Problème 2456
Un rapport du gouvernement néerlandais identifiant "10 risques élevés de protection des données" pour les utilisateurs de Google Workspace, anciennement connu sous le nom de G Suite, a été révisé après la réponse de Google, et indique désormais que huit problèmes à haut risque subsistent.
L'étude (disponible en anglais) a été menée par le ministère néerlandais de la Justice et Sécurité avec SLM Microsoft Rijk (Strategic Vendor Management Microsoft).
Malgré son nom, il ne s'agit pas d'une émanation du rival de Google basé à Redmond, mais d'un service gouvernemental qui gère les relations fournisseurs avec l'entreprise, et qui s'est engagé à évaluer les risques du déploiement de Google Workspace à la place d'Office 365, dans un processus appelé DPIA. (Évaluation de l'impact sur la protection des données). Il a mené des études similaires sur les risques de confidentialité avec les services de Microsoft.
La DPIA, publiée pour la première fois en juillet 2020, a formulé un certain nombre de recommandations, dont certaines que Google a maintenant adoptées ou s'est engagée à adopter. Par exemple, Google a déclaré qu'il permettra aux administrateurs de bloquer l'utilisation des comptes Google grand public dans l'environnement Workspace, selon le rapport, et de fournir un indicateur visuel clair aux utilisateurs indiquant s'ils se trouvent ou non dans l'environnement de l'entreprise.
Malgré ces assurances, au moment de la rédaction de cet article, la DPIA considère toujours qu'il existe des obstacles juridiques à l'adoption de Google Workspace concernant les rôles et les obligations des sous-traitants et des contrôleurs de données en vertu du règlement général sur la protection des données (RGPD) de l'UE.
"L'utilisation de Google Workspace, telle qu'elle est proposée dans le cadre de l'amendement sur la confidentialité du gouvernement néerlandais, entraîne toujours 8 risques élevés pour les différentes catégories de personnes concernées (pas seulement les employés, mais toutes sortes d'autres personnes concernées susceptibles d'interagir avec le gouvernement néerlandais ) », a déclaré le rapport mis à jour.
Le RGPD fait la distinction entre les responsables du traitement, qui déterminent la finalité et les moyens du traitement des données, et les sous-traitants, qui effectuent le traitement pour le compte du responsable du traitement. Une organisation administrant un espace de travail Google a un certain contrôle sur les données collectées et la manière dont elles sont utilisées, et est donc un responsable du traitement des données. Google est un processeur de données, mais aussi un contrôleur de données, car il détermine également la manière dont les données sont utilisées, bien que l'étendue de son rôle de contrôleur de données soit (sans surprise) compliquée.
Le manque de détails sur les finalités pour lesquelles Google collecte des données est un obstacle aux obligations légales des organisations utilisant Workspace. Le gouvernement néerlandais et Google sont des contrôleurs conjoints des données traitées via Google Workspace, mais le rapport indique qu'"en raison du manque de limitation de finalité et de transparence, Google et les organisations gouvernementales n'ont actuellement aucun fondement juridique pour aucune des données". En traitement."
Un cabinet de conseil appelé Privacy Company, qui a contribué au rapport, a résumé l'état des lieux [ici](https://www.privacycompany.eu/blogpost-en/privacy-assessment-google-workspace-g-suite-enterprise-dutch -government-consults-dutch-data-protection-authority-on-high-privacy-risks), où il a déclaré que bien que Google ait amélioré sa description des finalités, "cela ne résout pas le problème de la perte de contrôle de l'État sur les données personnelles données de ses employés si l'État autorise Google à traiter ces données à ses propres fins commerciales.
D'autres problèmes sont que les finalités "sont larges et peu claires" et que "Google peut modifier les finalités du traitement des données de service à volonté, en modifiant la déclaration de confidentialité", sous réserve de certaines finalités interdites.
Un utilisateur qui se connecte à un compte Google Workspace doit accepter séparément les Services principaux selon les conditions de son organisation et les Services supplémentaires selon les conditions de Google. Qui est utilisé quand ? C'est compliqué...
Un aspect clé de ce rapport est la distinction entre les "services de base", tels que Docs, Sheets, Meet et Calendar, et les "services supplémentaires", tels que YouTube, Maps, Assistant et Search. La différence est essentielle car lorsque les utilisateurs finaux s'inscrivent pour un compte Workspace, ils concluent plusieurs accords. L'utilisation de l'espace de travail est régie par les politiques de leur organisation, mais les utilisateurs doivent également accepter les conditions d'utilisation et la politique de confidentialité génériques de Google.
Google a déclaré que cela est dû au fait que les utilisateurs peuvent utiliser les services supplémentaires lorsqu'ils sont connectés avec le compte d'entreprise, ce qui "nécessite une relation contractuelle directe avec les utilisateurs finaux de produits non vendus selon les conditions de G Suite Enterprise".
Un administrateur d'entreprise peut tenter de désactiver l'un des services supplémentaires, mais si tel est le cas, "l'utilisateur final est déconnecté silencieusement du compte Google et peut accéder au service en tant qu'utilisateur final sans compte Google".
Une complication est qu'un utilisateur peut être connecté simultanément avec un espace de travail et un compte personnel. Dans ce cas, il pourra utiliser un Service Additionnel selon les termes de son compte personnel. Cette imbrication rend les politiques difficiles à appliquer.
L'utilisateur sait-il s'il utilise les services principaux ou les services supplémentaires ? La DPIA s'est penchée sur la fonctionnalité de correcteur orthographique de Chrome. En réponse aux demandes de renseignements, Google a déclaré qu'il existe trois types de correcteurs orthographiques : une fonction d'orthographe et de grammaire, un correcteur orthographique local de base et un correcteur orthographique amélioré. La fonctionnalité d'orthographe et de grammaire est définie dans le cadre des services principaux, le correcteur orthographique amélioré (qui traite les données différemment) est un service supplémentaire. Les deux sont accessibles par un clic droit.
"Pour l'utilisateur final, la différence avec la fonctionnalité d'orthographe et de grammaire de G Suite n'est pas évidente. Lors de la vérification de l'orthographe d'un document, l'utilisateur final peut utiliser les trois correcteurs orthographiques, sans distinction claire de son origine, d'une partie d'un service principal ou d'une partie du service supplémentaire », a déclaré la DPIA.
Il existe un moyen de désactiver la vérification orthographique améliorée, mais uniquement via les stratégies Chrome Enterprise, qui sous Windows peuvent être appliquées via la stratégie de groupe après l'installation de Chrome Enterprise Bundle. "Chrome Enterprise n'est pas inclus dans le contrat G Suite Enterprise, et est donc hors du champ d'application de ce DPIA", indique le rapport.
Un autre enchevêtrement qui tourne la tête était avec Google Maps. Le calendrier est un service de base et Maps un service supplémentaire, mais "dans le calendrier, le trafic vers Google Maps a lieu lorsque vous travaillez avec des éléments de calendrier contenant un emplacement", indique le rapport. "En réponse à cette DPIA, Google a expliqué que le trafic vers Maps n'était pas du trafic vers un service supplémentaire, mais un traitement intégré au sein des services principaux."
La DPIA est entrée dans les détails de la manière dont elle a mené son enquête. Cela dit, il a noté : "Étant donné que G Suite Enterprise est un service distant basé sur le cloud, le traitement des données a lieu sur les serveurs cloud de Google. Par conséquent, il n'est pas possible d'inspecter via l'interception du trafic comment Google traite les données de diagnostic dans ses journaux générés par le système sur l'utilisation des services principaux, des services supplémentaires ou du compte Google.
Les chercheurs néerlandais ont découvert que Google ne fournit pas toutes les données personnelles qu'il détient lorsqu'on lui demande de le faire en vertu des dispositions du RGPD pour le droit d'en demander l'accès. "Google... explique qu'il ne fournit pas certaines données personnelles en réponse à une demande d'accès à une personne concernée, car (i) il est impossible de vérifier de manière fiable l'identité de la personne concernée comme étant celle du demandeur et (ii) dans certains cas, une telle la transparence nuirait aux efforts de Google pour protéger la sécurité de ses systèmes », indique le rapport. De même, si les utilisateurs « suppriment une activité » d'un service Google, il se peut qu'elle ne soit pas réellement supprimée.
En ce qui concerne l'activité YouTube, par exemple, Google a déclaré "si vous supprimez une activité, elle n'est plus utilisée pour personnaliser votre expérience Google... à des fins commerciales ou de conformité légale, Google doit conserver certains types de données pendant une période prolongée".
Les chercheurs néerlandais ont répondu en proposant à Google "plusieurs moyens de vérifier leur identité", y compris même des copies de passeports, mais "Google a refusé toutes ces options".
Les mesures suggérées par le rapport au gouvernement néerlandais incluent l'interdiction d'utiliser Chrome OS et le navigateur Chrome, et de ne pas utiliser Workspace Enterprise jusqu'à ce que le traitement des données « puisse être fondé sur un ou plusieurs motifs juridiques ».
Google Cloud veep for EMEA Samuel Bonamigo, en réponse au rapport mis à jour, [publié](https://cloud.google.com/blog/topics/inside-google-cloud/our-commitment-to-the-privacy-and -security-of-google-workspace-customer-data) sur la confidentialité et la sécurité dans Workspace.
Bonamigo a déclaré que "nous n'utilisons jamais les données client ou les données de service (telles que l'activité d'utilisation) pour le ciblage des annonces" et que "nous traitons uniquement les données client Cloud conformément aux instructions énoncées dans les accords de nos clients".
Il a ajouté : "Nous continuerons à discuter des résultats avec le gouvernement néerlandais dans les prochains mois, dans le but de parvenir à un accord."