Google Workspace et RGPD : guide de conformité 2026

Google Workspace (anciennement G Suite) est la suite collaborative la plus répandue dans les entreprises françaises : Gmail, Google Drive, Docs, Sheets, Meet, Calendar, Chat. Des millions de salariés français y stockent quotidiennement des emails professionnels, des documents contractuels, des fichiers RH et des enregistrements de visioconférences. Pour le responsable de traitement, cette centralisation est à la fois un avantage opérationnel et un risque juridique concentré.

La question de la conformité RGPD de Google Workspace est plus nuancée qu’il n’y paraît. Il ne suffit pas de dire “Google est américain, donc non conforme” ni de se rassurer avec le DPA Google Cloud. La réalité juridique se situe entre les deux : Google fournit un cadre contractuel et technique solide, mais la conformité effective dépend de choix de configuration et de la distinction fondamentale entre Google Workspace (produit professionnel avec DPA) et les services Google grand public (sans DPA). Ce guide détaille cette analyse.

Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir aussi nos analyses de Slack et Notion.

Qualification juridique : Google comme sous-traitant

Le statut de sous-traitant pour Google Workspace

Google LLC agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les services Google Workspace. C’est votre organisation qui décide quels employés utilisent la suite, quelles données y sont stockées, et à quelles fins. Google fournit l’infrastructure technique et traite les données conformément à vos instructions, matérialisées par le contrat et le DPA.

Cette qualification est formellement reconnue par Google dans son Cloud Data Processing Addendum et s’applique à l’ensemble des services couverts : Gmail, Drive, Docs, Sheets, Slides, Calendar, Meet, Chat, Sites, Keep, Forms, Currents et les autres services Google Workspace.

La distinction critique : Workspace vs. services Google grand public

C’est le point le plus important et le plus souvent méconnu. Google Workspace (le produit professionnel, avec un domaine d’entreprise et un abonnement payant) est couvert par un DPA. Les services Google grand public (Gmail @gmail.com, Google Drive personnel, Google Photos) ne le sont pas. Pour ces derniers, Google agit comme responsable de traitement autonome et utilise les données selon sa propre politique de confidentialité, notamment pour la publicité.

En pratique, cela signifie qu’un employé qui utilise son compte @gmail.com personnel pour des communications professionnelles place l’entreprise en situation de non-conformité. La charte informatique doit explicitement interdire cette pratique.

Le cas de Gemini AI dans Workspace

Gemini, l’assistant IA de Google, est disponible en tant qu’add-on pour Google Workspace. Plusieurs points juridiques sont à noter :

• L’activation de Gemini est une décision de l’administrateur, pas des utilisateurs individuels
• Selon les conditions Google Workspace, les données traitées par Gemini ne sont pas utilisées pour l’entraînement des modèles d’IA
• Le traitement par Gemini reste couvert par le DPA Google Cloud

La qualification de sous-traitant reste donc inchangée. Cependant, l’activation de Gemini constitue un nouveau traitement à documenter, avec ses propres finalités et sa propre analyse de risque.

Analyse du DPA Google Cloud

Le Google Cloud Data Processing Addendum est l’un des DPA les plus complets du marché SaaS. Il s’applique automatiquement à tous les clients Google Workspace et est également disponible dans la console d’administration. Voici l’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD	Couverture dans le DPA Google Cloud	Evaluation
Objet, durée, nature et finalité du traitement	Définis dans le DPA et ses annexes (par service)	Conforme
Types de données et catégories de personnes	Décrits dans l’annexe “Subject Matter and Details of the Data Processing”	Conforme
Instructions documentées du responsable	Traitement sur instructions documentées, avec mécanisme de notification si instruction jugée non conforme	Conforme
Confidentialité du personnel	Accords de confidentialité pour tous les employés Google	Conforme
Mesures de sécurité (Art. 32)	Annexe sécurité très détaillée (chiffrement, contrôles physiques et logiques, tests de pénétration)	Conforme
Sous-traitants ultérieurs	Liste publiée et mise à jour avec mécanisme de notification (30 jours) et droit d’objection	Conforme
Assistance pour les droits des personnes	Fonctionnalités de la console d’administration + engagement dans le DPA	Conforme
Suppression ou restitution en fin de contrat	Export des données via Google Takeout + suppression après la période de grâce	Conforme
Droit d’audit	Prévu dans le DPA : accès aux rapports SOC 2/3, ISO, et possibilité d’audit tiers	Conforme
Information en cas d’instruction contrevenant au RGPD	Obligation de notification explicite dans le DPA	Conforme

Le DPA Google Cloud est un document juridiquement solide qui répond à toutes les exigences formelles de l’article 28. Il est régulièrement mis à jour pour intégrer les évolutions réglementaires. Le point fort est la granularité des annexes techniques, qui détaillent les mesures de sécurité par service.

Le point d’attention principal concerne la liste des sous-traitants ultérieurs : Google utilise ses propres filiales et des prestataires tiers pour certains services. Cette liste est publiée et mise à jour, avec un mécanisme de notification préalable de 30 jours, ce qui permet au client de s’opposer à un nouveau sous-traitant.

Transferts internationaux et analyse d’impact sur les transferts (TIA)

Localisation des données

Google LLC est une société américaine basée à Mountain View, Californie. Cependant, Google Workspace propose depuis plusieurs années une option de région de données qui permet de forcer le stockage des données au repos dans l’Union européenne. Cette fonctionnalité, disponible sur les plans Business Plus et Enterprise, couvre les données principales de Gmail, Drive, Docs, Sheets, Slides, Calendar, Chat, Meet et d’autres services.

Il est essentiel de distinguer :

• Données au repos : peuvent être contraintes à une région UE
• Données en transit : peuvent transiter par des serveurs situés hors UE (optimisation réseau)
• Données de support : lorsqu’un ticket de support est ouvert, les équipes de support Google (y compris hors UE) peuvent y accéder

Mécanismes de transfert

Pour les transferts vers les États-Unis, Google s’appuie sur :

1. EU-US Data Privacy Framework (DPF). Google LLC est certifiée au DPF depuis son lancement en juillet 2023. Cela fournit une base légale pour les transferts de données vers les États-Unis.

2. Clauses contractuelles types (CCT). Le DPA intègre les CCT 2021 de la Commission européenne comme mécanisme alternatif, applicable en cas d’invalidation du DPF ou pour les transferts vers des pays non couverts par une décision d’adéquation.

Conduite de la TIA

L’analyse d’impact sur les transferts doit évaluer les éléments suivants :

• Législation américaine. Les mêmes risques que pour tout fournisseur américain s’appliquent : FISA Section 702, Executive Order 12333. Les garanties de l’EO 14086 s’appliquent dans le cadre du DPF.
• Spécificité Google. En tant qu’acteur majeur des services cloud, Google fait l’objet de demandes gouvernementales régulières. Google publie un rapport de transparence détaillant le volume et la nature de ces demandes. Pour l’année 2025, les demandes concernant les comptes Workspace d’entreprise représentent une fraction minime du total.
• Mesures supplémentaires. Chiffrement en transit (TLS 1.2+) et au repos. Pour les plans Enterprise, le chiffrement côté client (Client-Side Encryption / CSE) permet au client de gérer ses propres clés de chiffrement, rendant les données inaccessibles à Google et donc aux autorités américaines. C’est la mesure supplémentaire la plus efficace disponible.

Sécurité informatique

Google Workspace bénéficie du dispositif de sécurité de Google Cloud, l’un des plus robustes de l’industrie.

Certifications et audits

• SOC 2 Type II – contrôles de sécurité, disponibilité et confidentialité
• SOC 3 – rapport public
• ISO 27001 – système de management de la sécurité
• ISO 27017 – contrôles de sécurité spécifiques au cloud
• ISO 27018 – protection des données personnelles dans le cloud
• FedRAMP – conformité aux exigences fédérales américaines (niveau High pour certains services)

Mesures techniques

• Chiffrement en transit : TLS 1.2+ pour toutes les communications, avec forward secrecy
• Chiffrement au repos : AES-256, avec rotation automatique des clés
• Client-Side Encryption (CSE) : chiffrement côté client disponible sur Enterprise, couvrant Drive, Docs, Sheets, Slides, Meet et Calendar. Les clés sont gérées par un service tiers de gestion de clés (Key Access Control List Service) ou par le matériel HSM du client
• Advanced Protection Program : protection renforcée contre le phishing pour les comptes administrateurs
• Data Loss Prevention (DLP) : règles de détection et de blocage des fuites de données (Business Plus et Enterprise)
• Authentification : SSO SAML 2.0, 2FA obligatoire configurable, clés de sécurité physiques supportées
• Google Vault : rétention, recherche et export pour la conformité et l’eDiscovery
• Journalisation : logs d’audit détaillés dans la console d’administration, exportables vers BigQuery ou un SIEM

Mesures organisationnelles

• Équipes de sécurité dédiées (Project Zero, Threat Analysis Group)
• Programme de bug bounty (Vulnerability Reward Program)
• Tests de pénétration réguliers par des auditeurs indépendants
• Notification des incidents de sécurité dans les 72 heures

Configuration recommandée pour la conformité RGPD

1. Activer les régions de données UE. Dans la console d’administration, configurez les data regions pour contraindre le stockage des données au repos dans l’UE. Disponible sur Business Plus et Enterprise.

2. Accepter le DPA dans la console d’administration. Le DPA Google Cloud doit être explicitement accepté dans la console d’administration (Admin > Compte > Conditions juridiques). Sans cette acceptation, le DPA ne s’applique pas formellement.

3. Configurer l’authentification forte. Rendez le 2FA obligatoire pour tous les utilisateurs. Imposez des clés de sécurité physiques pour les administrateurs. Configurez le SSO si vous disposez d’un fournisseur d’identité centralisé.

4. Activer les règles DLP. Sur Business Plus et Enterprise, configurez des règles de prévention des fuites de données pour détecter et bloquer le partage de données sensibles (numéros de sécurité sociale, coordonnées bancaires, données de santé) par email ou via Drive.

5. Configurer Google Vault. Définissez des règles de rétention alignées sur votre politique de durée de conservation. Configurez des règles par service (Gmail, Drive, Chat) et par Unité organisationnelle.

6. Interdire les applications tierces non approuvées. Dans la console d’administration, restreignez les applications tierces OAuth autorisées à accéder aux données Workspace. Chaque application approuvée est un sous-traitant additionnel.

7. Activer le Client-Side Encryption (CSE). Sur Enterprise, configurez le CSE pour les documents Drive et les enregistrements Meet contenant des données sensibles. Cela nécessite un service de gestion de clés externe (Thales, Fortanix, Flowcrypt, ou autre).

8. Configurer Gemini AI avec discernement. Si vous activez Gemini, faites-le au niveau administrateur avec une politique claire. Désactivez-le pour les unités organisationnelles traitant des données sensibles (RH, juridique, santé). Informez les utilisateurs.

9. Bloquer les comptes personnels Google. Via votre proxy ou votre solution de MDM, empêchez l’utilisation de comptes @gmail.com personnels sur les postes de travail professionnels. C’est la mesure la plus efficace pour éviter la confusion entre Workspace (avec DPA) et services grand public (sans DPA).

10. Documenter dans le registre. Inscrivez Google Workspace dans votre registre des traitements avec tous les services utilisés, les catégories de données, les finalités, les transferts et les mesures de sécurité. C’est ce que Legiscope automatise dans la cartographie des traitements.

Points d’attention spécifiques

Workspace vs. Google grand public : ne pas confondre

C’est le risque numéro un. Un employé qui transfère un document de Google Drive (Workspace) vers son Google Drive personnel quitte le périmètre du DPA. De même, l’utilisation de Google Photos, Google Maps ou du moteur de recherche Google depuis un poste de travail ne relève pas du DPA Workspace. Cette distinction doit être clairement expliquée dans la charte informatique et lors des formations de sensibilisation.

Gemini AI : un traitement à documenter

L’activation de Gemini dans Workspace constitue un traitement additionnel avec ses propres finalités (génération de contenu, synthèse, analyse). Même si les données ne sont pas utilisées pour l’entraînement du modèle, le fait que Google traite le contenu des emails, documents et messages pour générer des réponses IA doit être documenté dans le registre et porté à la connaissance des utilisateurs.

Client-Side Encryption : la réponse aux risques de surveillance

Le CSE est la mesure supplémentaire la plus efficace contre le risque d’accès par les autorités américaines. Lorsque le CSE est activé, Google ne peut pas déchiffrer les données, même sur ordonnance judiciaire. C’est la configuration recommandée pour les données stratégiques, juridiques ou relevant du secret professionnel.

FAQ

Google Workspace est-il conforme au RGPD ?

Google Workspace fournit un cadre contractuel et technique permettant une utilisation conforme au RGPD : DPA solide, régions de données UE, certifications multiples, chiffrement avancé. La conformité effective dépend néanmoins de la configuration mise en place par l’administrateur. Un Google Workspace avec les paramètres par défaut, sans DPA accepté, sans région de données configurée et sans politique de rétention, n’est pas conforme. C’est la responsabilité du responsable de traitement de configurer l’outil correctement.

Faut-il réaliser une AIPD pour Google Workspace ?

Une analyse d’impact est recommandée dans les cas suivants : utilisation de Gmail pour des communications contenant des données de santé ou des données judiciaires, activation de Gemini AI sur des données sensibles, utilisation de Google Meet pour des consultations médicales ou juridiques en visio, ou traitement à grande échelle de données d’employés. Pour un usage bureautique standard, l’AIPD n’est pas formellement requise mais reste une bonne pratique.

Quelle est la différence entre Google Workspace et les services Google gratuits pour le RGPD ?

La différence est fondamentale. Google Workspace (abonnement payant, domaine professionnel) est couvert par le Google Cloud Data Processing Addendum : Google agit comme sous-traitant, les données ne sont pas utilisées pour la publicité, les régions de données et le CSE sont disponibles. Les services gratuits (Gmail @gmail.com, Drive personnel) sont régis par les conditions générales grand public : Google agit comme responsable de traitement, les données peuvent être utilisées pour le ciblage publicitaire, aucun DPA n’est disponible. L’utilisation de comptes Google personnels pour des données professionnelles est incompatible avec le RGPD.

Que se passe-t-il si le Data Privacy Framework est invalidé ?

Google a prévu dans son DPA le basculement vers les CCT comme mécanisme de transfert alternatif. De plus, l’activation des régions de données UE limite les transferts aux seules opérations de maintenance et de support. Le Client-Side Encryption, lorsqu’il est activé, rend les données inaccessibles à Google et donc à toute autorité étrangère. En combinant région UE et CSE, l’impact d’une invalidation du DPF serait significativement réduit pour votre organisation.