Google laissera les utilisateurs de sa suite bureautique contrôler les transferts de données hors de l’UE
Google veut permettre aux utilisateurs de sa suite bureautique, Google Workspace, de contrôler et limiter les transferts de données en dehors de l’Union européenne.
Google annonce ce 4 mai l’instauration de « nouvelles capacités de contrôle » dans Google Workspace, sa suite bureautique anciennement connue sous le nom de G Suite, pour permettre aux utilisateurs de « contrôler, limiter et surveiller les transferts de données vers et depuis l’Union européenne » à partir de la fin 2022. De nouvelles fonctionnalités seront présentées en 2023.
Cette annonce répond sans aucun doute aux conséquences de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne ; ce texte qui facilitait les transferts de données depuis l’UE vers les Etats-Unis. Depuis, il est beaucoup plus délicat pour une entreprise ou une entité publique de recourir à des services proposés par des entreprises américaines. Car, en vertu du Cloud Act notamment, les autorités peuvent ordonner sous certaines conditions la divulgation des données stockées par des sociétés américaines quelle que soit leur localisation.
« Nous entendons souvent les décideurs politiques et les chefs d’entreprise de l’Union européenne dire qu’il est crucial de garantir la souveraineté de leurs données [stockées] dans le cloud, grâce à la régionalisation et à les contrôles supplémentaires sur l’accès administratif », écrit Javier Soltero, vice-président et directeur général de Google Workspace.
UN CHIFFREMENT CÔTÉ CLIENT
Pour continuer à pouvoir utiliser des services américains, les organisations doivent remplir un certain nombre d’obligations pour protéger les données. C’est ce que propose Google avec ce qu’il a appelé les « Sovereign Controls for Google Workspace« . Tout d’abord, il instaure la possibilité pour les utilisateurs de chiffrer les données stockées dans la suite bureautique. Ce chiffrement « côté client » est désormais disponible pour Google Drive, Docs et Sheets, puis sera étendu à Gmail, Google Calendar et Meet d’ici la fin 2022.
Le chiffrement proposé par Google permet de protéger les données « au repos » et « en transit ». Le lieu de stockage des clés de chiffrement sera choisi par les utilisateurs et Google dit qu’il ne pourra jamais y accéder. Le chiffrement des données est l’une des conditions à respecter pour pouvoir transférer des données outre-Atlantique, impose le Comité européen de la protection des données (EDPB).
CONTRÔLER LES ACCÈS
Google propose également un contrôle plus poussé pour les utilisateurs sur « toutes les formes d’accès administratif à leurs systèmes« . D’ici la fin 2023, ils pourront restreindre ou autoriser l’accès à l’assistance Google, bénéficier d’une assistance 24h/24 de la part du personnel d’ingénierie de Google, ainsi que générer des rapports de journal complets sur l’accès aux données et les actions via Access Transparency.
Rien ne garantit évidemment que ces nouvelles fonctionnalités permettent à Google de devenir une entreprise conforme aux exigences européennes. Mais ne perdons pas de vue non plus qu’un nouvel accord de principe a été signé entre Bruxelles et Washington, bien que sa mise en oeuvre ne soit pas encore certaine dans la mesure où elle nécessitera que les Etats-Unis modifient leur législation.