Google a annoncé Sovereign Controls for Google Workspace, une extension de Workspace qui permet aux organisations de mieux contrôler ce qui arrive à leurs données. L’accent est mis sur les transferts vers et depuis les États-Unis.
Google présente « Sovereign Controls for Google Workspace ». Ainsi, Google donne aux clients de Workspace plus de contrôle sur leurs données. Ce service permet notamment de surveiller, de contrôler et de restreindre les transferts de données entre l’UE et les États-Unis. Il s’agit d’une capacité essentielle au sens du GDPR. Le nouveau système se compose de plusieurs mécanismes que Google déploiera progressivement à partir de la fin de l’année 2022.
Chiffrement
Un des principaux fondements du nouveau système est le cryptage côté client (« Client-side encryption »). Cela permet aux clients de chiffrer leurs données avec des clés cryptographiques qu’ils contrôlent entièrement eux-mêmes. Comme Google ne dispose pas des clés, il ne peut pas lire les données, même si un juge américain l’ordonnait.
En théorie, la NSA ne peut pas intervenir et lire les données, comme elle le peut aujourd’hui en vertu de la loi américaine US Cloud Act. Les possibilités offertes par ce règlement ont poussé la Cour de justice européenne à interdire les transferts de données vers les États-Unis dans les arrêts Schrems I et Schrems II.
Options d’emplacement
Le cryptage ne résout cependant pas tous les problèmes, car les données sont toujours décryptées pendant le traitement. Le lieu où s’effectue ce traitement n’est pas toujours clair. Par conséquent, Google va étendre les options de localisation de Workspace. Les clients pourront mieux déterminer où se trouvent les données et où le traitement a lieu. La mise en œuvre de la fonctionnalité ne se ferait pas avant la fin de l’année 2023.
À peu près au même moment, vous pouvez vous attendre à de nouvelles fonctions de contrôle d’accès. Les nouvelles fonctionnalités sont les suivantes :
- Accorder ou retirer l’accès au support Google via Access Approvals
- Assistance clientèle exclusivement depuis l’UE
- Assistance permanente des ingénieurs de Google
- Rapport étendu sur les journaux via Access Transparency (déjà disponible)
Étape importante
Les nouvelles fonctionnalités et les nouveaux services répondent au traitement inadéquat des données par Google aujourd’hui, mais il n’est pas certain que le plan soit suffisant. Par exemple, les nouvelles mesures ne s’appliquent qu’à Workspace, et non à l’ensemble de Google Cloud. Quoi qu’il en soit, les Sovereign Controls pour Google Workspace marquent un grand progrès dans la bonne direction.
Google suit les traces de Microsoft, qui souhaite établir sa propre EU Data Boundary d’ici à la fin de l’année. Elle fait en sorte que les données des clients soient stockées et traitées exclusivement au sein de l’UE.