Google annonce ce 4 mai l’instauration de “nouvelles capacités de contrôle” dans Google Workspace, sa suite bureautique connue anciennement sous le nom de G Suite, pour permettre aux utilisateurs de “contrôler, limiter et surveiller les transferts de données vers et depuis l’Union européenne” à partir de la fin 2022. De nouvelles fonctionnalités seront présentées en 2023.
Cette annonce répond sans aucun doute aux conséquences de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne ; ce texte qui facilitait les transferts de données depuis l’UE vers les Etats-Unis. Depuis, il est beaucoup plus délicat pour une entreprise ou une entité publique de demander à des services proposés par des entreprises américaines. Car, en vertu du Cloud Act notamment, les autorités peuvent ordonner sous certaines conditions la divulgation des données autorisées par des sociétés américaines quelle que soit leur localisation.
“Nous entendons souvent les décideurs politiques et les chefs d’entreprise de l’Union européenne dire qu’il est crucial de garantir la souveraineté de leurs données [stockées] dans le cloud, grâce à la régionalisation et aux contrôles supplémentaires sur l’accès administratif“, écrit Javier Soltero, vice-président et directeur général de Google Workspace.
Un chiffrement côté client
Pour continuer à pouvoir utiliser des services américains, les organisations doivent remplir un certain nombre d’obligations pour protéger les données. C’est ce que propose Google avec ce qu’il a appelé les “Contrôles souverains pour Google Workspace“. Tout d’abord, il instaure la possibilité pour les utilisateurs de chiffrer les données étendues dans la suite bureautique. Ce chiffrement “côté client” est désormais disponible pour Google Drive, Docs et Sheets, puis sera étendu à Gmail, Google Calendar et Meet d’ici la fin 2022.
Le chiffrement proposé par Google permet de protéger les données “au repos” et “en transit”. Le lieu de stockage des clés de chiffrement sera choisi par les utilisateurs et Google dit qu’il ne pourra jamais y accéder. Le chiffrement des données est l’une des conditions à respecter pour pouvoir transférer des données outre-Atlantique, impose le Comité européen de la protection des données (EDPB).
Contrôler les accès
Google propose également un contrôle plus poussée pour les utilisateurs sur “toutes les formes d’accès administratif à leurs systèmes“. D’ici la fin 2023, ils pourraient empêcher ou autoriser l’accès à l’assistance Google, bénéficier d’une assistance 24h/24 de la part du personnel d’ingénierie de Google, ainsi que produire des rapports de journal complets sur l’accès aux données et les actions via Access Transparency.
Rien ne garantit évidemment que ces nouvelles fonctionnalités permettent à Google de devenir une entreprise conforme aux exigences européennes. Mais ne perdons pas de vue non plus qu’un nouvel accord de principe a été signé entre Bruxelles et Washington, bien que sa mise en œuvre ne soit pas encore certain dans la mesure où elle nécessitera que les États-Unis modifient leur législation.
