Conformité

Nous sommes fiers de respecter de nombreuses réglementations à travers le monde et dans différents secteurs tels que la santé et l'enseignement. Vous pouvez utiliser nos services en ayant l'assurance que Google fournit les outils et les dispositifs de contrôle pour répondre à vos exigences en matière de conformité.

Nous recevons de nombreuses questions à ce sujet. Afin de vous donner des éléments de réponse, nous avons créé la présente FAQ, ainsi qu'un site sur la sécurité dans G Suite. Nous espérons ainsi répondre à vos interrogations quant au positionnement de Google sur ces sujets importants. Pensez à consulter les Règles de confidentialité et Conditions d'utilisation de Google pour obtenir des outils et des informations sur la confidentialité des données du grand public.

Pour savoir comment signaler un cas d'utilisation abusive à notre équipe, consultez cette page d'informations.

Comment puis-je m'assurer que G Suite et Google Cloud Platform sont conformes aux normes de sécurité ?

Nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour satisfaire à cette obligation, Google se soumet régulièrement à différents audits conduits par des tiers indépendants. Ces vérifications garantissent que les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations ont été inspectés par un professionnel indépendant. Les solutions de Google sont régulièrement soumises à des audits portant sur les normes suivantes :

  • SOC1 (SSAE-18/ISAE-3402) – G Suite et Google Cloud Platform
  • SOC2 – G Suite et Google Cloud Platform
  • SOC3 – G Suite et Google Cloud Platform
  • ISO 27001 – G Suite et Google Cloud Platform
  • ISO 27017 – G Suite et Google Cloud Platform
  • ISO 27018 – G Suite et Google Cloud Platform
  • HIPAA – G Suite et Google Cloud Platform
  • FedRAMP – G Suite et Google Cloud Platform
Puis-je obtenir un exemplaire de ces certificats et de ces rapports d'audit ? Où puis-je télécharger le rapport d'audit SOC3 ? Où puis-je voir le certificat ISO 27001 de Google ?

Les rapports SOC3 prouvent que nos dispositifs de contrôle ont bien été examinés par un agent indépendant. Dans son rapport, ce professionnel examine la ou les déclarations de la direction quant à la fiabilité de l'entreprise, et indique si les éléments fournis sont conformes aux principes et critères caractérisant les services de confiance.

Les certificats ISO 27001 prouvent le champ d'application fonctionnel de la norme ISO/IEC 27001:2013 La certification se limite aux éditions G Suite (et G Suite for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics et Analytics Premium, ainsi qu'aux données contenues ou collectées dans ces éditions et services spécifiques.

Par quels moyens Google se conforme-t-il aux exigences européennes en matière de protection des données ?

Google dispose d'une large clientèle en Europe. Plus de 50 % de nos clients professionnels sont situés hors des États-Unis. Google fournit des engagements contractuels et des fonctionnalités destinés à répondre aux recommandations du Groupe de travail de l'Article 29 en matière de protection des données. Nous proposons à nos clients de signer des Clauses contractuelles types pour l'Union européenne et un Avenant relatif au traitement des données de G Suite, ainsi qu'un Avenant relatif au traitement des données de Google Cloud Platform.

Pour accepter notre avenant relatif au traitement des données, veuillez suivre ces instructions :

Connectez-vous à la console d'administration. Cliquez sur Profil de l'entreprise > Profil.

Dans la section "Conditions d'utilisation supplémentaires relatives à la sécurité et à la confidentialité", figurant à côté de "Avenant relatif au traitement des données", cliquez sur "Lire et accepter". Cliquez sur "J'accepte".

À côté de "Clauses contractuelles types pour l'Union européenne", cliquez sur "Lire et accepter". Cliquez sur "J'accepte".

En complément d'audits de nos pratiques relatives à la protection des données par des tiers indépendants, de notre certification ISO 27001, ainsi que du contrôle de nos pratiques en matière de confidentialité et de nos engagements contractuels à respecter la norme ISO/IEC 27018:2014, nous offrons à nos clients plusieurs possibilités pour être en conformité avec les réglementations européennes sur la protection des données.

Les lois européennes de protection des données n'imposent-elles pas le stockage des données personnelles au sein de l'UE/EEE ?

La Directive sur la protection des données de la Commission européenne est un élément important de la législation sur la confidentialité adoptée par l'Union européenne (UE) en 1995. Elle limite les transferts de données depuis l'Union européenne vers des pays non-membres de l'UE qui ne respectent pas le niveau de protection "adéquat" défini par l'UE en matière de protection de la vie privée. Un des moyens de se conformer à cette directive consiste à effectuer le traitement des données à caractère personnel au sein de l'UE. Le stockage des données dans l'UE est un moyen parmi d'autres de respecter cette législation. L'utilisation de clauses contractuelles types approuvées par la Commission européenne est aussi possible.

Qu'en est-il du gouvernement des États-Unis ? Le fait de stocker des données hors des États-Unis n'est-il pas une échappatoire aux demandes de récupération de données formulées par le gouvernement des États-Unis ?

Le stockage de vos données dans un pays spécifique ne les protège pas nécessairement d'un accès par des autorités étrangères. Le fait que les données soient situées dans une juridiction ne signifie pas qu'une autre ne puisse pas demander leur divulgation. En outre, des rapports existent sur des tentatives par des gouvernements de se connecter directement à des câbles reliant différents centres de données dans le monde. C'est la raison pour laquelle nous nous positionnons pour une réforme de la législation sur la surveillance. Nous refusons de fournir aux gouvernements un accès à nos systèmes ou d'installer des dispositifs qui leur offrent un accès aux données des utilisateurs. Pour en savoir plus sur la façon dont les demandes de données du gouvernement sont traitées, consultez la page de Google consacrée à la Transparence des informations.

Où mes données sont-elles stockées par Google ?

Vos données sont stockées dans le réseau de centres de données de Google. Google gère un certain nombre de centres de données répartis dans différents endroits. Les clusters informatiques de Google sont conçus dans un souci de résilience et de redondance, afin de réduire l'impact des pannes matérielles courantes et les risques environnementaux, et de corriger tous les points de défaillance uniques.

Puis-je stocker mes données de santé dans les systèmes Google ?

Nous aidons les clients G Suite à se conformer à la loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996. Les clients qui y sont soumis et souhaitent traiter ou stocker des données de santé protégées dans G Suite doivent conclure un accord de partenariat (BAA, Business Associate Agreement) avec Google. Les administrateurs d'organisations disposant des éditions G Suite, G Suite for Education ou G Suite pour les administrations publiques peuvent demander cet accord de partenariat avant d'utiliser les services Google avec des données de santé protégées. Google propose un accord de partenariat qui couvre Gmail, Google Agenda, Google Drive et Google Vault. Les clients Google Cloud Platform peuvent obtenir ce type d'accord pour Compute Engine, Cloud Storage, Cloud SQL et BigQuery.

Les produits Google respectent-ils les exigences de confidentialité pour une utilisation par des élèves ou des enfants ?

Plus de 40 millions d'étudiants font confiance à G Suite for Education. Nous nous engageons à faire en sorte que ce service soit conforme à la loi FERPA (Family Educational Rights and Privacy Act), et cet engagement est inscrit dans nos contrats. Les établissements scolaires qui utilisent G Suite for Education sont contractuellement tenus d'obtenir l'accord parental quant à l'utilisation de notre service en conformité avec la loi américaine COPPA (Child Online Privacy Protection Act), ce qui nous permet de nous conformer plus facilement aux exigences de cette dernière.

Les institutions gouvernementales des États-Unis peuvent-elles utiliser Google ?

La loi FISMA (Federal Information Security Management Act) de 2002 est une loi fédérale des États-Unis relative à la sécurité des systèmes d'information des organismes fédéraux. Cette loi s'applique à tous les systèmes d'information utilisés ou gérés par les organismes fédéraux aux États-Unis, ou par des sous-traitants ou d'autres organisations agissant pour le compte du gouvernement.

Le FedRAMP (Federal Risk and Authorization Management Program) met en œuvre la loi FISMA pour les organismes fédéraux des États-Unis qui utilisent des services de cloud computing. Il s'agit d'une norme de conformité obligatoire pour les organismes fédéraux en matière de sécurité cloud.

G Suite (y compris G Suite, G Suite for Education, G Suite pour les associations et G Suite pour les administrations publiques) et Google App Engine ont obtenu un agrément d'exploitation FedRAMP au niveau d'impact modéré FIPS 199, soit le niveau standard pour la catégorie des informations non classifiées contrôlées (Controlled Unclassified Information).

Mon organisation gère les données de cartes de paiement. Elle est donc soumise à la norme PCI DSS. Quels sont les outils me permettant de respecter cette norme ?

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standard) regroupe des règles et des exigences techniques s'appliquant aux systèmes contenant ou traitant des informations concernant les cartes de paiement. Après contrôle par un évaluateur de sécurité qualifié (QSA, Qualified Security Assessor), il a été attesté que le service Google Cloud Platform est conforme aux normes PCI DSS. Google se base sur le rapport de conformité établi par l'évaluateur pour garantir aux développeurs d'applications qu'ils peuvent créer et gérer leurs propres solutions de conformité et de sécurité à l'aide de la plate-forme. G Suite n'est pas un service destiné à traiter ou à stocker des transactions par carte de paiement. Par conséquent, les clients peuvent mettre en place des moyens de contrôle permettant d'éviter l'envoi d'e-mails contenant des coordonnées bancaires depuis G Suite. Cette mesure aide nos clients à se mettre en conformité avec la norme PCI DSS.

Quels sont les outils d'e-discovery mis à la disposition de mon organisation pour répondre aux demandes de conformité et aux demandes légales ?

Google Vault est un module complémentaire de G Suite qui vous permet de conserver, d'archiver, de rechercher et d'exporter les e-mails de votre organisation à des fins de conformité et d'e-discovery. L'application fonctionnant intégralement sur le Web, il n'y a aucun logiciel à installer ni aucune maintenance à réaliser. Vault vous permet de réaliser les tâches suivantes :

Puis-je utiliser les services de Google avec des données contrôlées en vertu de la loi ITAR de réglementation du trafic d'armes au niveau international (International Traffic in Arms Regulations) ?

La loi ITAR est un ensemble de règlements du gouvernement américain servant à contrôler les importations et les exportations de biens et de services liés à la défense, et recensés dans la liste des matériels de guerre et assimilés américains (USML, United States Munitions List). L'utilisation de nos services avec des données soumises à la loi ITAR n'est pas acceptée par Google.

Comment les services cloud de Google se mettent-ils en conformité avec le Règlement général sur la protection des données (RGPD) de l'UE ?

Le Règlement général sur la protection des données (RGPD) remplace la Directive européenne de Protection des données à caractère personnel de 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données au sein de l'Union européenne, quel que soit le pays où les données sont traitées.

Vous pouvez compter sur notre engagement à respecter le RGPD sur l'ensemble des services G Suite et Google Cloud Platform. Nous avons également à cœur d'aider nos clients à se conformer aux exigences du RGPD en leur offrant une protection efficace en matière de confidentialité et de sécurité que nous avons intégrée à nos services et contrats au fil des ans.

Entre autres obligations, les contrôleurs de données doivent faire appel uniquement à des processeurs de données capables de fournir des garanties suffisantes quant aux mesures techniques et organisationnelles qu'ils mettent en œuvre pour assurer le respect du RGPD.

Nos conditions relatives au traitement des données pour G Suite et Google Cloud Platform définissent clairement nos engagements envers les clients en matière de confidentialité. Nous avons adapté ces règles au fil des ans en tenant compte des commentaires de nos clients et des autorités de régulation, et les avons mises à jour conformément aux modifications apportées au RGPD.

Pour en savoir plus, consultez notre site relatif au RGPD.

Quelle est la différence entre les applications G Suite et les versions grand public de ces applications ?

Google propose les services G Suite aux organisations, conformément aux conditions d'utilisation de G Suite et de l'Avenant relatif au traitement des données, et les applications grand public directement à ses utilisateurs finaux, conformément à ses Conditions d'utilisation et ses Règles de confidentialité. De nombreuses fonctionnalités des applications G Suite existent également dans les versions grand public de ces mêmes applications. Certains paramètres des services G Suite permettent aux administrateurs d'une organisation de contrôler les paramètres de sécurité et de confidentialité des applications pour leur organisation.

Les versions grand public des applications G Suite sont-elles soumises à l'avenant relatif au traitement des données G Suite ?

Non. Nos conditions relatives au traitement des données G Suite, y compris l'Avenant relatif au traitement des données et les Clauses contractuelles types pour l'Union européenne sont disponibles uniquement pour les clients G Suite. Les versions grand public des applications G Suite sont proposées par Google, conformément à ses Conditions d'utilisation et ses Règles de confidentialité.

Vous pouvez consulter un service de conseil juridique afin de prendre connaissance de vos obligations spécifiques en matière de confidentialité et de protection des données, et pour définir les clauses les mieux adaptées à vos besoins de conformité.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?