Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Google Workspace est une suite de productivité et de collaboration cloud développée par Google, comprenant Gmail, Drive, Docs, Sheets, Meet et Calendar. La plateforme traite des données personnelles, utilise des cookies pour l'authentification et l'analyse, et transfère des données à l'international, nécessitant des mesures de conformité RGPD telles que l'acceptation de l'Avenant relatif au traitement des données cloud (CDPA) et la configuration des Clauses Contractuelles Types (CCT).
Google Workspace (anciennement G Suite) est une plateforme cloud de productivité et de collaboration développée par Google. Elle comprend Gmail, Google Drive, Google Docs, Sheets, Slides, Google Meet, Google Calendar, Google Chat et des outils d''administration. Les organisations de toutes tailles l''utilisent pour la communication par email, le stockage et le partage de fichiers, la collaboration en temps réel sur des documents, la visioconférence et la planification. Lorsque des widgets intégrés tels que Google Forms, Google Calendar ou des lecteurs Google Docs sont intégrés à des sites web tiers, ils introduisent des considérations supplémentaires en matière de protection de la vie privée pour les opérateurs de sites.
Google Workspace dépose divers cookies pour l''authentification, la gestion des sessions, la sécurité et les préférences utilisateur. Les cookies principaux incluent NID et _Secure_ENID (stockage des préférences, 6 à 13 mois), SIDCC et _Secure_1PSIDCC (cookies de sécurité vérifiant l''intégrité de la connexion), SAPISID et variantes associées (permettant aux services Google d''identifier l''utilisateur connecté), et 1P_JAR (suivi analytique et publicitaire, 1 mois). Google utilise également le stockage local et des identifiants d''appareils à des fins opérationnelles. Lorsque des widgets Workspace sont intégrés sur des sites externes, des cookies supplémentaires provenant de domaines tels que accounts.google.com, docs.google.com et apis.google.com peuvent être déposés dans les navigateurs des visiteurs.
Google Workspace soulève des considérations RGPD significatives en raison du volume et de la sensibilité des données personnelles traitées. Google agit en tant que sous traitant dans le cadre de l''Avenant relatif au traitement des données cloud (CDPA), tandis que l''organisation cliente reste le responsable du traitement. Le CDPA intègre les Clauses Contractuelles Types (CCT) pour encadrer les transferts internationaux de données. Les organisations doivent s''assurer qu''elles ont activé le CDPA dans leur console d''administration Google sous Compte > Juridique et conformité. La plateforme détient de multiples certifications de conformité dont ISO 27001, ISO 27017, ISO 27018, ISO 27701, SOC 2/3 et FedRAMP. Cependant, ces certifications ne garantissent pas la conformité à elles seules : chaque organisation doit configurer Workspace de manière appropriée, mettre en place des politiques de conservation des données, gérer les contrôles d''accès et former le personnel aux principes du RGPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La base juridique du traitement dépend de l''utilisation de Google Workspace. Pour les fonctionnalités de productivité de base utilisées par les employés au sein d''une organisation, l''exécution du contrat (Art. 6(1)(b)) ou l''intérêt légitime (Art. 6(1)(f)) s''appliquent généralement. Toutefois, lorsque des éléments Workspace sont intégrés sur des sites web publics (Google Forms pour la collecte de données, Google Calendar pour la réservation d''événements, lecteurs Google Docs), le consentement explicite au titre de l''Art. 6(1)(a) du RGPD et le consentement préalable au titre de la directive ePrivacy sont généralement requis avant le dépôt de cookies non essentiels. Les organisations devraient mettre en place une plateforme de gestion du consentement (CMP) pour recueillir, enregistrer et gérer le consentement des visiteurs avant le chargement des widgets Workspace intégrés.
Google exploite une infrastructure mondiale de centres de données et traite les données Workspace dans des installations aux États Unis, en Europe et en Asie. Pour les organisations basées dans l''UE, cela signifie que les données personnelles peuvent être transférées en dehors de l''EEE. Google adresse cette question via le CDPA, qui inclut les CCT de l''UE comme mécanisme principal de transfert. Les éditions Workspace éligibles offrent également une politique de région de données permettant aux administrateurs de conserver les données couvertes au repos au sein de l''UE. Les organisations doivent évaluer si leur édition prend en charge les régions de données, confirmer que le CDPA est activé et documenter ces garanties dans leurs Registres des activités de traitement (RAT). Dans le cadre du Data Privacy Framework UE États Unis, Google LLC est un participant certifié, fournissant une couche supplémentaire d''adéquation pour les transferts vers les États Unis.
Pour atteindre la conformité RGPD avec Google Workspace, les organisations doivent suivre ces étapes clés. Premièrement, accepter l''Avenant relatif au traitement des données cloud dans la console d''administration Google (Compte > Juridique et conformité). Deuxièmement, configurer des politiques de conservation des données adaptées à vos finalités de traitement. Troisièmement, réaliser une AIPD couvrant tous les services Workspace utilisés, en particulier si vous traitez des données de catégories spéciales ou surveillez l''activité des employés. Quatrièmement, déployer une bannière de consentement aux cookies sur tout site web public intégrant des widgets Workspace. Cinquièmement, enregistrer les coordonnées de votre Délégué à la protection des données et de votre Autorité de contrôle dans la console d''administration. Sixièmement, examiner et restreindre l''accès des applications tierces via le Google Workspace Marketplace. Septièmement, activer la journalisation des audits et examiner régulièrement les rapports d''accès. Enfin, former l''ensemble du personnel aux principes de protection des données, y compris l''utilisation appropriée des drives partagés, les bonnes pratiques de stockage des données et les procédures de signalement des incidents.
Les sites web utilisant Google Workspace doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est fortement recommandée pour les déploiements de Google Workspace en raison du traitement à grande échelle de données personnelles via la messagerie, le stockage de fichiers, l'agenda, la visioconférence et les documents collaboratifs. Les points clés à évaluer comprennent : la portée des données personnelles traitées par toutes les applications Workspace (contenu Gmail, fichiers Drive, événements Calendar, enregistrements Meet), les transferts internationaux de données vers les États Unis et d'autres pays tiers, les risques de surveillance des employés si les analyses de productivité sont activées, les politiques de conservation et de suppression des données, les contrôles d'accès et la journalisation des audits administratifs, les intégrations d'applications tierces du Marketplace qui peuvent accéder aux données Workspace, et l'adéquation du CDPA et des CCT pour vos activités de traitement spécifiques.
Exemple de texte de consentement
Ce site utilise des services Google Workspace (notamment des widgets intégrés Google Docs, Sheets, Forms et Calendar) qui peuvent déposer des cookies et traiter des données personnelles sur les serveurs de Google, y compris des serveurs situés en dehors de l'Espace économique européen. Ces cookies permettent l'authentification, la gestion des sessions et le fonctionnement des services. En acceptant, vous consentez à ce traitement de données. Vous pouvez retirer votre consentement à tout moment via nos paramètres de cookies.
Domaines tiers contactes
accounts.google.comdocs.google.comdrive.google.comcalendar.google.commeet.google.comapis.google.comworkspace.google.commail.google.comchat.google.comadmin.google.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| NID | preferences | 6 months | Stores user preferences such as language and search result display settings across Google services. |
| _Secure-ENID | preferences | 13 months | Remembers user preferences and settings. Serves a similar function to NID with enhanced security attributes. |
| SIDCC | security | Session / 1 year | Security cookie used to verify login integrity and protect user authentication data from unauthorised access. |
| __Secure-1PSIDCC | security | 1 year | First party security cookie verifying the authenticity of the user session and protecting against CSRF attacks. |
| SAPISID | authentication | 2 years | Enables Google to identify the signed in user and their associated Google account across Google services and embedded widgets. |
| 1P_JAR | analytics | 1 month | Collects website statistics and tracks conversion rates for Google services and advertising measurement. |
| CONSENT | functionality | 20 years | Stores the user's cookie consent state for Google services, recording whether the user has accepted or declined cookie usage. |
| HSID | security | 2 years | Security cookie used in combination with SID to verify Google account identity and prevent fraudulent use of login credentials. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Google Workspace dépose plusieurs cookies notamment NID et _Secure_ENID pour le stockage des préférences utilisateur (6 à 13 mois), SIDCC et _Secure_1PSIDCC pour la vérification de la sécurité de connexion, SAPISID et ses variantes pour l'identification de l'utilisateur connecté à travers les services Google, et 1P_JAR à des fins analytiques (1 mois). Lorsque des widgets Workspace sont intégrés sur des sites externes, des cookies supplémentaires provenant des domaines accounts.google.com, docs.google.com et apis.google.com peuvent également être déposés.
Cela dépend du contexte. Pour une utilisation interne par les employés d'une organisation, le consentement n'est généralement pas requis car l'exécution du contrat ou l'intérêt légitime servent de base juridique. En revanche, lorsque des éléments Workspace tels que Google Forms, des lecteurs Docs intégrés ou des widgets Calendar sont placés sur des sites web publics, le consentement préalable au titre de la directive ePrivacy est requis avant le dépôt de cookies non essentiels. Une plateforme de gestion du consentement (CMP) doit être déployée dans ces cas.
La base juridique varie selon le cas d'usage. Les fonctions de productivité de base pour les employés reposent généralement sur l'exécution du contrat (Art. 6(1)(b) RGPD) ou l'intérêt légitime (Art. 6(1)(f)). Les activités de sécurité et de prévention de la fraude sont couvertes par l'intérêt légitime. Les intégrations publiques qui déposent des cookies sur les appareils des visiteurs nécessitent le consentement explicite (Art. 6(1)(a)). Les organisations doivent documenter la base juridique applicable pour chaque activité de traitement dans leur Registre des activités de traitement.
Oui. Google exploite une infrastructure mondiale de centres de données et peut traiter des données dans des installations américaines. Pour se conformer aux exigences de transfert du RGPD, Google propose l'Avenant relatif au traitement des données cloud (CDPA) qui intègre les Clauses Contractuelles Types (CCT). Google est également participant certifié au Data Privacy Framework UE États Unis. Certaines éditions Workspace offrent une fonctionnalité de région de données qui conserve les données couvertes au repos dans l'UE, bien que les métadonnées et données de service puissent toujours être traitées globalement.
Une Analyse d'Impact relative à la Protection des Données est fortement recommandée et peut être juridiquement requise au titre de l'Art. 35 du RGPD pour la plupart des déploiements de Google Workspace. La plateforme traite de grands volumes de données personnelles via la messagerie, le stockage de fichiers, l'agenda, la visioconférence et les documents collaboratifs. Les principaux domaines de risque comprennent les transferts internationaux de données, la surveillance potentielle des employés via les analyses de productivité, les intégrations d'applications tierces du Marketplace et l'étendue des catégories de données traitées. L'évaluation doit couvrir tous les services Workspace utilisés et documenter les garanties fournies par le CDPA et les CCT.
Commencez par accepter l'Avenant relatif au traitement des données cloud (CDPA) dans la console d'administration Google sous Compte > Juridique et conformité. Configurez des politiques de conservation des données et des contrôles d'accès appropriés. Enregistrez les coordonnées de votre DPO et de votre autorité de contrôle. Examinez et restreignez l'accès des applications tierces via le Workspace Marketplace. Activez la journalisation des audits et effectuez des revues d'accès régulières. Pour tout site web public intégrant des widgets Workspace, déployez une bannière de consentement aux cookies. Réalisez une AIPD couvrant tous les services utilisés et formez l'ensemble du personnel aux principes de protection des données.
Pour les organisations souhaitant minimiser les transferts internationaux de données, les alternatives comprennent Nextcloud (suite de collaboration open source auto hébergée), Tutanota ou ProtonMail (messagerie axée sur la confidentialité hébergée dans l'UE), OnlyOffice (collaboration documentaire hébergée dans l'UE) et Infomaniak kSuite (suite de productivité hébergée en Suisse). Pour des fonctions spécifiques, les organisations peuvent envisager Jitsi Meet pour la visioconférence ou CryptPad pour les documents collaboratifs chiffrés. Chaque alternative doit être évaluée pour sa propre conformité RGPD, ses accords de traitement des données et ses certifications de sécurité.
Votre politique de cookies doit lister tous les cookies déposés par les widgets Google Workspace intégrés, incluant leurs noms, finalités, durées et domaines d'origine (tels que accounts.google.com, docs.google.com, apis.google.com). Précisez si chaque cookie est strictement nécessaire ou nécessite le consentement. Documentez le rôle de Google en tant que sous traitant, référencez le CDPA et les CCT comme cadre juridique pour les transferts de données, et fournissez des instructions claires pour permettre aux utilisateurs de gérer ou retirer leur consentement. La politique doit être revue et mise à jour chaque fois que vous ajoutez ou supprimez des intégrations Workspace de votre site web.