Votre sécurité et votre vie privée

Parmi les types de questions que nous recevons au sujet de Google en général et de Google Apps en particulier, les deux plus fréquents concernent la sécurité et la confidentialité. Nous attachons une grande importance à ces sujets et sommes convaincus que nos offres sont fiables sur ces deux plans. Toute notre activité repose sur la confiance que nos utilisateurs nous accordent, qu'il s'agisse de la sécurité de leurs données, ou de la confidentialité des informations qu'ils placent sur nos systèmes. Ces données ne sont pas communiquées à des tiers et sont utilisées de manière appropriée.

Afin de répondre à certaines des nombreuses questions qui nous sont posées et de dissiper certaines idées fausses, nous avons créé cette FAQ et un site sur la sécurité de Google Apps. Nous espérons ainsi répondre à vos questions sur la position de Google en la matière.

Si vous avez besoin de nous signaler un cas d'utilisation abusive, merci de consulter cette page d'informations pour en savoir plus.

Confidentialité

À qui appartiennent les données que les organisations transfèrent sur Google Apps ?

Pour faire court, Google n'est pas propriétaire de vos données. Nous ne cherchons pas à savoir si les données appartiennent à l'établissement inscrit à Google Apps ou à l'utilisateur individuel : c'est à vous de voir. Une chose est sûre : elles ne nous appartiennent pas !

Les données que vous transférez sur nos systèmes vous appartiennent, et nous pensons qu'il doit en demeurer ainsi. Cela signifie trois choses :

  1. Nous ne communiquons vos données à aucun tiers, sauf dans les cas stipulés dans nos Règles de confidentialité.
  2. Nous conservons vos données aussi longtemps que vous le désirez.
  3. Enfin, vous pouvez emporter vos données avec vous si vous choisissez d'utiliser des services externes conjointement à Google Apps ou, tout simplement, si vous ne souhaitez plus utiliser nos services.

 

Dans quels cas les employés de Google peuvent-ils accéder à mon compte ?

Google ne peut accéder aux données de votre compte que dans les conditions spécifiques définies dans ses Règles de confidentialité et votre contrat client. Dans le cadre de l'assistance technique, un administrateur de votre domaine peut accorder à l'équipe Google l'autorisation d'accéder à des comptes en vue de résoudre un problème précis.

Parmi mes utilisateurs, lesquels peuvent obtenir l'autorisation d'accéder à mon compte administrateur Google Apps ?

Seuls le propriétaire et les gestionnaires du nom de domaine peuvent créer un compte administrateur Google Apps. Au cours de l'inscription, un administrateur Google Apps est invité à prouver que le domaine est bien sous son contrôle en apportant une modification aux enregistrements DNS. Sans cette vérification, Google n'autorise pas l'ouverture d'un compte administrateur. De plus, il est impossible de gérer activement les services Google tant que la propriété du domaine n'a pas été validée.

Une fois qu'un administrateur a validé la propriété du domaine, les administrateurs désignés peuvent, à leur seule discrétion, attribuer des droits d'administrateur à d'autres utilisateurs au sein du compte.

Les utilisateurs du domaine qui ne sont pas administrateurs peuvent, quant à eux, contacter l'équipe d'assistance Google Apps pour demander un accès en tant qu'administrateur. Dans ce cas, nous appliquons la procédure habituelle de validation du domaine, afin de nous assurer que le demandeur dispose effectivement de droits de gestion sur ce domaine.

Notez enfin qu'une personne ayant accès à l'adresse e-mail secondaire que vous avez enregistrée peut réinitialiser le mot de passe et accéder au compte administrateur principal.

Parmi mes utilisateurs finaux, lesquels peuvent obtenir l'autorisation d'accéder à d'autres comptes utilisateur ?

Conformément au contrat client de votre domaine, les administrateurs Google Apps de ce dernier peuvent accéder à l'ensemble des comptes utilisateur final et aux données associées, comme l'indiquent nos Règles de confidentialité.

En tant qu'administrateur, vous contrôlez tous les noms d'utilisateurs et mots de passe de votre domaine. Vous pouvez accéder aux comptes de vos utilisateurs conformément aux dispositions du contrat client. Nous exigeons toutefois que vous mettiez à la disposition de vos utilisateurs finaux un document expliquant votre politique en la matière.

Google autorise-t-elle des tiers à accéder aux données de mon organisation ?

Google ne peut divulguer des informations à des tiers que dans les conditions spécifiques définies dans nos Règles de confidentialité et votre contrat client. Google ne communique ni ne divulgue à aucun tiers les données privées des utilisateurs, telles que leur adresse e-mail ou des informations personnelles, sauf si la loi l'exige (voir le rapport Google Transparence des informations), sur demande d'un utilisateur ou d'un administrateur système, ou dans le but de protéger nos systèmes. Ces exceptions incluent l'accès par le personnel d'assistance Google aux e-mails des utilisateurs à la demande de ces derniers en vue de diagnostiquer des problèmes, les cas où Google doit répondre à une obligation juridique, et les cas où Google estime à juste titre que la divulgation d'informations personnelles est nécessaire à la préservation des droits, des biens et de la sécurité de Google, de ses utilisateurs ou du public.

Pour plus d'informations, veuillez vous reporter à la section relative au partage d'informations de nos règles de confidentialité.

Quel type d'analyse/d'indexation des données utilisateur est effectué ?

Nos systèmes analysent et indexent les e-mails, ainsi que d'autres données utilisateur, pour servir plusieurs objectifs. Cette analyse est totalement automatisée et ne peut pas être désactivée. Elle nous permet, par exemple, de détecter les spams et les logiciels malveillants, de trier les e-mails pour mettre en œuvre des fonctionnalités comme la boîte de réception Prioritaire, et d'offrir une fonctionnalité de recherche rapide et performante aux utilisateurs lorsqu'ils ont besoin de retrouver des informations dans leurs comptes. L'analyse et l'indexation réalisées par nos systèmes nous permettent également d'afficher des publicités contextuelles pertinentes, notamment dans Gmail. Si les annonces sont désactivées pour votre domaine, nous n'utiliserons pas vos données pour présenter des publicités de ce type à vos utilisateurs. Les annonces ne peuvent pas être désactivées dans les domaines utilisant l'édition standard gratuite de Google Apps.

Pour obtenir plus d'informations, consultez nos Règles de confidentialité détaillées, les principes applicables à la confidentialité et les conditions d'utilisation de Google Apps (Édition gratuite de Google Apps, Google Apps for Business, Google Apps for Education).

Combien de temps les données de mon organisation sont-elles conservées par Google ?

Nous pensons que vous devez rester maître de vos données. Google conserve plusieurs copies de sauvegarde du contenu des comptes utilisateur afin de pouvoir récupérer des données et restaurer des comptes en cas d'erreur ou de défaillance du système. Lorsque vous nous demandez de supprimer des messages et du contenu, nous nous efforçons d'effacer ces informations de nos systèmes dans un délai commercialement raisonnable. En savoir plus

Comment Google traite-t-elle les requêtes des autorités légales ?

Veuillez consulter le rapport Google Transparence des informations pour en savoir plus sur les requêtes légales concernant les données des utilisateurs.

Comment les contenus illicites sont-ils traités par Google ?

Google supprime les logiciels malveillants, les contenus pornographiques, les images de pornographie juvénile, et les contenus protégés par des droits d'auteur ou associés à une marque qui sont signalés par des tiers ou détectés par ses systèmes sur les serveurs Google.

En cas de suppression, Google prend contact avec l'administrateur principal du compte concerné.

Un abus à signaler ? Merci de consulter notre page Signalement des utilisations abusives.
L'utilisation de Google Apps dans mon organisation est-elle conforme à la Directive de la Commission européenne sur la protection des données ?

Google adhère aux principes de sphère de sécurité (Safe Harbor) des États-Unis relatifs à l'information et au droit d'opposition des personnes, aux conditions de transfert, à la sécurité, à l'intégrité des données et au droit d'accès à celles-ci, et à la mise en application de ces principes. Nous sommes également inscrits au programme Safe Harbor du ministère du Commerce des États-Unis.

En général, une organisation doit s'assurer que l'utilisation de Google Apps est conforme à tous les règlements auxquels elle peut être soumise.

Où puis-je trouver des informations sur les règles de confidentialité de Google ?

Vous trouverez davantage d'informations à ce sujet dans notre centre de confidentialité à l'adresse suivante : http://www.google.com/privacy.html.

Sécurité

En quoi l'audit SSAE 16/ISAE 3402 Type II de Google Apps est-il important pour moi ?

Un auditeur tiers indépendant a délivré un résultat d'audit SSAE 16/ISAE 3402 Type II sans faute pour Google Apps. Google est fière que les administrateurs Google Apps puissent travailler l'esprit tranquille, en sachant que leurs données bénéficient d'une sécurité conforme aux normes SSAE 16 et ISAE 3402 dans son secteur d'activité.

L'auditeur a vérifié que Google Apps disposait bien des processus de contrôle et protocoles suivants :

  • Sécurité logique : les contrôles garantissent de manière raisonnable que l'accès logique aux systèmes de production et aux données de Google Apps est réservé aux seules personnes autorisées.
  • Confidentialité : les contrôles garantissent de manière raisonnable que Google a mis en place des règles et des procédures visant à assurer la confidentialité des données des clients dans Google Apps.
  • Sécurité physique des centres de données : les contrôles garantissent de manière raisonnable que les centres de données hébergeant les données de Google Apps et les bureaux de l'entreprise sont protégés.
  • Disponibilité et gestion des incidents : les contrôles permettent de garantir de manière raisonnable que les systèmes Google Apps sont redondants et que les incidents sont correctement signalés, traités et consignés.
  • Gestion des changements : les contrôles garantissent de manière raisonnable que le développement de Google Apps et les modifications qui lui sont apportées donnent lieu à des tests et à un examen indépendant du code avant toute exploitation.
  • Organisation et administration : les contrôles garantissent de manière raisonnable que la direction fournit l'infrastructure et les moyens nécessaires pour suivre et faire connaître les travaux entrepris au sein de la société et ayant un impact sur Google Apps.
En quoi l'obtention d'une certification SAS 70 Type II par Google Apps est-elle importante pour moi ?

Un auditeur tiers externe a délivré une certification SAS 70 Type II sans faute pour Google Apps. Google est fière que les administrateurs de Google Apps puissent travailler l'esprit tranquille, en sachant que leurs données bénéficient d'une sécurité conforme à la norme SAS 70.

L'auditeur a vérifié que Google Apps disposait bien des processus de contrôle et protocoles suivants :

  • Sécurité logique : les contrôles garantissent de manière raisonnable que l'accès logique aux systèmes de production et aux données de Google Apps est réservé aux seules personnes autorisées.
  • Confidentialité : les contrôles garantissent de manière raisonnable que Google a mis en place des règles et des procédures visant à assurer la confidentialité des données des clients dans Google Apps.
  • Sécurité physique des centres de données : les contrôles garantissent de manière raisonnable que les centres de données hébergeant les données de Google Apps et les bureaux de l'entreprise sont protégés.
  • Disponibilité et gestion des incidents : les contrôles permettent de garantir de manière raisonnable que les systèmes Google Apps sont redondants et que les incidents sont correctement signalés, traités et consignés.
  • Gestion des changements : les contrôles garantissent de manière raisonnable que le développement de Google Apps et les modifications qui lui sont apportées donnent lieu à des tests et à un examen indépendant du code avant toute exploitation.
  • Organisation et administration : les contrôles garantissent de manière raisonnable que la direction fournit l'infrastructure et les moyens nécessaires pour suivre et faire connaître les travaux entrepris au sein de la société et ayant un impact sur Google Apps.
Où les données de mon organisation sont-elles stockées ?

Vos données sont stockées dans le réseau de centres de données de Google. Google gère un certain nombre de centres de données répartis géographiquement (voir les sites d'implantation). Les clusters informatiques de Google sont conçus dans le sens de la résilience et de la redondance, afin de permettre de corriger tous les points individuels de défaillance et de réduire l'impact des incidents courants de matériel et les risques environnementaux.

L'accès à ces centres de données est strictement réservé aux seuls employés Google autorisés.

Dans la mesure où les données de mon organisation cohabitent avec celles des autres clients de Google sur les mêmes serveurs, sont-elles en sécurité ?

Oui. Vos données sont littéralement protégées comme si elles résidaient sur un serveur dédié. Les personnes non autorisées n'y ont pas accès. Vos concurrents ne peuvent pas consulter vos données, et vice-versa. En fait, tous les comptes utilisateur sont protégés par ce verrou virtuel qui permet de s'assurer qu'aucun utilisateur ne peut accéder aux données d'un autre. Cette approche est similaire à la segmentation des données client dans d'autres infrastructures partagées, telles que les applications de banque en ligne.

Google Apps a obtenu un résultat d'audit SSAE 16 et ISAE 3402 Type II satisfaisant. Cela signifie qu'un auditeur externe a passé au crible les processus de protection des données utilisés par Google Apps (notamment la sécurité logique, la confidentialité, la sécurité des centres de données, etc.) et a fourni une assurance raisonnable quant à leur existence et à l'efficacité de leur fonctionnement.

Comment les mots de passe Google sont-ils générés pour les comptes utilisateur Google Apps ?

Pour générer les mots de passe des nouveaux comptes utilisateur, Google utilise un format composé de symboles, de lettres majuscules et minuscules et de chiffres. La longueur prise en compte pour définir ce mot de passe est le minimum requis (8) ou la longueur minimale de mot de passe que vous avez définie pour votre domaine, selon la valeur la plus élevée.

Un administrateur/utilisateur final a supprimé plusieurs e-mails, comment puis-je les récupérer ?

Lorsqu'un administrateur ou un utilisateur final supprime des données Google Apps, nous les supprimons conformément à votre contrat client et à nos Règles de confidentialité.

Il est impossible de récupérer les données d'un compte utilisateur supprimé par un administrateur. Pour connaître les bonnes pratiques de suppression de comptes utilisateur, consultez le Centre d'aide.

Si vous avez besoin de récupérer des e-mails, Google propose des solutions d'archivage supplémentaires pour compléter les éditions Business, Government et Education de Google Apps. Si vous recherchez une solution de récupération de données autres que des e-mails, consultez Google Apps Marketplace afin de trouver, parmi les solutions proposées par nos partenaires, celle qui convient à vos besoins.

Comment protégez-vous votre infrastructure contre le piratage et les autres menaces ?

En tant que fournisseur reconnu de services Web, Google met en œuvre des moyens considérables pour lutter contre les menaces en tous genres. Les centres de données Google utilisent un matériel spécifique qui exécute un système de fichiers et un système d'exploitation personnalisés. Chacun de ces systèmes a été optimisé pour la sécurité et les performances. L'équipe de Google chargée de la sécurité travaille avec des collaborateurs externes afin de tester et d'améliorer continuellement son infrastructure de sécurité et de s'assurer que celle-ci est imperméable aux attaques provenant de l'extérieur. En outre, comme Google contrôle toutes les piles de données sur lesquelles reposent nos systèmes, nous sommes en mesure de réagir rapidement en cas de menace ou de faiblesse portée à notre connaissance.

Google gère un certain nombre de centres de données répartis sur différents lieux géographiques. Les clusters informatiques de Google sont conçus dans le sens de la résilience et de la redondance, afin de permettre de corriger les points individuels de défaillance et de réduire l'impact des incidents courants de matériel et les risques environnementaux. L'accès à nos centres de données est restreint au personnel autorisé.

Comment prévenez-vous et résolvez-vous les failles de sécurité dans vos applications ?

Les produits et services Google sont soumis à différents examens de sécurité. Si une faille potentielle est détectée dans une application ou un composant d'infrastructure, nous évaluons le risque et agissons en conséquence. Les applications étant hébergées dans nos propres centres de données, nous pouvons déployer les correctifs rapidement sur l'ensemble de nos systèmes, sans intervention de votre part.

Nous sommes fiers de collaborer avec un groupe de chercheurs au renforcement de la sécurité au sein de Google. Nous avons également lancé le programme Google Vulnerability Reward afin d'encourager les nouveaux chercheurs et certains types de rapport susceptibles de nous aider à mieux protéger les utilisateurs.

Que faites-vous pour vous protéger des défaillances matérielles ou des catastrophes naturelles ?

L'architecture de réseau et d'applications utilisée par Google est conçue pour une fiabilité et une disponibilité optimales. La plate-forme informatique de Google offre une réactivité accrue en cas de panne matérielle grâce à un système très performant de basculement des logiciels. Tous les systèmes Google sont intrinsèquement redondants de par leur conception. Chaque sous-système est également conçu pour ne pas dépendre d'un serveur logique ou physique unique pour son fonctionnement. Les données sont répliquées plusieurs fois sur les serveurs actifs organisés en cluster, si bien que si un incident se produit sur un serveur, les données sont toujours accessibles par l'intermédiaire d'un autre système. Nous répliquons également les données sur des centres de données secondaires afin d'assurer une protection contre les défaillances des centres de données.

L'accès de mon organisation à Google Apps via Internet est-il sécurisé ?

Les services Google Apps offrent la possibilité d'accéder aux données par le biais de liaisons HTTPS chiffrées et les clients peuvent imposer cette option à leurs utilisateurs. L'utilisateur est ainsi assuré que lui seul a accès à ses propres données. Cela est valable pour l'accès à Gmail, à Google Agenda et au chat, et pour l'accès aux données Google Drive et Google Sites via nos applications Web. L'accès au client de messagerie mobile est également soumis à un système de chiffrement assurant la confidentialité des communications. À l'heure actuelle, les services Page d'accueil et Google Vidéos ne bénéficient pas d'un système de chiffrement. Nous exigeons le chiffrement en cas d'accès à vos données de messagerie électronique par des clients tiers.

Je suis invité à me connecter via une autre page. Pourquoi ?

Dans le cadre de la protection contre l'usurpation d'identité, les pages Web non autorisées autres que Google n'ont pas la permission d'enregistrer votre nom d'utilisateur et votre mot de passe Google. Si tel n'était pas le cas, tout site Web désireux d'exploiter votre mot de passe à des fins malhonnêtes pourrait alors revêtir plus facilement l'apparence d'un site connu. Cette forme de fraude est désignée par le terme phishing.

En cas de doute, vérifiez l'adresse Internet qui s'affiche dans la barre d'adresses de votre navigateur. Si elle ne correspond pas à un site Web Google, ne saisissez pas votre nom d'utilisateur ni votre mot de passe Google.

La seule exception à cette règle est la fonctionnalité d'authentification unique offerte dans Google Apps for Business. Les administrateurs peuvent intégrer les services Google dans des pages Web existantes afin d'améliorer le service proposé aux utilisateurs. En savoir plus

Comment protégez-vous mon organisation du spam, des virus et du phishing ?

Google est équipée de l'un des meilleurs logiciels anti-spam sur le marché. Celui-ci est intégré à Google Apps. Les spams sont purgés tous les 30 jours. Nous avons également intégré une fonctionnalité antivirus et nous nous assurons que les documents font l'objet d'une vérification avant d'autoriser un utilisateur à télécharger un message. La plupart des virus informatiques étant contenus dans des fichiers exécutables, des détecteurs de virus standards analysent les messages pour repérer les fichiers exécutables qui semblent être des virus. Google s'efforce de lutter contre les virus de la manière la plus directe possible : en ne permettant pas aux utilisateurs de recevoir des fichiers exécutables (fichiers avec une extension .exe, par exemple) susceptibles de contenir des fragments de code nuisibles, même s'ils sont envoyés dans un format compressé (.zip, .tar, .tgz, .taz, .z, .gz).

Google fournit aux utilisateurs de Google Chrome™ et de Firefox® des filtres constamment mis à jour contre le phishing et les logiciels malveillants.

Google utilise des algorithmes avancés et les rapports de différentes sources relatifs à des pages trompeuses pour dresser une liste de sites susceptibles de pratiquer le phishing ou de contenir des logiciels malveillants, puis télécharge cette liste dans votre navigateur. En règle générale, la fonctionnalité de navigation sécurisée est en mesure de vous prévenir automatiquement lorsque vous tentez d'accéder à une page dont l'objectif est de vous amener à divulguer des informations confidentielles.

Un abus à signaler ? Merci de consulter notre page Signalement des utilisations abusives.
Qu'est-ce qu'un captcha ?

Le captcha (acronyme de l'anglais "Completely Automated Public Turing test to tell Computers and Humans Apart") est un type de mesure de sécurité dit "test de défi-réponse". Il s'agit d'un test de validation de la connexion que seul un humain peut réaliser et qui protège votre compte du spam, du déchiffrement de mot de passe et d'autres formes d'accès numérique non autorisé. Google utilise le captcha pour renforcer la sécurité aux points d'accès les plus sensibles des comptes. En savoir plus sur le captcha

Comment empêcher les spammeurs de pratiquer le "spoofing" sur mon nom de domaine (usurpation du nom de domaine) ?

La publication de vos enregistrements SPF protégera votre nom de domaine du spoofing.

SPF offre au propriétaire d'un domaine la possibilité d'utiliser des enregistrements TXT DNS de format spécial pour désigner les ordinateurs et les hôtes autorisés à envoyer des e-mails via ce domaine. La falsification des adresses d'expédition est donc plus difficile.

Nous vous recommandons vivement de publier les enregistrements SPF de votre domaine.

Un abus à signaler ? Merci de consulter notre page Signalement des utilisations abusives .
Comment Google traite-t-elle les utilisateurs qui envoient du spam à partir de mon domaine ?

Si nous constatons qu'un utilisateur de la messagerie Google Apps envoie du spam, nous nous réservons le droit de suspendre immédiatement son compte. Si le spam concerne l'ensemble du domaine, nous nous réservons le droit de suspendre la totalité du compte et d'interdire à l'administrateur l'accès à tous les services Google Apps. Cette mesure est prévue dans le cadre de la Politique d'utilisation autorisée de Google Apps.

Toute atteinte à ces règles en matière de spam sera notifiée à l'adresse e-mail secondaire enregistrée.

Un abus à signaler ? Merci de consulter notre page Signalement des utilisations abusives .
Mon organisation peut-elle utiliser son propre système d'authentification pour l'accès de ses utilisateurs à Google Apps ?

Google Apps s'intègre aux systèmes Web standards d'authentification unique par le biais de la norme SAML 2.0. Les organisations peuvent procéder à l'intégration elles-mêmes ou s'adresser à un partenaire Google.

Google Apps permet-il les connexions SSL/TLS ?

Oui. La connectivité SSL (Secure Sockets Layer)/TLS (Transport Layer Security) est disponible pour tous les clients Google Apps et activée par défaut pour les nouveaux clients.

Le protocole SSL/TLS permet de sécuriser les communications lors de la navigation sur Internet, de l'échange d'e-mails ou de messages instantanés, ou d'autres transferts de données. Si vous activez les connexions HTTPS (Hypertext Transfer Protocol Secure), Google impose ce type de connexion sécurisée lorsque vos utilisateurs accèdent à la plupart des services dans Google Apps. La disponibilité de l'accès HTTPS varie en fonction des services. Il est disponible pour Gmail, Google Agenda, Google Drive, Google Sites et le chat. Pour plus d'informations sur l'activation du protocole SSL, consultez le Centre d'aide.

Que signifie le sigle FISMA ?

Il s'agit d'une loi fédérale des États-Unis datant de 2002 (Federal Information Security Management Act) relative à la sécurité des données dans les systèmes d'information des organismes fédéraux. Cette loi s'applique à tous les systèmes d'information utilisés ou gérés par les organismes fédéraux aux États-Unis, ou par des sous-traitants ou d'autres organisations agissant pour le compte du gouvernement. Google Apps a reçu du gouvernement fédéral des États-Unis l'autorisation d'exécuter des services au niveau FISMA-Moderate (moyen), le niveau requis pour les systèmes de messagerie fédéraux.

Si vous souhaitez en savoir plus sur la loi FISMA, vous trouverez un article très complet à ce sujet sur Wikipedia (en anglais).

Google Apps utilise-t-il le protocole TLS opportuniste lors de l'envoi des e-mails ?

Oui, Google Apps est compatible avec les protocoles SSL/TLS pour les communications SMTP. Il utilise le protocole TLS lors de l'envoi des messages si le client de messagerie du destinataire le propose.