Nous nous engageons à respecter les lois de protection des données en vigueur.

Nous mettons tout en oeuvre pour maintenir la conformité de nos produits, ce qui vous permet de simplifier la mise en conformité de votre entreprise. Nous favorisons l'exécution régulière d'audits, renouvelons nos certifications, fournissons des protections contractuelles conformes aux normes du secteur, et partageons des outils et des informations que vous pouvez utiliser pour renforcer la conformité de votre entreprise.

Audits et certifications

Nous protégeons les données de votre entreprise, même lorsque vous les partagez. Nous demandons à des organismes tiers de vérifier la conformité de nos règles de contrôle produit par rapport aux normes internationales, telles que les normes ISO et SSAE16/ISAE 3402, pour que vous ayez l'assurance que les données de votre entreprise soient traitées de manière responsable. De plus, un organisme américain indépendant et certifié évalue l'efficacité de nos contrôles tous les deux ans au minimum.

Tout développer Réduire tout
  • ISO 27001 (Gestion de la sécurité des informations)

    ISO 27001 est l'une des normes de sécurité indépendantes les plus reconnues et adoptées au niveau international. Nous avons obtenu cette certification pour les systèmes, les applications, les personnes, la technologie, les processus et les centres de données qui fournissent les services Google Cloud Platform, G Suite, Google Analytics, Google Analytics 360, Tag Manager 360, Optimize 360, Attribution 360, Audience Center 360, Data Studio, DoubleClick for Publishers, AdWords Customer Match et DoubleClick Digital Marketing.

  • ISO 27017 (Sécurité dans le cloud)

    ISO 27017 est une norme internationale sur les bonnes pratiques de contrôle de la sécurité des informations. Basée sur la norme ISO/IEC 27002, elle concerne spécifiquement les services cloud.

    Google a été certifié conforme ISO 27017 pour les produits Google Cloud Platform et G Suite.

  • ISO 27018 (Protection des données à caractère personnel dans le cloud)

    ISO 27018 est une norme internationale sur les bonnes pratiques relatives à la protection des informations personnellement identifiables dans les services cloud publics.

    Google a été certifié conforme ISO 27018 pour les produits Google Cloud Platform et G Suite.

  • SSAE16/ISAE 3402

    Les audits SOC 2 et SOC 3 (Service Organization Controls) de l'AICPA (American Institute of Certified Public Accountants) encadrent les "principes et critères de confiance" relatifs à la sécurité, la disponibilité des services, l'intégrité du traitement des données et la confidentialité.

    Nous disposons des rapports SOC 2 et SOC 3 pour Google Cloud Platform et G Suite. Le rapport SOC 3 est disponible en téléchargement. Le rapport SOC 1 Type 2 pour AdWords, AdSense, DoubleClick Campaign Manager, DoubleClick for Publishers et DoubleClick Ad Exchange est également disponible sous NDA.

  • Privacy Shield

    Le Privacy Shield est un cadre juridique conçu pour fournir un mécanisme de conformité avec les réglementations applicables en matière de protection des données en cas de transfert de données à caractère personnel depuis l'Union européenne et la Suisse vers les États-Unis dans le cadre des échanges commerciaux transatlantiques. Nous adhérons aux cadres juridiques Privacy Shield couvrant EU-US et Swiss-US (voir la certification).

  • FedRAMP

    FedRAMP est un programme qui fournit une approche standardisée du contrôle de la sécurité, des autorisations, ainsi que de la surveillance continue en ce qui concerne les produits et services cloud. Google dispose d'un agrément d'exploitation FedRAMP pour G Suite et Google App Engine.

  • Norme PCI DSS

    La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble d'exigences techniques et opérationnelles destinées aux entités qui enregistrent, traitent ou transmettent les informations liées à des cartes bancaires. Les services Google ci-après ont été vérifiés par un évaluateur de sécurité qualifié indépendant (QSA, Qualified Security Assessor) et reconnus conformes à la version PCI DSS actuelle : Android Pay, Google App Engine, Google Compute Engine, Google Cloud Storage, Google Cloud Datastore, Google Cloud SQL, Google BigQuery, Google Cloud Dataproc, Google Cloud Dataflow, Google Container Engine, Google Container Registry et Google Cloud Bigtable.

Ressources de mise en conformité

La mise en conformité avec les lois sur la protection des données peut être extrêmement complexe. Nous fournissons des informations utiles, nous proposons des solutions techniques et nous partageons les bonnes pratiques qui peuvent simplifier la mise en conformité de votre entreprise avec les réglementations relatives à la protection des données partout dans le monde.

Nous proposons des solutions techniques pour vous faire gagner du temps

Pour répondre aux inquiétudes de vos clients concernant la protection des données, nous proposons des solutions techniques qui vous permettront de gagner du temps et d'aider votre entreprise à gérer les autorisations, masquer les adresses IP et identifier les données sensibles. Nous proposons :

  • Des solutions de gestion des autorisations à l'utilisation de cookies sur cookiechoices.org.
  • Des informations et outils destinés aux développeurs pour les aider à gérer les autorisations des applications Android.
  • Dans Google Analytics et Google Analytics 360, une solution de masquage d'IP afin d'anonymiser davantage les adresses IP que vous collectez.
  • Des outils de prévention de la perte de données dans Google Cloud Platform et G Suite pour identifier et classer rapidement plus de 40 types de données sensibles, telles que des informations personnellement identifiables et des données financières.

Nous contribuons aux bonnes pratiques du secteur pour rendre la conformité plus accessible à tous

Nous collaborons avec l'Alliance européenne pour l'éthique en matière de publicité numérique, la Network Advertising Initiative, l'U.S. Digital Advertising Alliance, la Digital Advertising Alliance au Canada, la Digital Advertising Alliance en Australie et le Trustworthy Accountability Group. Nous soutenons également des initiatives sectorielles telles que la Coalition for Better Ads.

Nous simplifions l'accès aux informations

Les clients Google Cloud Platform peuvent accéder à des informations sur les sous-traitants, ou nous contacter pour obtenir des informations plus précises. Les clients G Suite peuvent accéder à la console d'administration pour connaître l'emplacement des centres de données et obtenir des informations sur les sous-traitants et nos certifications relatives à la confidentialité et la sécurité.

Notre engagement concernant le RGPD

Nous mettons tout en œuvre pour anticiper sur la mise en application du Règlement général sur la protection des données (GDPR) de l'Union européenne. La protection des données des utilisateurs compte parmi nos plus grandes priorités. Au fil des ans, nous avons consacré beaucoup de temps à collaborer avec les autorités européennes de protection des données, et avons déjà mis en application des solutions performantes conformes à leurs exigences. Nous nous engageons à respecter la nouvelle réglementation, et nous collaborerons avec nos partenaires tout au long du processus nécessaire à sa mise en oeuvre.

Tout développer Réduire tout
  • Mise à jour des conditions d'utilisation et des protections contractuelles

    Lorsque nous agissons en qualité de sous-traitant des données personnelles, nous mettons à disposition nos conditions de traitement des données, qui reflètent la relation responsable du traitement/sous-traitant, le cas échéant. Les produits pour lesquels Google agit en qualité de sous-traitant sont notamment :

    • Ads Data Hub
    • Ciblage par liste de clients AdWords
    • Ventes du magasin AdWords (téléchargement direct)
    • Android Enterprise
    • DoubleClick Digital Marketing (y compris DoubleClick Bid Manager, DoubleClick Campaign Manager et DoubleClick Search)
    • Google Analytics Suite (y compris Google Analytics, Tag Manager, Optimize, Data Studio, Attribution, Audience Center et Google Analytics pour Firebase)
    • Google Cloud Platform
    • G Suite
    • Pour consulter nos conditions de traitement des données pour les produits publicitaires ci-dessus, cliquez ici. Pour en savoir plus sur les types de données personnelles couvertes par ces conditions pour chaque produit publicitaire, cliquez ici. Pour en savoir plus sur nos engagements relatifs au RGPD pour Google Cloud Platform et G Suite, y compris les conditions de traitement des données, cliquez ici.

      De plus, pour les produits pour lesquels le client et nous-mêmes agissons en tant que responsables du traitement indépendants des données personnelles, nous actualiserons nos accords ou mettrons à disposition des conditions reflétant ce statut. Ces produits Google incluent les produits suivants :

      • AdMob
      • AdSense
      • AdWords (y compris Shopping et Hotel Ads, mais à l'exclusion des fonctionnalités d'AdWords pour lesquelles nous agissons en qualité de sous-traitant des données personnelles ; voir ci-dessus)
      • DoubleClick Ad Exchange
      • DoubleClick for Publishers
      • Google Customer Reviews
      • API Google Maps
      • Pour consulter les conditions de protection des données applicables aux co-responsables du traitement que nous proposons pour les produits publicitaires ci-dessus, cliquez ici.

        Nous proposons également des clauses contractuelles types de la Commission européenne répondant aux exigences européennes en matière de transfert de données pour Google Cloud Platform et G Suite. La certification Common Opinions que nous avons reçue de la part des organismes de protection des données de l'Union européenne confirme que nos clauses contractuelles types sont conformes aux clauses contractuelles types publiées par la Commission européenne.

        Nous proposons un Accord de partenariat conforme à la loi américaine HIPAA (Health Insurance Portability and Accountability Act) pour certains produits Google Cloud Platform et G Suite.

        Nous mettrons à jour nos Règles relatives au consentement de l'utilisateur dans l'UE afin de les conformer aux exigences légales du RGPD. Les éditeurs et les annonceurs qui utilisent nos produits publicitaires et de mesure dans le monde seront tenus d'obtenir l'accord des utilisateurs de l'Espace économique européen pour les annonces personnalisées et l'utilisation des cookies sur leurs sites et applications. Ainsi, sous vous êtes un éditeur ou un annonceur et que vous utilisez les services publicitaires Google, vous devrez prendre des mesures pour vous assurer que les préférences des utilisateurs sont respectées, et ainsi être en conformité avec la loi.

  • Checklist du client

    Nous savons qu'en tant que responsable marketing, vous devez choisir des produits conformes et utiliser les données personnelles selon des processus tout aussi conformes. Nous nous engageons à respecter le RGPD, et nous vous encourageons à vérifier les plans de conformité de votre organisation. Voici quelques pistes de réflexion clés :

    • Comment votre organisation garantit-elle aux utilisateurs contrôle et transparence quant à l'utilisation de leurs données ? Expliquez-vous à vos utilisateurs les types de données que vous collectez et à quelles fins ?
    • Êtes-vous sûr que votre organisation a mis en place les consentements adaptés lorsque requis au titre du RGPD ? Disposez-vous de tous les consentements requis sur toute votre chaîne d'approvisionnement publicitaire ?
    • Votre organisation a-t-elle mis en place les systèmes adéquats pour enregistrer les préférences et accords des utilisateurs ?
    • Comment allez-vous prouver aux autorités de réglementation et à vos partenaires que vous respectez les principes du RGPD, et que vous êtes une organisation responsable ?
  • Mesures de protection

    Nous sommes en bonne voie pour répondre aux exigences relatives à la sécurité du Règlement général sur la protection des données (RGPD) de l'Union européenne. Nos services sont protégés par des systèmes et des processus structurels robustes à la pointe de la technologie, et par des équipes spécialement dédiées à la confidentialité et la sécurité. Notre programme est contrôlé tous les ans par des sociétés d'audits indépendantes.

  • Gestion des incidents

    Nous continuerons à vous informer dans les meilleurs délais de tout incident impliquant vos données client, conformément aux conditions définies dans les accords actuels que nous avons passés avec vous et leurs éventuels avenants. Nous gérons des technologies avancées de détection et de protection contre les menaces, dans lesquelles nous investissons en permanence. Nous proposons également un programme de gestion des incidents actif 24 heures sur 24 et 7 jours sur 7. Ce programme a pour but de vous aider à identifier les incidents affectant la sécurité ou la confidentialité des données, ainsi que les violations de données à caractère personnel couvertes par le RGPD. Il permet de vous aider à traiter ces incidents sans délai en bénéficiant d'un maximum d'informations.

  • Transparence pour les utilisateurs

    Nous continuerons à nous montrer encore plus transparents concernant la façon dont les données sont utilisées dans nos solutions publicitaires. Nous demandons l'autorisation des utilisateurs pour utiliser leurs données dans le cadre de la personnalisation des annonces et faisons preuve de transparence en ce qui concerne l'utilisation des données en temps réel via la section "Pourquoi cette annonce ?". Nous fournissons des explications détaillées sur l'utilisation des données sur privacy.google.com et dans nos Règles de confidentialité. Nous faisons également preuve de transparence envers les utilisateurs sur la nature des données les concernant que nous conservons dans "Mon compte", où les utilisateurs peuvent afficher et gérer leurs données, ainsi que les paramètres de confidentialité et de sécurité. Avec les paramètres des annonces, les utilisateurs peuvent contrôler l'utilisation de leurs données dans le cadre de la personnalisation des annonces et pour toutes les annonces affichées par Google, y compris sur nos produits DoubleClick. Conformément au RGPD et dans le cadre de notre engagement continu en faveur d'une meilleure maîtrise par les utilisateurs de leur vie privée, nous mettons actuellement à jour notre expérience de création de compte, pour offrir aux utilisateurs davantage d'options afin de décider des données qu'ils souhaitent enregistrer sur leur compte.

  • Transferts internationaux

    Nous continuerons à fournir une gamme complète de mécanismes de transfert de données internationaux, et nous sommes certifiés conformément aux cadres Privacy Shield couvrant l'UE et les États-Unis, d'une part, et la Suisse et les États-Unis, d'autre part, des mécanismes juridiques autorisant le transfert de données personnelles depuis l'Espace économique européen et la Suisse vers les États-Unis, et conformément auxquels les organisations certifiées garantissent la fourniture d'un niveau de protection aligné sur le droit européen en matière de protection des données. Le renouvellement annuel de notre certification Privacy Shield couvrant l'UE et les États-Unis a été approuvé par le ministère du Commerce des États-Unis le 25 septembre 2017, et celui de notre certification couvrant la Suisse et les États-Unis a été approuvé le 18 avril 2017. Nous proposons également des clauses contractuelles types approuvées par l'Union européenne pour certains services.

    Nous continuerons par ailleurs à suivre l'évolution des mécanismes internationaux de transfert des données au titre du RGPD, et nous nous engageons à établir une base légale pour le transfert des données conforme aux lois applicables en matière de protection des données.

  • Pratiques en matière de confidentialité

    Nous disposons déjà de processus visant à garantir la confidentialité dans nos produits dès leur conception et nous faisons évoluer davantage nos pratiques, y compris s'agissant de l'Évaluation de l'impact de la protection des données, afin de répondre aux exigences du Règlement général sur la protection des données (RGPD) de l'Union européenne. Ces exigences concernent deux aspects : le respect de la vie privée dès la conception (Privacy by Design) et le paramétrage par défaut favorable au respect de la vie privée (Privacy by Default).

    En savoir plus sur les engagements de Google concernant le RGPD pour ses services G Suite et Google Cloud Platform.