La sécurité et la confidentialité sont des sujets particulièrement importants pour les utilisateurs de Google en général, et de Google Cloud plus spécifiquement. Nous y attachons également une grande importance, et nous proposons des outils vous permettant de contrôler la manière dont nous traitons les données de votre organisation. Notre activité repose sur la confiance que nos clients nous accordent quant à la sécurité de leurs données, la confidentialité des informations qu'ils placent sur nos systèmes et la fiabilité des outils que nous leur fournissons pour garder le contrôle de ces informations.
Pour en savoir plus sur la position de Google envers la fiabilité, la confidentialité et la sécurité, découvrez comment Google traite vos données. Pour en savoir plus sur Google Cloud, consultez les questions fréquentes sur les sujets suivants :
Si vous avez rencontré un cas d'utilisation abusive avec Google, signalez-le à notre équipe.
Questions fréquentes
En quoi l'audit SOC 2/3 de Google Cloud est-il important pour moi, en tant qu'administrateur ?Dans son rapport d'audit SOC (Service Organizations Controls) 2/3, un auditeur tiers indépendant a émis un avis sans réserve en faveur de Google Cloud. Nous sommes fiers d'aider les administrateurs Google Cloud à travailler l'esprit tranquille, avec la certitude que leurs données bénéficient d'une sécurité conforme à la norme SOC 2/3. Apprenez-en plus sur le rapport public SOC 3. Vous pouvez obtenir une copie de notre rapport SOC 2 à partir du gestionnaire des rapports de conformité Cloud.
L'auditeur tiers indépendant a vérifié que Google Cloud disposait bien des processus de contrôle et protocoles suivants :
- Sécurité logique : les contrôles garantissent de manière raisonnable que l'accès logique aux systèmes de production et aux données de Google Cloud est réservé aux seules personnes autorisées.
- Confidentialité : les contrôles garantissent de manière raisonnable que Google a mis en place des règles et des procédures pour assurer la confidentialité des données client dans Google Cloud.
- Sécurité physique des centres de données : les contrôles garantissent de manière raisonnable que les centres de données hébergeant les données de Google Cloud et les bureaux de l'entreprise sont protégés.
- Disponibilité et gestion des incidents : les contrôles garantissent de manière raisonnable que les systèmes Google Cloud sont redondants, et que les incidents sont correctement signalés, traités et consignés.
- Gestion des changements : les contrôles garantissent de manière raisonnable que le développement de Google Cloud et les modifications qui lui sont apportées sont soumis à des tests et à un examen indépendant du code avant toute exploitation.
- Organisation et administration : les contrôles garantissent de manière raisonnable que la direction fournit l'infrastructure et les moyens nécessaires pour suivre et faire connaître les travaux entrepris au sein de la société qui ont un impact sur Google Cloud.
Le Règlement général sur la protection des données (RGPD) de l'UE remplace la Directive européenne de Protection des données à caractère personnel de 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données au sein de l'Union européenne, quel que soit le pays où les données sont traitées.
Vous pouvez compter sur notre engagement à assurer la conformité de Google Cloud avec le RGPD. Nous avons également à cœur d'aider nos clients à se conformer aux exigences du RGPD en leur offrant la protection efficace en matière de confidentialité et de sécurité que nous avons intégrée à nos services et contrats au fil des ans.
Entre autres obligations, les responsables du traitement ne doivent faire appel qu'à des sous-traitants des données capables de fournir des garanties suffisantes concernant les mesures techniques et organisationnelles qu'ils implémentent pour respecter le RGPD.
Nos Conditions relatives au traitement des données définissent clairement nos engagements envers les clients en matière de confidentialité. Nous avons adapté ces règles au fil des ans en tenant compte des commentaires de nos clients et des autorités de réglementation, et les avons mises à jour conformément aux modifications apportées au RGPD.
Pour en savoir plus, consultez notre site sur le RGPD.
Le RGPD s'applique directement aux sous-traitants des données (par exemple, aux fournisseurs de services cloud tels que Google), quels que soient leurs engagements contractuels à cet égard. Google s'est engagé à respecter le RGPD et à accompagner ses clients dans leur parcours de conformité. Veuillez consulter notre Avenant relatif au traitement des données, mis à jour pour respecter le RGPD, afin de faciliter l'évaluation de la conformité et la préparation au RGPD lorsque vous utilisez des services Google Cloud.
Vous pouvez accepter l'Avenant relatif au traitement des données en suivant la procédure en ligne décrite ici.
L'infrastructure de Google est distribuée de manière stratégique sur plusieurs centres de données répartis dans le monde entier. Ainsi, certaines installations de stockage de données Google se trouvent dans des pays situés en dehors de l'Espace économique européen (EEE). De plus, l'assistance Google Cloud disponible 24h/24 et 7j/7 assure une mise à disposition agile et efficace des services à travers le monde, et certains des centres d'assistance se trouvent en dehors de l'EEE. Nous ne sommes pas en mesure de vous indiquer le centre de données exact où vos données sont stockées pour les raisons évoquées ci-dessus.
Pour générer les mots de passe des nouveaux comptes utilisateur, Google utilise une combinaison de symboles, de lettres majuscules et minuscules, et de chiffres. La longueur du mot de passe est supérieure au minimum requis (8 caractères) ou à la longueur minimale que vous avez définie pour votre domaine.
Lorsqu'un administrateur ou un utilisateur final supprime des données de Google Cloud, nous les supprimons conformément à votre contrat client et à nos Règles de confidentialité.
Il est impossible de récupérer les données d'un compte utilisateur supprimé par un administrateur. Pour connaître les bonnes pratiques en termes de suppression de comptes utilisateur, consultez le Centre d'aide.
Si vous avez besoin de récupérer des e-mails, Google propose des produits d'archivage supplémentaires (Google Vault) qui peuvent compléter les éditions Business et Enterprise de Google Workspace. Pour les produits qui ne sont pas couverts par les solutions de récupération Google Vault, consultez Google Workspace Marketplace afin de trouver, parmi les solutions proposées par nos partenaires, celle qui convient à vos besoins.
Les spammeurs parviennent parfois à falsifier l'adresse de l'expéditeur d'un e-mail, qui semble ainsi provenir du domaine d'une organisation respectable. Connue sous le nom d'hameçonnage (ou phishing, en anglais), cette pratique est souvent utilisée dans le but de recueillir des données sensibles. Pour prévenir cette nuisance, Google participe au programme DMARC (Domain-based Message Authentication, Reporting & Conformance). Ce programme permet aux propriétaires de domaines d'indiquer aux fournisseurs de messagerie comment traiter les messages non authentifiés de leur domaine. Les clients Google Cloud peuvent implémenter ce programme en créant un enregistrement DMARC dans leurs paramètres administrateur, et en appliquant un enregistrement SPF et des clés DKIM à tous les flux de messagerie sortants.
Conformément à la Politique d'utilisation autorisée :
- Si nous constatons qu'un utilisateur de la messagerie Google Workspace envoie du spam, nous nous réservons le droit de suspendre immédiatement son compte.
- Si le spam concerne l'ensemble du domaine, nous nous réservons le droit de suspendre la totalité du compte et d'interdire à l'administrateur l'accès à tous les services Google Cloud.
Seuls le propriétaire et les gestionnaires du nom de domaine peuvent créer un compte d'administrateur Google Cloud. Au cours de l'inscription, un administrateur Google Cloud est invité à prouver que le domaine est bien sous son contrôle en modifiant les enregistrements DNS (système de noms de domaine). Sans cette validation, Google n'autorise pas l'ouverture d'un compte administrateur. De plus, il est impossible de gérer activement les services Google tant que la propriété du domaine n'a pas été validée.
Une fois qu'un administrateur a confirmé la propriété du domaine, les administrateurs désignés peuvent, à leur seule discrétion, attribuer des droits d'administrateur à d'autres noms d'utilisateurs au sein du compte.
Les utilisateurs du domaine qui ne sont pas administrateurs peuvent, quant à eux, contacter l'équipe d'assistance pour demander un accès en tant qu'administrateurs. La procédure habituelle de validation du domaine garantit que le demandeur dispose effectivement de droits de gestion sur ce domaine.
Notez enfin qu'une personne ayant accès à l'adresse e-mail secondaire que vous avez enregistrée peut réinitialiser le mot de passe et accéder au compte administrateur principal.
Conformément à votre contrat client, les administrateurs Google Cloud de votre domaine peuvent accéder à l'ensemble des comptes utilisateur et aux données associées, comme l'indiquent nos Règles de confidentialité.
En tant qu'administrateur, vous contrôlez tous les noms d'utilisateur et mots de passe de votre domaine. Vous pouvez accéder aux comptes de vos utilisateurs conformément aux dispositions du contrat client. Nous exigeons toutefois que vous mettiez à la disposition de vos utilisateurs un document expliquant votre politique en la matière.
Tout spam constaté sera notifié à l'adresse e-mail secondaire enregistrée.