Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Google Workspace

Que fait Google Workspace ?

Google Workspace est une suite de productivité et de collaboration cloud développée par Google, comprenant Gmail, Drive, Docs, Sheets, Meet et Calendar. La plateforme traite des données personnelles, utilise des cookies pour l'authentification et l'analyse, et transfère des données à l'international, nécessitant des mesures de conformité RGPD telles que l'acceptation de l'Avenant relatif au traitement des données cloud (CDPA) et la configuration des Clauses Contractuelles Types (CCT).

Ce que fait réellement Google Workspace

Google Workspace est la suite de productivité cloud de Google: Gmail, Drive, Docs, Sheets, Slides, Calendar, Meet, Chat, Forms, Sites et Vault. Pour les clients UE, le cocontractant est Google Ireland Limited, qui agit à la fois comme responsable de traitement (pour la relation administrative) et comme sous traitant (pour les données client stockées dans le tenant). Google LLC aux États Unis est le principal sous traitant ultérieur.

Cookies et stockages dans l''espace et sur les intégrations

Au sein de l''espace, l''utilisateur authentifié dispose des cookies de session et de sécurité Google sur google.com et sur le domaine de l''espace (SID, HSID, SSID, APISID, SAPISID, OSID, _GRECAPTCHA). Lorsque l''éditeur intègre du contenu Google sur un site public (Forms, Sites, embed Maps, YouTube, Slides publiés), les mêmes cookies sont déposés sur le navigateur du visiteur avant tout consentement. Cela déclenche l''obligation de consentement préalable de l''article 5(3) ePrivacy, et la décision du CEPD à l''encontre du Parlement européen (10 janvier 2022) confirme que les intégrations publiques de contenu Google entrent dans son champ.

Base légale et addendum de traitement

Pour l''usage interne par les salariés et les comptes, la base légale est le contrat de travail ou de service et l''intérêt légitime du responsable de traitement à exploiter son SI. Pour les interactions avec des tiers (formulaires, invitations, réunions Meet avec invités externes), l''éditeur s''appuie sur le consentement, la nécessité précontractuelle ou l''intérêt légitime selon le contexte. L''addendum DPA Google Workspace doit être signé; il intègre les clauses contractuelles types (module 3) et la notice des mesures supplémentaires introduites après Schrems II.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux et Schrems II

Google LLC est certifiée au Data Privacy Framework UE États Unis depuis le 8 juillet 2023, ce qui fournit une base d''adéquation pour les transferts. Les clients peuvent sélectionner l''UE comme région principale de stockage, mais les traitements transitoires (antispam, antimalware, télémétrie) et les sauvegardes peuvent traverser les États Unis et d''autres régions. L''éditeur doit conduire une évaluation d''impact des transferts, documenter les mesures supplémentaires (chiffrement côté client Google Workspace CSE, journaux Access Transparency, Access Approvals) et la rafraîchir chaque année. L''autorité bavaroise a sanctionné en 2024 une commune ayant négligé l''évaluation des mesures supplémentaires malgré la certification DPF.

Liste de contrôle conformité

Signez le DPA Google Workspace et acceptez les CCT module 3. Activez la région de données UE et le Client Side Encryption (CSE) pour les contenus à risque élevé. Configurez Access Transparency et Access Approvals pour garder une piste d''audit des accès du support Google. Désactivez Workspace Labs et les services additionnels (Bard, fonctions IA) non couverts par le même DPA. Listez Google Workspace et ses sous traitants dans votre registre des traitements (art. 30 RGPD) et dans la politique de confidentialité. Réalisez une AIPD en cas de traitement de données sensibles (santé, RH, juridique).

Alternatives souveraines

Les alternatives souveraines ou UE incluent Microsoft 365 avec EU Data Boundary, BlueMind, Tutanota, Proton Business et le DocSpace Onlyoffice français. Pour le secteur public en France, le partenariat S3NS (Thales et Google) propose Workspace sous une marque de confiance contrôlée par un acteur français.

Categorie de consentement RGPD

Autre

Les sites web utilisant Google Workspace doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleFor end users: performance of the employment or service contract (GDPR art. 6(1)(b)) and legitimate interest (art. 6(1)(f)) for security and abuse prevention. For external visitors interacting with shared content (Forms, Sites, Calendar invites): consent or contractual necessity depending on the use case. Public website embeds (Maps, Sites, YouTube) require consent under ePrivacy art. 5(3).

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive 2002/58/EC, EU US Data Privacy Framework, EDPB recommendations 01/2020 on supplementary measures, DSA, eIDAS (for Google sign in), TTDSG (Germany), LOPDGDD (Spain), LIL (France)

Considerations AIPD

Une AIPD est recommandée pour les déploiements Google Workspace traitant des catégories particulières (RH, santé), de gros volumes ou utilisant les fonctionnalités IA (Gemini). Documentez flux, durée, sous traitants et garanties Schrems II.

Exemple de texte de consentement

Notre organisation utilise Google Workspace (Gmail, Drive, Docs, Calendar, Meet) opéré par Google Ireland Limited en tant que responsable et sous traitant pour l'EEE. Nous avons signé l'addendum de traitement des données Google Workspace et choisi la région UE pour le stockage. Certaines opérations transitoires et les sauvegardes peuvent avoir lieu aux États Unis ou dans d'autres régions Google sur la base du Data Privacy Framework et des clauses contractuelles types. Si vous nous contactez via un formulaire partagé, un calendrier ou un appel vidéo, vos données sont traitées sous ces garanties. Vous pouvez exercer vos droits d'accès, de rectification et d'effacement à tout moment.

Details techniques

Methode de suivicloud_productivity_suite_account_based

Localisation des serveursGoogle operates Google Workspace from a global network of data centres. EU customers signing the EU Data Processing Addendum can request that primary data at rest be stored in the European region (Belgium, Finland, Netherlands, Germany, Ireland), but transient processing and back ups still cross the United States, Singapore and other Google regions.

Donnees transferees hors UEGoogle LLC (United States) is a sub processor for every Google Workspace tenant under the EU Data Processing Addendum, including the Supplementary Measures notice (October 2023) introduced after Schrems II. Transfers rely on Google adhesion to the EU US Data Privacy Framework (active certification since 8 July 2023) and on the EU Standard Contractual Clauses module 3 controller to processor. Google publishes a transfer impact assessment and continuous compliance evidence in its Trust Center.

Domaines tiers contactes

accounts.google.comgoogle.comworkspace.google.comdocs.google.comgoogleusercontent.comdrive.google.comgstatic.comcalendar.google.comaccounts.google.commeet.google.comapis.google.comworkspace.google.commail.google.comchat.google.comadmin.google.com

Cookies deposes

Nom	Type	Duree	Finalite
NID	preferences	6 months	Stores user preferences such as language and search result display settings across Google services.
NID	Third party (.google.com)	6 months	Stores Google account preferences and security related signals; set whenever an embedded Google Workspace component loads.
_Secure-ENID	preferences	13 months	Remembers user preferences and settings. Serves a similar function to NID with enhanced security attributes.
CONSENT	Third party (.google.com)	13 years (rotation)	Records the user's consent state for Google services across products.
SIDCC	security	Session / 1 year	Security cookie used to verify login integrity and protect user authentication data from unauthorised access.
SOCS	Third party (.google.com)	13 months	Stores the user's acknowledgement of Google consent state changes.
__Secure-1PSIDCC	security	1 year	First party security cookie verifying the authenticity of the user session and protecting against CSRF attacks.
AEC	Third party (.google.com)	6 months	Ensures requests within a browser session are made by the user, used as anti abuse signal.
ANID	Third party (.google.com)	13 months	Used by Google to deliver and personalise services for signed in users.
SAPISID	authentication	2 years	Enables Google to identify the signed in user and their associated Google account across Google services and embedded widgets.
1P_JAR	analytics	1 month	Collects website statistics and tracks conversion rates for Google services and advertising measurement.
CONSENT	functionality	20 years	Stores the user's cookie consent state for Google services, recording whether the user has accepted or declined cookie usage.
HSID	security	2 years	Security cookie used in combination with SID to verify Google account identity and prevent fraudulent use of login credentials.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies sont déposés par Google Workspace ?

Google Workspace dépose plusieurs cookies notamment NID et _Secure_ENID pour le stockage des préférences utilisateur (6 à 13 mois), SIDCC et _Secure_1PSIDCC pour la vérification de la sécurité de connexion, SAPISID et ses variantes pour l'identification de l'utilisateur connecté à travers les services Google, et 1P_JAR à des fins analytiques (1 mois). Lorsque des widgets Workspace sont intégrés sur des sites externes, des cookies supplémentaires provenant des domaines accounts.google.com, docs.google.com et apis.google.com peuvent également être déposés.

Le consentement est il requis pour Google Workspace au titre du RGPD ?

Cela dépend du contexte. Pour une utilisation interne par les employés d'une organisation, le consentement n'est généralement pas requis car l'exécution du contrat ou l'intérêt légitime servent de base juridique. En revanche, lorsque des éléments Workspace tels que Google Forms, des lecteurs Docs intégrés ou des widgets Calendar sont placés sur des sites web publics, le consentement préalable au titre de la directive ePrivacy est requis avant le dépôt de cookies non essentiels. Une plateforme de gestion du consentement (CMP) doit être déployée dans ces cas.

Quelle est la base juridique du traitement des données via Google Workspace ?

La base juridique varie selon le cas d'usage. Les fonctions de productivité de base pour les employés reposent généralement sur l'exécution du contrat (Art. 6(1)(b) RGPD) ou l'intérêt légitime (Art. 6(1)(f)). Les activités de sécurité et de prévention de la fraude sont couvertes par l'intérêt légitime. Les intégrations publiques qui déposent des cookies sur les appareils des visiteurs nécessitent le consentement explicite (Art. 6(1)(a)). Les organisations doivent documenter la base juridique applicable pour chaque activité de traitement dans leur Registre des activités de traitement.

Google Workspace transfère t il des données vers les États Unis ?

Oui. Google exploite une infrastructure mondiale de centres de données et peut traiter des données dans des installations américaines. Pour se conformer aux exigences de transfert du RGPD, Google propose l'Avenant relatif au traitement des données cloud (CDPA) qui intègre les Clauses Contractuelles Types (CCT). Google est également participant certifié au Data Privacy Framework UE États Unis. Certaines éditions Workspace offrent une fonctionnalité de région de données qui conserve les données couvertes au repos dans l'UE, bien que les métadonnées et données de service puissent toujours être traitées globalement.

Une AIPD est elle nécessaire pour Google Workspace ?

Une Analyse d'Impact relative à la Protection des Données est fortement recommandée et peut être juridiquement requise au titre de l'Art. 35 du RGPD pour la plupart des déploiements de Google Workspace. La plateforme traite de grands volumes de données personnelles via la messagerie, le stockage de fichiers, l'agenda, la visioconférence et les documents collaboratifs. Les principaux domaines de risque comprennent les transferts internationaux de données, la surveillance potentielle des employés via les analyses de productivité, les intégrations d'applications tierces du Marketplace et l'étendue des catégories de données traitées. L'évaluation doit couvrir tous les services Workspace utilisés et documenter les garanties fournies par le CDPA et les CCT.

Comment mettre en œuvre la conformité RGPD pour Google Workspace ?

Commencez par accepter l'Avenant relatif au traitement des données cloud (CDPA) dans la console d'administration Google sous Compte > Juridique et conformité. Configurez des politiques de conservation des données et des contrôles d'accès appropriés. Enregistrez les coordonnées de votre DPO et de votre autorité de contrôle. Examinez et restreignez l'accès des applications tierces via le Workspace Marketplace. Activez la journalisation des audits et effectuez des revues d'accès régulières. Pour tout site web public intégrant des widgets Workspace, déployez une bannière de consentement aux cookies. Réalisez une AIPD couvrant tous les services utilisés et formez l'ensemble du personnel aux principes de protection des données.

Existe t il des alternatives respectueuses de la vie privée à Google Workspace ?

Pour les organisations souhaitant minimiser les transferts internationaux de données, les alternatives comprennent Nextcloud (suite de collaboration open source auto hébergée), Tutanota ou ProtonMail (messagerie axée sur la confidentialité hébergée dans l'UE), OnlyOffice (collaboration documentaire hébergée dans l'UE) et Infomaniak kSuite (suite de productivité hébergée en Suisse). Pour des fonctions spécifiques, les organisations peuvent envisager Jitsi Meet pour la visioconférence ou CryptPad pour les documents collaboratifs chiffrés. Chaque alternative doit être évaluée pour sa propre conformité RGPD, ses accords de traitement des données et ses certifications de sécurité.

Comment mettre à jour ma politique de cookies pour Google Workspace ?

Votre politique de cookies doit lister tous les cookies déposés par les widgets Google Workspace intégrés, incluant leurs noms, finalités, durées et domaines d'origine (tels que accounts.google.com, docs.google.com, apis.google.com). Précisez si chaque cookie est strictement nécessaire ou nécessite le consentement. Documentez le rôle de Google en tant que sous traitant, référencez le CDPA et les CCT comme cadre juridique pour les transferts de données, et fournissez des instructions claires pour permettre aux utilisateurs de gérer ou retirer leur consentement. La politique doit être revue et mise à jour chaque fois que vous ajoutez ou supprimez des intégrations Workspace de votre site web.

Quels cookies dépose Google Workspace ?

Pour un usage interne, aucun cookie n'est déposé sur le site externe ; l'authentification utilise des cookies Google sur accounts.google.com. Quand vous intégrez des composants Workspace (Forms, Docs, rendez vous Calendar), Google dépose NID, CONSENT, SOCS, ANID et AEC sur google.com et googleusercontent.com.

Faut-il un consentement pour Google Workspace ?

Aucun consentement n'est requis pour fournir Workspace à vos collaborateurs, justifié par le contrat de travail. Le consentement est requis pour chaque intégration d'un composant Workspace sur un site public, car l'intégration dépose des cookies et charge des scripts Google.

Quelle est la base légale ?

Pour l'usage interne, exécution du contrat (article 6.1.b RGPD) et intérêt légitime (article 6.1.f RGPD) pour les collaborateurs. Pour les intégrations publiques, consentement (article 6.1.a RGPD + article 5.3 ePrivacy).

Google Workspace transfère-t-il des données aux États-Unis ?

Oui. Les données client sont traitées dans plusieurs centres Google, dont les États-Unis. Les transferts sont couverts par l'adéquation EU US Data Privacy Framework (depuis juillet 2023) et les Clauses Contractuelles Types. EU Data Regions permet aux clients Enterprise de conserver l'essentiel des données en Europe.

Faut-il une AIPD pour Google Workspace ?

Recommandée pour les déploiements traitant le suivi des collaborateurs, des catégories particulières (RH, santé, juridique), de gros volumes ou utilisant des fonctionnalités IA (Gemini). Documentez flux, durée, sous traitants et garanties Schrems II.

Comment implémenter Google Workspace en conformité ?

Signez le DPA, activez EU Data Regions, configurez la rétention via Vault, restreignez l'accès des apps tierces, activez l'accès contextuel, auditez l'activité admin, inscrivez Google au registre article 30. Bloquez les composants Workspace intégrés derrière une porte de consentement.

Quelles alternatives à Google Workspace ?

Microsoft 365 (US, EU Data Boundary), Zoho Workplace (Inde/UE), Tutanota (Allemagne), Proton Mail/Drive (Suisse), Nextcloud (Allemagne, auto hébergé), OnlyOffice (Lettonie/UE), Infomaniak Workspace (Suisse), Open Xchange (Allemagne).

Comment mettre à jour la politique cookies pour les intégrations Workspace ?

Listez Google comme tiers pour les cookies concernés (NID, CONSENT, SOCS) lorsque le composant est intégré. Expliquez l'EU US Data Privacy Framework. Renvoyez vers la politique de confidentialité de Google.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min