Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Google Cloud Storage

Que fait Google Cloud Storage ?

Google Cloud Storage est le service de stockage objet de Google Cloud Platform, utilisé pour les uploads, médias, sauvegardes et assets statiques. C'est un service backend : il ne dépose pas de cookies client et ne charge pas de JavaScript par lui-même. Les principaux enjeux privacy sont la résidence des données (configurable par bucket, régions UE disponibles) et l'exposition au CLOUD Act US de Google LLC. Lorsque des buckets publics sont chargés directement dans le navigateur via storage.googleapis.com, des cookies Google peuvent apparaître dans certaines configurations.

Qu''est-ce que Google Cloud Storage ?

Google Cloud Storage est le service managé de stockage objet de Google Cloud Platform. Il stocke des fichiers de toute nature dans des conteneurs appelés buckets, avec un namespace plat, des versions d''objets immuables et une API HTTP/HTTPS. Il sert de tier backend pour les uploads (contenu utilisateur, photos de profil, pièces jointes), l''hébergement média (images, vidéo), les sauvegardes, les datasets d''entraînement ML et comme tier statique pour CDN. L''opérateur choisit la localisation du bucket (single region, dual region, multi region) et la classe de stockage (Standard, Nearline, Coldline, Archive).

Quelles données sont en jeu ?

D''un point de vue privacy, le contenu des buckets compte plus que le service lui-même. Les buckets contiennent typiquement des données personnelles : fichiers uploadés par les utilisateurs, photos de profil, documents de compte, sauvegardes de base de données, datasets d''entraînement de modèles. Cloud Storage journalise chaque accès API (lecture, écriture, suppression) dans Cloud Audit Logs, qui incluent l''identité appelante et l''adresse IP. Les IP des visiteurs sont journalisées lorsque des buckets publics sont consultés directement depuis le navigateur.

Implications RGPD et ePrivacy

En tant que service de stockage backend, Google Cloud Storage relève des règles RGPD pour les sous traitants. Google agit comme sous traitant au titre du Cloud DPA. La base légale du traitement sous jacent (stocker des fichiers utilisateurs, héberger des images) dépend du cas d''usage. L''art. 5(3) ePrivacy ne s''applique pas au stockage backend, mais si l''opérateur sert les assets directement depuis storage.googleapis.com au navigateur, Google peut déposer des cookies sur ce domaine qui exigent un consentement. La mitigation usuelle consiste à servir les assets via le domaine de l''opérateur (URLs signées ou CDN qui proxie le bucket).

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Résidence et exposition au CLOUD Act US

Les buckets de région UE (europe-west1 Belgique, europe-west3 Francfort, europe-west9 Paris, europe-southwest1 Madrid, europe-north1 Finlande, europe-central2 Varsovie, etc.) conservent les données dans la région, réplication incluse. Le multi région eu réplique sur plusieurs régions UE. Toutefois, Google LLC reste une société américaine soumise au CLOUD Act US, qui peut contraindre Google à divulguer des données aux autorités US, indépendamment de la localisation. La CNIL, le BfDI et la DSK ont tous exprimé des inquiétudes sur l''usage des hyperscalers US pour les charges sensibles. Pour les cas très sensibles, Google propose Sovereign Controls (Assured Workloads) et des partenariats (T Systems en Allemagne, S3NS en France) limitant l''accès admin et le KMS à du personnel et des clés UE.

Choix de configuration impactant la conformité

Choisir des localisations UE pour les données personnelles. Activer Customer Managed Encryption Keys (CMEK) via Cloud KMS pour garder les clés sous contrôle opérateur. Activer Cloud Audit Logs (Data Access) pour la traçabilité avec rétention alignée au registre. Utiliser Object Versioning et Bucket Lock pour la conformité aux durées de conservation. Utiliser des Signed URLs pour servir les assets via le domaine opérateur plutôt que directement depuis storage.googleapis.com, ce qui évite les cookies du domaine Google. Pour les charges très réglementées, évaluer Sovereign Controls (Assured Workloads), T Systems (Allemagne) ou S3NS (France).

Mise en pratique

Signer le DPA Google Cloud et les CCT. Documenter les localisations de buckets dans le registre des traitements. Réaliser une analyse d''impact des transferts axée sur l''exposition CLOUD Act US, avec mitigations (CMEK, audit logs, localisations UE, éventuellement Sovereign Controls). Lister Google comme sous traitant dans la politique de confidentialité avec catégories de données, localisation UE et mécanisme de transfert. Si des buckets publics sont chargés directement dans le navigateur, lister les cookies Google dans la politique ou migrer vers une livraison par URLs signées via le domaine opérateur.

Categorie de consentement RGPD

Analytique

Les sites web utilisant Google Cloud Storage doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleDepends on use case. Backend storage of personal data (uploads, account data) rests on the lawful basis of the underlying processing (contract, legitimate interest, consent). Public asset hosting falls under operational legitimate interest for delivering the site. If a visitor's browser loads an asset from a Google domain, the Google domain may set its own cookies and that processing requires the analysis for Google cookies (consent under ePrivacy Art. 5(3)).

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive (only when assets served from Google domains set cookies), US CLOUD Act, French CNIL guidance on hyperscalers, German BfDI and DSK positions on US cloud providers, Schrems II case law

Considerations AIPD

Le traitement Google Cloud Storage dépend de ce qui est stocké. Points clés AIPD : (1) la résidence est configurable par bucket ; une région UE (europe-west1, europe-west3, europe-west9, etc.) ou multi région (eu) maintient les données en UE, une région US ou Asie constitue un transfert international ; (2) Google LLC est une société américaine soumise au CLOUD Act US, signalé par les autorités européennes comme un risque résiduel même avec données en UE ; (3) Google s'auto certifie sous le EU US Data Privacy Framework et propose des CCT ; (4) pour les charges très réglementées, Google propose Sovereign Controls (Assured Workloads) et des partenariats (T Systems en Allemagne, S3NS en France) qui restreignent l'accès admin et le KMS à des juridictions UE ; (5) si des buckets publics servent les assets directement au navigateur via storage.googleapis.com, Google peut déposer des cookies sur ce domaine, exigeant un consentement sous l'art. 5(3) ePrivacy. Une AIPD est recommandée pour tout stockage de données sensibles ou tout traitement à grande échelle.

Exemple de texte de consentement

Nous utilisons Google Cloud Storage de Google LLC comme stockage backend pour les fichiers uploadés sur notre service et les assets statiques. Les buckets sont configurés dans l'Union européenne (région : [europe-west1 Belgique / europe-west3 Francfort / europe-west9 Paris]) pour conserver vos données en UE. Google LLC étant une société américaine soumise au CLOUD Act, nous avons signé des Clauses Contractuelles Types et nous appuyons sur le EU US Data Privacy Framework comme garantie additionnelle. Les assets publics servis depuis storage.googleapis.com peuvent être chargés dans votre navigateur sous réserve de votre consentement cookies.

Details techniques

Methode de suiviObject storage service from Google Cloud Platform. Used as a backend storage tier (uploads, media, backups, static assets). Buckets can be configured as private or public, and public buckets can serve static assets directly to end users via the storage.googleapis.com domain or a custom domain. The service itself does not set client side cookies; if assets served from storage.googleapis.com are loaded in the visitor's browser, Google may set its NID cookie in some configurations.

Localisation des serveursConfigurable per bucket. Operators can select region (single region in EU like europe-west1 Belgium, europe-west3 Frankfurt, europe-west9 Paris), dual region (eu) or multi region (eu spanning multiple EU regions). The operator's choice determines the GDPR transfer position.

Suivi sans cookie disponibleOui

Donnees transferees hors UEGoogle Cloud Storage data location depends on the bucket configuration. EU regional or multi region (eu) buckets keep data in the EU, including replication. However, Google LLC is a US company subject to the US CLOUD Act, which European supervisors flag as a residual concern regardless of bucket location. Google self certifies under the EU US Data Privacy Framework and provides Standard Contractual Clauses, plus the Workspace Sovereign Controls option for tighter control on Enterprise contracts.

Domaines tiers contactes

storage.googleapis.comstorage.cloud.google.comgoogleapis.comgstatic.com

Google Cloud Storage collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

Google Cloud Storage dépose-t-il des cookies ?

Pas en lui-même pour l'usage backend. Si l'opérateur sert des contenus de bucket public directement au navigateur via storage.googleapis.com, Google peut déposer des cookies sur ce domaine (comme NID). On évite ce cas en utilisant des URLs signées ou un CDN qui proxie le bucket via le domaine opérateur.

Le consentement est-il requis pour Google Cloud Storage ?

Pas pour le stockage backend. Si des assets publics sont chargés directement depuis storage.googleapis.com et que Google dépose des cookies sur ce domaine, un consentement sous l'art. 5(3) ePrivacy est requis pour ces cookies.

Quelle base légale pour le traitement Google Cloud Storage ?

Dépend du contenu. La base suit la finalité sous jacente : nécessité contractuelle pour les uploads liés au service, intérêt légitime pour les sauvegardes et données opérationnelles, consentement pour les données que l'utilisateur n'aurait pas eu à partager. Google agit comme sous traitant au titre du Cloud DPA.

Google Cloud Storage transfère-t-il des données vers les États-Unis ?

La localisation des objets est contrôlée par la région du bucket. Les régions UE ou le multi région eu maintiennent les données en UE. Toutefois, Google LLC est américaine et soumise au CLOUD Act, signalé par les autorités européennes comme risque résiduel quelle que soit la localisation. Les CCT et le EU US Data Privacy Framework s'appliquent.

Faut-il une AIPD pour Google Cloud Storage ?

Une AIPD est recommandée pour tout stockage de données sensibles, tout traitement à grande échelle, ou les cas d'usage impliquant des enfants ou personnes vulnérables. Pour un stockage backend ordinaire de données métier, l'AIPD peut ne pas être obligatoire mais la documentation de la localisation, du chiffrement et du transfert dans le registre reste requise.

Comment implémenter Google Cloud Storage en conformité ?

Choisir des localisations de bucket UE uniquement pour les données personnelles. Activer Customer Managed Encryption Keys (CMEK) via Cloud KMS. Activer Cloud Audit Logs (Data Access). Utiliser des URLs signées pour servir les assets via votre propre domaine plutôt que via storage.googleapis.com. Signer le DPA et les CCT Google Cloud. Pour les charges très réglementées, évaluer Sovereign Controls ou les offres partenaires (T Systems, S3NS).

Quelles alternatives à Google Cloud Storage ?

Alternatives souveraines UE : OVH Object Storage (France), Scaleway Object Storage (France), Hetzner Object Storage (Allemagne), IONOS S3 (Allemagne), Wasabi (régions UE), Backblaze B2 (régions UE) et les fournisseurs compatibles Gaia X. Alternatives US : Amazon S3, Azure Blob Storage et Cloudflare R2, chacune avec ses propres considérations résidence et CLOUD Act.

Comment mettre à jour la politique cookies ou de confidentialité ?

Google Cloud Storage est un sous traitant et figure dans la section sous traitants de la politique, pas sur la bannière cookies. Lister les régions de bucket, la finalité de stockage, la base légale, le mécanisme de transfert (EU US Data Privacy Framework / CCT) et le choix de chiffrement. Si des buckets publics servent les assets directement au navigateur, lister les cookies de domaine Google qui en résultent dans la politique cookies.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min