Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Google Meet est le service de visioconférence de Google, disponible via Google Workspace et en version autonome pour les comptes personnels. Lorsqu'il est intégré à un site ou chargé via une invitation Google Calendar, il dépose des cookies de l'écosystème Google et transfère des données à Google LLC aux États-Unis. En tant que service tiers, il déclenche une obligation de consentement RGPD sur les pages marketing et nécessite des garanties contractuelles pour un usage professionnel.
Google Meet se comporte très différemment selon le contexte de chargement. Lorsqu''un widget Meet ou un lien de réunion est intégré à une page marketing, à un centre d''aide ou à un blog, le navigateur charge les scripts Google et dépose des cookies de l''écosystème Google avant même le démarrage d''une réunion. Dans ce cas, Google agit comme sous-traitant tiers de données personnelles telles que l''adresse IP, les identifiants d''appareil et les identifiants de compte, et l''éditeur du site devient responsable de traitement, chargé d''obtenir un consentement valide. Lorsque Google Meet est utilisé en interne dans un tenant Google Workspace, par des salariés rejoignant une réunion planifiée, la base légale bascule généralement vers l''exécution d''un contrat ou l''intérêt légitime, et l''accord de traitement de données Workspace encadre la relation entre l''employeur et Google.
Meet ne dispose pas d''un cookie dédié unique, il réutilise l''ensemble large des cookies d''authentification et de sécurité Google. Les cookies typiquement observés incluent NID pour la publicité et les préférences sur les domaines Google, SID, HSID, SSID, APISID et SAPISID pour authentifier l''utilisateur sur les services Google, ainsi que __Secure-3PSIDCC pour la continuité de session intersites. Certains ont une durée de six mois à deux ans, sont marqués Secure et HttpOnly, et sont déposés sur .google.com, donc partagés entre toutes les propriétés Google visitées. Du point de vue de la protection des données, ils ne sont pas strictement nécessaires au sens de la directive ePrivacy, donc ils requièrent un consentement préalable lorsqu''ils sont déclenchés depuis un site non Google.
Google LLC est établie aux États-Unis et auto-certifiée au titre du Data Privacy Framework UE/États-Unis, que la Commission européenne a reconnu en juillet 2023 comme offrant un niveau de protection adéquat. Pour les personnes concernées de l''Espace économique européen, les transferts des données d''usage de Google Meet vers les États-Unis sont donc couverts par un mécanisme d''adéquation. Par défense en profondeur, Google propose également des Clauses Contractuelles Types dans son accord de traitement Workspace. Les responsables de traitement doivent documenter dans leur registre que le transfert s''appuie d''abord sur le DPF et sur les CCT en cas de défaillance, et surveiller toute contestation future de la décision d''adéquation devant la Cour de justice de l''Union européenne.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sur les sites publics qui intègrent Google Meet, le modèle recommandé est le clic pour charger. La page affiche d''abord un substitut statique expliquant que le chargement du widget de réunion déposera des cookies Google et transférera des données vers les États-Unis. Le site n''injecte la iframe Meet ou le script Google Calendar qu''après une action explicite d''acceptation du visiteur. La plateforme de gestion du consentement doit enregistrer l''évènement de consentement avec horodatage, version de la politique et périmètre des cookies. Le même enregistrement de consentement doit être réutilisé si le visiteur revient pendant la fenêtre de rétention, afin que le bandeau ne réapparaisse pas à chaque chargement de page.
Une analyse d''impact relative à la protection des données devient obligatoire lorsque Google Meet est utilisé pour enregistrer des réunions à grande échelle, lorsque les réunions abordent des catégories particulières telles que santé, activités syndicales ou questions juridiques, lorsque des mineurs sont impliqués, ou lorsque les enregistrements sont stockés dans Google Drive et partagés au-delà des frontières. L''AIPD doit décrire le cycle de vie de l''enregistrement de la capture à la suppression, les contrôles d''accès appliqués à l''emplacement de stockage, la durée de conservation et les droits des participants à obtenir une copie, demander une rectification ou solliciter un effacement. Lorsque le risque résiduel reste élevé après mitigation, le responsable de traitement doit consulter l''autorité de contrôle au titre de l''article 36 du RGPD avant de lancer le traitement.
Signer l''accord de traitement de données Google Workspace avec les références DPF, lister Google LLC dans le registre public des sous-traitants ultérieurs, documenter la base légale pour chaque cas d''usage de Meet, exposer Google Meet comme bascule granulaire dans le bandeau de cookies, conditionner le code d''intégration à l''état du consentement, configurer la rétention des enregistrements au strict nécessaire, restreindre qui peut enregistrer et qui peut rejoindre depuis l''extérieur, former le personnel aux annonces légales d''enregistrement, et réviser l''ensemble du dispositif au moins une fois par an ou à chaque évolution importante des conditions de Google.
Les sites web utilisant Google Meet doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque Google Meet est utilisé pour enregistrer des réunions, traiter des données sensibles (santé, conseil juridique, dossiers RH), pour des communications internes à grande échelle, ou en intégration sur des pages publiques à fort trafic. Documenter le rôle de Google comme sous-traitant, le mécanisme de transfert DPF, la conservation des enregistrements et les contrôles d'accès.
Exemple de texte de consentement
Nous utilisons Google Meet pour proposer une visioconférence sur cette page. Le chargement du widget Meet dépose des cookies Google et transfère des données vers Google LLC aux États-Unis dans le cadre du Data Privacy Framework UE/États-Unis. En cliquant sur Accepter, vous consentez à ce traitement au titre de l'article 6(1)(a) du RGPD.
Domaines tiers contactes
meet.google.comwww.google.comapis.google.comssl.gstatic.comfonts.googleapis.comfonts.gstatic.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| NID | third_party | 6 months | Stores Google preferences and personalised advertising settings, set on .google.com when any Google property loads, used by Meet alongside other Google services. |
| SID | third_party | 2 years | Authentication cookie that signs the user into Google services. Set on .google.com, marked Secure and HttpOnly, used by Meet to identify the participant. |
| HSID | third_party | 2 years | Security cookie that protects Google accounts against forged authentication requests, used together with SID and SSID during Meet sign in flows. |
| SAPISID | third_party | 2 years | Cross domain authorisation cookie that allows Google APIs to recognise the signed in user, used by the Meet web client to call backend services. |
| APISID | third_party | 2 years | Companion authorisation cookie used with SAPISID to enable signed requests from Meet to other Google services such as Calendar and Drive. |
| __Secure-3PSIDCC | third_party | 1 year | Cross site session continuity cookie used by Google to keep the user signed in across third party embeds. Marked Secure, relevant when Meet is loaded from an external website. |
Google Meet utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Google Meet ne dispose pas d'un cookie unique dédié. Il réutilise les cookies de l'écosystème Google déposés sur .google.com lors du chargement de la page ou du widget. Les plus courants sont NID pour les préférences et la publicité, SID, HSID, SSID, APISID et SAPISID pour l'authentification et la sécurité sur les services Google, et __Secure-3PSIDCC pour la continuité de session intersites. Leur durée de vie va généralement de six mois à deux ans et la plupart sont marqués Secure et HttpOnly. Au regard de l'ePrivacy, ils ne sont pas strictement nécessaires, donc un consentement préalable est requis lorsque Meet est chargé depuis un site tiers.
Oui. Lorsque le widget Meet, une iframe vers meet.google.com ou une intégration Google Calendar est chargée sur un site public, Google dépose des cookies et traite des données personnelles telles que l'adresse IP du visiteur et les identifiants d'appareil, avant même qu'une réunion ne commence. Ce traitement n'est pas strictement nécessaire au service demandé au sens de la directive ePrivacy, il requiert donc un consentement préalable, éclairé, libre et spécifique au titre du RGPD. Le modèle clic pour charger, où l'intégration est conditionnée à un bouton d'acceptation explicite, est considéré comme la bonne pratique par la plupart des autorités de contrôle.
La base légale dépend du cas d'usage. Pour Google Meet intégré sur une page marketing ou publique, le consentement au titre de l'article 6(1)(a) du RGPD est la base appropriée car les cookies et le partage de données ne sont pas strictement nécessaires. Pour un utilisateur qui rejoint une réunion hébergée par un client Workspace, l'exécution d'un contrat au titre de l'article 6(1)(b) du RGPD s'applique généralement, car le traitement est nécessaire à la fourniture du service de communication demandé. Pour un usage interne par les salariés, les employeurs combinent souvent contrat et intérêt légitime, documentés au registre des activités de traitement et soutenus par l'accord de traitement Workspace.
Oui. Google Meet est opéré par Google LLC aux États-Unis, et même si Google maintient des centres de données en Europe, le traitement implique régulièrement des équipes et des systèmes aux États-Unis. Google s'autocertifie au titre du Data Privacy Framework UE/États-Unis, reconnu en juillet 2023 par la Commission européenne comme offrant un niveau de protection adéquat. En défense en profondeur, des Clauses Contractuelles Types sont également incluses dans l'accord de traitement Workspace. Les responsables de traitement doivent conserver ce transfert documenté dans leur registre article 30 et surveiller toute contestation future.
Une analyse d'impact relative à la protection des données est fortement recommandée, et souvent obligatoire, lorsque Google Meet est utilisé pour enregistrer des réunions à grande échelle, lorsque les réunions abordent des catégories particulières telles que santé, activité syndicale ou conseil juridique, lorsque des mineurs sont impliqués, ou lorsque les enregistrements sont stockés dans Google Drive et partagés au-delà des frontières. L'AIPD doit couvrir le cycle de vie de l'enregistrement, la base légale, les contrôles d'accès, la durée de conservation et les droits des personnes concernées. Si le risque résiduel reste élevé après mitigation, le responsable doit consulter son autorité de contrôle au titre de l'article 36 du RGPD avant le lancement.
Signer l'accord de traitement de données Google Workspace, inscrire Google LLC dans votre registre des sous-traitants ultérieurs, identifier la bonne base légale pour chaque scénario Meet et exposer Google Meet comme bascule granulaire dans le bandeau de cookies. Pour les intégrations, utiliser un substitut clic pour charger afin que l'iframe Meet ne soit injectée qu'après consentement explicite. Configurer la rétention des enregistrements au strict nécessaire, restreindre les droits d'enregistrer et de rejoindre depuis l'extérieur, former le personnel aux annonces d'enregistrement, tout documenter au registre, et réviser le dispositif au moins une fois par an ou à chaque mise à jour des conditions de Google.
Les alternatives européennes ou auto-hébergées incluent Jitsi Meet, qui peut être hébergé dans l'UE et évite tout transfert vers les États-Unis, OpenTalk et BigBlueButton pour l'éducation et les webinaires, Whereby avec stockage régional UE, et Zoom configuré avec le pod UE pour la santé et le secteur public. Microsoft Teams est aussi très utilisé mais soulève les mêmes questions de transfert que Google Meet. Le bon choix dépend de l'intégration avec les systèmes d'identité existants, des besoins de conservation, des exigences d'enregistrement et de la sensibilité des réunions.
Dans votre politique de cookies, mentionnez Google Meet comme service tiers de visioconférence opéré par Google LLC, décrivez les catégories de cookies qu'il dépose telles que authentification, sécurité et préférences, et indiquez leurs durées habituelles. Précisez que le chargement du widget Meet transfère des données personnelles aux États-Unis dans le cadre du Data Privacy Framework UE/États-Unis. Mentionnez la base légale (consentement pour les intégrations publiques, contrat pour rejoindre une réunion) et renvoyez vers la politique de confidentialité Google et la page de certification DPF. Documentez enfin la bascule granulaire de consentement qui contrôle le chargement de l'intégration.