Google Drive et RGPD : guide de conformité 2026
Google Drive est-il conforme au RGPD ? Analyse du DPA Google, régions de données UE, partages et permissions, intégration Gemini et configuration DPO.
Google Drive constitue le cœur du stockage documentaire pour toutes les organisations françaises équipées de Google Workspace : PME, startups, associations, établissements d’enseignement, agences. Docs, Sheets, Slides, fichiers importés, exports de bases — l’ensemble transite et s’accumule dans Drive, souvent avec une culture du partage plus fluide que dans l’écosystème Microsoft. Pour le responsable de traitement, cette fluidité est à la fois la force de l’outil et sa principale source de risque RGPD.
Dans ma pratique de conseil auprès de DPO, Google Drive soulève des questions spécifiques : la portée réelle des engagements de localisation de Google, la gestion des permissions et des liens de partage souvent trop ouverts, l’intégration croissante de Gemini capable de puiser dans le contenu Drive, et l’exposition d’un groupe américain au regard des transferts. Ce guide propose une analyse juridique et des recommandations de configuration opérationnelles.
Pour une vue d’ensemble, voir également nos analyses de Google Workspace dans son ensemble, de OneDrive et de Microsoft Teams, qui posent des problématiques de stockage cloud comparables avec des réponses contractuelles différentes.
Qualification juridique : Google comme sous-traitant
Le statut au sens de l’article 28
Pour les services Google Workspace payants, Google Ireland Limited — entité contractante européenne — agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour Google Drive et l’ensemble de la suite. Votre organisation détermine les finalités (stockage documentaire, collaboration, partage) et les moyens essentiels (attribution des comptes, politiques de partage, contrôles de sécurité). Google fournit l’infrastructure et traite les données selon les termes du Cloud Data Processing Addendum.
Cette qualification vaut pour l’offre professionnelle. Il faut la distinguer nettement du Google Drive grand public (compte Gmail gratuit), régi par des conditions différentes et un modèle économique historiquement fondé sur l’exploitation publicitaire des données — raison pour laquelle les comptes personnels gratuits n’ont pas vocation à héberger des données professionnelles contenant des données personnelles de tiers.
Gemini et l’accès au contenu Drive
Gemini, l’assistant IA de Google intégré à Workspace, peut exploiter le contenu des fichiers Drive de l’utilisateur pour générer ses réponses. Selon la documentation Google consultée en juillet 2026, pour les éditions Workspace, Gemini opère dans le périmètre contractuel du client : les données Workspace ne sont pas utilisées pour entraîner les modèles Gemini en dehors du domaine, et Gemini respecte les permissions existantes sur les fichiers. L’activation de Gemini doit néanmoins être documentée dans le registre des traitements et, selon la sensibilité des documents accessibles, faire l’objet d’une analyse d’impact. Pour une analyse dédiée, voir notre guide Gemini et RGPD.
Périmètre des données stockées
Google Drive accueille tout ce que les utilisateurs y déposent, sans catégorisation préalable. En pratique :
- Documents collaboratifs : Docs, Sheets et Slides contenant des données clients, RH, financières
- Exports et bases : fichiers CSV de contacts, extractions de CRM, listes de diffusion
- Dossiers partagés d’équipe (Drive partagés) : espaces projets accessibles à des groupes
- Pièces jointes et imports : documents reçus, scans, PDF contractuels
- Données sensibles au sens de l’article 9 : certificats médicaux, données de santé, données révélant l’appartenance syndicale dans des dossiers RH
Le risque n’est pas le stockage encadré par le contrat, mais la gouvernance du partage. La culture Google favorise le partage par lien, ce qui multiplie les fichiers accessibles au-delà du cercle prévu. Le principe de minimisation et une politique de durée de conservation s’appliquent au contenu Drive. Voir notre tableau des durées de conservation.
Analyse du DPA Google
Le contrat de sous-traitance de Google est le Cloud Data Processing Addendum, applicable aux clients Google Workspace et Google Cloud, accessible publiquement. Évaluation au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026 :
| Exigence Art. 28 RGPD | Couverture dans le DPA Google | Évaluation |
|---|---|---|
| Objet, durée, nature et finalité | Décrits dans le Data Processing Addendum | Conforme |
| Types de données et catégories | Détaillés dans le DPA | Conforme |
| Traitement sur instructions documentées | Traitement selon les instructions du client | Conforme |
| Confidentialité du personnel | Engagement de confidentialité des employés | Conforme |
| Mesures de sécurité (Art. 32) | Chiffrement au repos et en transit, IAM, journaux, mesures détaillées | Conforme |
| Sous-traitants ultérieurs | Liste publiée, notification, droit d’objection | Conforme |
| Aide à l’exercice des droits | Outils d’export (Google Takeout, Vault) et engagement d’assistance | Conforme |
| Suppression ou restitution | Suppression après la fin du contrat dans le délai prévu | Conforme |
| Droit d’audit | Rapports SOC 2/3, ISO 27001, ISO 27017, ISO 27018, ISO 27701 | Conforme (via certifications) |
| Notification de violation | Engagement de notification sans retard injustifié | Conforme |
Le DPA Google est solide et bien documenté. Comme pour les autres hyperscalers, le droit d’audit s’exerce principalement via la mise à disposition de rapports de certification plutôt que par un audit sur site — pratique admise par la CNIL pour les opérateurs de cette taille, à condition qu’elle soit cohérente avec votre politique interne. Voir notre modèle de questionnaire sous-traitants.
Partages inter-organisations : attention à la co-responsabilité
Le partage de fichiers Drive vers des utilisateurs d’autres organisations crée des flux de données entre responsables de traitement distincts. Dans la plupart des cas, chaque organisation reste responsable pour ses propres utilisateurs. Mais lorsque le partage s’inscrit dans un projet conjoint où les deux entités déterminent ensemble les finalités et moyens du traitement, une situation de co-responsabilité au sens de l’article 26 peut émerger, imposant de formaliser la répartition des obligations. Ce point est à évaluer pour les Drive partagés ouverts à des partenaires externes sur des données personnelles significatives.
Localisation et transferts
Régions de données Google Workspace
Google propose une fonctionnalité de régions de données (data regions) pour Google Workspace, permettant, sur les éditions concernées, de restreindre le stockage au repos de certaines données couvertes à une zone géographique — dont l’Europe. Cette politique couvre les données principales des services phares (dont Drive) mais son périmètre exact (types de données couvertes, traitement en transit, métadonnées) doit être vérifié au moment du déploiement selon l’édition souscrite.
Google étant un groupe américain, la question de l’exposition au Cloud Act et de l’accès potentiel des autorités américaines reste discutée par la doctrine. Elle est atténuée par les engagements contractuels de Google (transparence, contestation des demandes) mais doit être documentée dans votre analyse de risque, en particulier pour les données sensibles.
Mécanismes de transfert
Pour les flux vers les États-Unis, le DPA Google s’appuie sur les clauses contractuelles types (CCT, décision 2021/914) et, le cas échéant, sur l’adhésion de Google LLC au Data Privacy Framework (DPF). Une analyse d’impact des transferts (TIA) reste recommandée pour les traitements sensibles à grande échelle. La fonctionnalité de régions de données, lorsqu’elle est activée, réduit le périmètre des données concernées par ces transferts.
Configuration recommandée
Maîtrise des partages et permissions
C’est le point de vigilance central sur Google Drive. Recommandations :
- Restreindre le partage externe au niveau de la console d’administration : limiter ou interdire le partage vers des domaines externes pour les unités organisationnelles sensibles
- Désactiver les liens « tous les utilisateurs disposant du lien » par défaut, ou les restreindre au domaine
- Configurer l’expiration des accès partagés
- Auditer les fichiers partagés externement via les rapports d’investigation et de sécurité de la console
- Utiliser les Drive partagés (shared drives) plutôt que les partages individuels pour les documents d’équipe, afin de dissocier la propriété des fichiers de celle des comptes individuels
Classification et prévention des pertes
- DLP (Data Loss Prevention) pour détecter et bloquer le partage de données personnelles sensibles (numéros d’identification, coordonnées bancaires)
- Étiquettes de classification (Drive labels) pour marquer et gouverner les documents selon leur sensibilité
- Chiffrement côté client (CSE) pour les documents les plus sensibles, sur les éditions qui le proposent
Sécurité des accès
- Validation en deux étapes obligatoire pour tous les comptes
- Contrôle d’accès contextuel selon l’appareil et la localisation
- Journalisation des accès et partages pour l’audit
Documentation RGPD
- Inscription au registre du traitement de stockage documentaire, avec Google comme sous-traitant
- Base légale clarifiée pour les traitements sous-jacents : l’intérêt légitime couvre généralement la collaboration documentaire interne, tandis que d’autres bases s’appliquent aux données RH ou clients stockées
- AIPD si Drive héberge des volumes significatifs de données sensibles ou si Gemini y accède
- Information des salariés et du CSE sur les modalités de contrôle
- Procédure de violation anticipant l’exposition accidentelle de fichiers via un partage trop ouvert, avec évaluation du risque et notification à la CNIL le cas échéant
Cas particuliers
Associations et établissements d’enseignement
Google Workspace (et son édition Education) est très répandu dans ces structures, souvent sans administration IT dédiée. La configuration par défaut laisse fréquemment le partage externe ouvert. Un durcissement initial des paramètres de partage est la mesure à plus fort impact. Pour l’enseignement, l’attention aux données de mineurs impose une vigilance accrue sur les partages et la base légale.
Startups et culture du partage
Les startups adoptent Drive avec une culture de partage très ouverte, propice à la surexposition. Un audit périodique des fichiers partagés externement et une sensibilisation des équipes sont nécessaires pour maîtriser la dispersion des données personnelles.
Départ de salarié
À la fin d’un contrat, les fichiers appartenant au compte du salarié risquent d’être perdus ou de rester accessibles. L’usage des Drive partagés et une procédure de transfert de propriété évitent ce double risque.
Données de santé
Pour le stockage de données de santé, la qualification Hébergeur de Données de Santé (HDS) de l’infrastructure concernée doit être vérifiée au moment du déploiement, le stockage de tels documents sur Drive sans mesure spécifique étant à proscrire.
FAQ : Google Drive et RGPD
Google Drive est-il conforme au RGPD ?
L’architecture contractuelle et technique de Google Drive (édition Workspace) est alignée sur les exigences du RGPD : DPA article 28, régions de données, certifications. La conformité d’ensemble dépend entièrement de votre configuration : maîtrise des partages externes, gouvernance du contenu, durées de conservation, information des personnes concernées. C’est l’usage effectif qui est conforme ou non, pas l’outil considéré en lui-même. Le Drive grand public gratuit, régi par d’autres conditions, n’entre pas dans ce cadre.
Mes fichiers Google Drive sont-ils stockés en Europe ?
Google propose une fonctionnalité de régions de données permettant, sur les éditions concernées, de restreindre le stockage au repos de certaines données à l’Europe. Le périmètre exact (types de données, traitement en transit) dépend de l’édition et doit être vérifié à la configuration.
Les partages Google Drive sont-ils un risque RGPD ?
Oui, c’est le principal risque. La culture du partage par lien favorise la surexposition de fichiers contenant des données personnelles. La restriction du partage externe, la désactivation des liens ouverts et l’audit périodique sont les mesures prioritaires.
Faut-il une AIPD pour Google Drive ?
Pas pour un usage bureautique standard. L’AIPD devient pertinente lorsque Drive héberge des volumes significatifs de données sensibles ou lorsque Gemini est activé et peut y accéder. Voir notre guide sur l’AIPD.
Gemini utilise-t-il mes documents Drive pour s’entraîner ?
Selon la documentation Google consultée en juillet 2026, pour les éditions Workspace, les données Workspace ne servent pas à entraîner les modèles Gemini en dehors du domaine, et Gemini respecte les permissions existantes. Voir notre analyse Gemini et RGPD pour le détail.
Comment intégrer Google Drive à mon registre des traitements ?
Documenter le traitement de stockage documentaire : finalités, catégories de données, base légale, durée de conservation, Google Ireland Limited comme sous-traitant avec ses garanties (DPA, régions de données, certifications). Voir notre exemple de registre RGPD rempli.
Pour cartographier les outils de stockage cloud, qualifier Google comme sous-traitant et suivre les durées de conservation, un logiciel RGPD centralise la documentation et le suivi des sous-traitants de l’écosystème Workspace.