Google Cloud et le Règlement général sur la protection des données (RGPD)

Introduction

Règlement général sur la protection des données (RGPD)

Le 25 mai 2018 verra l'entrée en vigueur du plus important texte législatif européen sur la protection des données des 20 dernières années. Le EU General Data Protection Regulation (RGPD) remplace la 1995 EU Data Protection Directive. Le RGPD renforce les droits des individus en ce qui concerne leurs données personnelles et vise à consolider les lois sur la protection des données à l'échelle de l'Europe, indépendamment du lieu de traitement.

Vous avez l'assurance que Google s'est engagée à se conformer aux exigences du RGPD pour tous les services G Suite1 et Google Cloud Platform. Nous œuvrons également à soutenir nos clients dans leurs efforts de conformité au RGPD en leur fournissant les protections robustes en matière de sécurité et de confidentialité que nous avons intégrées à nos services et à nos contrats au fil des années.

Ce que vous pouvez faire

Quelles sont vos responsabilités en tant que client de G Suite ou de GCP?

Les clients de G Suite et de Google Cloud Platform agissent habituellement à titre de responsables du traitement pour toutes les données personnelles fournies à Google dans le cadre de leur utilisation des services de Google. Le responsable du traitement décide des modes de traitement des données personnelles et des usages qui en seront faits, tandis que le sous-traitant se charge de traiter ces mêmes données au nom du responsable du traitement. Lorsque le responsable du traitement utilise G Suite ou Google Cloud Platform, Google agit comme son sous-traitant et, à ce titre, traite les données personnelles en son nom.

Les responsables du traitement sont chargés de mettre en œuvre les mesures techniques et organisationnelles qui permettent de garantir et de prouver que toute opération de traitement des données est conforme au RGPD. Les obligations des responsables répondent à des principes tels que la légalité, l'impartialité et la transparence, la limitation des finalités, la minimisation de la collecte de données et leur exactitude, ainsi que le respect des droits des personnes auxquelles se rapportent les données collectées.

Si vous êtes responsable du traitement, vous trouverez des informations sur vos responsabilités relatives au RGPD en consultant régulièrement le site Web de l'autorité nationale ou chef de file en matière de protection des données dont vous dépendez dans le cadre du RGPD (si applicable)2, ainsi que dans les publications d'associations consacrées à la confidentialité des données comme l'International Association of Privacy Professionals (IAPP).

Il est également conseillé d'obtenir l'avis d'un juriste indépendant quant à votre statut et vos obligations prévus par le RGPD; seul un avocat peut vous fournir un avis juridique qui tient compte de votre situation particulière. Prenez note qu'aucun contenu de ce site Web ne doit être considéré comme un avis juridique ni être utilisé comme substitut d'un tel avis.

Par où commencer?

En tant que futur client ou client actuel de Google Cloud, vous devriez commencer dès maintenant à vous préparer en vue de l'entrée en vigueur du RGPD. Voici quelques conseils pour vous faciliter la tâche :

  • Prenez connaissance des dispositions du RGPD, en particulier des éventuels changements à vos obligations actuelles en matière de protection des données.
  • Pensez à dresser un inventaire récent des données personnelles sous votre responsabilité. Vous pouvez vous servir d'outils comme l'Data Loss Prevention API pour identifier et catégoriser les données.
  • Passez en revue les contrôles, politiques et processus en usage pour déterminer s'ils répondent aux exigences du RGPD et concevez un plan pour corriger toute lacune.
  • Cherchez des moyens d'intégrer les fonctionnalités de protection des données existantes de Google Cloud à votre propre plan de conformité réglementaire. La documentation relative aux processus de vérification et de certification tiers pour G Suite ou Google Cloud Platform peut s'avérer utile lors de cet exercice.
  • Surveillez la publication de mises à jour de directives réglementaires et consultez un avocat pour obtenir un avis juridique s'appliquant expressément à votre situation.

1 G Suite comprend G Suite for Business et G Suite for Education.

2 Nous vous recommandons d'obtenir l'avis d'un juriste indépendant pour connaître l'autorité nationale ou chef de file en matière de protection des données dont vous dépendez.

CE QUE NOUS FAISONS

Engagements de G Suite et Google Cloud Platform 
envers le RGPD

Les responsables du traitement sont entre autres tenus de faire uniquement appel à des sous-traitants qui peuvent attester de leur capacité à mettre en œuvre des mesures techniques et organisationnelles permettant de satisfaire aux exigences du RGPD. Voici quelques points à prendre en compte lors de votre évaluation des services G Suite et Google Cloud Platform.

SAVOIR, CRÉDIBILITÉ ET RESSOURCES D'EXPERTS

Expertise en matière de protection des données

Google emploie des professionnels de la sécurité et de la confidentialité parmi lesquels figurent les plus grands experts au monde en matière de sécurité des informations, des applications et des réseaux. Cette équipe est chargée de la maintenance des systèmes de défense de l'entreprise, de l’élaboration de processus d'examen de la sécurité, de la création de l'infrastructure de sécurité et de la mise en œuvre des politiques de Google en matière de sécurité.

Google emploie également une équipe composée d'avocats, d'experts en conformité réglementaire et de spécialistes des politiques publiques qui s'occupe des questions de conformité aux exigences de sécurité et de confidentialité pour Google.

Ces équipes travaillent avec les clients, les acteurs de l’industrie et les organismes de supervision pour façonner nos services G Suite et Google Cloud Platform afin qu'ils répondent aux besoins des clients en matière de conformité.

ENGAGEMENTS ENVERS LA PROTECTION DES DONNÉES

Contrats de traitement des données

Les modalités régissant le traitement des données pour G Suite et Google Cloud Platform formulent à nos clients nos engagements envers la confidentialité de manière explicite. Ces modalités ont évolué au fil des années pour intégrer les commentaires et recommandations de nos clients et des autorités de régulation, et seront modifiées pour répondre aux nouvelles exigences introduites par le RGPD.

Traitement conforme aux instructions

Conformément à nos contrats de traitement des données, le traitement de toute donnée transmise à nos systèmes par un client ou ses utilisateurs respectera strictement les instructions du client.

Engagements du personnel envers la confidentialité

Tous les employés de Google sont tenus de signer un accord de confidentialité et de suivre des formations sur la confidentialité et la protection de la vie privée en plus de la formation à notre Code de conduite. Le code de conduite de Google aborde expressément les responsabilités et les comportements attendus en ce qui concerne la protection de l'information.

Utilisation de sous-processeurs

La majorité des opérations de traitement des données nécessaires à la prestation des services G Suite et Google Cloud Platform est assurée par des entreprises du groupe Google. Nous faisons toutefois appel à des fournisseurs tiers pour nous aider à fournir ces services. Chaque fournisseur est soumis à un processus de sélection rigoureux qui vise à déterminer s'il possède l'expertise technique requise et la capacité de fournir le niveau de sécurité et de confidentialité exigé.

Les informations sur les entreprises du groupe Google qui soutiennent les services G Suite et Google Cloud Platform, ainsi que sur les sous-traitants tiers impliqués dans la prestation de ces services, sont librement accessibles.

SÉCURITÉ DES SERVICES

Le RGPD exige que le responsable et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles qui permettent d'assurer un niveau de sécurité proportionnel au risque encouru.

Google exploite une infrastructure globale conçue pour fournir une sécurité optimale tout au long du cycle de traitement de l'information. Cette infrastructure vise à assurer la sécurité du déploiement des services, du stockage des données (grâce à des mesures de sécurité à l'intention des utilisateurs finaux), des communications entre les services, des communications avec les clients sur Internet et de la gestion des services par les administrateurs. G Suite et Google Cloud Platform s'appuient sur cette infrastructure.

La sécurité de notre infrastructure est composée de couches qui reposent les unes sur les autres, de la sécurité physique des centres de données aux protections intégrées au matériel et aux logiciels, en passant par les processus servant à assurer la sécurité des opérations. Cette protection à plusieurs niveaux constitue une base solide et sécurisée sur laquelle s'appuient toutes nos activités. Vous trouverez une présentation détaillée de notre sécurité d'infrastructure dans le document Google Infrastructure Security Design Overview.

Disponibilité, intégrité et résilience

Les composantes de notre plateforme sont conçues pour présenter une grande redondance. Les centres de données de Google sont répartis de manière à minimiser les effets des perturbations localisées telles que les catastrophes naturelles ou les pannes de courant sur la disponibilité des produits à l'échelle mondiale. Dans l'éventualité d'un problème matériel, logiciel ou réseau, les services sont automatiquement et instantanément transférés de l'installation affectée à une autre afin de permettre la poursuite ininterrompue des opérations. Notre infrastructure hautement redondante aide les clients à se prémunir contre la perte de données.

Test

Google effectue annuellement des tests de récupération après sinistre afin de fournir aux équipes responsables de l'infrastructure et des applications une plateforme coordonnée pour évaluer leurs plans de communication, leurs scénarios de basculement, leurs processus de transition opérationnelle et d'autres dispositifs d'urgence. Toutes les équipes qui participent à l'exercice de récupération après sinistre élaborent des plans de test puis créent des bilans afin de documenter les résultats et les leçons tirées des tests effectués.

Cryptage

Google protège les données en transit et stationnaires à l'aide de procédés de cryptage. Les données en transit vers G Suite sont protégées grâce au protocole HTTPS, qui est activé par défaut pour tous les utilisateurs. Les services G Suite et Google Cloud Platform protègent le contenu des clients stocké de manière stationnaire à l'aide d'un ou de plusieurs mécanismes de cryptage, sans que les clients n'aient à intervenir. Vous trouverez une présentation détaillée de nos procédés de cryptage dans le document How Google Uses Encryption to Protect Your Data.

Contrôles d'accès

Les droits et niveaux d'accès des employés de Google sont attribués en fonction du poste occupé, selon les principes de privilège minimal et d'accès sélectif afin de faire correspondre les privilèges d'accès aux responsabilités définies. Les demandes d'accès supplémentaires suivent un processus formel qui implique l'émission d'une requête, puis son approbation par un propriétaire, gestionnaire ou directeur des données ou du système, comme le stipulent les politiques de Google en matière de sécurité.

Gestion des vulnérabilités

Nous surveillons constamment la présence de vulnérabilités logicielles en utilisant une combinaison d'outils tiers et d'outils internes dédiés, de tests intensifs de pénétration manuels et automatisés, de processus d'assurance-qualité, d'évaluations de la sécurité des logiciels et de vérifications externes. Nous comptons également sur la grande communauté de chercheurs en sécurité et apprécions grandement son apport à l'identification des vulnérabilités présentes dans G Suite, Google Cloud Platform et d'autres produits Google. Le Vulnerability Reward Program encourage les chercheurs à signaler les problèmes de conception et de mise en œuvre susceptibles de représenter un danger pour la sécurité des données des clients.

Sécurité des produits : G Suite

Les clients de G Suite peuvent exploiter les fonctionnalités et configurations des produits pour protéger davantage les données personnelles contre tout traitement illégal ou non autorisé :

Rendez-vous sur https://gsuite.google.com/security pour en savoir plus.

Sécurité des produits : GCP

Les clients de GCP peuvent exploiter les fonctionnalités et configurations des produits pour protéger davantage les données personnelles contre tout traitement illégal ou non autorisé :

  • La validation en deux étapes diminue grandement le risque d'accès non autorisé en exigeant une preuve d'identité supplémentaire lors de l'ouverture de session. L'utilisation d'une clé de sécurité fournit un niveau de sécurité supplémentaire pour les comptes d'utilisateur grâce à l'introduction d'une clé matérielle.
  • La fonctionnalité Identity and Access Management de Google Cloud (Cloud IAM) vous permet de créer et de gérer en détail les accès et les autorisations de modification pour les ressources Google Cloud Platform.
  • L'API de prévention de la perte de données aide à identifier et à surveiller le traitement de catégories particulières de données personnelles en vue de la mise en œuvre de contrôles adéquats.
  • Stackdriver Logging et Stackdriver Monitoring intègrent des systèmes de connexion, de surveillance, d'alertes et de détection des anomalies à Google Cloud Platform.
  • Cloud Identity-Aware Proxy (Cloud IAP) contrôle l'accès aux applications en nuage qui s'exécutent sur Google Cloud Platform.
  • Cloud Security Scanner recherche et détecte les failles communes dans les applications Google App Engine.

Rendez-vous sur https://cloud.google.com/security/ pour en savoir plus.

Restitution et suppression des données

Durant la période de validité du contrat, les administrateurs peuvent toujours exporter les données clients par l'entremise des services G Suite ou Google Cloud Platform. Nos modalités régissant le traitement des données incluent depuis plusieurs années des engagements relatifs à l'exportation de données, et nous cherchons constamment à renforcer les capacités des services G Suite et de chacun des services Google Cloud Platform en matière d'exportation des données (consultez la documentation relative à Google Cloud Platform pour en savoir plus).

Vous pouvez également supprimer des données clients à tout moment par l'entremise des services G Suite ou Google Cloud Platform. À la réception de votre instruction de suppression intégrale (par exemple lorsqu'un courriel que vous avez supprimé ne peut plus être récupéré à partir de la corbeille), Google supprimera les données clients associées de tous ses systèmes dans un délai maximal de 180 jours, excepté si elles font l'objet d'une obligation de conservation.

Soutien au responsable du traitement

Droits des personnes concernées

Les consoles et services d'administration de G Suite et de Google Cloud Platform permettent aux responsables du traitement de consulter, de rectifier ou de supprimer toute donnée qu'ils ou leurs utilisateurs ont envoyé à nos systèmes, ou encore d'en restreindre le traitement. Cette fonctionnalité les aide à remplir leurs obligations envers les personnes concernées qui demandent à exercer leurs droits dans le cadre du RGPD.

Canal dédié à la protection des données

Nos clients de G Suite et de Google Cloud Platform ont accès à un canal dédié pour toute demande relative à la protection des données.

Alertes d'incident

Les contrats de G Suite et Google Cloud Platform contiennent depuis de nombreuses années des dispositions concernant les alertes d'incident. Nous continuerons à vous alerter rapidement pour tout incident affectant vos données clients conformément aux modalités relatives aux incidents impliquant des données prévues à nos contrats.

Transferts de données internationaux

Le RGPD fournit différents mécanismes qui facilitent le transfert de données personnelles en dehors de l'UE. Ces mécanismes visent à garantir un niveau de protection adéquat ou à assurer l'adoption de mesures de sécurité appropriées lors du transfert de données personnelles vers un pays non membre.

Les mesures de sécurité appropriées peuvent être assurées par des clauses types de contrat. L'adéquation du niveau de protection peut être validée au regard de décisions en la matière comme celles qui sous-tendent l'entente Privacy Shield entre l'UE et les États-Unis.

Nous nous engageons par contrat à assurer un mécanisme facilitant le transfert de données personnelles en dehors de l'UE comme l'exige la Directive sur la protection des données, et souscrirons à un engagement équivalent dans le cadre du RGPD.

La certification de Google relative aux ententes Privacy Shield entre l'UE et les États-Unis et la Suisse et les États-Unis inclut G Suite et Google Cloud Platform. Nos clauses types de contrat ont également été déclarées conformes par les autorités européennes chargées de la protection des données, ce qui confirme que nos engagements contractuels en vigueur pour G Suite et Google Cloud Platform satisfont entièrement aux exigences de la Directive sur la protection des données personnelles en ce qui concerne l'encadrement légal des transferts de données personnelles de l'UE vers des pays non membres.

Normes et certifications

Nos clients et les autorités de réglementation s'attendent à ce que nos contrôles de sécurité, de confidentialité et de conformité soient soumis à des vérifications indépendantes. Afin de répondre à cette exigence, G Suite et Google Cloud Platform subissent régulièrement plusieurs vérifications menées par des tiers indépendants.

  • ISO 27001 (gestion de la sécurité de l'information)

    La norme ISO 27001 est l'une des normes de sécurité indépendantes les plus reconnues et répandues dans le monde. Google a obtenu la certification ISO 27001 pour les systèmes, les applications, les personnes, les technologies, les processus et les centres de données qui composent notre infrastructure commune partagée ainsi que pour les produits G Suite et Google Cloud Platform.

  • ISO 27017 (sécurité des services en nuage)

    La norme ISO 27017 est un code de pratiques international régissant les contrôles de sécurité de l'information, spécifique aux services en nuage et basé sur la norme ISO/IEC 27002. Google a obtenu la certification ISO 27017 pour G Suite et Google Cloud Platform.

  • ISO 27018 (confidentialité des services en nuage)

    La norme ISO 27018 est un code de pratiques international régissant la protection des données à caractère personnel dans les services en nuage accessibles publiquement. Google a obtenu la certification ISO 27018 pour G Suite et Google Cloud Platform.

  • SSAE16/ISAE 3402 (SOC 2/3)

    Les cadres de vérification SOC 2 (pour « Service Organization Controls ») et SOC 3 de l'American Institute of Certified Public Accountants (AICPA) définissent les principes de confiance et les critères de sécurité, de disponibilité, d'intégrité du traitement et de confidentialité. Google a fait l'objet de rapports SOC 2 et SOC 3 pour Google Cloud Platform et G Suite.

Foire aux questions

Qu'est-ce que le RGPD?
Le Règlement général sur la protection des données est un nouveau texte législatif de l'UE sur la confidentialité qui remplacera la Directive 95/46/CE sur la protection des données personnelles du 24 octobre 1995.
Quand le RGPD entrera-t-il en vigueur?
Le RGPD entrera en vigueur dans tous les pays membres de l'Union européenne le 25 mai 2018.
Le RGPD exige-t-il que les données personnelles soient stockées dans l'UE?
Non. À l'instar de la Directive 95/46/CE sur la protection des données personnelles, le RGPD établit certaines conditions régissant le transfert de données personnelles à l'extérieur de l'UE. Le respect de ces conditions peut être assuré par des dispositifs tels que des clauses types de contrat.
Les clients auront-ils le droit d'effectuer des vérifications de Google Cloud dans le cadre du RGPD?
Le RGPD exige que les contrats conclus avec les sous-traitants prévoient des dispositions accordant des droits de vérification aux responsables du traitement. Par conséquent, nos modalités régissant le traitement des données incluront dorénavant les droits de vérification de nos clients.
Quel est le rôle des rapports tiers ISO 27001, ISO 27017, ISO 27018 et SOC 2/3 dans la conformité avec le RGPD?
Les clients peuvent tirer parti de nos certifications ISO et de nos rapports de vérification SOC 2/3 tiers pour effectuer leurs évaluations des risques et déterminer si les mesures techniques et organisationnelles adéquates sont en place.
Google a-t-elle publié d'autres informations concernant le RGPD?