Conformité

Nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour satisfaire à cette obligation, Google se soumet régulièrement à différents audits conduits par des tiers indépendants. Ces vérifications garantissent que les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations ont été inspectés par un professionnel indépendant. Les solutions de Google sont régulièrement soumises à des audits portant sur les normes suivantes :

• SOC1^™ (SSAE-18/ISAE-3402)—Google Workspace et Google Cloud Platform
• SOC2^™ : Google Workspace et Google Cloud Platform 
• SOC3^™ : Google Workspace et Google Cloud Platform
• ISO27001 : Google Workspace et Google Cloud Platform
• ISO27017 : Google Workspace et Google Cloud Platform
• ISO27018 : Google Workspace et Google Cloud Platform
• ISO27701 : Google Workspace et Google Cloud Platform
• HIPAA : Google Workspace et Google Cloud Platform
• FedRAMP : Google Workspace et Google Cloud Platform

Le rapport SOC3 prouve que nos dispositifs de contrôle ont bien été examinés par un agent indépendant. Dans son rapport, ce professionnel examine la ou les déclarations de la direction quant à la fiabilité de l'entreprise, et indique si les éléments fournis sont conformes aux principes et critères caractérisant les services de confiance.

Le certificat ISO 27001 prouve le champ d'application fonctionnel de la norme ISO/CEI 27001:2013. La certification se limite aux éditions Google Workspace (et Google Workspace for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics et Analytics Premium, ainsi qu'aux données contenues ou collectées dans ces éditions et services spécifiques.

Vous pouvez obtenir une copie de ces rapports de conformité dans le gestionnaire des rapports de conformité en vous connectant à votre compte. 

Google dispose d'une large clientèle en Europe. Plus de 50 % de nos clients professionnels sont situés hors des États-Unis. Google fournit des engagements contractuels et des fonctionnalités destinés à respecter les lois applicables sur la protection des données. Google propose l'Avenant relatif au traitement des données dans le cloud (ATDC) pour Google Workspace et Google Cloud.

• Accepter l'ATDC pour Google Workspace
• Accepter l'ATDC pour Google Cloud

En complément d'audits de nos pratiques de protection des données par des tiers indépendants, de notre certification ISO 27001, et du contrôle que nos pratiques de confidentialité et nos engagements contractuels respectent la norme ISO/CEI 27018:2014, nous offrons à nos clients plusieurs possibilités pour être en conformité avec les réglementations européennes sur la protection des données.

Le RGPD de l'UE protège les données à caractère personnel des résidents de l'Espace économique européen (EEE), et n'autorise que dans des circonstances limitées le transfert de ces données vers des pays non membres de l'EEE qui n'ont pas été approuvés comme offrant une protection "adéquate" des données. Le RGPD du Royaume-Uni et la loi fédérale sur la protection des données de la Suisse imposent des restrictions similaires. L'utilisation de clauses contractuelles types (CCT) approuvées constitue un moyen de respecter ces restrictions.

Google Cloud intègre des clauses contractuelles types dans l'Avenant relatif au traitement des données dans le cloud (ATDC) et les DPST. En l'absence de solution de transfert alternative, ces clauses protègent automatiquement les données à caractère personnel des clients de la zone EMEA (Europe, Moyen-Orient et Afrique). Les clients situés en dehors de la zone EMEA doivent certifier via la console d'administration qu'ils sont soumis à la législation européenne sur la protection des données, afin que les clauses contractuelles types puissent être appliquées à leurs données (en l'absence de solution de transfert alternative).

Le stockage de vos données en dehors d'un pays spécifique ne les protège pas nécessairement d'un accès par les autorités de ce pays, puisque les gouvernements peuvent conserver le droit de demander la divulgation d'informations situées hors de leurs frontières. C'est la raison pour laquelle nous nous positionnons pour une réforme de la législation sur la surveillance. Nous ne fournissons aux gouvernements aucun accès à nos systèmes et ne les autorisons pas à installer des dispositifs leur permettant d'accéder aux données des utilisateurs. Pour en savoir plus sur la façon dont les demandes de données du gouvernement sont traitées, consultez le livre blanc sur les Mesures de protection mises en place pour les transferts de données internationaux avec Google Cloud (en anglais) et la page de Google consacrée à la Transparence des informations.

Vos données sont stockées dans le réseau de centres de données de Google. Google gère un certain nombre de centres de données répartis dans différents endroits. Les clusters informatiques de Google sont conçus dans un souci de résilience et de redondance, afin de réduire l'impact des pannes matérielles courantes et les risques environnementaux, et de corriger tous les points de défaillance uniques.

Google Workspace permet à nos clients de se conformer à la loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996. Les clients tenus de respecter la loi HIPAA souhaitant utiliser Google Workspace et stocker des données de santé protégées (dites "PHI") doivent signer un accord de partenariat avec Google. Les administrateurs des organisations disposant de Google Workspace, Google Workspace for Education et Google Workspace for Government peuvent demander un accord de partenariat avant d'utiliser les services Google pour le stockage de données de santé protégées. Pour obtenir la liste des fonctionnalités Google Workspace compatibles avec la loi HIPAA, cliquez ici.

Plusieurs millions d'étudiants font confiance à Google Workspace for Education. Nous nous engageons à faire en sorte que ce service soit conforme à la loi FERPA (Family Educational Rights and Privacy Act), et cet engagement est inscrit dans nos contrats. Les établissements scolaires qui utilisent Google Workspace for Education sont contractuellement tenus d'obtenir une autorisation parentale quant à l'utilisation de notre service en conformité avec la loi américaine COPPA (Child Online Privacy Protection Act), ce qui nous permet de nous conformer plus facilement à ses exigences.

La loi FISMA (Federal Information Security Management Act) de 2002 est une loi fédérale des États-Unis relative à la sécurité des systèmes d'information des organismes fédéraux. Cette loi s'applique à tous les systèmes d'information utilisés ou gérés par les organismes fédéraux aux États-Unis, ou par des sous-traitants ou d'autres organisations agissant pour le compte du gouvernement.

Le FedRAMP (Federal Risk and Authorization Management Program) met en œuvre la loi FISMA pour les organismes fédéraux des États-Unis qui utilisent des services de cloud computing. Il s'agit d'une norme de conformité obligatoire pour les organismes fédéraux en matière de sécurité cloud.

Google Workspace, y compris Google Workspace, Google Workspace for Education, Google Workspace for Nonprofits et Google Workspace for Government, et Google App Engine ont obtenu un agrément d'exploitation FedRAMP au niveau d'impact modéré FIPS 199, soit le niveau standard pour la catégorie des informations non classifiées contrôlées (Controlled Unclassified Information).

La norme PCI DSS (Payment Card Industry Data Security Standard) regroupe des règles et des exigences techniques s'appliquant aux systèmes contenant ou traitant des informations concernant les cartes de paiement. Après contrôle par un évaluateur de sécurité qualifié (QSA, Qualified Security Assessor), il a été attesté que le service Google Cloud Platform est conforme aux normes PCI DSS. Google se base sur le rapport de conformité établi par l'évaluateur pour garantir aux développeurs d'applications qu'ils peuvent créer et gérer leurs propres solutions de conformité et de sécurité à l'aide de la plate-forme. Google Workspace n'est pas un service destiné à traiter ou à stocker des transactions par carte de paiement. Par conséquent, les clients peuvent mettre en place des moyens de contrôle leur permettant d'éviter l'envoi d'e-mails contenant des informations de carte de paiement depuis Google Workspace. Cette mesure aide nos clients à se mettre en conformité avec la norme PCI DSS. 

Google Cloud Platform se soumet tous les ans à un audit tiers pour certifier certains produits au regard de la norme PCI DSS. En d'autres termes, ces services offrent une infrastructure sur laquelle les clients peuvent concevoir leurs propres services ou applications qui stockent, traitent ou transmettent les données de titulaires de cartes. Il est important de noter qu'il incombe toujours aux clients de s'assurer que leurs applications sont conformes à la norme PCI DSS. Pour savoir comment mettre en œuvre la norme PCI DSS dans votre application avec Google Cloud Platform, consultez Conformité avec la norme de sécurité des données PCI.

Google Vault est un module complémentaire de Google Workspace qui vous permet de conserver, d'archiver, de rechercher et d'exporter les e-mails de votre organisation à des fins de conformité et d'ediscovery. L'application fonctionnant intégralement sur le Web, il n'y a aucun logiciel à installer ni aucune maintenance à réaliser. Avec Vault vous pouvez :

• conserver les données aussi longtemps que vous le souhaitez ;
• supprimer les données dès que vous n'en avez plus besoin ;
• rechercher, appliquer une obligation de conservation et exporter les données qui vous intéressent.

Pour en savoir plus, consultez Qu'est-ce que Google Vault ?

La loi ITAR est un ensemble de règlements du gouvernement des États-Unis servant à contrôler les importations et exportations de biens et de services liés à la défense, et recensés dans la liste des matériels de guerre et assimilés américains (USML, United States Munitions List). L'utilisation de nos services avec des données soumises à la loi ITAR n'est pas acceptée par Google.

Le RGPD est une réglementation complexe. Pour en savoir plus sur l'approche adoptée par Google Cloud concernant le RGPD, consultez les ressources disponibles sur la page Google Cloud et le Règlement général sur la protection des données (RGPD). En ce qui concerne les restrictions de transfert de données imposées par le RGPD, Google Cloud inclut des clauses contractuelles types dans l'ATDC et les DPST. En l'absence de solution de transfert alternative, ces clauses protègent automatiquement les données à caractère personnel des clients de la région EMEA (Europe, Moyen-Orient et Afrique). Elles protègent également celles des clients en dehors de la zone EMEA si ceux-ci certifient via la console d'administration Google qu'ils sont soumis à la législation européenne sur la protection des données.

Google propose aux organisations les services Google Workspace, conformément aux conditions d'utilisation de Google Workspace et à l'Avenant relatif au traitement des données dans le cloud, et les applications grand public directement à ses utilisateurs finaux, conformément à ses Conditions d'utilisation et ses Règles de confidentialité. De nombreuses fonctionnalités des applications Google Workspace existent également dans les versions grand public de ces mêmes applications. Certains paramètres des services Google Workspace permettent aux administrateurs d'une organisation de contrôler les paramètres de sécurité et de confidentialité des applications pour leur organisation.

Non. Notre avenant relatif au traitement des données dans le cloud, qui inclut les clauses contractuelles types, est uniquement disponible pour les clients qui utilisent Google Workspace. Les versions grand public des applications Google Workspace sont régies par les Conditions d'utilisation et les Règles de confidentialité de Google.

Vous pouvez consulter un service de conseil juridique afin de prendre connaissance de vos obligations spécifiques en matière de confidentialité et de protection des données, et pour définir les clauses les mieux adaptées à vos besoins de conformité.

Nous nous engageons à créer des produits qui sont sécurisés par défaut, privés dès la conception et qui donnent le contrôle aux utilisateurs. Bien que nos règles n'autorisent pas les enfants n'ayant pas atteint l'âge minimal requis à créer un compte Google standard, nous avons tout mis en œuvre pour créer des expériences enrichissantes spécialement destinées aux enfants, aux adolescents et aux familles.  

Nous vous encourageons à vous rapprocher de votre conseiller juridique afin d'évaluer les obligations liées à la réglementation sur la protection de la vie privée des enfants et l'Age Appropriate Design Code (AADC). 

Pour les comptes Google Workspace Business et Enterprise, il appartient à l'administrateur du domaine de déterminer si l'AADC s'applique à des utilisateurs de son domaine. Si c'est le cas, nous vous recommandons de désactiver tous les services supplémentaires pour les utilisateurs âgés de moins de 18 ans. En effet, les forfaits Google Workspace Business et Enterprise sont des comptes professionnels. Actuellement, les services supplémentaires accessibles via un compte professionnel ne proposent pas de fonctionnalités de protection de la vie privée destinées aux enfants. Cela ne concerne pas les comptes Google Workspace for Education, pour lesquels les domaines Google Workspace for Education ont implémenté le paramètre d'accès basé sur l'âge (pour plus d'informations, consultez Contrôler l'accès aux services Google selon l'âge).