Google Workspace (anciennement G Suite) equipe de nombreuses organisations pour la messagerie, le stockage et la collaboration. En 2025, les questions de conformite RGPD autour des outils Google restent d’actualite, notamment concernant les transferts de donnees vers les Etats-Unis. Voici comment parametrer Google Workspace pour maximiser votre conformite.
Le cadre des transferts de donnees avec Google
Google LLC est une entreprise americaine, ce qui souleve la question des transferts de donnees hors UE. Depuis l’adoption du EU-US Data Privacy Framework en 2023, Google est certifie dans ce cadre, ce qui fournit une base legale pour les transferts. Neanmoins, il est recommande de configurer la localisation des donnees en Europe lorsque c’est possible et de documenter votre analyse de risque dans votre registre des traitements.
Configurer la localisation des donnees
Google Workspace propose des options de localisation des donnees pour les editions Business et Enterprise. Dans la console d’administration, activez la politique de region des donnees pour stocker les donnees couvertes dans la region Europe. Cette option concerne les donnees au repos de Gmail, Calendar, Drive, Docs, Sheets, Slides, Chat et Meet. Verifiez regulierement que cette politique est bien appliquee a toutes les unites organisationnelles.
Parametrer la confidentialite et la securite
Plusieurs parametres de securite sont essentiels : activez l’authentification a deux facteurs pour tous les utilisateurs (de preference avec des cles de securite physiques), configurez la politique de mots de passe avec des exigences de complexite, desactivez l’acces aux applications tierces non approuvees, limitez le partage externe de fichiers Drive aux domaines autorises, et activez la verification avancee de la protection contre le phishing dans Gmail.
Gerer les applications tierces et les API
Les applications tierces connectees a Google Workspace peuvent acceder aux donnees personnelles. Dans la console d’administration, passez en revue toutes les applications autorisees, bloquez l’acces aux applications non approuvees, limitez les portees d’API disponibles, et mettez en place un processus d’approbation pour les nouvelles applications. Chaque application tierce autorisee doit faire l’objet d’une evaluation de conformite RGPD et etre inscrite dans votre registre des traitements.
La retention des donnees dans Google Workspace
Google Vault permet de definir des regles de retention pour les e-mails, les fichiers Drive et les messages Chat. Configurez des regles de retention alignees avec votre politique de durees de conservation RGPD. Mettez en place la suppression automatique des donnees a l’expiration de la duree de conservation. Attention : les regles de retention de Vault priment sur les suppressions manuelles des utilisateurs, assurez-vous donc que vos regles sont correctement parametrees.
Les journaux d’audit et la surveillance
Google Workspace fournit des journaux d’audit detailles pour chaque service. Consultez regulierement les journaux d’audit de la console d’administration, les rapports d’activite des utilisateurs, les alertes de securite, et les rapports de partage Drive. Configurez des alertes automatiques pour les evenements sensibles comme les partages externes non autorises, les connexions suspectes ou les modifications de parametres de securite.
Le contrat de sous-traitance avec Google
Google agit en tant que sous-traitant pour les services Google Workspace. Le Cloud Data Processing Addendum (CDPA) constitue le contrat de sous-traitance conforme a l’article 28 du RGPD. Acceptez le CDPA dans la console d’administration, conservez une copie dans votre documentation, et suivez les mises a jour des conditions de traitement. Google publie egalement des certifications ISO 27001 et SOC 2/3 disponibles dans le Compliance Reports Manager.
Conclusion
Parametrer Google Workspace pour la conformite RGPD demande une configuration rigoureuse couvrant la localisation des donnees, la securite des acces, la gestion des applications tierces et la retention. En 2025, documentez chaque choix de configuration et revisez regulierement vos parametres pour maintenir un niveau de conformite optimal.
