Google Apps

Pour faire court, Google n'est pas propriétaire de vos données. Nous ne cherchons pas à savoir si les données appartiennent à l'établissement inscrit à Google Apps ou à l'utilisateur individuel : c'est à vous de voir. Une chose est sûre : elles ne nous appartiennent pas !

Les données que vous transférez sur nos systèmes vous appartiennent, et nous pensons qu'il doit en demeurer ainsi. Cela signifie trois choses :

1. Nous ne communiquons vos données à aucun tiers, sauf dans les cas stipulés dans nos Règles de confidentialité.
2. Nous conservons vos données aussi longtemps que vous le désirez.
3. Et enfin, vous pouvez emporter vos données avec vous si vous choisissez d'utiliser des services externes conjointement à Google Apps ou, tout simplement, si vous ne souhaitez plus utiliser nos services.

Google ne peut accéder aux données de votre compte que dans les conditions spécifiques définies dans nos Règles de confidentialité et votre contrat client. Dans le cadre de l'assistance technique, un administrateur de votre domaine peut accorder à l'équipe Google l'autorisation d'accéder à des comptes en vue de résoudre un problème précis.

Seuls le propriétaire et les gestionnaires du nom de domaine peuvent créer un compte administrateur Google Apps. Au cours de l'inscription, nous demandons à un administrateur Google Apps de modifier les enregistrements DNS de son domaine, afin de vérifier que celui-ci est bien sous son contrôle. Google n'autorise pas l'ouverture d'un compte administrateur sans avoir effectué cette vérification. De plus, il est impossible de gérer activement les services Google tant que la propriété du domaine n'a pas été validée.

Une fois qu'un administrateur a validé la propriété du domaine, les administrateurs désignés peuvent, à leur seule discrétion, attribuer des droits d'administrateur à d'autres noms d'utilisateurs au sein du compte.

Les utilisateurs du domaine qui ne sont pas administrateurs peuvent, quant à eux, contacter l'équipe d'assistance Google Apps pour demander un accès en tant qu'administrateur. Dans ce cas, nous appliquons la procédure habituelle de validation du domaine, afin de nous assurer que le demandeur dispose effectivement de droits de gestion sur ce domaine.

Notez enfin qu'une personne ayant accès à l'adresse e-mail secondaire que vous avez enregistrée peut réinitialiser le mot de passe et accéder au compte administrateur principal.

Conformément au contrat client de votre domaine, les administrateurs Google Apps du domaine peuvent accéder à l'ensemble des comptes utilisateur final et aux données associées, comme l'indiquent nos Règles de confidentialité.

En tant qu'administrateur, vous contrôlez tous les noms d'utilisateurs et mots de passe de votre domaine. Vous pouvez accéder aux comptes de vos utilisateurs en vertu du contrat client. Nous vous demandons toutefois de mettre à la disposition de vos utilisateurs finaux un document expliquant votre politique en la matière.

Google ne peut divulguer des informations à des tiers que dans les conditions spécifiques définies dans nos Règles de confidentialité et votre contrat client. Google ne communique ni ne divulgue à aucun tiers les données privées des utilisateurs, telles que leur adresse e-mail ou des informations personnelles, sauf si la loi l'exige (voir le rapport Google Transparence des informations), sur demande d'un utilisateur ou d'un administrateur système, ou dans le but de protéger nos systèmes. Ces exceptions incluent l'accès par le personnel d'assistance Google aux e-mails des utilisateurs à la demande de ces derniers en vue de diagnostiquer des problèmes, les cas où Google doit répondre à une obligation juridique, et les cas où Google estime à juste titre que la divulgation d'informations personnelles est nécessaire à la préservation des droits, des biens et de la sécurité de Google, de ses utilisateurs ou du public.

Pour plus d'informations, veuillez vous reporter à la section relative au partage d'informations de nos règles de confidentialité.

Nos systèmes automatisés analysent et indexent en partie les données des utilisateurs pour mettre en œuvre certaines fonctionnalités essentielles des produits Google Apps. Par exemple :

• Les e-mails sont analysés de manière à filtrer le spam et détecter les virus.
• La boîte de réception Prioritaire, une fonctionnalité de Gmail, analyse les messages afin de déterminer leur degré d'importance.
• Si vous utilisez l'édition gratuite de Google Apps, l'analyse des e-mails nous permet d'afficher des publicités contextuelles pertinentes dans certaines circonstances (notez que les traitements et analyses liés à la publicité ne sont pas effectués dans Google Apps for Education ou Business lorsque l'affichage des annonces y est désactivé).
• Certaines données utilisateur, telles que les documents et les e-mails, sont analysées et indexées afin que vos utilisateurs puissent effectuer des recherches d'ordre privé dans leur compte Google Apps.

En d'autres termes, nous analysons et indexons le contenu Google Apps des utilisateurs pour leur fournir des fonctionnalités dont ils bénéficient directement ou pour assurer la sécurité de nos systèmes. Les données Google Apps ne font pas partie de l'index général google.com, à l'exception de celles que vos utilisateurs choisissent de rendre publiques.

Il est important de noter que nos procédures d'analyse et d'indexation sont entièrement automatisées et n'impliquent aucune intervention humaine. Pour plus d'informations, consultez nos Règles de confidentialité, nos Principes applicables à la confidentialité et les conditions d'utilisation de Google Apps (Google Apps, Google Apps for Business, Google Apps for Education).

Nous pensons que vous devez rester maître de vos données. Google conserve plusieurs copies de sauvegarde du contenu des comptes utilisateur afin de pouvoir récupérer des données et restaurer des comptes en cas d'erreur ou de défaillance du système. Lorsque vous nous demandez de supprimer des messages et du contenu, nous nous efforçons d'effacer ces informations de nos systèmes dans un délai commercialement raisonnable. En savoir plus

Veuillez consulter le rapport Google Transparence des informations pour en savoir plus sur les requêtes légales concernant les données des utilisateurs.

Google supprime les logiciels malveillants, la pornographie, la pornographie juvénile et les contenus protégés par des droits d'auteur ou associés à une marque qui sont signalés par des tiers ou détectés par nos systèmes sur les serveurs Google.

En cas de suppression, Google prend contact avec l'administrateur principal du compte concerné.

Google adhère aux principes de sphère de sécurité (Safe Harbor) des États-Unis relatifs à l'information et au droit d'opposition des personnes, aux conditions de transfert, à la sécurité, à l'intégrité des données et au droit d'accès à celles-ci, et à la mise en application de ces principes. Nous sommes également inscrits au programme Safe Harbor du ministère du Commerce des États-Unis.

En règle générale, une organisation doit évaluer elle-même si son utilisation de Google Apps est conforme aux réglementations en vigueur.

Vous trouverez davantage d'informations à ce sujet dans notre centre de confidentialité à l'adresse suivante : http://www.google.com/privacy.html.

Un auditeur tiers externe a délivré un résultat d'audit SSAE 16 et ISAE 3402 Type II sans faute pour Google Apps. Google est fière que les administrateurs Google Apps puissent travailler l'esprit tranquille, en sachant que leurs données bénéficient d'une sécurité conforme aux normes SSAE 16 et ISAE 3402 dans son secteur d'activité.

L'auditeur a vérifié que Google Apps disposait bien des processus de contrôle et protocoles suivants :

• Sécurité logique : les contrôles garantissent de manière raisonnable que l'accès logique aux systèmes de production et aux données de Google Apps est réservé aux seules personnes autorisées.
• Confidentialité : les contrôles garantissent de manière raisonnable que Google a mis en place des règles et des procédures visant à assurer la confidentialité des données des clients dans Google Apps.
• Sécurité physique des centres de données : les contrôles garantissent de manière raisonnable que les centres de données hébergeant les données de Google Apps et les bureaux de l'entreprise sont protégés.
• Disponibilité et gestion des incidents : les contrôles permettent de garantir de manière raisonnable que les systèmes Google Apps sont redondants et que les incidents sont correctement signalés, traités et consignés.
• Gestion des changements : les contrôles garantissent de manière raisonnable que le développement de Google Apps et les modifications qui lui sont apportées donnent lieu à des tests et à un examen indépendant du code avant toute exploitation.
• Organisation et administration : les contrôles garantissent de manière raisonnable que la direction fournit l'infrastructure et les moyens nécessaires pour suivre et faire connaître les travaux entrepris au sein de la société et ayant un impact sur Google Apps.

Un auditeur tiers externe a délivré une certification SAS 70 Type II sans faute pour Google Apps. Google est fier que les administrateurs de Google Apps puissent travailler l'esprit tranquille, en sachant que leurs données bénéficient d'une sécurité conforme à la norme SAS 70.

L'auditeur a vérifié que Google Apps disposait bien des processus de contrôle et protocoles suivants :

• Sécurité logique : les contrôles permettent de garantir de manière raisonnable que l'accès logique aux systèmes de production et aux données de Google Apps est réservé aux seules personnes autorisées.
• Confidentialité : les contrôles permettent de garantir de manière raisonnable que Google a mis en place des règles et des procédures visant à assurer la confidentialité des données des clients dans Google Apps.
• Sécurité physique des centres de données : les contrôles permettent de garantir de manière raisonnable que les centres de données hébergeant les données de Google Apps et les bureaux de l'entreprise sont protégés.
• Disponibilité et gestion des incidents : les contrôles permettent de garantir de manière raisonnable que les systèmes Google Apps sont redondants et que les incidents sont correctement signalés, traités et consignés.
• Gestion des changements : les contrôles permettent de garantir de manière raisonnable que le développement de Google Apps et les modifications qui lui sont apportées donnent lieu à des tests et à un examen indépendant du code avant toute exploitation.
• Organisation et administration : les contrôles permettent de garantir de manière raisonnable que la direction fournit l'infrastructure et les moyens nécessaires pour suivre et faire connaître les initiatives entreprises au sein de la société qui ont une incidence sur Google Apps.

Vos données sont stockées dans le réseau de centres de données de Google. Google gère un certain nombre de centres de données répartis géographiquement (voir les sites d'implantation). Les clusters informatiques de Google sont conçus dans le sens de la résilience et de la redondance, afin de permettre de corriger tous les points individuels de défaillance et de réduire l'impact des incidents courants de matériel et les risques pour l'environnement.

L'accès à ces centres de données est strictement réservé aux seuls employés Google autorisés.

Oui. Vos données sont littéralement protégées comme si elles résidaient sur un serveur dédié. Les personnes non autorisées n'y ont pas accès. Vos concurrents ne peuvent pas consulter vos données, et vice-versa. En fait, tous les comptes utilisateur sont protégés par ce verrou virtuel qui permet de s'assurer qu'aucun utilisateur ne peut accéder aux données d'un autre. Cette approche est similaire à la segmentation des données client dans d'autres infrastructures partagées, telles que les applications de banque en ligne.

Google Apps a obtenu un résultat d'audit SSAE 16 et ISAE 3402 Type II satisfaisant. Cela signifie qu'un auditeur externe a passé au crible les processus de protection des données utilisés par Google Apps (notamment la sécurité logique, la confidentialité, la sécurité des centres de données, etc.) et a fourni une assurance raisonnable quant à leur existence et à l'efficacité de leur fonctionnement.

Lorsqu'un administrateur ou un utilisateur final supprime des données Google Apps, nous les supprimons conformément à votre contrat client et à nos Règles de confidentialité.

Il est impossible de récupérer les données d'un compte utilisateur supprimé par un administrateur. Pour connaître les bonnes pratiques de suppression de comptes utilisateur, consultez le Centre d'aide.

Si vous avez besoin de récupérer des e-mails, Google propose des solutions d'archivage supplémentaires pour compléter les éditions Business, Government et Education de Google Apps. Si vous recherchez une solution de récupération de données autres que des e-mails, consultez Google Apps Marketplace afin de trouver, parmi les solutions proposées par nos partenaires, celle qui convient à vos besoins.

En tant que fournisseur reconnu de services Web, Google met en œuvre des moyens considérables pour lutter contre les menaces en tous genres. Les centres de données Google utilisent un matériel spécifique qui exécute un système de fichiers et un système d'exploitation personnalisés. Chacun de ces systèmes a été optimisé pour la sécurité et les performances. L'équipe de Google chargée de la sécurité travaille avec des collaborateurs externes afin de tester et d'améliorer continuellement son infrastructure de sécurité et de s'assurer que celle-ci est imperméable aux attaques provenant de l'extérieur. En outre, comme Google contrôle toutes les piles de données sur lesquelles reposent nos systèmes, nous sommes en mesure de réagir rapidement en cas de menace ou de faiblesse portée à notre connaissance.

Google gère un certain nombre de centres de données répartis géographiquement. Les clusters informatiques de Google sont conçus dans le sens de la résilience et de la redondance, afin de permettre de corriger les points individuels de défaillance et de réduire l'impact des incidents courants de matériel et les risques pour l'environnement. L'accès à nos centres de données est restreint au personnel autorisé.

Les produits et services Google sont soumis à différents examens de sécurité. Si une faille potentielle est détectée dans une application ou un composant d'infrastructure, nous évaluons le risque et agissons en conséquence. Les applications étant hébergées dans nos propres centres de données, nous pouvons déployer les correctifs rapidement sur l'ensemble de nos systèmes, sans intervention de votre part.

Nous sommes fiers de collaborer avec un groupe de chercheurs au renforcement de la sécurité au sein de Google. Nous avons également lancé le programme Google Vulnerability Reward afin d'encourager les nouveaux chercheurs et certains types de rapport susceptibles de nous aider à mieux protéger les utilisateurs.

L'architecture de réseau et d'applications utilisée par Google est conçue pour une fiabilité et une disponibilité optimales. La plate-forme informatique de Google offre une réactivité accrue en cas de panne matérielle grâce à un système très performant de basculement des logiciels. Tous les systèmes Google sont intrinsèquement redondants de par leur conception. Chaque sous-système est également conçu pour ne pas dépendre d'un serveur logique ou physique unique pour son fonctionnement. Les données sont répliquées plusieurs fois sur les serveurs actifs organisés en cluster, si bien que si un incident se produit sur un serveur, les données sont toujours accessibles par l'intermédiaire d'un autre système. Nous répliquons également les données sur des centres de données secondaires afin d'assurer une protection contre les défaillances des centres de données.

Les services Google Apps offrent la possibilité d'accéder aux données par le biais de liaisons HTTPS chiffrées et les clients peuvent imposer cette option à leurs utilisateurs. L'utilisateur est ainsi assuré que lui seul a accès à ses propres données. Cela est valable pour l'accès à Gmail, à Google Agenda et au chat, et pour l'accès aux données Google Drive et Google Sites via nos applications Web. L'accès au client de messagerie mobile est également soumis à un système de chiffrement assurant la confidentialité des communications. À l'heure actuelle, les services Page d'accueil et Google Vidéos ne bénéficient pas d'un système de chiffrement. Nous exigeons le chiffrement en cas d'accès à vos données de messagerie électronique par des clients tiers.

Dans le cadre de la protection contre l'usurpation d'identité, les pages Web non autorisées autres que Google n'ont pas la permission d'enregistrer votre nom d'utilisateur et votre mot de passe Google. Si tel n'était pas le cas, tout site Web désireux d'exploiter votre mot de passe à des fins malhonnêtes pourrait alors revêtir plus facilement l'apparence d'un site connu. Cette forme de fraude est désignée par le terme phishing.

En cas de doute, vérifiez l'adresse Internet qui s'affiche dans la barre d'adresses de votre navigateur. Si elle ne correspond pas à un site Web Google, ne saisissez pas votre nom d'utilisateur ni votre mot de passe Google.

La seule exception à cette règle est la fonctionnalité d'authentification unique offerte dans Google Apps for Business. Les administrateurs peuvent intégrer les services Google dans des pages Web existantes afin d'améliorer le service proposé aux utilisateurs. En savoir plus

Google est équipée de l'un des meilleurs logiciels anti-spam sur le marché. Celui-ci est intégré à Google Apps. Les spams sont purgés tous les 30 jours. Nous avons également intégré une fonctionnalité antivirus et nous nous assurons que les documents font l'objet d'une vérification avant d'autoriser un utilisateur à télécharger un message. La plupart des virus informatiques étant contenus dans des fichiers exécutables, des détecteurs de virus standards analysent les messages pour repérer les fichiers exécutables qui semblent être des virus. Google s'efforce de lutter contre les virus de la manière la plus directe possible : en ne permettant pas aux utilisateurs de recevoir des fichiers exécutables (fichiers avec une extension .exe, par exemple) susceptibles de contenir des fragments de code nuisibles, même s'ils sont envoyés dans un format compressé (.zip, .tar, .tgz, .taz, .z, .gz).

Google fournit aux utilisateurs de Google Chrome™ et de Firefox® des filtres constamment mis à jour contre le phishing et les logiciels malveillants.

Google utilise des algorithmes avancés et les rapports de différentes sources relatifs à des pages trompeuses pour dresser une liste de sites susceptibles de pratiquer le phishing ou de contenir des logiciels malveillants, puis télécharge cette liste dans votre navigateur. En règle générale, la fonctionnalité de navigation sécurisée est en mesure de vous prévenir automatiquement lorsque vous tentez d'accéder à une page dont l'objectif est de vous amener à divulguer des informations confidentielles.

Le captcha (acronyme de l'anglais "Completely Automated Public Turing test to tell Computers and Humans Apart") est un type de mesure de sécurité dit "test de défi-réponse". Il s'agit d'un test de validation de la connexion que seul un humain peut réaliser et qui protège votre compte du spam, du déchiffrement de mot de passe et d'autres formes d'accès numérique non autorisé. Google utilise le captcha pour renforcer la sécurité aux points d'accès les plus sensibles des comptes. En savoir plus sur le captcha

La publication de vos enregistrements SPF protégera votre nom de domaine du spoofing.

SPF offre au propriétaire d'un domaine la possibilité d'utiliser des enregistrements TXT DNS de format spécial pour désigner les ordinateurs et les hôtes autorisés à envoyer des e-mails via ce domaine. La falsification des adresses d'expédition est donc plus difficile.

Nous vous recommandons vivement de publier les enregistrements SPF de votre domaine.

Si nous constatons qu'un utilisateur de la messagerie Google Apps envoie du spam, nous nous réservons le droit de suspendre immédiatement son compte. Si le spam concerne l'ensemble du domaine, nous nous réservons le droit de suspendre la totalité du compte et d'interdire à l'administrateur l'accès à tous les services Google Apps. Cette mesure est prévue dans le cadre de la Politique d'utilisation autorisée de Google Apps.

Toute atteinte à ces règles en matière de spam sera notifiée à l'adresse e-mail secondaire enregistrée.

Google Apps s'intègre aux systèmes Web standards d'authentification unique par le biais de la norme SAML 2.0. Les organisations peuvent procéder à l'intégration elles-mêmes ou s'adresser à un partenaire Google.

Oui. La connectivité SSL (Secure Sockets Layer)/TLS (Transport Layer Security) est disponible pour tous les clients Google Apps et activée par défaut pour les nouveaux clients.

Le protocole SSL/TLS permet de sécuriser les communications lors de la navigation sur Internet, de l'échange d'e-mails ou de messages instantanés, ou d'autres transferts de données. Si vous activez les connexions HTTPS (Hypertext Transfer Protocol Secure), Google impose ce type de connexion sécurisée lorsque vos utilisateurs accèdent à la plupart des services dans Google Apps. La disponibilité de l'accès HTTPS varie en fonction des services. Il est disponible pour Gmail, Google Agenda, Google Drive, Google Sites et le chat. Pour plus d'informations sur l'activation du protocole SSL, consultez le Centre d'aide.

Il s'agit d'une loi fédérale des États-Unis datant de 2002 (Federal Information Security Management Act) relative à la sécurité des données dans les systèmes d'information des organismes fédéraux. Cette loi s'applique à tous les systèmes d'information utilisés ou gérés par les organismes fédéraux aux États-Unis, ou par des sous-traitants ou d'autres organisations agissant pour le compte du gouvernement. Google Apps a reçu du gouvernement fédéral des États-Unis l'autorisation d'exécuter des services au niveau FISMA-Moderate (moyen), le niveau requis pour les systèmes de messagerie fédéraux.

Si vous souhaitez en savoir plus sur la loi FISMA, vous trouverez un article très complet à ce sujet sur Wikipedia (en anglais).