Conformité

Nous sommes fiers de respecter de nombreuses réglementations à travers le monde et dans différents secteurs tels que la santé et l'enseignement. Vous pouvez utiliser nos services en ayant l'assurance que Google fournit les outils et les dispositifs de contrôle pour répondre à vos exigences de conformité.

Nous recevons de nombreuses questions à ce sujet. Afin de vous donner des éléments de réponse, nous avons créé la présente FAQ, ainsi qu'un site sur la sécurité dans Google Workspace. Nous espérons ainsi répondre à vos interrogations quant au positionnement de Google sur ces sujets importants. Pensez à consulter les Règles de confidentialité et Conditions d'utilisation de Google pour obtenir des outils et des informations sur la confidentialité des données du grand public.

Pour savoir comment signaler un cas d'utilisation abusive à notre équipe, consultez cette page d'informations

Comment puis-je vérifier la sécurité de Google Workspace et de Google Cloud Platform ?

Nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour satisfaire à cette obligation, Google se soumet régulièrement à différents audits conduits par des tiers indépendants. Ces vérifications garantissent que les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations ont été inspectés par un professionnel indépendant. Les solutions de Google sont régulièrement soumises à des audits portant sur les normes suivantes :

  • SOC1 (SSAE-18/ISAE-3402)—Google Workspace et Google Cloud Platform
  • SOC2 : Google Workspace et Google Cloud Platform 
  • SOC3 : Google Workspace et Google Cloud Platform
  • ISO27001 : Google Workspace et Google Cloud Platform
  • ISO27017 : Google Workspace et Google Cloud Platform
  • ISO27018 : Google Workspace et Google Cloud Platform
  • ISO27701 : Google Workspace et Google Cloud Platform
  • HIPAA : Google Workspace et Google Cloud Platform
  • FedRAMP : Google Workspace et Google Cloud Platform
Puis-je obtenir un exemplaire de ces certificats et de ces rapports d'audit ? Où puis-je télécharger le rapport d'audit SOC3 ? Où puis-je voir le certificat ISO 27001 de Google ?

Les rapports SOC3 prouvent que nos dispositifs de contrôle ont bien été examinés par un agent indépendant. Dans son rapport, ce professionnel examine la ou les déclarations de la direction quant à la fiabilité de l'entreprise, et indique si les éléments fournis sont conformes aux principes et critères caractérisant les services de confiance.

Les certificats ISO 27001 prouvent le champ d'application fonctionnel de la norme ISO/IEC 27001:2013. La certification se limite aux éditions Google Workspace (et Google Workspace for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics et Analytics Premium, ainsi qu'aux données contenues ou collectées dans ces éditions et services spécifiques.

Vous pouvez obtenir une copie de ces rapports de conformité dans le gestionnaire des rapports de conformité en vous connectant à votre compte. 

Par quels moyens Google se conforme-t-il aux exigences européennes en matière de protection des données ?

Google dispose d'une large clientèle en Europe. Plus de 50 % de nos clients professionnels sont situés hors des États-Unis. Google fournit des engagements contractuels et des fonctionnalités destinés à répondre aux recommandations du Groupe de travail de l'Article 29 sur la protection des données. Google propose de signer l'Avenant relatif au traitement des données (DPA) pour Google Workspace et les Conditions relatives à la Sécurité et au Traitement des Données (DPST) pour Google Cloud Platform. Google Cloud propose à ses clients des clauses contractuelles types, qui sont déjà intégrées dans nos DPST et notre DPA.

Pour accepter notre avenant relatif au traitement des données, procédez comme suit :

En complément d'audits de nos pratiques de protection des données par des tiers indépendants, de notre certification ISO 27001, et du contrôle que nos pratiques de confidentialité et nos engagements contractuels respectent la norme ISO/IEC 27018:2014, nous offrons à nos clients plusieurs possibilités pour être en conformité avec les réglementations européennes sur la protection des données.

Les lois européennes de protection des données n'imposent-elles pas le stockage des données personnelles au sein de l'UE/EEE ?

La Directive sur la protection des données de la Commission européenne est un élément important de la législation sur la confidentialité adoptée par l'Union européenne (UE) en 1995. Elle limite les transferts de données depuis l'Union européenne vers des pays non-membres de l'UE qui ne respectent pas le niveau de protection "adéquat" défini par l'UE en matière de protection de la vie privée. Un des moyens de se conformer à cette directive consiste à effectuer le traitement des données à caractère personnel au sein de l'UE. Le stockage des données dans l'UE est un moyen parmi d'autres de respecter cette législation. L'utilisation de clauses contractuelles types approuvées par la Commission européenne est aussi possible.

Google Cloud propose à ses clients des clauses contractuelles types, qui sont déjà intégrées dans nos DPST et notre DPA. Les clients qui souhaitent accepter ces clauses contractuelles types séparément peuvent le faire en suivant la procédure en ligne appropriée (pour Google Workspace et pour GCP). 

Qu'en est-il du gouvernement des États-Unis ? Les données stockées hors des États-Unis échappent-elles aux demandes de récupération formulées par le gouvernement des États-Unis ?

Le stockage de vos données dans un pays spécifique ne les protège pas nécessairement d'un accès par des autorités étrangères. Le fait que les données soient situées dans une juridiction ne signifie pas qu'une autre ne puisse pas demander leur divulgation. En outre, des rapports existent sur des tentatives par des gouvernements de se connecter directement à des câbles reliant différents centres de données dans le monde. C'est la raison pour laquelle nous nous positionnons pour une réforme de la législation sur la surveillance. Nous refusons de fournir aux gouvernements un accès à nos systèmes ou d'installer des dispositifs qui leur offrent un accès aux données des utilisateurs. Pour en savoir plus sur la façon dont les demandes de données du gouvernement sont traitées, consultez la page de Google consacrée à la Transparence des informations.

Où mes données sont-elles stockées par Google ?

Vos données sont stockées dans le réseau de centres de données de Google. Google gère un certain nombre de centres de données répartis dans différents endroits. Les clusters informatiques de Google sont conçus dans un souci de résilience et de redondance, afin de réduire l'impact des pannes matérielles courantes et les risques environnementaux, et de corriger tous les points de défaillance uniques.

Puis-je stocker des données de santé dans les systèmes Google ?

Google Workspace permet à nos clients de se conformer à la loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996. Les clients tenus de respecter la loi HIPAA souhaitant utiliser Google Workspace et stocker des données de santé protégées (dites "PHI") doivent signer un accord de partenariat avec Google. Les administrateurs des organisations disposant de Google Workspace, Google Workspace for Education et Google Workspace for Government peuvent demander un accord de partenariat avant d'utiliser les services Google pour le stockage de données de santé protégées. Pour obtenir la liste des fonctionnalités Google Workspace compatibles avec la loi HIPAA, cliquez ici.

Les produits Google respectent-ils les exigences de confidentialité pour une utilisation par des élèves ou des enfants ?

Plus de 40 millions d'étudiants font confiance à Google Workspace for Education. Nous nous engageons à faire en sorte que ce service soit conforme à la loi FERPA (Family Educational Rights and Privacy Act), et cet engagement est inscrit dans nos contrats. Les établissements scolaires qui utilisent Google Workspace for Education sont contractuellement tenus d'obtenir l'accord parental quant à l'utilisation de notre service en conformité avec la loi américaine COPPA (Child Online Privacy Protection Act), ce qui nous permet de nous conformer plus facilement à ses exigences.

Les institutions gouvernementales des États-Unis peuvent-elles utiliser Google ?

La loi FISMA (Federal Information Security Management Act) de 2002 est une loi fédérale des États-Unis relative à la sécurité des systèmes d'information des organismes fédéraux. Cette loi s'applique à tous les systèmes d'information utilisés ou gérés par les organismes fédéraux aux États-Unis, ou par des sous-traitants ou d'autres organisations agissant pour le compte du gouvernement.

Le FedRAMP (Federal Risk and Authorization Management Program) met en œuvre la loi FISMA pour les organismes fédéraux des États-Unis qui utilisent des services de cloud computing. Il s'agit d'une norme de conformité obligatoire pour les organismes fédéraux en matière de sécurité cloud.

Google Workspace, y compris Google Workspace, Google Workspace for Education, Google Workspace for Nonprofits et Google Workspace for Government, et Google App Engine ont obtenu un agrément d'exploitation FedRAMP au niveau d'impact modéré FIPS 199, soit le niveau standard pour la catégorie des informations non classifiées contrôlées (Controlled Unclassified Information).

Mon organisation gère les données de cartes de paiement et est soumise à la norme PCI DSS. Quels sont les outils me permettant de respecter cette norme ?

La norme PCI DSS (Payment Card Industry Data Security Standard) regroupe des règles et des exigences techniques s'appliquant aux systèmes contenant ou traitant des informations concernant les cartes de paiement. Après contrôle par un évaluateur de sécurité qualifié (QSA, Qualified Security Assessor), il a été attesté que le service Google Cloud Platform est conforme aux normes PCI DSS. Google se base sur le rapport de conformité établi par l'évaluateur pour garantir aux développeurs d'applications qu'ils peuvent créer et gérer leurs propres solutions de conformité et de sécurité à l'aide de la plate-forme. Google Workspace n'est pas un service destiné à traiter ou à stocker des transactions par carte de paiement. Par conséquent, les clients peuvent mettre en place des moyens de contrôle leur permettant d'éviter l'envoi d'e-mails contenant des informations de carte de paiement depuis Google Workspace. Cette mesure aide nos clients à se mettre en conformité avec la norme PCI DSS. 

Google Cloud Platform se soumet tous les ans à un audit tiers pour certifier certains produits au regard de la norme PCI DSS. En d'autres termes, ces services offrent une infrastructure sur laquelle les clients peuvent concevoir leurs propres services ou applications qui stockent, traitent ou transmettent les données de titulaires de cartes. Il est important de noter qu'il incombe toujours aux clients de s'assurer que leurs applications sont conformes à la norme PCI DSS. Pour savoir comment mettre en œuvre la norme PCI DSS dans votre application avec Google Cloud Platform, consultez Conformité avec la norme de sécurité des données PCI.

Quels sont les outils d'ediscovery mis à la disposition de mon organisation pour répondre aux demandes de conformité et aux demandes légales ?

Google Vault est un module complémentaire de Google Workspace qui vous permet de conserver, d'archiver, de rechercher et d'exporter les e-mails de votre organisation à des fins de conformité et d'ediscovery. L'application fonctionnant intégralement sur le Web, il n'y a aucun logiciel à installer ni aucune maintenance à réaliser. Avec Vault vous pouvez :

  • conserver les données aussi longtemps que vous le souhaitez ;
  • supprimer les données dès que vous n'en avez plus besoin ;
  • rechercher, appliquer une obligation de conservation et exporter les données qui vous intéressent.

Pour en savoir plus, consultez Qu'est-ce que Google Vault ?

Puis-je utiliser les services de Google avec des données contrôlées en vertu de la loi ITAR de réglementation du trafic d'armes au niveau international (International Traffic in Arms Regulations) ?

La loi ITAR est un ensemble de règlements du gouvernement des États-Unis servant à contrôler les importations et exportations de biens et de services liés à la défense, et recensés dans la liste des matériels de guerre et assimilés américains (USML, United States Munitions List). L'utilisation de nos services avec des données soumises à la loi ITAR n'est pas acceptée par Google.

Comment les services cloud de Google se mettent-ils en conformité avec le Règlement général sur la protection des données (RGPD) de l'UE ?

Le Règlement général sur la protection des données (RGPD) remplace la Directive européenne de Protection des données à caractère personnel de 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données en Europe, quel que soit le pays où les données sont traitées.

Vous pouvez compter sur notre engagement à respecter le RGPD sur l'ensemble des services Google Workspace et Google Cloud Platform. Nous avons également à cœur d'aider nos clients à se conformer aux exigences du RGPD en leur offrant la protection efficace en matière de confidentialité et de sécurité que nous avons intégrée à nos services et contrats au fil des ans.

Entre autres obligations, les responsables du traitement doivent uniquement faire appel à des sous-traitants des données capables de fournir des garanties suffisantes sur les mesures techniques et organisationnelles appliquées pour assurer la conformité du traitement avec le RGPD.

Nos conditions relatives au traitement des données pour Google Workspace et Google Cloud Platform définissent clairement nos engagements envers les clients en matière de confidentialité. Nous avons adapté ces règles au fil des ans en tenant compte des commentaires de nos clients et des autorités de régulation, et les avons mises à jour conformément aux modifications apportées au RGPD.

Pour en savoir plus, consultez notre site relatif au RGPD.

Quelle est la différence entre Google Workspace et les versions grand public des applications Google Workspace ?

Google propose les services Google Workspace aux organisations, conformément aux conditions d'utilisation de Google Workspace et de l'Avenant relatif au traitement des données, et les applications grand public directement à ses utilisateurs finaux, conformément à ses Conditions d'utilisation et ses Règles de confidentialité. De nombreuses fonctionnalités des applications Google Workspace existent également dans les versions grand public de ces mêmes applications. Certains paramètres des services Google Workspace permettent aux administrateurs d'une organisation de contrôler les paramètres de sécurité et de confidentialité des applications pour leur organisation.

Google propose-t-il l'avenant relatif au traitement des données Google Workspace pour les versions grand public des applications Google Workspace ?

Non. Nos conditions relatives au traitement des données Google Workspace, y compris l'Avenant relatif au traitement des données et les clauses contractuelles types sont disponibles uniquement pour les clients Google Workspace. Les versions grand public des applications Google Workspace sont proposées par Google, conformément à ses Conditions d'utilisation et ses Règles de confidentialité.

Vous pouvez consulter un service de conseil juridique afin de prendre connaissance de vos obligations spécifiques en matière de confidentialité et de protection des données, et pour définir les clauses les mieux adaptées à vos besoins de conformité.

Par quels moyens Google se conforme-t-il aux exigences du CCAA ?

Nous nous engageons à créer des produits qui sont sécurisés par défaut, privés dès la conception et qui donnent le contrôle aux utilisateurs. Bien que nos règles n'autorisent pas les enfants n'ayant pas atteint l'âge minimal requis à créer un compte Google standard, nous avons tout mis en œuvre pour créer des expériences enrichissantes spécialement destinées aux enfants, aux adolescents et aux familles.  

Nous vous encourageons à vous rapprocher de votre conseiller juridique afin d'évaluer les obligations liées à la réglementation sur la protection de la vie privée des enfants et le code de conception adaptée à l'âge (CCAA). 

Pour les comptes Google Workspace Business et Enterprise, il appartient à l'administrateur du domaine de déterminer si le CCAA s'applique à des utilisateurs de son domaine. Si c'est le cas, nous vous recommandons de désactiver tous les services supplémentaires pour les utilisateurs âgés de moins de 18 ans. En effet, les forfaits Google Workspace Business et Enterprise sont des comptes professionnels. Actuellement, les services supplémentaires accessibles via un compte professionnel ne proposent pas de fonctionnalités de protection de la vie privée destinées aux enfants. Cela ne concerne pas les comptes Google Workspace for Education, pour lesquels les domaines Google Workspace for Education ont implémenté le paramètre d'accès basé sur l'âge (pour plus d'informations, consultez Contrôler l'accès aux services Google selon l'âge).

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?
Applications Google
Menu principal
Rechercher dans le centre d'aide
false