Google s’efforce de gagner et de mériter votre confiance en traitant vos données dans des conditions de conformité, de fiabilité et de sécurité optimales.
Des millions d’entreprises ont choisi G Suite, et 58 % des sociétés classées au Fortune 500 utilisent régulièrement au moins un produit Google payant destiné aux professionnels. G Suite jouit d’une large clientèle internationale, qui représente plus de 50 % de nos entreprises clientes. Ces dernières ont toutes des besoins réglementaires différents. G Suite répond aux exigences de chacune en proposant des fonctionnalités performantes de sécurité, de conformité et de protection des données. Google apporte un savoir et une expertise de premier plan en ce qui concerne la création d’infrastructures et d’applications cloud sécurisées et à grande échelle. Nous ne sommes pas les seuls fournisseurs à tenir ce discours. En revanche, nous sommes persuadés que les actions en matière de sécurité et de confidentialité ne doivent pas être cachées, mais doivent être visibles et comprises par nos clients.
La confiance se fonde sur la connaissance. Et il ne peut y avoir de connaissance sans transparence.
Nous sommes donc heureux de pouvoir vous présenter nos produits et nous vous invitons en particulier à consulter notre documentation détaillée, nos rapports d’audit et nos certifications.
Une bonne protection de la confidentialité repose sur des dispositifs de sécurité solides. Nous avons consacré de nombreuses années au développement d’une infrastructure avancée centrée sur la sécurité pour protéger vos informations.
Vos données vous appartiennent. Les clients G Suite sont propriétaires de leurs données, pas Google. Les données stockées dans nos systèmes appartiennent aux entreprises, aux établissements scolaires et aux étudiants qui les y enregistrent. Google ne vend pas vos données à des tiers. Nous fournissons à nos clients un avenant relatif au traitement des données qui décrit en détail nos engagements quant à la protection de leurs données. Par exemple, l’avenant relatif au traitement des données impose à Google de traiter vos données dans les limites fixées dans votre contrat. De plus, nous nous engageons à effacer vos données de nos systèmes dans un délai de 180 jours à compter de la date à laquelle vous les supprimez de nos services. Enfin, nous fournissons des outils pour vous permettre de récupérer vos données facilement, au cas où vous décideriez de ne plus utiliser nos services, sans pénalités ni frais supplémentaires de notre part.
Nous ne diffusons pas de publicités dans les services G Suite, point final. Google ne se sert pas non plus des services G Suite pour collecter ou utiliser les données à des fins publicitaires.
L’administrateur de votre organisation peut adapter les contrôles relatifs à la sécurité et à la confidentialité présents dans G Suite. Par exemple, il peut spécifier, via une règle, si les utilisateurs sont autorisés ou non à partager leurs documents Google Drive en dehors de l’organisation, ou inversement, à accéder aux documents créés en dehors de l’organisation. Les administrateurs peuvent également imposer une authentification en plusieurs étapes, et demander la mise en œuvre de clés de sécurité. Enfin, ils peuvent choisir de recevoir des notifications les informant de tout événement anormal (tentatives de connexion suspectes ou modification des paramètres d’un service par d’autres administrateurs, par exemple).
Nous attachons une importance particulière à la protection de vos informations. Chez Google, cette tâche occupe plus de 650 professionnels employés à temps plein, dont certains des plus grands experts en sécurité informatique au monde.
Google investit des millions de dollars pour développer sa technologie et incorporer des dispositifs de sécurité dans ses produits. Voici quelques exemples illustrant à quel point sécurité et fiabilité sont au cœur de nos préoccupations :
La sécurité a toujours été l’un des objectifs prioritaires de Google. Voici quelques exemples de nouvelles normes de sécurité que nous avons instaurées :
Chez Google, le strict respect des règles de conformité et de confidentialité fait l’objet d’une attention permanente, pour apporter à vos utilisateurs l’assurance que leurs données sont en lieu sûr et resteront confidentielles.
Nos clients et nos régulateurs exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour satisfaire à cette obligation, Google se soumet régulièrement à différents audits réalisés par des tiers indépendants.
Ces vérifications garantissent que les dispositifs de contrôle de nos centres de données, de notre infrastructure et de nos opérations ont été inspectés par un professionnel indépendant. Google réalise chaque année des audits relatifs aux normes suivantes :
En matière d’audits tiers, Google s’attache à couvrir l’intégralité de ses prestations de manière à attester le niveau de sécurité de ses services en termes de confidentialité, d’intégrité et de disponibilité des informations. Les clients peuvent s’appuyer sur ces audits tiers pour évaluer la capacité des produits Google à répondre à leurs exigences de conformité et de traitement des données.
Le Groupe de travail Article 29 est un organe consultatif européen indépendant axé sur la protection et la confidentialité des données. Il a établi des consignes précisant comment se conformer aux exigences européennes en matière de confidentialité des données dans le cadre de relations avec des fournisseurs de services cloud.
50 % de nos clients professionnels sont situés hors des États-Unis.
Google dispose d’une large clientèle en Europe. Comme indiqué précédemment, plus de 50 % de nos entreprises clientes sont basées en dehors des États-Unis. Nos clients opèrent dans différents secteurs réglementés, y compris la finance, l’industrie pharmaceutique et l’industrie manufacturière. Google fournit des engagements contractuels et des fonctionnalités destinés à répondre aux recommandations du Groupe de travail Article 29 en matière de protection des données. Nous avons rédigé des clauses contractuelles types pour les pays de l’Union européenne et un amendement relatif au traitement des données. En plus des autres dispositifs de sécurité et de confidentialité, Google s’engage contractuellement à respecter les principes suivants :
Nos représentants en Europe et partout dans le monde sont également là pour répondre à vos questions éventuelles.
Nous aidons les clients de G Suite à mettre en œuvre la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996. Les clients soumis à la loi HIPAA et souhaitant traiter ou stocker des renseignements de santé protégés dans G Suite doivent conclure un accord de partenariat (BAA, ou Business Associate Agreement) avec Google. Les administrateurs de domaines G Suite, G Suite for Education et G Suite for Government peuvent demander un accord de partenariat BAA avant d’utiliser les services Google avec des renseignements de santé protégés. L’accord de partenariat BAA de Google couvre les services Gmail, Google Agenda, Google Drive (y compris Docs, Sheets, Slides et Forms), Google Vault et Google Sites.
Plus de 40 millions d’étudiants font confiance à G Suite for Education. Nous nous engageons à faire en sorte que ce service soit conforme à la loi FERPA (Family Educational Rights and Privacy Act), et cet engagement est inscrit dans nos contrats.
La protection des enfants en ligne est essentielle à nos yeux. Les établissements scolaires qui utilisent G Suite for Education sont tenus par contrat d’obtenir l’accord parental exigé par la loi COPPA pour autoriser l’accès de leurs élèves à nos services, lesquels peuvent être utilisés conformément à cette loi.
La suite de produits G Suite est conforme aux exigences du programme FedRAMP (Federal Risk and Authorization Management Program). FedRamp est la norme de sécurité cloud du gouvernement des États-Unis. Basée sur la notion de « faire une fois, réutiliser souvent », elle permet d’accélérer l’évaluation des agences gouvernementales en matière de sécurité, et d’aider les agences à passer à des solutions cloud sécurisées. Un agrément a été obtenu autorisant l’utilisation des services G Suite par les agences fédérales avec des données ayant un niveau d’impact « modéré » (données permettant d’identifier personnellement les utilisateurs et informations contrôlées non classifiées).
G Suite a également été déclarée conforme aux principes de sécurité du gouvernement du Royaume-Uni (« OFFICIAL » information UK Security Principles).
Nous mettons en lumière l’influence que les administrations et d’autres intervenants peuvent avoir sur votre sécurité et votre vie privée en ligne parce que vous êtes en droit d’accéder à ces informations. Google fait partie de ces entreprises qui ont à cœur d’informer leurs clients des demandes de données qu’elles reçoivent de tiers (comme le prouve ce rapport), et a mis en place un processus transparent pour le traitement de ces demandes. Nous avons été les premiers à publier un rapport sur la transparence des informations (2010), et toutes les procédures légales qui nous sont notifiées y sont désormais publiées, y compris celles émanant des autorités en charge de la sécurité intérieure. Avec d’autres acteurs du secteur, nous avons appelé les autorités à davantage de transparence et de responsabilité en matière de surveillance des personnes et d’accès à leurs informations.
Nous avons été les premiers à publier un rapport sur la transparence des informations (2010).
Le respect de la confidentialité et de la sécurité des données que vous stockez via nos services détermine notre attitude face aux demandes légales. Notre équipe juridique examine chaque demande gouvernementale de données d’utilisateur pour s’assurer qu’elle est conforme à la législation en vigueur et aux règlements de Google. Nous rejetons les demandes trop larges ou non conformes à la procédure. Cela nous arrive fréquemment : par exemple, nous avons amené un tribunal à réduire considérablement la portée d’une demande des autorités américaines (recherches effectuées par un utilisateur pendant deux mois uniquement). Lorsque nous sommes légalement tenus de répondre à ces demandes, nous fournissons les informations requises aux autorités. Si nécessaire, Google informe ses utilisateurs des demandes légales qu’elle reçoit, à moins que la loi ou une ordonnance de tribunal le lui interdise, et publie depuis 2009 des statistiques globales relatives aux demandes gouvernementales de données d’utilisateurs dans son Rapport sur la transparence des informations.