Google Workspace et RGPD : guide de conformite 2026

Google Workspace (anciennement G Suite) est la suite collaborative la plus repandue dans les entreprises francaises : Gmail, Google Drive, Docs, Sheets, Meet, Calendar, Chat. Des millions de salaries francais y stockent quotidiennement des emails professionnels, des documents contractuels, des fichiers RH et des enregistrements de visioconferences. Pour le responsable de traitement, cette centralisation est a la fois un avantage operationnel et un risque juridique concentre.

La question de la conformite RGPD de Google Workspace est plus nuancee qu’il n’y parait. Il ne suffit pas de dire “Google est americain, donc non conforme” ni de se rassurer avec le DPA Google Cloud. La realite juridique se situe entre les deux : Google fournit un cadre contractuel et technique solide, mais la conformite effective depend de choix de configuration et de la distinction fondamentale entre Google Workspace (produit professionnel avec DPA) et les services Google grand public (sans DPA). Ce guide detaille cette analyse.

Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir aussi nos analyses de Slack et Notion.

Qualification juridique : Google comme sous-traitant

Le statut de sous-traitant pour Google Workspace

Google LLC agit en qualite de sous-traitant au sens de l’article 28 du RGPD pour les services Google Workspace. C’est votre organisation qui decide quels employes utilisent la suite, quelles donnees y sont stockees, et a quelles fins. Google fournit l’infrastructure technique et traite les donnees conformement a vos instructions, materialisees par le contrat et le DPA.

Cette qualification est formellement reconnue par Google dans son Cloud Data Processing Addendum et s’applique a l’ensemble des services couverts : Gmail, Drive, Docs, Sheets, Slides, Calendar, Meet, Chat, Sites, Keep, Forms, Currents et les autres services Google Workspace.

La distinction critique : Workspace vs. services Google grand public

C’est le point le plus important et le plus souvent meconnu. Google Workspace (le produit professionnel, avec un domaine d’entreprise et un abonnement payant) est couvert par un DPA. Les services Google grand public (Gmail @gmail.com, Google Drive personnel, Google Photos) ne le sont pas. Pour ces derniers, Google agit comme responsable de traitement autonome et utilise les donnees selon sa propre politique de confidentialite, notamment pour la publicite.

En pratique, cela signifie qu’un employe qui utilise son compte @gmail.com personnel pour des communications professionnelles place l’entreprise en situation de non-conformite. La charte informatique doit explicitement interdire cette pratique.

Le cas de Gemini AI dans Workspace

Gemini, l’assistant IA de Google, est disponible en tant qu’add-on pour Google Workspace. Plusieurs points juridiques sont a noter :

• L’activation de Gemini est une decision de l’administrateur, pas des utilisateurs individuels
• Selon les conditions Google Workspace, les donnees traitees par Gemini ne sont pas utilisees pour l’entrainement des modeles d’IA
• Le traitement par Gemini reste couvert par le DPA Google Cloud

La qualification de sous-traitant reste donc inchangee. Cependant, l’activation de Gemini constitue un nouveau traitement a documenter, avec ses propres finalites et sa propre analyse de risque.

Analyse du DPA Google Cloud

Le Google Cloud Data Processing Addendum est l’un des DPA les plus complets du marche SaaS. Il s’applique automatiquement a tous les clients Google Workspace et est egalement disponible dans la console d’administration. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD	Couverture dans le DPA Google Cloud	Evaluation
Objet, duree, nature et finalite du traitement	Definis dans le DPA et ses annexes (par service)	Conforme
Types de donnees et categories de personnes	Decrits dans l’annexe “Subject Matter and Details of the Data Processing”	Conforme
Instructions documentees du responsable	Traitement sur instructions documentees, avec mecanisme de notification si instruction jugee non conforme	Conforme
Confidentialite du personnel	Accords de confidentialite pour tous les employes Google	Conforme
Mesures de securite (Art. 32)	Annexe securite tres detaillee (chiffrement, controles physiques et logiques, tests de penetration)	Conforme
Sous-traitants ulterieurs	Liste publiee et mise a jour avec mecanisme de notification (30 jours) et droit d’objection	Conforme
Assistance pour les droits des personnes	Fonctionnalites de la console d’administration + engagement dans le DPA	Conforme
Suppression ou restitution en fin de contrat	Export des donnees via Google Takeout + suppression apres la periode de grace	Conforme
Droit d’audit	Prevu dans le DPA : acces aux rapports SOC 2/3, ISO, et possibilite d’audit tiers	Conforme
Information en cas d’instruction contrevenant au RGPD	Obligation de notification explicite dans le DPA	Conforme

Le DPA Google Cloud est un document juridiquement solide qui repond a toutes les exigences formelles de l’article 28. Il est regulierement mis a jour pour integrer les evolutions reglementaires. Le point fort est la granularite des annexes techniques, qui detaillent les mesures de securite par service.

Le point d’attention principal concerne la liste des sous-traitants ulterieurs : Google utilise ses propres filiales et des prestataires tiers pour certains services. Cette liste est publiee et mise a jour, avec un mecanisme de notification prealable de 30 jours, ce qui permet au client de s’opposer a un nouveau sous-traitant.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des donnees

Google LLC est une societe americaine basee a Mountain View, Californie. Cependant, Google Workspace propose depuis plusieurs annees une option de region de donnees qui permet de forcer le stockage des donnees au repos dans l’Union europeenne. Cette fonctionnalite, disponible sur les plans Business Plus et Enterprise, couvre les donnees principales de Gmail, Drive, Docs, Sheets, Slides, Calendar, Chat, Meet et d’autres services.

Il est essentiel de distinguer :

• Donnees au repos : peuvent etre contraintes a une region UE
• Donnees en transit : peuvent transiter par des serveurs situes hors UE (optimisation reseau)
• Donnees de support : lorsqu’un ticket de support est ouvert, les equipes de support Google (y compris hors UE) peuvent y acceder

Mecanismes de transfert

Pour les transferts vers les Etats-Unis, Google s’appuie sur :

1. EU-US Data Privacy Framework (DPF). Google LLC est certifiee au DPF depuis son lancement en juillet 2023. Cela fournit une base legale pour les transferts de donnees vers les Etats-Unis.

2. Clauses contractuelles types (CCT). Le DPA integre les CCT 2021 de la Commission europeenne comme mecanisme alternatif, applicable en cas d’invalidation du DPF ou pour les transferts vers des pays non couverts par une decision d’adequation.

Conduite de la TIA

L’analyse d’impact sur les transferts doit evaluer les elements suivants :

• Legislation americaine. Les memes risques que pour tout fournisseur americain s’appliquent : FISA Section 702, Executive Order 12333. Les garanties de l’EO 14086 s’appliquent dans le cadre du DPF.
• Specificite Google. En tant qu’acteur majeur des services cloud, Google fait l’objet de demandes gouvernementales regulieres. Google publie un rapport de transparence detaillant le volume et la nature de ces demandes. Pour l’annee 2025, les demandes concernant les comptes Workspace d’entreprise representent une fraction minime du total.
• Mesures supplementaires. Chiffrement en transit (TLS 1.2+) et au repos. Pour les plans Enterprise, le chiffrement cote client (Client-Side Encryption / CSE) permet au client de gerer ses propres cles de chiffrement, rendant les donnees inaccessibles a Google et donc aux autorites americaines. C’est la mesure supplementaire la plus efficace disponible.

Securite informatique

Google Workspace beneficie du dispositif de securite de Google Cloud, l’un des plus robustes de l’industrie.

Certifications et audits

• SOC 2 Type II – controles de securite, disponibilite et confidentialite
• SOC 3 – rapport public
• ISO 27001 – systeme de management de la securite
• ISO 27017 – controles de securite specifiques au cloud
• ISO 27018 – protection des donnees personnelles dans le cloud
• FedRAMP – conformite aux exigences federales americaines (niveau High pour certains services)

Mesures techniques

• Chiffrement en transit : TLS 1.2+ pour toutes les communications, avec forward secrecy
• Chiffrement au repos : AES-256, avec rotation automatique des cles
• Client-Side Encryption (CSE) : chiffrement cote client disponible sur Enterprise, couvrant Drive, Docs, Sheets, Slides, Meet et Calendar. Les cles sont gerees par un service tiers de gestion de cles (Key Access Control List Service) ou par le materiel HSM du client
• Advanced Protection Program : protection renforcee contre le phishing pour les comptes administrateurs
• Data Loss Prevention (DLP) : regles de detection et de blocage des fuites de donnees (Business Plus et Enterprise)
• Authentification : SSO SAML 2.0, 2FA obligatoire configurable, cles de securite physiques supportees
• Google Vault : retention, recherche et export pour la conformite et l’eDiscovery
• Journalisation : logs d’audit detailles dans la console d’administration, exportables vers BigQuery ou un SIEM

Mesures organisationnelles

• Equipes de securite dediees (Project Zero, Threat Analysis Group)
• Programme de bug bounty (Vulnerability Reward Program)
• Tests de penetration reguliers par des auditeurs independants
• Notification des incidents de securite dans les 72 heures

Configuration recommandee pour la conformite RGPD

1. Activer les regions de donnees UE. Dans la console d’administration, configurez les data regions pour contraindre le stockage des donnees au repos dans l’UE. Disponible sur Business Plus et Enterprise.

2. Accepter le DPA dans la console d’administration. Le DPA Google Cloud doit etre explicitement accepte dans la console d’administration (Admin > Compte > Conditions juridiques). Sans cette acceptation, le DPA ne s’applique pas formellement.

3. Configurer l’authentification forte. Rendez le 2FA obligatoire pour tous les utilisateurs. Imposez des cles de securite physiques pour les administrateurs. Configurez le SSO si vous disposez d’un fournisseur d’identite centralise.

4. Activer les regles DLP. Sur Business Plus et Enterprise, configurez des regles de prevention des fuites de donnees pour detecter et bloquer le partage de donnees sensibles (numeros de securite sociale, coordonnees bancaires, donnees de sante) par email ou via Drive.

5. Configurer Google Vault. Definissez des regles de retention alignees sur votre politique de duree de conservation. Configurez des regles par service (Gmail, Drive, Chat) et par Unite organisationnelle.

6. Interdire les applications tierces non approuvees. Dans la console d’administration, restreignez les applications tierces OAuth autorisees a acceder aux donnees Workspace. Chaque application approuvee est un sous-traitant additionnel.

7. Activer le Client-Side Encryption (CSE). Sur Enterprise, configurez le CSE pour les documents Drive et les enregistrements Meet contenant des donnees sensibles. Cela necessite un service de gestion de cles externe (Thales, Fortanix, Flowcrypt, ou autre).

8. Configurer Gemini AI avec discernement. Si vous activez Gemini, faites-le au niveau administrateur avec une politique claire. Desactivez-le pour les unites organisationnelles traitant des donnees sensibles (RH, juridique, sante). Informez les utilisateurs.

9. Bloquer les comptes personnels Google. Via votre proxy ou votre solution de MDM, empechechez l’utilisation de comptes @gmail.com personnels sur les postes de travail professionnels. C’est la mesure la plus efficace pour eviter la confusion entre Workspace (avec DPA) et services grand public (sans DPA).

10. Documenter dans le registre. Inscrivez Google Workspace dans votre registre des traitements avec tous les services utilises, les categories de donnees, les finalites, les transferts et les mesures de securite. C’est ce que Legiscope automatise dans la cartographie des traitements.

Points d’attention specifiques

Workspace vs. Google grand public : ne pas confondre

C’est le risque numero un. Un employe qui transfere un document de Google Drive (Workspace) vers son Google Drive personnel quitte le perimetre du DPA. De meme, l’utilisation de Google Photos, Google Maps ou du moteur de recherche Google depuis un poste de travail ne releve pas du DPA Workspace. Cette distinction doit etre clairement expliquee dans la charte informatique et lors des formations de sensibilisation.

Gemini AI : un traitement a documenter

L’activation de Gemini dans Workspace constitue un traitement additionnel avec ses propres finalites (generation de contenu, synthese, analyse). Meme si les donnees ne sont pas utilisees pour l’entrainement du modele, le fait que Google traite le contenu des emails, documents et messages pour generer des reponses IA doit etre documente dans le registre et porte a la connaissance des utilisateurs.

Client-Side Encryption : la reponse aux risques de surveillance

Le CSE est la mesure supplementaire la plus efficace contre le risque d’acces par les autorites americaines. Lorsque le CSE est active, Google ne peut pas dechiffrer les donnees, meme sur ordonnance judiciaire. C’est la configuration recommandee pour les donnees stratégiques, juridiques ou relevant du secret professionnel.

FAQ

Google Workspace est-il conforme au RGPD ?

Google Workspace fournit un cadre contractuel et technique permettant une utilisation conforme au RGPD : DPA solide, regions de donnees UE, certifications multiples, chiffrement avance. La conformite effective depend neanmoins de la configuration mise en place par l’administrateur. Un Google Workspace avec les parametres par defaut, sans DPA accepte, sans region de donnees configuree et sans politique de retention, n’est pas conforme. C’est la responsabilite du responsable de traitement de configurer l’outil correctement.

Faut-il realiser une AIPD pour Google Workspace ?

Une analyse d’impact est recommandee dans les cas suivants : utilisation de Gmail pour des communications contenant des donnees de sante ou des donnees judiciaires, activation de Gemini AI sur des donnees sensibles, utilisation de Google Meet pour des consultations medicales ou juridiques en visio, ou traitement a grande echelle de donnees d’employes. Pour un usage bureautique standard, l’AIPD n’est pas formellement requise mais reste une bonne pratique.

Quelle est la difference entre Google Workspace et les services Google gratuits pour le RGPD ?

La difference est fondamentale. Google Workspace (abonnement payant, domaine professionnel) est couvert par le Google Cloud Data Processing Addendum : Google agit comme sous-traitant, les donnees ne sont pas utilisees pour la publicite, les regions de donnees et le CSE sont disponibles. Les services gratuits (Gmail @gmail.com, Drive personnel) sont regis par les conditions generales grand public : Google agit comme responsable de traitement, les donnees peuvent etre utilisees pour le ciblage publicitaire, aucun DPA n’est disponible. L’utilisation de comptes Google personnels pour des donnees professionnelles est incompatible avec le RGPD.

Que se passe-t-il si le Data Privacy Framework est invalide ?

Google a prevu dans son DPA le basculement vers les CCT comme mecanisme de transfert alternatif. De plus, l’activation des regions de donnees UE limite les transferts aux seules operations de maintenance et de support. Le Client-Side Encryption, lorsqu’il est active, rend les donnees inaccessibles a Google et donc a toute autorite etrangere. En combinant region UE et CSE, l’impact d’une invalidation du DPF serait significativement reduit pour votre organisation.