ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Confidentialité et sécurité des données sur Google Drive

Protection des données chez Google
Catégories :

Google Drive et le RGPD

Google Drive est l'un des services d'hébergement de fichiers les plus connus. Google Drive permet à ses utilisateurs de stocker des documents dans le nuage, de partager des fichiers et d'éditer des documents en commun. Google Drive comprend Google Docs, Sheets, Slides et Forms, un ensemble de logiciels bureautiques qui permet de travailler ensemble sur des documents, des tableaux, des présentations, etc. Les fichiers partagés publiquement sur Google Drive peuvent être trouvés à l'aide de moteurs de recherche Internet. Jusque-là, tout va bien. Mais qu'en est-il de la protection des données dans Google Drive ? A quoi les entreprises doivent-elles faire attention si elles souhaitent utiliser ce service ?

 

Exigences en matière de protection des données pour les prestataires de services cloud de pays tiers

 

L'une des principales nouveautés du RGPD est l'établissement du principe dit du "lieu du marché". Si une entreprise, où qu'elle se trouve dans le monde, propose des produits ou des services à des citoyens de l'Union européenne, elle doit se conformer aux dispositions du RGPD. Inversement, les entreprises européennes sont tenues d'assurer la protection des données en cas d'exportation de données vers un fournisseur de services en nuage.

Au sein de l'UE, des contrats de sous-traitance sont conclus à cet effet conformément à l'article 28 du RGPD. Si les données à caractère personnel sont confiées à un prestataire de services établi dans un pays tiers, les accès pour un "trouble shooting" occasionnel étant déjà suffisants dans ce cas, des clauses contractuelles standard et des mesures complémentaires supplémentaires doivent généralement être prises afin de garantir un niveau de protection des données adéquat dans le pays tiers.

Des mesures complémentaires peuvent consister en un cryptage ou une anonymisation des données à exporter. Ainsi, la confidentialité des données doit être assurée contre l'accès par les autorités ou les services secrets, ce qui peut se produire en toute légalité aux États-Unis. En cas de cryptage, il faut veiller à ce que la clé reste entre les mains du donneur d'ordre, c'est-à-dire, dans ce cas, pas chez Google.

 

Que propose Google à ses clients après "Schrems II" ?

 

La réponse à cette question doit être assez plate : Google propose beaucoup de choses, mais malheureusement pas grand-chose d'utilisable. Ainsi, il n'existe pas d'information selon l'article 13 du RGPD pour le produit Google Drive, mais pour tous les services Google : "La présente déclaration de confidentialité s'applique à tous les services proposés par Google LLC et ses sociétés affiliées, y compris YouTube, Android et les services fournis sur les sites web de tiers, comme les services publicitaires". Difficile de faire plus confus et, selon l'auteur de ces lignes, cela va à l'encontre des obligations de transparence du RGPD. Les nombreuses vidéos sur la déclaration de protection des données n'y changent rien. Un langage clair et simple serait nettement plus utile.

En ce qui concerne le transfert de données vers les États-Unis, Google travaille avec les nouvelles clauses contractuelles standard et propose un modèle pré-rempli du module 2 EU-Controller-to-processor. Toutefois, la transparence en matière de protection des données et de Google Drive reste ici aussi lettre morte lorsque, par exemple, l'annexe I des clauses contractuelles types décrit les catégories de données comme suit : "Family, lifestyle and social circumstances, including any information relating to the family of the data subject and the data subject's lifestyle and social circumstances, including details of family and other household members, habits, housing, travel details, leisure activities, and membership of charitable or voluntary organisations". Des descriptions exhaustives similaires existent également pour les "Personal details", "Employment Details", "Financial details", "Education and training details", etc. Là encore, ce n'est pas vraiment transparent.

 

Évaluation de l'impact du transfert

 

Avec les nouvelles clauses contractuelles standard, il existe désormais une obligation d'effectuer un "Transfer Impact Assessment", une évaluation d'impact sur la protection des données complète et spécifique à chaque cas avant un transfert vers un pays tiers. Dans ce contexte, il convient de répondre à la question de contrôle suivante : Google peut-il et va-t-il effectivement respecter les obligations qui lui sont imposées par contrat en vertu du RGPD ? Pour répondre à cette question, il faudrait parcourir les nombreux documents, annexes, vidéos et autres liens que Google a déposés ici. Reste à savoir si l'on trouvera finalement toutes les informations nécessaires à une déclaration solide.

Et maintenant ?

Google, en tant que "géant de l'Internet" standardisé de bout en bout, ne répondra guère aux besoins de clarification des petites et moyennes entreprises, même en ce qui concerne Google Drive et le RGPD. La conclusion des clauses contractuelles standard proposées se fera selon le principe du "délai ou de la mort". Les entreprises devraient donc prendre des mesures de sécurité supplémentaires de manière proactive et, si elles optent pour Google Drive, ne télécharger que des données fortement cryptées et ne pas confier la clé à n'importe qui.

Ce serait une possibilité de garantir au moins quelque peu la protection des données sur Google Drive en Allemagne. Après tout, il faudra encore attendre un peu avant que le cryptage homomorphe ne soit utilisé à grande échelle. C'est avec plaisir que 2B Advice soutient votre entreprise dans l'évaluation de l'utilisation de Google Drive du point de vue de la protection des données, en particulier dans la réalisation du Transfer Impact Assessment.

Les tags :
Partager ce post :
fr_FRFrench