Conformité

Nous sommes fiers de respecter de nombreuses réglementations à travers le monde et dans différents secteurs tels que la santé et l'enseignement. Vous pouvez utiliser nos services en ayant l'assurance que Google fournit les outils et les dispositifs de contrôle pour répondre à vos exigences en matière de conformité.

Nous recevons de nombreuses questions à ce sujet. Afin de vous donner des éléments de réponse, nous avons créé la présente FAQ, ainsi qu'un site sur la sécurité dans G Suite. Nous espérons ainsi répondre à vos interrogations quant au positionnement de Google sur ces sujets importants. Pensez à consulter la page rassemblant les Règles de confidentialité et les conditions d'utilisation de Google pour obtenir des outils et des informations sur la confidentialité des données du grand public.

Pour savoir comment signaler un cas d'utilisation abusive à notre équipe, reportez-vous à cette page d'informations

Comment puis-je m'assurer que G Suite et Google Cloud Platform sont conformes aux normes de sécurité ?

Nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour leur donner cette assurance, Google se soumet régulièrement à différents audits conduits par des tiers indépendants. Ces vérifications garantissent que les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations ont été inspectés par un professionnel indépendant. Les solutions de Google sont régulièrement soumises à des audits portant sur les normes suivantes :

Puis-je obtenir un exemplaire de ces certificats et de ces rapports d'audit ? Où puis-je télécharger le rapport d'audit SOC3 ? Où puis-je voir le certificat ISO 27001 de Google ?

Les rapports SOC3 prouvent que nos dispositifs de contrôle ont bien été examinés par un agent indépendant. Dans son rapport, ce professionnel examine la ou les déclarations de la direction quant à la fiabilité de l'entreprise, et indique si les éléments fournis sont conformes aux principes et critères caractérisant les services de confiance. Consultez les rapports SOC3 de G Suite et les rapports SOC3 de Google Cloud Platform.

Les certificats ISO 27001 de G Suite et ISO 27001 de Google Cloud Platform prouvent le champ d'application fonctionnel de cette norme ISO/IEC 27001:2013. La certification se limite aux éditions G Suite (et G Suite for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics et Analytics Premium, ainsi qu'aux données contenues ou collectées dans ces éditions et services spécifiques.

Par quels moyens la société Google se conforme-t-elle aux exigences européennes en matière de protection des données ?

Google dispose d'une large clientèle en Europe. Plus de 50 % de nos clients professionnels sont situés hors des États-Unis. Google fournit des engagements contractuels et des fonctionnalités destinés à répondre aux recommandations du Groupe de travail de l'Article 29 en matière de protection des données. Nous proposons à nos clients de signer un Contrat européen type et un Avenant relatif au traitement des données de G Suite, ainsi qu'un Avenant relatif au traitement des données de Google Cloud Platform. 

Pour accepter notre avenant relatif au traitement des données, veuillez suivre ces instructions :

Connectez-vous à la console d'administration. Cliquez sur Profil de l'entreprise > Profil.

Dans la section "Conditions d'utilisation supplémentaires relatives à la sécurité et à la confidentialité", figurant à côté de "Avenant relatif au traitement des données", cliquez sur "Lire et accepter". Cliquez sur "J'accepte".

À côté de "Clauses contractuelles types de l'UE", cliquez sur "Lire et accepter". Cliquez sur "J'accepte".

En complément d'audits de nos pratiques relatives à la protection des données par des tiers indépendants, de notre certification ISO 27001, ainsi que du contrôle de nos pratiques en matière de confidentialité et de nos engagements contractuels à respecter la norme ISO/IEC 27018:2014, nous offrons à nos clients plusieurs possibilités pour être en conformité avec les réglementations européennes sur la protection des données.

Les lois européennes de protection des données n'imposent-elles pas le stockage des données personnelles au sein de l'UE/EEE ?

La Directive sur la protection des données de la Commission européenne est un élément important de la législation sur la confidentialité adoptée par l'Union européenne (UE) en 1995. Elle limite les transferts de données depuis l'Europe vers des pays non européens qui ne respectent pas le niveau de protection "adéquat" défini par l'Europe en matière de protection de la vie privée. Un des moyens de se conformer à cette directive consiste à effectuer le traitement des données à caractère personnel au sein de l'UE. Mais il existe d'autres moyens de respecter cette législation, autres que le stockage des données dans l'UE. L'utilisation d'un contrat type approuvé par la Commission européenne en est un.

Qu'en est-il du gouvernement des États-Unis ? Le fait de stocker des données hors des États-Unis n'est-il pas une échappatoire aux demandes de récupération de données formulées par le gouvernement des États-Unis ?

Le stockage de vos données dans un pays spécifique ne les protège pas nécessairement d'un accès par des autorités étrangères. Le fait que les données soient situées dans une juridiction ne signifie pas qu'une autre ne puisse pas demander leur divulgation. En outre, des rapports existent sur des tentatives par des gouvernements de se connecter directement à des câbles reliant différents centres de données dans le monde. C'est la raison pour laquelle nous nous positionnons pour une réforme de la législation sur la surveillance. Nous refusons de fournir aux gouvernements un accès à nos systèmes ou d'installer des dispositifs qui leur offrent un accès aux données des utilisateurs. Pour en savoir plus sur la façon dont les demandes de données du gouvernement sont traitées, visitez la page de Google relative à la Transparence des informations.

Où mes données sont-elles stockées par Google ?

Vos données sont stockées dans le réseau de centres de données de Google. Google gère un certain nombre de centres de données distribués géographiquement. Les clusters informatiques de Google sont conçus dans un souci de résilience et de redondance, afin de corriger tous les points de défaillance uniques et de réduire l'impact des pannes matérielles courantes et les risques environnementaux.

Puis-je stocker mes données de santé dans les systèmes Google ?

Nous aidons les clients G Suite à se conformer à la loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996. Les clients qui y sont soumis et souhaitent traiter ou stocker des données de santé protégées dans G Suite doivent conclure un accord de partenariat (BAA, Business Associate Agreement) avec Google. Les administrateurs d'organisations disposant des éditions G Suite, G Suite for Education ou G Suite pour les administrations publiques peuvent demander cet accord de partenariat avant d'utiliser les services Google avec PHI. Google propose un accord de partenariat qui couvre Gmail, Google Agenda, Google Drive et Google Vault. Les clients Google Cloud Platform peuvent obtenir ce type d'accord pour Compute Engine, Cloud Storage, Cloud SQL et BigQuery.

Les produits Google respectent-ils les exigences de confidentialité pour une utilisation par des élèves ou des enfants ?

Plus de 40 millions d'étudiants font confiance à G Suite for Education. Nous nous engageons à faire en sorte que ce service soit conforme à la loi FERPA (Family Educational Rights and Privacy Act), et cet engagement est inscrit dans nos contrats. Les établissements scolaires qui utilisent G Suite for Education sont tenus par contrat d'obtenir l'accord parental quant à l'utilisation de notre service en conformité avec la loi américaine COPPA (Child Online Privacy Protection Act), ce qui nous permet de nous conformer plus facilement aux exigences de cette dernière.

Les institutions gouvernementales des États-Unis peuvent-elles utiliser Google ?

FISMA (Federal Information Security Management Act) est une loi fédérale des États-Unis datant de 2002 relative à la sécurité des données dans les systèmes d'information des organismes fédéraux. Cette loi s'applique à tous les systèmes d'information utilisés ou gérés par les organismes fédéraux aux États-Unis, ou par des sous-traitants ou d'autres organisations agissant pour le compte du gouvernement. 

Le FedRAMP (Federal Risk and Authorization Management Program) met en œuvre la loi FISMA pour les organismes fédéraux des États-Unis qui utilisent des services de cloud computing. Il s'agit d'une norme de conformité obligatoire pour les organismes fédéraux en matière de sécurité cloud.

G Suite (y compris G Suite, G Suite for Education, G Suite pour les associations et G Suite pour les administrations publiques) et Google App Engine ont obtenu un agrément d'exploitation FedRAMP au niveau d'impact modéré FIPS 199, soit le niveau standard pour la catégorie des informations non classifiées contrôlées (Controlled Unclassified Information).

Mon organisation gère les données de cartes de paiement. Elle est donc soumise à la norme PCI DSS. Quels sont les outils me permettant de respecter cette norme ?

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standard) regroupe des règles et des exigences techniques s'appliquant aux systèmes contenant ou traitant des informations relatives aux cartes de paiement. Après contrôle par un évaluateur de sécurité qualifié (QSA, Qualified Security Assessor), il a été attesté que le service Google Cloud Platform est conforme aux normes PCI DSS. Google se base sur le rapport de conformité établi par l'évaluateur pour garantir aux développeurs d'applications qu'ils peuvent créer et gérer leurs propres solutions de conformité et de sécurité à l'aide de la plate-forme. G Suite n'est pas un service destiné à traiter ou à stocker des transactions par carte de paiement. Par conséquent, les clients peuvent mettre en place des moyens de contrôle permettant d'éviter l'envoi d'e-mails contenant des coordonnées bancaires depuis G Suite. Cette mesure aide nos clients à se mettre en conformité avec la norme PCI DSS. 

Quels sont les outils d'e-discovery mis à la disposition de mon organisation pour répondre aux demandes de conformité et aux demandes légales ?

Google Vault est un module complémentaire de G Suite qui vous permet de conserver, d'archiver, de rechercher et d'exporter les e-mails de votre organisation à des fins de conformité et d'e-discovery. L'application fonctionnant intégralement sur le Web, il n'y a aucun logiciel à installer ni aucune maintenance à réaliser. Vault vous permet de réaliser les tâches suivantes :

Puis-je utiliser les services de Google avec des données contrôlées en vertu de la loi ITAR de réglementation du trafic d'armes au niveau international (International Traffic in Arms Regulations) ?

ITAR est un ensemble de règlements du gouvernement américain servant à contrôler les importations et les exportations de biens et de services liés à la défense, et recensés dans la liste des matériels de guerre et assimilés américains (USML, United States Munitions List). L'utilisation de nos services avec des données soumises à la loi ITAR n'est pas acceptée par Google.

Comment les services cloud de Google se mettent-ils en conformité avec le Règlement général sur la protection des données (RGPD) de l'UE ?

Le Règlement général sur la protection des données (RGPD) remplace la Directive européenne de Protection des données à caractère personnel de 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données au sein de l'Union européenne, quel que soit le pays où les données sont traitées.

Vous pouvez compter sur notre engagement à respecter le RGPD sur l'ensemble des services G Suite et Google Cloud Platform. Nous avons également à cœur d'aider nos clients à se conformer aux exigences du RGPD en leur offrant une protection efficace en matière de confidentialité et de sécurité que nous avons intégrée à nos services et contrats au fil des ans.

Entre autres obligations, les contrôleurs de données doivent faire appel uniquement à des processeurs de données en mesure de fournir des garanties suffisantes quant aux mesures techniques et organisationnelles qu'ils mettent en œuvre pour assurer le respect du RGPD.

Nos conditions relatives au traitement des données pour G Suite et Google Cloud Platform définissent clairement nos engagements envers les clients en matière de confidentialité. Nous avons adapté ces règles au fil des ans en tenant compte des commentaires de nos clients et des autorités de régulation, et les avons mises à jour conformément aux modifications apportées au RGPD.

Pour en savoir plus, consultez notre site relatif au RGPD.

Quelle est la différence entre les applications G Suite et les versions grand public de ces applications ?

Google propose les services G Suite aux organisations, conformément aux conditions d'utilisation de G Suite et de l'Avenant relatif au traitement des données, et les applications grand public directement à ses utilisateurs finaux, conformément à ses Conditions d'utilisation et ses Règles de confidentialité. De nombreuses fonctionnalités des applications G Suite existent également dans les versions grand public de ces mêmes applications. Certains paramètres des services G Suite permettent aux administrateurs d'une organisation de contrôler les paramètres de sécurité et de confidentialité des applications pour leur organisation.

Les versions grand public des applications G Suite sont-elles soumises à l'avenant relatif au traitement des données G Suite ?

Non. Nos conditions relatives au traitement des données G Suite, y compris l'Avenant relatif au traitement des données et les Clauses contractuelles types de l'UE sont disponibles uniquement pour les clients G Suite. Les versions grand public des applications G Suite sont proposées par Google, conformément à ses Conditions d'utilisation et ses Règles de confidentialité.

Vous pouvez consulter un service de conseil juridique afin de prendre connaissance de vos obligations spécifiques en matière de confidentialité et de protection des données, et pour définir les clauses les mieux adaptées à vos besoins de conformité.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?