Pour gérer vos consentements :
Categories: JuridiqueRégulations

Google Workspace, incompatible RGPD ?

Du support technique localisé dans l’Union européenne ? Les coentreprises Bleu et S3NS, entre autres, en ont fait un argument de vente pour leurs offres « souveraines » à venir. Avec une garantie principale : éviter le transfert de données vers des pays tiers… et les accès indésirables qui pourraient s’ensuivre, au mépris du RGPD.

Cette dimension est au cœur d’un dossier que la Cnil danoise suit depuis près de trois ans. À l’origine, il y a la plainte d’un parent d’élève, qui avait signalé une violation de données personnelles de son enfant en lien avec l’ouverture d’un compte YouTube. Institution visée : l’école primaire de la municipalité d’Elseneur (nord du pays).

Celle-ci utilisait – et utilise toujours – des Chromebook et la suite Google Workspace pour l’Éducation (édition Standard). À la suite de la plainte en question, la Cnil danoise lui a imposé une revue de ses activités de traitement. La démarche a révélé des inconformités vis-à-vis du RGPD. Ainsi en a en tout cas jugé l’autorité. Avec au premier chef, un risque d’exploitation de données personnelles – a fortiori de personnes mineures – par le groupe américain ou d’autres tiers, dans le cadre d’opérations d’assistance.

Support Google Workspace : des « fenêtres » de communication en clair

La municipalité a reçu pour ordre de suspendre l’usage de Google Workspace le temps de se mettre en règle. Plus précisément, tant qu’elle ne disposera pas d’une « documentation adéquate » des risques encourus. Et ce même si « statistiquement », comme elle l’a fait valoir chiffres à l’appui, l’école a peu de chances d’être cible d’une requête d’autorités de pays tiers.

Quand bien même les données en question seraient chiffrées, il peut exister une fenêtre pendant laquelle des communications peuvent se faire en clair, noté la Cnil danoise. En outre, dans le cadre de l’offre qu’exploite l’école, le groupe américain qui détient les clés de chiffrement… même si, au vu de la structure du contrat (régi par des clauses types), Google EMEA est censé devoir donner son aval au siège américain.

La Cnil danoise investigue le cas d’autres municipalités qui exploitent des modèles de traitement similaires.

Illustration © Google

Recent Posts

Atos x Airbus : les négociations pour le rachat de BDS sont rompues

Airbus renonce au rachat de l'activité Big Data & Security ( BDS) d’Atos. Un nouvel…

27 minutes ago

Vanessa Cugniere, nouvelle Country Manager de OneTrust en France

OneTrust nomme Vanessa Cugniere au poste de Country Manager pour la France.

19 heures ago

Les recettes d’Apple pour entraîner des LLM multimodaux

Apple donne un aperçu supplémentaire de ses travaux LLM multimodaux avec un article consacré à…

19 heures ago

Luc Julia : « L’IA générative n’est pas une révolution des IA, mais une révolution des usages »

Pour Luc Julia, inventeur de Siri, l’essor des IA génératives n’est pas une révolution qui…

23 heures ago

Grok est-il vraiment un LLM « ouvert » ?

Un LLM dont on publie poids et code d'inférence est-il « open source » ?…

1 jour ago

Les 5 start-up retenues pour le programme PROQCIMA

Avec PROQCIMA, L'État vise le développement d'ordinateurs quantiques à destination des armées. Il a sollicité…

1 jour ago