Google Apps est il compatible avec la loi informatique et liberté de la CNIL?

Instituée par la loi du 6 janvier 1978 – dite « Loi Informatique et Libertés », la Commission Nationale de l’Informatique et Libertés est une autorité administrative indépendante créée, à l’origine, pour rassurer l’opinion publique, échaudée par l’annonce d’un projet gouvernemental visant à ficher chaque citoyen par un numéro commun accessible aux différents corps de l’Administration.

Elle vise donc à protéger les données personnelles des individus contre toute utilisation abusive en donnant à ces derniers un droit de regard sur les données les concernant. Elle permet par exemple de mieux contrôler les pratiques de prospection commerciale abusive.

Tout fichier contenant de données personnelles ou "information nominatives" (comme une adresse email, une adresse, une photo, un numéro d'immatriculation, un numéro de téléphone etc.) doit être, selon cette loi, déposé à la CNIL.

Ainsi, en théorie, votre carnet d'adresses de messagerie ou votre CRM (logiciel de Gestion de la Relation Client) doit être déposé.

Heureusement, la CNIL a publié une série de dispenses, parmi lesquelles : Fichiers de fournisseurs (même personnes physiques), de personnes morales, fichiers gérés par les collectivités territoriales dans le cadre de la dématérialisation des services publics, fichiers destinés à la communication externe non-commerciale, fichiers destinés à la comptabilité, fichiers électoraux (pour les communes)...

Selon l'utilisation que vous faites des Google Apps (gestion de carnets d'adresses, des documents hébergés pouvant contenir des données nominatives ou des listes de diffusion en vue d'e-mailings), vous pourrez être tenus de déposer les fichiers en question à la CNIL si ils répondent au critères d'obligation de déclaration.

Cependant, ce dépôt sera-t-il possible?

En effet, une des conditions de validité d'un fichier déposé à la CNIL exige que les données soient hébergées sur le territoire de l'Union Européenne, le Canada, la Suisse, l'Argentine ou dans un lieu considéré comme "adéquat". Dans le cas contraire, l'entreprise serait en infraction avec la loi informatique et liberté car on craindrait que les données personnelles soient accédées par des systèmes externes et malveillants.

Les deux problèmes qui se posent ici sont :
- La confidentialité : Est ce que les données personnelles que vous hébergez sur votre domaine Google Apps ne sont-elles pas "à la merci" de Google qui pourrait les récupérer et les utiliser à des fins commerciales non sollicitées?
- Le lieu d'hébergement de vos données Google apps, le Cloud, est il garanti d'être sur le territoire européen ou dans un lieu adéquat?

La Confidentialité :
Google Apps Professionnel (et Education) est un service d'hébergement de données et de fourniture d'applications en ligne exclusivement. Google n'a aucun droit de regard sur les informations personnelles qui sont hébergées sur ses serveurs, qui restent la propriété entière de l'entreprise cliente. Aucune utilisation ou consultation des données Google Apps professionnelles n'est faite par Google. En gros, lorsque vous hébergez vos données chez Google Apps, c'est comme si vous louez dans une banque un coffre fort dont vous seuls avez la clé.


Le lieu d'hébergement :
Google Apps est hébergé sur le Cloud. Les données sont donc répliquées sur un ensemble de serveurs, afin de répondre aux normes de sécurité et de disponibilité que Google s'impose (notamment pour les clients bancaires et gouvernementaux). Mais qui dit "éparpillé dans le monde" dit peut être en dehors de l'Union Européenne. En fait, les données des clients européens sont hébergées en Europe et dans certains cas aux Etats-Unis.
Il reste dont à savoir, si les serveurs de Google aux Etats-Unis sont considérés comme adéquats par la CNIL.
Comme l'indique le site de la CNIL, sont acceptés les serveurs d'entreprises américaines ayant adhéré au programme Safe Harbor.

Google fait bien entendu partie du programme Safe Harbor, comme on peut le constater sur le site du département du Commerce Américain.

Il est donc, au besoin, tout à fait possible de déposer à la CNIL une liste hébergée sur Google Apps.
Article précedent
Précedent »

7 comments

Write comments
14 mars 2012 à 14:18 delete

OK pour les Apps Professionnel et Education mais qu'en est-il pour les Apps "grand public" gratuites ?

Reply
avatar
Stef!
AUTHOR
15 mars 2012 à 19:56 delete

Les licences gratuites ne bénéficient pas de la même garantie de confidentialité. Google s'autorise de lire les données que vous hébergées pour des analyses statistiques et pour vous proposer de la publicité adaptée. Cependant, Google ne communiquera jamais les données grand public à des tiers.

Concernant le lieu d'hébergement, il est couvert par Safe Harbor de la même façon que pour les licences business, et cette disposition a la préséance.
On peut donc affirmer que les licences grand public, grâce à Safe Harbor sont également protégées.

Reply
avatar
Anonyme
AUTHOR
2 avril 2012 à 11:53 delete

Bonjour,

Google a 2 data centers en Asie (Hong-Kong et Singapour, voir http://www.google.com/about/datacenters/locations/index.html). Selon la CNIL, ces pays ont un niveau non adéquat de protection des données (voir http://www.cnil.fr/pied-de-page/liens/les-autorites-de-controle-dans-le-monde/). Comment est ce que Google se conforme à la loi "informatique et libertés" avec les 2 data centers situés dans ces pays?

Merci beaucoup

Reply
avatar
Stef!
AUTHOR
2 avril 2012 à 18:35 delete

Bonjour,

A partir du moment ou une société a eu l'accréditation "Safe Harbor", c'est que l'autorité a validé que tous ses datacenters, où qu'ils se trouvent, répondent aux normes exigées de protection des données.

Vraissemblablement, les datacenters situés sur ces territoires ne contiennent pas de données personnelles soumise à ces régulations : En effet, il faut noter que la plupart des datacenters de Google n'ont pour seule et unique fonction que de faire fonctionner leur moteur de recherche.

Par exemple, les données Google Apps for Business sont hébergés en Europe et aux Etats-Unis.

Reply
avatar
Anonyme
AUTHOR
30 avril 2012 à 16:21 delete

Dans les pré-requis indiqués pas la CNIL (cf http://www.cnil.fr/vos-responsabilites/le-transfert-de-donnees-a-letranger/ ) le Safe Harbour ne concerne que le transfert de données vers les US.
Etant donné le stockage des données est réparti dans tous les Datacenter de Google, je ne vois pas comment Google peut être conforme aux exigences de la CNIL…
Merci de vos réponses

Reply
avatar
Stef!
AUTHOR
30 avril 2012 à 16:26 delete Ce commentaire a été supprimé par l'auteur.
avatar
Stef!
AUTHOR
30 avril 2012 à 16:26 delete

Bonjour,

Les données des clients Google Apps couverts par le SLA "Google Apps for Business" européens et suisses sont réparties sur 6 serveurs se trouvant exclusivement en Europe, au Canada et aux Etats-Unis.

N'hésitez pas à me contacter en message perso pour en discuter : stef@econsulting.fr

Reply
avatar

Publiez un commentaire ! ConversionConversion EmoticonEmoticon