de données.
Tests et sécurité de l'équipement
Google utilise des codes-barres et des identifiants d'appareils pour surveiller l'état et la localisation des équipements des centres de données lors des processus d'acquisition, d'installation, de retrait et de destruction. Lorsqu'un composant rate un test de performance au cours de son cycle de vie, il est retiré de l'inventaire et mis hors service. Les disques durs de Google utilisent des technologies telles que le chiffrement intégral de disque (FDE, full disk encryption) et le verrouillage de disque pour protéger les données au repos.
Tests de reprise après sinistre
Nous effectuons des tests de reprise après sinistre chaque année afin de créer un cadre commun pour les équipes dédiées aux infrastructures et aux applications. Nous testons ainsi les plans de communication, les scénarios de basculement, la transition opérationnelle et d'autres interventions d'urgence. Toutes les équipes participant à l'exercice de reprise après sinistre développent des plans de test et des revues "post-mortem", qui décrivent les résultats et les enseignements tirés des tests.
Chiffrement
Nous utilisons le chiffrement pour protéger les données en transit et au repos. Les données de Google Workspace en transit entre des régions sont protégées par un protocole HTTPS, qui est activé par défaut pour tous les utilisateurs. Les services Google Workspace et Google Cloud procèdent automatiquement au chiffrement des données client stockées au repos. Une ou plusieurs méthodes de chiffrement sont utilisées. Pour découvrir des informations détaillées sur le chiffrement des données, consultez les ressources suivantes : Livre blanc sur le chiffrement dans Workspace et chiffrement en transit et au repos dans Google Cloud.
Contrôle des accès
Les niveaux et droits d'accès accordés aux employés Google dépendent de leur poste et de leur rôle. Les employés ont accès au minimum d'informations et uniquement à celles qui sont indispensables à l'exercice de leur fonction, à la hauteur des responsabilités qui leur ont été confiées. Les demandes d'accès complémentaire suivent un processus formel impliquant une requête et une approbation de la part d'un propriétaire de données ou de système, d'un gestionnaire ou d'autres responsables, conformément aux règles de sécurité énoncées par Google. L'accès physique aux centres de données qui hébergent les systèmes et composants d'infrastructure Google Cloud est restreint. Nous employons 24h/24 et 7j/7 un personnel de sécurité sur site, des agents de sécurité, des badges d'accès, des mécanismes d'identification biométriques, des verrous physiques, ainsi que des caméras pour surveiller l'intérieur et l'extérieur des sites.
Gestion des incidents
Google dispose d'une équipe dédiée à la sécurité chargée d'assurer la sécurité et la confidentialité des données des clients, et de gérer la sécurité 24h/24 et 7j/7, partout dans le monde. Les membres de cette équipe reçoivent des notifications en cas d'incident et sont tenus de résoudre les problèmes urgents 24h/24, 7j/7. Nous avons mis en place des stratégies de gestion des incidents et des procédures documentées de résolution des incidents critiques. Les données collectées lors de ces événements servent à prévenir de nouveaux incidents et peuvent servir d'exemples lors de formations sur la sécurité des informations. Les processus de gestion des incidents et des réponses à apporter suivis par Google sont documentés. Les processus de gestion des incidents de Google sont régulièrement testés dans le cadre de nos programmes ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2 et FedRAMP. Cela garantit à nos clients et aux autorités de réglementation que nos dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité sont vérifiés de façon indépendante. Pour en savoir plus sur notre processus de gestion des incidents, consultez notre livre blanc consacré au processus de gestion des incidents liés aux données.
Gestion des failles
Nous recherchons des failles dans le système à l'aide d'un ensemble d'outils disponibles sur le marché ou conçus en interne, de tests d'intrusion intensifs automatisés et manuels, de procédures d'assurance qualité, d'examens de la sécurité logicielle et d'audits externes. Nous nous appuyons également sur la plus vaste communauté de recherche en sécurité et apprécions son aide au niveau de l'identification de failles dans Google Workspace, Google Cloud et les autres produits Google. Notre Vulnerability Reward Program incite les chercheurs à signaler les problèmes de conception et de mise en œuvre pouvant présenter un risque pour les données des clients.
Sécurité du produit : Google Workspace
Les clients Google Workspace peuvent utiliser les fonctionnalités et les configurations du produit pour assurer une protection supplémentaire de leurs données à caractère personnel contre le traitement non autorisé ou illégal :
Les paramètres configurables des services principaux de Google Workspace, tels que Gmail, la Console d'administration Google, Agenda, Drive, Docs, Keep, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search et Google Groupes, vous permettent de sécuriser les données de votre organisation, de les utiliser et d'y accéder de façon conforme à vos exigences uniques. La validation en deux étapes, qui consiste à demander aux utilisateurs une preuve d'identité supplémentaire lors de la connexion, réduit le risque d'accès non autorisé.L'utilisation obligatoire de clés de sécurité, qui exige la fourniture d'une clé physique, renforce encore la sécurité des comptes utilisateur.Le Programme Protection Avancée constitue la meilleure protection proposée par Google aux utilisateurs les plus exposés aux attaques en ligne ciblées. La surveillance des connexions suspectes détecte les activités douteuses à l'aide de capacités de machine learning robustes. La sécurité renforcée des e-mails signe et chiffre les e-mails à l'aide de la méthode S/MIME. Le chiffrement : les données des clients Google Workspace sont chiffrées quand elles sont sur un disque, stockées sur un support de sauvegarde, transférées sur Internet ou en transit entre des centres de données. La protection contre la perte de données permet d'éviter le partage non autorisé d'informations sensibles au sein de Gmail et de Drive. La protection avancée contre l'hameçonnage et les logiciels malveillants protège contre les pièces jointes et les scripts suspects provenant d'expéditeurs non approuvés, ainsi que contre les images et les liens malveillants. La gestion des droits relatifs aux informations dans Drive vous permet de désactiver le téléchargement, l'impression et la copie de fichiers depuis le menu de partage avancé, et de définir des dates d'expiration pour l'accès aux fichiers. La gestion des points de terminaison offre une surveillance continue du système et prévient en cas d'activité suspecte enregistrée sur un appareil. Le Centre d'alerte permet de consulter les principales notifications, alertes et actions liées à Google Workspace. Les informations relatives à ces alertes potentielles aident les administrateurs à évaluer l'exposition de leur organisation aux problèmes de sécurité. Le Centre de sécurité réunit des données analytiques sur la sécurité, des recommandations de bonnes pratiques et une fonction de résolution intégrée, qui vous aident à protéger les données, les appareils et les comptes utilisateur de votre organisation. Il donne des informations sur le partage externe de fichiers et sur la manière dont les utilisateurs sont ciblés par du spam et des logiciels malveillants au sein de votre organisation. Son outil d'investigation vous donne par ailleurs accès à une fonction de résolution intégrée. L'accès contextuel permet d'appliquer des contrôles d'accès précis aux applications Google Workspace en fonction de l'identité d'un utilisateur et du contexte de sa demande d'accès. Google Vault vous permet de conserver, d'archiver, de rechercher et d'exporter les e-mails, le contenu des fichiers Google Drive et les chats enregistrés de votre organisation à des fins de conformité et de procédure d'eDiscovery. Le contrôle de l'accès des applications régit l'accès aux services Google Workspace à l'aide du protocole OAuth 2.0. Les organisations peuvent contrôler l'accès des applications tierces et internes aux données Google Workspace et obtenir des informations sur les applications tierces déjà utilisées. Les régions de données vous permettent de stocker vos données concernées à un emplacement géographique spécifique en utilisant une règle pour la région des données. Access Transparency vous permet de consulter les journaux consignant les actions effectuées par les équipes Google lorsqu'elles accèdent au contenu d'un compte utilisateur.
Pour en savoir plus, consultez la page https://workspace.google.com/security.
Sécurité des produits : Google Cloud
Les clients Google Cloud peuvent utiliser les fonctionnalités et les configurations du produit pour assurer une protection supplémentaire de leurs données à caractère personnel contre le traitement non autorisé ou illégal :
Dans Google Cloud, les données en transit entre des régions sont chiffrées par défaut. Ainsi, les requêtes sont chiffrées avant transmission et les données brutes sont protégées à l'aide du protocole Transport Layer Security (TLS). Une fois les données transférées vers Google Cloud pour y être stockées, Google Cloud applique le chiffrement au repos par défaut. La validation en deux étapes, qui consiste à demander aux utilisateurs une preuve d'identité supplémentaire lors de la connexion, réduit le risque d'accès non autorisé.L'utilisation obligatoire des clés de sécurité offre un niveau de sécurité supplémentaire aux comptes utilisateur en nécessitant la saisie d'une clé physique. Cloud Identity and Access Management (Cloud IAM) vous permet de créer et de gérer précisément les permissions d'accès et de modification pour les ressources de Google Cloud. L'API Data Loss Prevention permet d'identifier et de surveiller le traitement de catégories spéciales de données à caractère personnel afin de mettre en œuvre des contrôles adéquats. Cloud Logging et Cloud Monitoring intègrent des systèmes de journalisation, de surveillance, d'alerte et de détection des anomalies à Google Cloud. Cloud Identity-Aware Proxy (Cloud IAP) contrôle les accès aux applications cloud exécutées sur Google Cloud. Cloud Security Scanner recherche et détecte des failles courantes dans les applications Google App Engine. VPC Service Controls offre une protection périmétrique des services qui stockent des données très sensibles, en permettant la segmentation des données au niveau de ces services. Cloud KMS et HSM permettent de gérer des clés de chiffrement et d'effectuer des opérations de cryptographie dans un cluster de modules de sécurité matériels (HSM) certifiés FIPS 140-2 de niveau 3. Le service de gestion des clés permet aux clients d'utiliser des clés de chiffrement gérées soit par Google, soit par le client, selon les critères requis pour répondre aux exigences de conformité. Cloud Security Command Center permet d'afficher et de surveiller l'inventaire des éléments cloud, d'analyser les systèmes de stockage pour rechercher les données sensibles, de détecter les failles Web courantes, ainsi que d'examiner les droits d'accès aux ressources critiques à partir d'un tableau de bord unique et centralisé. Access Approval oblige les administrateurs Google à demander au client son approbation explicite avant d'accéder à ses données. Access Approval envoie au client un e-mail et/ou un message Cloud Pub/Sub contenant une demande d'accès que le client doit valider. Le client peut autoriser l'accès via la console Google Cloud ou l'API Access Approval à l'aide des informations contenues dans le message.
Pour en savoir plus, consultez la page https://cloud.google.com/security/.
1 Pour Google Cloud uniquement.
CONSERVATION ET SUPPRESSION DE DONNÉES
Les administrateurs peuvent exporter les données client à l'aide de la fonctionnalité adéquate des services Google Workspace ou Google Cloud (pour en savoir plus, consultez la documentation Google Cloud), à tout moment pendant la durée de validité de l'accord. Cela fait plusieurs années que nous avons intégré des engagements concernant l'exportation des données dans nos conditions relatives au traitement des données. Nous continuerons par ailleurs de tout mettre en œuvre pour améliorer les fonctionnalités d'exportation des données, pour que vous puissiez télécharger facilement vos données client depuis les services Google Workspace et Google Cloud.
Vous pouvez également supprimer les données client à l'aide de la fonctionnalité adéquate des services Google Workspace ou Google Cloud à tout moment. Si vous nous donnez pour instruction de supprimer définitivement des données (par exemple, lorsque vous supprimez un e-mail qui ne peut pas être récupéré dans la corbeille), nous supprimons les données du client de tous nos systèmes dans un délai de 180 jours maximum, à moins que nous ne soyons tenus de les conserver.
AIDE POUR LE RESPONSABLE DU TRAITEMENT
Droits des personnes concernées
Les responsables du traitement peuvent utiliser les consoles d'administration et les fonctionnalités des services Google Workspace et Google Cloud pour accéder aux données qu'eux-mêmes ou leurs utilisateurs importent dans nos systèmes, pour les rectifier, pour limiter leur traitement ou encore pour les supprimer. Ces fonctionnalités leur permettent de remplir leurs obligations de répondre aux demandes des personnes concernées cherchant à exercer leurs droits en vertu du RGPD.
Équipe chargée de la protection des données
Google a désigné un DPD pour Google LLC et ses filiales, qui est chargé de couvrir le traitement des données relevant du RGPD, y compris dans le cadre de nos produits et services Cloud. Le délégué à la protection des données de Google est Kristie Chon Flynn. Il est basé à Sunnyvale aux États-Unis.
Si nécessaire, des équipes chargées de répondre aux demandes des clients sur la protection des données sont assignées aux produits Google Cloud. La manière de les contacter est décrite dans le contrat correspondant. Pour Google Workspace, les administrateurs des clients peuvent joindre l'équipe Cloud chargée de la protection des données via la page https://support.google.com/a/contact/googlecloud_dpr (en étant connectés avec leur compte d'administrateur) et/ou directement en notifiant Google au préalable comme décrit dans le contrat applicable. Pour Google Cloud, l'équipe peut être contactée via la page https://support.google.com/cloud/contact/dpo.
Notifications d'incident
Dans le cadre de nos services Google Workspace et Google Cloud, nous proposons depuis de nombreuses années des engagements contractuels concernant la notification d'incident. Nous continuerons à vous informer rapidement des incidents impliquant les données de vos clients, comme stipulé dans les conditions sur les incidents liés aux données figurant dans nos contrats en vigueur.
TRANSFERTS DE DONNÉES INTERNATIONAUX
Le RGPD propose plusieurs mécanismes facilitant les transferts de données à caractère personnel en dehors de l'UE. Ces mécanismes ont pour but d'apporter un niveau de protection adapté ou d'assurer la mise en œuvre de mesures de protection appropriées lorsque des données à caractère personnel sont transférées dans un autre pays.
Le niveau de protection adapté peut être confirmé par des décisions d'adéquation, telles que celles appuyant l'Act on the Protection of Personal Information (APPI, acte sur la protection des données personnelles) au Japon et la loi sur la protection des données à caractère personnel en Suisse.
Lorsque des données à caractère personnel sont transférées en dehors de l'UE vers des pays tiers non couverts par des décisions d'adéquation, nous nous engageons, conformément à nos accords sur le traitement des données, à maintenir un mécanisme facilitant les transferts de ces données comme le requiert le RGPD. En 2017, les autorités européennes chargées de la protection des données nous ont confirmé que nos clauses contractuelles types étaient conformes. Cela signifie que nos engagements contractuels pour Google Workspace et Google Cloud sont entièrement conformes et permettent d'encadrer légalement les transferts de données à caractère personnel de l'UE vers les pays tiers qui n'offrent pas une protection appropriée.
NORMES ET CERTIFICATIONS
Nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour satisfaire à cette obligation, Google Workspace et Google Cloud se soumettent régulièrement à différents audits conduits par des tiers indépendants.
ISO/IEC 27001 (Gestion de la sécurité de l'information)
ISO/IEC 27001 est l'une des normes de sécurité indépendantes les plus reconnues et adoptées au niveau international. Google a obtenu cette certification pour les systèmes, les applications, les personnes, la technologie, les processus et les centres de données qui constituent son infrastructure commune partagée, ainsi que pour les produits Google Workspace et Google Cloud. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
ISO/IEC 27017 (Sécurité dans le cloud)
ISO/IEC 27017 est une norme internationale qui définit les bonnes pratiques concernant le contrôle de la sécurité de l'information. Elle est basée sur la norme ISO/IEC 27002 et est spécifiquement adaptée aux services cloud. Nos services Google Workspace et Google Cloud ont été certifiés conformes à cette norme. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
ISO/IEC 27018 (Protection des informations personnelles dans le cloud)
ISO/IEC 27018 est une norme internationale qui définit les bonnes pratiques concernant la protection des informations personnelles dans les services cloud publics. Nos services Google Workspace et Google Cloud ont été certifiés conformes à cette norme. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
ISO/IEC 27701 (Gestion des informations personnelles)
ISO/IEC 27701 est une norme internationale de protection de la vie privée consacrée à la collecte et au traitement des informations personnelles. Elle étend les exigences des normes ISO/IEC 27001 et ISO/IEC 27002 à la confidentialité des données. En sa qualité de responsable du traitement des informations personnelles, Google a obtenu la certification ISO/IEC 27701 pour Google Workspace et Google Cloud. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
SSAE16/ISAE 3402 (SOC 2/3)
Les audits SOC (Service Organization Controls) 2 et 3 de l'AICPA (American Institute of Certified Public Accountants) définissent des principes et critères de confiance concernant la sécurité, la disponibilité, l'intégrité du traitement et la confidentialité des données. Google est conforme à la fois aux normes SOC 2 et SOC 3 pour Google Workspace et Google Cloud. Vous pouvez accéder à ces certificats via le gestionnaire des rapports de conformité.
Évaluer Google Cloud sur la base de l'article 28
L'article 28 du RGPD décrit les exigences relatives au prestataire, qui se charge du traitement des données au nom du responsable du traitement. Découvrez comment nos conditions reflètent ces exigences.
Utilisation de sous-traitants indirects
Google Cloud – Conditions relatives à la sécurité et au traitement des données (DPST)
Définitions | Section 2.1
Sécurité des données | Section 7.1.2
Sécurité des données | Section 7.3.1 (b)
Transferts de données | Section 10.1
Sous-traitants indirects | Section 11
Tiers bénéficiaires | Section 14
Google Cloud – Clauses contractuelles types (CCT) pour l'Union européenne
CCT (responsable du traitement vers sous-traitant dans l'UE) | Annexe II, Annexe III
CCT (sous-traitant vers responsable du traitement dans l'UE) | N/A
CCT (sous-traitant vers sous-traitant dans l'UE) | Annexe II, Annexe III
CCT (responsable du traitement vers responsable du traitement l'UE, exportateur Google) | Annexe II, Annexe III
CCT (responsable du traitement vers sous-traitant au Royaume-Uni) | Clause 1, Clause 3.3, Clause 4 (g) et (i), Clause 5 (i) et (j), Clause 6, Clause 8, Clause 11, Clause 12, Annexe 1, Annexe 2.5
Contenu associé : Sous-traitants indirects Google Cloud
GOOGLE WORKSPACE – Conditions relatives au traitement des données
Définitions | Section 2.1
Sécurité des données | Section 7.1.2
Sécurité des données | Section 7.3.1 (b)
Transferts de données | Section 10.1
Sous-traitants indirects | Section 11
Tiers bénéficiaires | Section 14
Mesures de sécurité | Annexe 2.1–2.5
GOOGLE WORKSPACE – Clauses contractuelles types (CCT) pour l'Union européenne
CCT (responsable du traitement vers sous-traitant dans l'UE) | Annexe II, Annexe III
CCT (sous-traitant vers responsable du traitement dans l'UE) | N/A
CCT (sous-traitant vers sous-traitant dans l'UE) | Annexe II, Annexe III
CCT (responsable du traitement vers responsable du traitement l'UE, exportateur Google) | Annexe II, Annexe III
CCT (responsable du traitement vers sous-traitant au Royaume-Uni) | Clause 1, Clause 3.3, Clause 4 (g) et (i), Clause 5 (i) et (j), Clause 6, Clause 8, Clause 11, Clause 12, Annexe 1, Annexe 2.5
Contenu associé : Contrat associé aux sous-traitants indirects Google Workspace
Contrat général écrit
Google Cloud – Conditions relatives à la sécurité et au traitement des données (DPST)
Intégralité des conditions relatives à la sécurité et au traitement des données
GOOGLE WORKSPACE – Conditions relatives au traitement des données
Intégralité des conditions relatives au traitement des données
Traitement selon des instructions documentées
Google Cloud – Conditions relatives à la sécurité et au traitement des données (DPST)
Traitement des données | Section 5.2
Google Cloud – Clauses contractuelles types (CCT) pour l'Union européenne
GOOGLE WORKSPACE – Conditions relatives au traitement des données
Section 5.2 | Traitement des données
GOOGLE WORKSPACE – Clauses contractuelles types (CCT) pour l'Union européenne
Clause 5 (a) et (b) | Obligations de l'importateur de données
Traitement selon des obligations de confidentialité
Google Cloud – Conditions d'utilisation de Google Cloud
Informations confidentielles | Section 7
Google Cloud – Conditions relatives à la sécurité et au traitement des données (DPST)
Sécurité des données | Section 7.1.2
Sécurité des données | Section 7.5.3
Sécurité du personnel | Annexe 2.4
Google Cloud – Clauses contractuelles types (CCT) pour l'Union européenne
Obligations de l'importateur de données | Clause 5
GOOGLE WORKSPACE – Contrat Google Workspace
Informations confidentielles | Section 6
GOOGLE WORKSPACE – Conditions relatives au traitement des données
Sécurité des données | Section 7.1.2
Sécurité des données | Section 7.5.3
Sécurité du personnel | Annexe 2.4
GOOGLE WORKSPACE – Clauses contractuelles types (CCT) pour l'Union européenne
Mesures de sécurité
Google Cloud – Conditions relatives à la sécurité et au traitement des données (DPST)
Sécurité des données | Section 7
Mesures de sécurité | Annexe 2
Google Cloud – Clauses contractuelles types (CCT) pour l'Union européenne
GOOGLE WORKSPACE – Conditions relatives au traitement des données
Sécurité des données | Section 7
Mesures de sécurité | Annexe 2
GOOGLE WORKSPACE – Clauses contractuelles types (CCT) pour l'Union européenne
Contenu associé Livre blanc sur la sécurité et la conformité Google Cloud
Aide pour le responsable du traitement
Renvoi et suppression de données
Google Cloud – Conditions relatives à la sécurité et au traitement des données (DPST)
Suppression de données | Section 6
Droits de la personne concernée ; Exportation des données | Section 9.1
Google Cloud – Clauses contractuelles types (CCT) pour l'Union européenne
GOOGLE WORKSPACE – Conditions relatives au traitement des données
Suppression de données | Section 6
Droits de la personne concernée ; Exportation des données | Section 9.1
GOOGLE WORKSPACE – Clauses contractuelles types (CCT) pour l'Union européenne
Démontrer la conformité
Google Cloud – Conditions relatives à la sécurité et au traitement des données (DPST)
Sécurité des données | Section 7.4
Contenu associé : Conformité Google Cloud
GOOGLE WORKSPACE – Conditions relatives au traitement des données
Sécurité des données | Section 7.4
Contenu associé : Conformité Google Cloud
Livres blancs pertinents
Consultez nos livres blancs destinés aux clients Google Cloud soumis au RGPD.
Questions fréquentes
Réponses aux questions fréquentes sur Google Cloud et le RGPD
Le RGPD impose-t-il de stocker les données à caractère personnel dans l'UE ?
Non. À l'instar de la Directive 95/46/CE sur la protection des données, le RGPD définit des conditions concernant le transfert des données à caractère personnel en dehors de l'Union européenne. Pour les respecter, il est possible de mettre en place des mécanismes tels que des clauses contractuelles types.
Comment avez-vous mis à jour vos conditions de sorte qu'elles reflètent le RGPD ?
Depuis de nombreuses années, Google Cloud propose des conditions relatives au traitement des données qui définissent clairement notre engagement en termes de confidentialité et de sécurité envers nos clients. Nous avons adapté ces conditions de sorte qu'elles reflètent le RGPD. Nos conditions mises à jour pour le RGPD reflètent notamment les dispositions de l'article 28, qui régissent l'utilisation d'un sous-traitant des données par un responsable du traitement.
Le RGPD accorde-t-il aux clients le droit d'effectuer un audit de Google Cloud ?
Conformément au RGPD, des droits d'audit doivent être accordés aux responsables du traitement dans les contrats les liant aux sous-traitants des données. Nos nouveaux accords sur le traitement des données incluent ces droits, au plus grand bénéfice de nos clients soumis au RGPD.
Quel rôle jouent les normes indépendantes ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, ainsi que les rapports SOC 2/3, dans le cadre de la conformité avec le RGPD ?
Les clients peuvent utiliser nos certifications ISO indépendantes et nos rapports d'audit SOC 2/3 pour évaluer les risques, et vérifier que les mesures techniques et organisationnelles nécessaires sont prises. Notre certification ISO/IEC 27701 apporte plus de clarté concernant les rôles et responsabilités liés à la protection de la vie privée, ce qui permet de se conformer plus facilement aux réglementations sur la confidentialité comme le RGPD.
Comment Google Cloud gère-t-il les transferts de données internationaux dans le cloud ?
Le RGPD propose plusieurs mécanismes facilitant les transferts de données à caractère personnel en dehors de l'UE. Ces mécanismes ont pour but d'apporter un niveau de protection adapté ou d'assurer la mise en œuvre de mesures de protection appropriées lorsque des données à caractère personnel sont transférées dans un autre pays.
Le niveau de protection adapté peut être confirmé par des décisions d'adéquation, telles que celles appuyant l'Act on the Protection of Personal Information (APPI, acte sur la protection des données personnelles) au Japon et la loi sur la protection des données à caractère personnel en Suisse.
Lorsque des données à caractère personnel sont transférées en dehors de l'UE vers des pays tiers non couverts par des décisions d'adéquation, nous nous engageons, conformément à nos accords sur le traitement des données, à maintenir un mécanisme facilitant les transferts de ces données comme le requiert le RGPD. En 2017, les autorités européennes chargées de la protection des données nous ont confirmé que nos clauses contractuelles types étaient conformes. Cela signifie que nos engagements contractuels pour Google Workspace et Google Cloud sont entièrement conformes et permettent d'encadrer légalement les transferts de données à caractère personnel de l'UE vers les pays tiers qui n'offrent pas une protection appropriée.
Maintenant que le Privacy Shield (Bouclier de protection des données) a été invalidé, puis-je toujours utiliser Google Cloud et traiter des données à caractère personnel européennes de manière conforme aux exigences du RGPD ?
Même si Google continuera à examiner l'impact de l'arrêt pris par la Cour de justice de l'Union européenne (CJUE) dans l'affaire C-311/18, un point ne change pas : Google prendra les mesures nécessaires pour garantir aux citoyens de l'UE un haut niveau de protection de leur vie privée.
Google Cloud propose à ses clients des clauses contractuelles types, qui seront réputées s'appliquer automatiquement en l'absence de proposition par Google d'une solution de transfert alternative. Quel que soit l'emplacement des données, leur protection reste une priorité pour Google. Pour en savoir plus, consultez le livre blanc sur les mesures de protection mises en place pour les transferts de données internationaux avec Google Cloud.
Nous avons reçu des certifications prouvant notre conformité avec des normes internationales reconnues telles que l'ISO/IEC 27001, l'ISO/IEC 27018 et l'ISO/IEC 27017. Vous trouverez la liste complète des offres de conformité de Google dans le Centre de ressources pour la conformité.
Quelles autres informations et ressources sur le RGPD Google peut-il fournir ?
Consultez le Centre de ressources pour la confidentialité de Google Cloud et le site Web Entreprises et données de Google.
Où puis-je trouver d'autres ressources sur la confidentialité en Europe ?
Consultez nos offres de conformité européenne et le Centre de ressources pour la confidentialité dans le cloud.
Le contenu du présent document est correct et représente l'état des connaissances à sa date de rédaction, soit août 2021. Les règles et les systèmes de sécurité de Google Cloud peuvent évoluer par la suite, car nous améliorons continuellement la protection de nos clients. Lorsque nous faisons référence à Google Workspace, nous incluons également Google Workspace for Education. Nous proposerons également Google Workspace à nos clients des milieux éducatifs et associatifs dans les mois à venir.
Passez à l'étape suivante
Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.
Passez à l'étape suivante
Démarrez votre prochain projet, consultez des tutoriels interactifs et gérez votre compte.
-
Vous avez besoin d'aide pour démarrer ?Contacter le service commercial
-
Faites appel à un partenaire de confianceTrouver un partenaire
-
Poursuivez vos recherchesVoir tous les produits
-
Vous avez besoin d'aide pour démarrer ?Contacter le service commercial
-
Faites appel à un partenaire de confianceTrouver un partenaire
-
Consultez des conseils et bonnes pratiquesConsulter les tutoriels