Nous mettons tout en œuvre pour protéger les entreprises, les établissements scolaires et les organismes publics contre les menaces visant leurs données. Nous résistons vigoureusement à toute tentative d'accès illégale aux données de nos clients, que ces actions proviennent de pirates informatiques ou d'entités gouvernementales.
Nous recevons de nombreuses questions au sujet de la sécurité. Afin de vous donner des éléments de réponse, nous avons créé ces questions fréquentes, ainsi qu'un site Google Workspace sur la sécurité. Nous espérons ainsi répondre à vos interrogations quant au positionnement de Google sur ces sujets importants. Pensez à consulter les Règles de confidentialité et conditions d'utilisation de Google pour obtenir des outils et des informations sur la confidentialité des données du grand public.
Pour savoir comment signaler un cas d'utilisation abusive à notre équipe, reportez-vous à cette page d'informations.
À qui appartiennent les données que les organisations transfèrent sur Google Cloud ?
Pour faire simple, les entreprises, les établissements scolaires et les autorités administratives sont propriétaires des données qu'ils placent sur nos systèmes. Ces données, qu'elles relèvent de la propriété intellectuelle d'une entreprise ou qu'il s'agisse d'informations personnelles ou de devoirs scolaires, ne sont pas la propriété de Google.
Deux éléments clés en découlent :
- Nous utilisons vos informations aux fins décrites dans votre contrat, notamment la mise à disposition du service pour lequel vous payez. Aucune annonce publicitaire ne s'affiche sur Google Cloud.
- Vous restez maître de vos données. Nous vous fournissons des outils permettant de supprimer et d'exporter vos données. Vous pouvez donc les récupérer à tout moment, utiliser des services externes en parallèle de Google Workspace et même cesser complètement d'utiliser nos services.
Nous traitons vos données de manière à remplir nos obligations contractuelles quant à la mise à disposition de nos services. Ce sont nos clients qui sont propriétaires de leurs données, pas Google. Les données stockées dans nos systèmes appartiennent aux entreprises, aux établissements scolaires et aux étudiants qui les y enregistrent. Google ne vend pas les données de ses clients à des tiers. Nous fournissons à nos clients un Avenant relatif au traitement des données qui décrit en détail notre engagement pour la protection de vos données.
Le cabinet d'audit indépendant EY a établi que nos pratiques en matière de confidentialité et nos engagements contractuels pour Google Workspace et Google Workspace for Education sont conformes à la norme ISO/IEC 27018:2014. Exemple :
- Nous ne nous servons pas de vos données à des fins publicitaires.
- Les données que vous nous confiez restent votre propriété.
- Nous vous fournissons des outils permettant de supprimer et d'exporter vos données.
- Nous communiquons le lieu de stockage de vos données en toute transparence.
Non. Nous ne diffusons pas de publicités dans les services Google Workspace ni dans Google Cloud Platform, et nous n'avons pas l'intention de changer ce point. Nous n'analysons pas les données de Gmail ni d'autres services Google Workspace à des fins publicitaires. Google ne se sert pas non plus des services Google Workspace pour collecter ou utiliser des données à des fins publicitaires.
Il en va différemment de nos offres gratuites et des produits grand public. Veillez à consulter la page présentant les Règles de confidentialité et conditions d'utilisation de Google pour obtenir davantage d'outils et d'informations sur la confidentialité de nos clients.
Google Cloud n'analyse pas vos données ni vos e-mails des services Google Workspace à des fins publicitaires. Nos systèmes analysent et indexent automatiquement vos données pour mettre à disposition vos services et protéger vos données : détection du spam et des logiciels malveillants, tri des e-mails pour des fonctionnalités comme la boîte de réception Prioritaire, recherche rapide et performante que les utilisateurs peuvent effectuer dans les informations de leur compte, etc. Il en va différemment de nos offres gratuites et des produits grand public. Veillez à consulter la page présentant les Règles de confidentialité et conditions d'utilisation de Google pour obtenir davantage d'outils et d'informations sur la confidentialité de nos clients.
En aucun cas les services Google Workspace for Education ne collectent ni n'utilisent les données sur les élèves à des fins publicitaires ou pour créer des profils d'annonces.
Les utilisateurs du service Gmail grand public et Google Workspace for Education bénéficient de la même infrastructure, ce qui offre des performances, une fiabilité et une sécurité élevées à tous nos utilisateurs. Google Workspace est toutefois une offre distincte qui fournit aux établissements d'enseignement, aux entreprises et aux institutions gouvernementales des fonctionnalités supplémentaires en termes de sécurité, d'administration et d'archivage.
Comme de nombreux fournisseurs de messagerie, nous procédons à des analyses au sein de Gmail pour garantir la sécurité de nos clients et améliorer l'interface du produit. Dans l'application Gmail de Google Workspace for Education, ces analyses incluent une protection contre les virus et contre le spam, un correcteur orthographique, des résultats de recherche pertinents, ainsi que des fonctionnalités telles que Prioritaire et la détection automatique des événements d'agenda. Tous les e-mails entrants sont soumis à cette analyse pour alimenter les fonctionnalités du produit. Cette procédure est totalement automatisée. Nous n'analysons pas les e-mails des comptes Google Workspace for Education à des fins publicitaires.
En outre, nous ne recueillons ni n'utilisons à des fins publicitaires les informations stockées dans les outils Google Drive, Docs, Sheets, Slides, Drawings ou Forms des utilisateurs de Google Workspace for Education.
Les utilisateurs qui ont choisi d'afficher des annonces AdSense sur leurs sites Google Sites en auront toujours la possibilité. Toutefois, il ne leur sera plus possible de modifier des annonces AdSense ni d'en ajouter de nouvelles, que ce soit sur des sites existants ou sur de nouvelles pages.
Nous fournissons des outils pour vous permettre d'exporter des données si vous choisissez d'utiliser des services externes conjointement à Google Workspace ou que vous cessez d'utiliser nos services, sans pénalités ni frais supplémentaires de notre part.
Google ne peut accéder aux données de votre compte que dans les conditions spécifiques définies dans les Règles de confidentialité et votre accord client. Nous vous fournissons un Avenant relatif au traitement des données qui décrit en détail notre engagement pour la protection de vos données. Dans le cadre de l'assistance technique, un administrateur de votre domaine peut accorder à l'équipe Google l'autorisation d'accéder à des comptes en vue de résoudre un problème précis. Les journaux d'audit d'Access Transparency fournissent des informations concernant les actions effectuées par les équipes Google lorsqu'elles accèdent à vos données.
Les pratiques de sécurité de Google sont validées et certifiées par des auditeurs tiers. Nous avons passé la certification ISO 27001. Les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations ont donc été inspectés par un cabinet d'audit externe. Cette certification excède souvent les besoins de nos clients. Parmi nos pratiques, les employés sont soumis à des enquêtes en fonction de leur niveau d'accès. Les droits d'accès de tout employé sont limités autant que possible. Les employés n'ont accès qu'aux informations et aux ressources nécessaires à l'exécution des tâches qui leur sont confiées.
Google ne peut accéder aux données de votre compte que dans les conditions spécifiques définies dans les règles de confidentialité et dans votre accord client. Nous vous fournissons également un Avenant relatif au traitement des données qui décrit en détail notre engagement pour la protection de vos données. Les journaux d'audit d'Access Transparency fournissent des informations concernant les actions effectuées par les équipes Google lorsqu'elles accèdent à vos données.
Nous pensons que vous devez garder le contrôle de vos données. En concluant avec vous l'Avenant relatif au traitement des données, Google s'engage contractuellement à supprimer vos données Google Workspace de ses systèmes après que vous les avez supprimées de nos services, dans un délai de 180 jours maximum.
Lorsque vous effacez des données, les pointeurs vers ces données sont immédiatement supprimés. En revanche, l'architecture réseau et applicative de Google est conçue pour offrir une disponibilité et une fiabilité optimales. Les données sont réparties sur les différents serveurs et centres de données de Google de sorte qu'elles restent toujours accessibles, même lorsqu'une machine, voire un centre de données complet, tombe en panne. Par conséquent, un délai maximal de 180 jours est nécessaire pour garantir que chaque élément de données du client est définitivement effacé de nos systèmes.
Le respect de la confidentialité et de la sécurité des données que vous stockez via nos services détermine notre attitude face à ces demandes légales. Notre équipe juridique examine chaque demande gouvernementale de données d'utilisateur pour s'assurer qu'elle est conforme à la législation en vigueur et au règlement de Google. Nous rejetons les demandes trop générales ou non conformes à la procédure.
Si nécessaire, Google informe ses utilisateurs des demandes légales reçues, à moins que la loi ou une ordonnance de tribunal le lui interdise, et publie depuis 2009 des statistiques globales relatives aux demandes gouvernementales de données d'utilisateurs dans son rapport sur la Transparence des informations.
Si Google reçoit une requête d'un gouvernement au sujet des données d'un client Cloud, sa politique est de demander au gouvernement de déposer sa requête de données directement auprès du client Cloud. Google a mis en place un processus rigoureux d'évaluation et de réponse aux demandes gouvernementales, y compris les demandes de données CLOUD Act émises en vertu d'un accord exécutif CLOUD Act. Les requêtes que nous recevons sont toutes examinées et évaluées par notre équipe qui vérifie leur conformité aux obligations légales. Lorsqu'il a obligation de transmettre des données, Google notifie rapidement le client avant de procéder à la transmission, sauf si la loi l'interdit ou qu'une situation d'urgence vitale l'impose. Dans la limite autorisée par la loi ou par les conditions de la requête, Google accédera aux demandes raisonnables du client de s'opposer à une requête.
Des informations détaillées sont disponibles dans notre rapport sur la Transparence des informations et notre livre blanc sur les demandes gouvernementales concernant les données des clients Google Cloud.
Plusieurs de nos produits offrent des fonctionnalités qui permettent de stocker certaines données à caractère personnel du client dans la région UE/EEE. Consultez les produits GCP disponibles par emplacement et par emplacement de données Google Workspace.
Gardez à l'esprit que l'offre des emplacements de données n'est pas conçue pour répondre à des obligations légales, de conformité ou de réglementation. Ceci étant, l'outil peut respecter les règles spécifiques de l'entreprise concernant l'emplacement des données.
Non. Cependant, comme l'ancienne Directive européenne sur la protection des données, le RGPD exige la mise en œuvre de sauvegardes appropriées pour le transfert de données à caractère personnel en dehors de l'EEE. Ces mesures de protection appropriées peuvent être appliquées en utilisant des mécanismes existants, tels que les clauses contractuelles types.
Pour les organisations qui souhaitent bénéficier d'un contrôle géographique plus précis, les emplacements de données de Google Workspace permettent de contrôler précisément l'emplacement géographique de stockage des e-mails, des documents et de tout autre contenu Google Workspace. La fonctionnalité d'emplacement des données n'est pas conçue pour répondre à des obligations légales, de conformité ou réglementaires, mais elle peut suffire pour faire respecter des règles spécifiques à l'entreprise sur la localisation des données. Pour en savoir plus sur cette fonctionnalité, consultez Choisir l'emplacement géographique de vos données.
L'infrastructure de Google est répartie de manière stratégique sur plusieurs centres de données à travers le monde. Ainsi, certaines installations de stockage de données Google se trouvent dans des pays situés en dehors de l'Espace économique européen (EEE). De plus, l'assistance Google Cloud disponible 24h/24 et 7j/7 assure une mise à disposition agile et efficace des services à travers le monde, et certains des centres d'assistance se trouvent en dehors de l'EEE. Nous ne sommes pas en mesure de vous fournir le centre de données exact où vos données sont stockées pour les raisons évoquées ci-dessus.