Sécurité des données, transparence et confidentialité

Google s'efforce de gagner et de mériter votre confiance en traitant vos données dans des conditions de conformité, de fiabilité et de sécurité optimales.

Des millions d'entreprises ont choisi G Suite, et 58 % des sociétés classées au Fortune 500 utilisent régulièrement au moins un produit Google payant destiné aux professionnels. G Suite jouit d'une large clientèle internationale, qui représente plus de 50 % de nos entreprises clientes. Ces dernières ont toutes des besoins réglementaires différents. G Suite répond aux exigences de chacune en proposant des fonctionnalités performantes de sécurité, de conformité et de protection des données. Google apporte un savoir et une expertise de premier plan en ce qui concerne la création d'infrastructures et d'applications cloud sécurisées et à grande échelle. Nous ne sommes pas les seuls fournisseurs à tenir ce discours. En revanche, nous sommes persuadés que les actions en matière de sécurité et de confidentialité ne doivent pas être cachées, mais doivent être visibles et comprises par nos clients.

La confiance se fonde sur la connaissance. Et il ne peut y avoir de connaissance sans transparence.

Nous sommes donc heureux de pouvoir vous présenter nos produits et nous vous invitons en particulier à consulter notre documentation détaillée, nos rapports d'audit et nos certifications.

Vos données vous appartiennent

Une bonne protection de la confidentialité repose sur des dispositifs de sécurité solides. Nous avons consacré de nombreuses années au développement d'une infrastructure avancée centrée sur la sécurité pour protéger vos informations.

Vos données vous appartiennent. Les clients G Suite sont propriétaires de leurs données, pas Google. Les données stockées dans nos systèmes appartiennent aux entreprises, aux établissements scolaires et aux étudiants qui les y enregistrent. Google ne vend pas vos données à des tiers. Nous fournissons à nos clients un avenant relatif au traitement des données qui décrit en détail nos engagements quant à la protection de leurs données. Par exemple, l'avenant relatif au traitement des données impose à Google de traiter vos données dans les limites fixées dans votre contrat. De plus, nous nous engageons à effacer vos données de nos systèmes dans un délai de 180 jours à compter de la date à laquelle vous les supprimez de nos services. Enfin, nous fournissons des outils pour vous permettre de récupérer vos données facilement, au cas où vous décideriez de ne plus utiliser nos services, sans pénalités ni frais supplémentaires de notre part.

Absence de publicité

Nous ne diffusons pas de publicités dans les services G Suite, point final. Google ne se sert pas non plus des services G Suite pour collecter ou utiliser les données à des fins publicitaires.

Contrôles relatifs à la sécurité et à la confidentialité

L'administrateur de votre organisation peut adapter les contrôles relatifs à la sécurité et à la confidentialité présents dans G Suite. Par exemple, il peut spécifier, via une règle, si les utilisateurs sont autorisés ou non à partager leurs documents Google Drive en dehors de l'organisation, ou inversement, à accéder aux documents créés en dehors de l'organisation. Les administrateurs peuvent également imposer une authentification en plusieurs étapes, et demander la mise en œuvre de clés de sécurité. Enfin, ils peuvent choisir de recevoir des notifications les informant de tout événement anormal (tentatives de connexion suspectes ou modification des paramètres d'un service par d'autres administrateurs, par exemple).

Une infrastructure fiable et sécurisée

Nous attachons une importance particulière à la protection de vos informations. Chez Google, cette tâche occupe plus de 650 professionnels employés à temps plein, dont certains des plus grands experts en sécurité informatique au monde.

Google investit des millions de dollars pour développer sa technologie et incorporer des dispositifs de sécurité dans ses produits. Voici quelques exemples illustrant à quel point sécurité et fiabilité sont au cœur de nos préoccupations :

  • Google exploite ses centres de données avec du matériel spécifique et des systèmes de fichiers et d'exploitation personnalisés. Chacun de ces systèmes a été pensé pour optimiser la sécurité et les performances. Nous assurons le contrôle de notre parc matériel. Nous sommes donc en mesure de réagir rapidement en cas de menace ou de vulnérabilité portée à notre connaissance.
  • L'architecture réseau et applicative de Google est conçue pour offrir une disponibilité et une fiabilité optimales. Les données sont réparties sur les différents serveurs et centres de données de Google, de sorte que vos données restent toujours accessibles, même lorsqu'une machine, voire un centre de données complet, tombe en panne. Google détient et exploite des centres de données dans le monde entier pour que les services que vous utilisez soient accessibles 24 heures sur 24 et 7 jours sur 7.
  • G Suite offre une disponibilité de 99,9 % garantie par contrat de service et nous avons plus que largement satisfait à cette obligation ces dernières années, notamment avec Gmail, qui a enregistré une disponibilité de 99,978 % en 2013. De plus, nous ne planifions aucune interruption ni période de maintenance pour G Suite. Contrairement à la plupart des fournisseurs, nous ne planifions pas d'arrêt de nos applications, même si nous devons procéder à des mises à jour ou à une maintenance de nos systèmes.
  • Les produits Google sont passés au crible par des experts en confidentialité, sécurité et conformité tout au long de leur cycle de vie. Nous nous assurons ainsi que les données sont traitées correctement et qu'aucun accès imprévu n'est autorisé ni possible.
  • De plus, nous publions pour nos clients, et en temps réel, la disponibilité de nos services sur les tableaux de bord de l'état des services.
  • Google s'efforce en permanence de renforcer le chiffrement et de l'appliquer à de nouveaux liens et services.

Garder une longueur d'avance en matière de sécurité

La sécurité a toujours été l'un des objectifs prioritaires de Google. Voici quelques exemples de nouvelles normes de sécurité que nous avons instaurées :

  • Google est le premier grand fournisseur de services cloud à avoir mis en œuvre la confidentialité de transmission parfaite qui consiste à chiffrer les contenus transférés entre nos serveurs et ceux d'autres sociétés. De nombreux concurrents nous ont emboîté le pas ou se sont engagés à le faire prochainement.
  • Tous les e-mails que vous envoyez ou recevez sont chiffrés durant leurs transferts en interne. Vos messages sont ainsi protégés non seulement lors de leur transfert sur les serveurs de Gmail, mais aussi lors de leur passage d'un centre de données Google à un autre. Nous avons également été les premiers à informer les utilisateurs lorsque leurs e-mails étaient envoyés de manière non sécurisée entre différents fournisseurs, et ce grâce à l'introduction de notre indicateur TLS.
  • L'année dernière, pour se prémunir contre les progrès de l'analyse cryptographique, Google a décidé d'utiliser une clé de chiffrement RSA de 2 048 bits, deux fois plus longue qu'auparavant, et de la modifier à intervalles réguliers de quelques semaines, relevant ainsi la barre pour tout le reste du secteur.
  • Google entretient depuis longtemps des relations privilégiées avec la communauté des chercheurs en sécurité informatique. Afin de remercier toutes les personnes qui, par leur grande expertise, permettent à Google de mieux protéger ses utilisateurs, nous avons mis sur pied un système de primes appelé Vulnerability Reward Program qui s'applique à nos propriétés Web. Google est le premier grand fournisseur de services cloud à proposer un programme de ce type.

Conformité réglementaire

Chez Google, le strict respect des règles de conformité et de confidentialité fait l'objet d'une attention permanente, pour apporter à vos utilisateurs l'assurance que leurs données sont en lieu sûr et resteront confidentielles.

Nos clients et nos régulateurs exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour satisfaire à cette obligation, Google se soumet régulièrement à différents audits réalisés par des tiers indépendants.

Ces vérifications garantissent que les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations ont été inspectés par un professionnel indépendant. Google réalise chaque année des audits relatifs aux normes suivantes :

  • ISO 27001 : une des normes de sécurité indépendantes les plus reconnues et adoptées au niveau international. Google a obtenu la certification pour les systèmes, les applications, les personnes, la technologie, les processus et les centres de données qui fournissent les services G Suite.
  • ISO 27017 : norme internationale sur les bonnes pratiques de contrôle de la sécurité des informations. Elle est basée sur la norme ISO/IEC 27002 et est spécifiquement adaptée aux services cloud.
  • ISO 27018 : norme internationale sur les bonnes pratiques relatives à la protection des informations personnelles dans les services cloud publics.
  • SSAE16 (SOC 1)/ISAE 3402 de type II : cadre d'audit attestant des contrôles mis en place au niveau de l'organisation, en plus des contrôles internes effectués sur les rapports financiers.
  • SOC 2 et SOC 3 : audits encadrant les "principes de confiance", notamment vis-à-vis de la sécurité, de la disponibilité des services, de l'intégrité du traitement des données et de la confidentialité.
  • FedRAMP : programme qui fournit une approche standardisée du contrôle de la sécurité, des autorisations, ainsi que de la surveillance continue en ce qui concerne les produits et services cloud. Google dispose d'un agrément d'exploitation FedRAMP pour G Suite et App Engine.

En matière d'audits tiers, Google s'attache à couvrir l'intégralité de ses prestations de manière à attester le niveau de sécurité de ses services en termes de confidentialité, d'intégrité et de disponibilité des informations. Les clients peuvent s'appuyer sur ces audits tiers pour évaluer la capacité des produits Google à répondre à leurs exigences de conformité et de traitement des données.

Confidentialité des données et clauses contractuelles types pour l'Union européenne

Le Groupe de travail Article 29 est un organe consultatif européen indépendant axé sur la protection et la confidentialité des données. Il a établi des consignes précisant comment se conformer aux exigences européennes en matière de confidentialité des données dans le cadre de relations avec des fournisseurs de services cloud.

50 % de nos clients professionnels sont situés hors des États-Unis.

Google dispose d'une large clientèle en Europe. Comme indiqué précédemment, plus de 50 % de nos entreprises clientes sont basées en dehors des États-Unis. Nos clients opèrent dans différents secteurs réglementés, y compris la finance, l'industrie pharmaceutique et l'industrie manufacturière. Google fournit des engagements contractuels et des fonctionnalités destinés à répondre aux recommandations du Groupe de travail Article 29 en matière de protection des données. Nous avons rédigé des clauses contractuelles types pour les pays de l'Union européenne et un amendement relatif au traitement des données. En plus des autres dispositifs de sécurité et de confidentialité, Google s'engage contractuellement à respecter les principes suivants :

  • Bouclier de protection des données :Google s'engage à respecter le bouclier de protection des données pendant la durée de validité du contrat.
  • Portabilité des données. Les administrateurs peuvent exporter les données du client dans des formats standards à tout moment pendant la durée de validité du contrat. Google ne facture aucuns frais pour l'exportation des données.
  • Google s'engage à respecter les clauses contractuelles types pour l'Union européenne, l'avenant relatif au traitement des données, ainsi que la liste des sous-traitants à qui les données peuvent être transmises.

Nos représentants en Europe et partout dans le monde sont également là pour répondre à vos questions éventuelles.

Loi américaine sur la confidentialité des informations de santé, HIPAA

Nous aidons les clients de G Suite à mettre en œuvre la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996. Les clients soumis à la loi HIPAA et souhaitant traiter ou stocker des renseignements de santé protégés dans G Suite doivent conclure un accord de partenariat (BAA, ou Business Associate Agreement) avec Google. Les administrateurs de domaines G Suite, G Suite for Education et G Suite for Government peuvent demander un accord de partenariat BAA avant d'utiliser les services Google avec des renseignements de santé protégés. L'accord de partenariat BAA de Google couvre les services Gmail, Google Agenda, Google Drive (y compris Docs, Sheets, Slides et Forms), Google Vault et Google Sites.

Loi américaine sur les droits à l'instruction et la protection des renseignements personnels des familles, FERPA

Plus de 40 millions d'étudiants font confiance à G Suite for Education. Nous nous engageons à faire en sorte que ce service soit conforme à la loi FERPA (Family Educational Rights and Privacy Act), et cet engagement est inscrit dans nos contrats.

Loi sur la protection de la vie privée des enfants en ligne de 1998, COPPA

La protection des enfants en ligne est essentielle à nos yeux. Les établissements scolaires qui utilisent G Suite for Education sont tenus par contrat d'obtenir l'accord parental exigé par la loi COPPA pour autoriser l'accès de leurs élèves à nos services, lesquels peuvent être utilisés conformément à cette loi.

FedRAMP (Federal Risk and Authorization Management Program)

La suite de produits G Suite est conforme aux exigences du programme FedRAMP (Federal Risk and Authorization Management Program). FedRamp est la norme de sécurité cloud du gouvernement des États-Unis. Basée sur la notion de "faire une fois, réutiliser souvent", elle permet d'accélérer l'évaluation des agences gouvernementales en matière de sécurité, et d'aider les agences à passer à des solutions cloud sécurisées. Un agrément a été obtenu autorisant l'utilisation des services G Suite par les agences fédérales avec des données ayant un niveau d'impact "modéré" (données permettant d'identifier personnellement les utilisateurs et informations contrôlées non classifiées).

G Suite a également été déclarée conforme aux principes de sécurité du gouvernement du Royaume-Uni ("OFFICIAL" information UK Security Principles).

Google aspire à encore plus de transparence

Nous mettons en lumière l'influence que les administrations et d'autres intervenants peuvent avoir sur votre sécurité et votre vie privée en ligne parce que vous êtes en droit d'accéder à ces informations. Google fait partie de ces entreprises qui ont à cœur d'informer leurs clients des demandes de données qu'elles reçoivent de tiers (comme le prouve ce rapport), et a mis en place un processus transparent pour le traitement de ces demandes. Nous avons été les premiers à publier un rapport sur la transparence des informations (2010), et toutes les procédures légales qui nous sont notifiées y sont désormais publiées, y compris celles émanant des autorités en charge de la sécurité intérieure. Avec d'autres acteurs du secteur, nous avons appelé les autorités à davantage de transparence et de responsabilité en matière de surveillance des personnes et d'accès à leurs informations.

Nous avons été les premiers à publier un rapport sur la transparence des informations (2010).

Le respect de la confidentialité et de la sécurité des données que vous stockez via nos services détermine notre attitude face aux demandes légales. Notre équipe juridique examine chaque demande gouvernementale de données d'utilisateur pour s'assurer qu'elle est conforme à la législation en vigueur et aux règlements de Google. Nous rejetons les demandes trop larges ou non conformes à la procédure. Cela nous arrive fréquemment : par exemple, nous avons amené un tribunal à réduire considérablement la portée d'une demande des autorités américaines (recherches effectuées par un utilisateur pendant deux mois uniquement). Lorsque nous sommes légalement tenus de répondre à ces demandes, nous fournissons les informations requises aux autorités. Si nécessaire, Google informe ses utilisateurs des demandes légales qu'elle reçoit, à moins que la loi ou une ordonnance de tribunal le lui interdise, et publie depuis 2009 des statistiques globales relatives aux demandes gouvernementales de données d'utilisateurs dans son Rapport sur la transparence des informations.

  • Auteur
    Julien Blanchez, Marketing produit, sécurité, Google Cloud

  • Thèmes
    Conformité, Sécurité, Confidentialité

  • Rôles
    Responsable des technologies de l'information

  • Secteurs
    Tous

Pour plus d'informations :