Google et le RGPD

Règlement général sur la protection des données (RGPD)

Le 25 mai 2018 verra l'entrée en vigueur du plus important texte législatif européen sur la protection des données des 20 dernières années. Le EU General Data Protection Regulation (RGPD) remplace la 1995 EU Data Protection Directive. Le RGPD renforce les droits des individus en ce qui concerne leurs données personnelles et vise à consolider les lois sur la protection des données à l'échelle de l'Europe, indépendamment du lieu de traitement.

Vous avez l'assurance que Google s'est engagée à se conformer aux exigences du RGPD pour tous les services G Suite1et Google Cloud Platform. Nous œuvrons également à soutenir nos clients dans leurs efforts de conformité au RGPD en leur fournissant les protections robustes en matière de sécurité et de confidentialité que nous avons intégrées à nos services et à nos contrats au fil des années.

CE QUE NOUS FAISONS

Engagements de G Suite et Google Cloud Platform envers le RGPD

Les responsables du traitement sont entre autres tenus de faire uniquement appel à des sous-traitants qui peuvent attester de leur capacité à mettre en œuvre des mesures techniques et organisationnelles permettant de satisfaire aux exigences du RGPD. Voici quelques points à prendre en compte lors de votre évaluation des services G Suite et Google Cloud Platform.

• SAVOIR, CRÉDIBILITÉ ET RESSOURCES D'EXPERTS

• ENGAGEMENTS ENVERS LA PROTECTION DES DONNÉES

• UTILISATION DE SOUS-PROCESSEURS

• SÉCURITÉ DES SERVICES

• RESTITUTION ET SUPPRESSION DES DONNÉES

• SOUTIEN AU RESPONSABLE DU TRAITEMENT

• TRANSFERTS DE DONNÉES INTERNATIONAUX

• NORMES ET CERTIFICATIONS

SAVOIR, CRÉDIBILITÉ ET RESSOURCES D'EXPERTS

Expertise en matière de protection des données

Google emploie des professionnels de la sécurité et de la confidentialité parmi lesquels figurent les plus grands experts au monde en matière de sécurité des informations, des applications et des réseaux. Cette équipe est chargée de la maintenance des systèmes de défense de l'entreprise, de l’élaboration de processus d'examen de la sécurité, de la création de l'infrastructure de sécurité et de la mise en œuvre des politiques de Google en matière de sécurité.

Google emploie également une équipe composée d'avocats, d'experts en conformité réglementaire et de spécialistes des politiques publiques qui s'occupe des questions de conformité aux exigences de sécurité et de confidentialité pour Google.

Ces équipes travaillent avec les clients, les acteurs de l’industrie et les organismes de supervision pour façonner nos services G Suite et Google Cloud Platform afin qu'ils répondent aux besoins des clients en matière de conformité.

ENGAGEMENTS ENVERS LA PROTECTION DES DONNÉES

Contrats de traitement des données

Les modalités régissant le traitement des données pour G Suite et Google Cloud Platform formulent à nos clients nos engagements envers la confidentialité de manière explicite. Ces modalités ont évolué au fil des années pour intégrer les commentaires et recommandations de nos clients et des autorités de régulation, et seront modifiées pour répondre aux nouvelles exigences introduites par le RGPD.

Traitement conforme aux instructions

Conformément à nos contrats de traitement des données, le traitement de toute donnée transmise à nos systèmes par un client ou ses utilisateurs respectera strictement les instructions du client.

Engagements du personnel envers la confidentialité

Tous les employés de Google sont tenus de signer un accord de confidentialité et de suivre des formations sur la confidentialité et la protection de la vie privée en plus de la formation à notre Code de conduite. Le code de conduite de Google aborde expressément les responsabilités et les comportements attendus en ce qui concerne la protection de l'information.

UTILISATION DE SOUS-PROCESSEURS

La majorité des opérations de traitement des données nécessaires à la prestation des services G Suite et Google Cloud Platform est assurée par des entreprises du groupe Google. Nous faisons toutefois appel à des fournisseurs tiers pour nous aider à fournir ces services. Chaque fournisseur est soumis à un processus de sélection rigoureux qui vise à déterminer s'il possède l'expertise technique requise et la capacité de fournir le niveau de sécurité et de confidentialité exigé.

Les informations sur les entreprises du groupe Google qui soutiennent les services G Suite et Google Cloud Platform, ainsi que sur les sous-traitants tiers impliqués dans la prestation de ces services, sont librement accessibles.

SÉCURITÉ DES SERVICES

Le RGPD exige que le responsable et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles qui permettent d'assurer un niveau de sécurité proportionnel au risque encouru.

Google exploite une infrastructure globale conçue pour fournir une sécurité optimale tout au long du cycle de traitement de l'information. Cette infrastructure vise à assurer la sécurité du déploiement des services, du stockage des données (grâce à des mesures de sécurité à l'intention des utilisateurs finaux), des communications entre les services, des communications avec les clients sur Internet et de la gestion des services par les administrateurs. G Suite et Google Cloud Platform s'appuient sur cette infrastructure.

La sécurité de notre infrastructure est composée de couches qui reposent les unes sur les autres, de la sécurité physique des centres de données aux protections intégrées au matériel et aux logiciels, en passant par les processus servant à assurer la sécurité des opérations. Cette protection à plusieurs niveaux constitue une base solide et sécurisée sur laquelle s'appuient toutes nos activités. Vous trouverez une présentation détaillée de notre sécurité d'infrastructure dans le document Google Infrastructure Security Design Overview.

Disponibilité, intégrité et résilience

Test

Cryptage

Contrôles d'accès

Gestion des vulnérabilités

Sécurité des produits : G Suite

Les clients de G Suite peuvent exploiter les fonctionnalités et configurations des produits pour protéger davantage les données personnelles contre tout traitement illégal ou non autorisé :

• La validation en deux étapes diminue grandement le risque d'accès non autorisé en exigeant une preuve d'identité supplémentaire lors de l'ouverture de session.

• L'utilisation d'une clé de sécurité fournit un niveau de sécurité supplémentaire pour les comptes d'utilisateur grâce à l'introduction d'une clé matérielle.

• La surveillance des connexions suspectes facilite la détection des connexions suspectes à l'aide de capacités d'apprentissage automatique performantes.

• La sécurité renforcée pour les courriels exige que les courriels soient signés et cryptés selon la norme S/MIME (Secure/Multipurpose Internet Mail Extensions).

• La prévention de la perte de données protège les informations confidentielles contenues dans Gmail et Google Disque contre toute divulgation non autorisée. Consultez le document Google Data Loss Prevention for Work pour en savoir plus.

• La fonctionnalité de gestion des droits relatifs à l'information dans Google Disque vous permet de désactiver le téléchargement, l'impression et la copie de fichiers à partir du menu de partage avancé et de définir des dates d'expiration pour l'accès aux fichiers.

• La gestion des appareils mobiles offre une surveillance continue du système et émet des alertes en cas d'activité suspecte sur les appareils.

Rendez-vous sur https://gsuite.google.com/security pour en savoir plus.

Sécurité des produits : GCP

Les clients de GCP peuvent exploiter les fonctionnalités et configurations des produits pour protéger davantage les données personnelles contre tout traitement illégal ou non autorisé :

• La validation en deux étapes diminue grandement le risque d'accès non autorisé en exigeant une preuve d'identité supplémentaire lors de l'ouverture de session. L'utilisation d'une clé de sécurité fournit un niveau de sécurité supplémentaire pour les comptes d'utilisateur grâce à l'introduction d'une clé matérielle.

• La fonctionnalité Identity and Access Management de Google Cloud (Cloud IAM) vous permet de créer et de gérer en détail les accès et les autorisations de modification pour les ressources Google Cloud Platform.

• L'API de prévention de la perte de données aide à identifier et à surveiller le traitement de catégories particulières de données personnelles en vue de la mise en œuvre de contrôles adéquats.

• Stackdriver Logging et Stackdriver Monitoring intègrent des systèmes de connexion, de surveillance, d'alertes et de détection des anomalies à Google Cloud Platform.

• Cloud Identity-Aware Proxy (Cloud IAP) contrôle l'accès aux applications en nuage qui s'exécutent sur Google Cloud Platform.

• Cloud Security Scanner recherche et détecte les failles communes dans les applications Google App Engine.

Rendez-vous sur https://cloud.google.com/security/ pour en savoir plus.

RESTITUTION ET SUPPRESSION DES DONNÉES

Durant la période de validité du contrat, les administrateurs peuvent toujours exporter les données clients par l'entremise des services G Suite ou Google Cloud Platform. Nos modalités régissant le traitement des données incluent depuis plusieurs années des engagements relatifs à l'exportation de données, et nous cherchons constamment à renforcer les capacités des services G Suite et de chacun des services Google Cloud Platform en matière d'exportation des données (consultez la documentation relative à Google Cloud Platform pour en savoir plus).

Vous pouvez également supprimer des données clients à tout moment par l'entremise des services G Suite ou Google Cloud Platform. À la réception de votre instruction de suppression intégrale (par exemple lorsqu'un courriel que vous avez supprimé ne peut plus être récupéré à partir de la corbeille), Google supprimera les données clients associées de tous ses systèmes dans un délai maximal de 180 jours, excepté si elles font l'objet d'une obligation de conservation.

SOUTIEN AU RESPONSABLE DU TRAITEMENT

Droits des personnes concernées

Les consoles et services d'administration de G Suite et de Google Cloud Platform permettent aux responsables du traitement de consulter, de rectifier ou de supprimer toute donnée qu'ils ou leurs utilisateurs ont envoyé à nos systèmes, ou encore d'en restreindre le traitement. Cette fonctionnalité les aide à remplir leurs obligations envers les personnes concernées qui demandent à exercer leurs droits dans le cadre du RGPD.

Canal dédié à la protection des données

Nos clients de G Suite et de Google Cloud Platform ont accès à un canal dédié pour toute demande relative à la protection des données.

Alertes d'incident

Les contrats de G Suite et Google Cloud Platform contiennent depuis de nombreuses années des dispositions concernant les alertes d'incident. Nous continuerons à vous alerter rapidement pour tout incident affectant vos données clients conformément aux modalités relatives aux incidents impliquant des données prévues à nos contrats.

TRANSFERTS DE DONNÉES INTERNATIONAUX

Le RGPD fournit différents mécanismes qui facilitent le transfert de données personnelles en dehors de l'UE. Ces mécanismes visent à garantir un niveau de protection adéquat ou à assurer l'adoption de mesures de sécurité appropriées lors du transfert de données personnelles vers un pays non membre.

Les mesures de sécurité appropriées peuvent être assurées par des clauses types de contrat. L'adéquation du niveau de protection peut être validée au regard de décisions en la matière comme celles qui sous-tendent l'entente Privacy Shield entre l'UE et les États-Unis.

Nous nous engageons par contrat à assurer un mécanisme facilitant le transfert de données personnelles en dehors de l'UE comme l'exige la Directive sur la protection des données, et souscrirons à un engagement équivalent dans le cadre du RGPD.

La certification de Google relative aux ententes Privacy Shield entre l'UE et les États-Unis et la Suisse et les États-Unis inclut G Suite et Google Cloud Platform. Nos clauses types de contrat ont également été déclarées conformes par les autorités européennes chargées de la protection des données, ce qui confirme que nos engagements contractuels en vigueur pour G Suite et Google Cloud Platform satisfont entièrement aux exigences de la Directive sur la protection des données personnelles en ce qui concerne l'encadrement légal des transferts de données personnelles de l'UE vers des pays non membres.

NORMES ET CERTIFICATIONS

Nos clients et les autorités de réglementation s'attendent à ce que nos contrôles de sécurité, de confidentialité et de conformité soient soumis à des vérifications indépendantes. Afin de répondre à cette exigence, G Suite et Google Cloud Platform subissent régulièrement plusieurs vérifications menées par des tiers indépendants.

• ISO 27001 (gestion de la sécurité de l'information)

• La norme ISO 27001 est l'une des normes de sécurité indépendantes les plus reconnues et répandues dans le monde. Google a obtenu la certification ISO 27001 pour les systèmes, les applications, les personnes, les technologies, les processus et les centres de données qui composent notre infrastructure commune partagée ainsi que pour les produits G Suite et Google Cloud Platform.

• ISO 27017 (sécurité des services en nuage)

• La norme ISO 27017 est un code de pratiques international régissant les contrôles de sécurité de l'information, spécifique aux services en nuage et basé sur la norme ISO/IEC 27002. Google a obtenu la certification ISO 27017 pour G Suite et Google Cloud Platform.

• ISO 27018 (confidentialité des services en nuage)

• La norme ISO 27018 est un code de pratiques international régissant la protection des données à caractère personnel dans les services en nuage accessibles publiquement. Google a obtenu la certification ISO 27018 pour G Suite et Google Cloud Platform.

• SSAE16/ISAE 3402 (SOC 2/3)

• Les cadres de vérification SOC 2 (pour « Service Organization Controls ») et SOC 3 de l'American Institute of Certified Public Accountants (AICPA) définissent les principes de confiance et les critères de sécurité, de disponibilité, d'intégrité du traitement et de confidentialité. Google a fait l'objet de rapports SOC 2 et SOC 3 pour Google Cloud Platform et G Suite.

Google nous écrit

Je suppose que suite au RGPD, Google a le devoir de laisser les données sur le sol européen ...

_______________

Cher administrateur,

Par le présent e-mail, nous vous informons de modifications apportées aux Conditions d'utilisation et Règles de confidentialité applicables aux utilisateurs finaux résidant dans l'Espace économique européen ou en Suisse. Les utilisateurs de votre domaine tennistabletls.com pourraient être affectés par ces changements, ou les remarquer, lorsqu'ils accèdent à certains services complémentaires Google. Ces changements n'auront aucune incidence sur les conditions des contrats conclus entre Google et votre organisation. Si vous avez désactivé les services complémentaires pour vos utilisateurs, ces changements ne les concernent pas.

Changements

À compter du 22 janvier 2019, pour les utilisateurs de votre domaine résidant dans l'Espace économique européen (pays de l'Union européenne, Islande, Liechtenstein et Norvège) ou en Suisse, les services régis par les Conditions d'utilisation applicables aux utilisateurs finaux seront fournis par Google Ireland Limited, et non plus par Google LLC. Les nouvelles conditions régissant la majorité des services complémentaires sont disponibles sur cette page. Les conditions d'utilisation de Play, de YouTube et du service payant YouTube ont subi des modifications similaires.

Parallèlement, nous mettons à jour les Règles de confidentialité de Google relatives aux services complémentaires. Ces nouvelles règles désignent Google Ireland Limitedcomme responsable du traitement des informations desdits utilisateurs et du respect de la législation applicable en matière de confidentialité (sauf mention contraire dans un avis de confidentialité relatif à un service donné). Nos nouvelles règles sont disponibles sur cette page.

Que dois-je faire ?

Aucune action n'est requise de votre part. Ces modifications n'affectent en rien l'expérience de vos utilisateurs sur les services complémentaires. Rien ne change non plus dans leurs paramètres de confidentialité, la manière dont leurs données sont traitées ni les finalités de ce traitement, telles que stipulées dans les règles de confidentialité de Google.

Comme vous le savez, vous pouvez activer ou désactiver les services complémentaires pour les utilisateurs de votre domaine.

Nous sommes là pour vous aider

Pour toute autre question ou si vous avez besoin d'aide, veuillez contacter l'Assistance G Suite ou l'Assistance Chrome Enterprise.

Cordialement,

L'équipe Google Cloud