momius - Fotolia

Contrôle des données dans Workspace : Google précise son calendrier

Google Cloud promet de nouvelles capacités de contrôle des données depuis sa suite collaborative Google Workspace, qui seront disponibles avant la fin de l’année prochaine. Elles doivent répondre « aux enjeux de souveraineté » des entreprises européennes.

Le fournisseur évoque des moyens disponibles dès la fin de l’année 2022 pour « contrôler, limiter et surveiller les transferts de données vers et depuis l’Union européenne », non pas les empêcher. D’autres capacités seront accessibles au cours de l’année 2023.

Pour cela, Google cloud avance qu’il assurera ses engagements en s’appuyant sur Client-side encryption, Data region et Access Control, trois solutions présentées en 2021.

Access Control est un module complémentaire pour Access Management qui permet aux administrateurs de Workspace d’autoriser seulement « une partie du personnel de Google à prendre des mesures liées aux données de votre organisation ».

Aujourd’hui, le service s’adresse aux entreprises américaines qui souhaitent que les fonctions de support de Workspace soient opérées aux États-Unis ou par des membres du personnel Google certifiés CFIJ et IRS 1075. Toutefois, toutes les données ne sont pas comprises dans Access Management. D’ici à la fin de l’année 2023, Google Cloud prévoit de proposer une assistance assurée par son personnel européen. Il ajoutera également la possibilité de restreindre l’accès au support de Google par le biais de l’API Access Approval.

De plus, Access Transparency, déjà en disponibilité générale, doit permettre de « générer des rapports complets » sur les actions du support. Ces logs indiquent les contenus visualisés, la date et l’heure de consultation, la raison de les consulter et les actions prises, ainsi que la géolocalisation de l’employé de Google ayant réalisé le support.

Ces fonctionnalités seront accessibles aux entreprises bénéficiant du niveau de support premium, enterprise, ou gold de Google Cloud.

En matière de résidentialité des données, Google Cloud prévoit d’étendre le contrôle des Data regions de Workspace d’ici à la fin 2023. Actuellement, ces régions de données sont au nombre de deux : les États-Unis et l’Europe. Les administrateurs des éditions Enterprise Plus, Education Plus et Standard de Workspace peuvent définir des règles afin de contrôler l’accès à une grande partie des données au repos contenues dans Agenda, Drive, Forms, Gmail, Google Docs, Sheet, Slide, Chat, Keep Meet, Vault et la nouvelle version de Sites. Si un administrateur choisit une région en particulier, les données sont migrées vers cette dernière.

Google entend « élargir la couverture du stockage et du traitement des données dans la région [européenne], et proposer une copie de leurs données par pays », selon un communiqué de presse.

« [Le système de copie de données] confère aux clients Google Workspace la possibilité de stocker une copie de leurs données dans un pays de leur choix, en synchronisant leurs données Workspace avec un bucket Google Cloud Storage. »
Porte parole de GCP

Le système de copie de données « confère aux clients Google Workspace la possibilité de stocker une copie de leurs données dans un pays de leur choix en synchronisant leurs données Workspace avec un bucket Google Cloud Storage », précise un porte-parole de GCP.

Le stockage des données dans une région cloud est maîtrisé de longue date. En revanche, il est rare que les fournisseurs cloud détaillent dans quelle région cloud (ou data center) un calcul est effectué. Parfois, il n’est techniquement pas possible de le restreindre à un centre de données en particulier. D’où ce concept de régions de données qui permettent de limiter ce traitement aux régions cloud européennes, en clair aux data centers installés sur le territoire européen et britannique.

Par ailleurs, Google Cloud affirme poursuivre ses efforts en matière de chiffrement de données. LeMagIT a déjà expliqué le fonctionnement de Client-side Encryption, le mécanisme de chiffrement externe associé à Workspace, via les solutions de FlowCrypt, Fortanix, FutureX, Stormshield, Thales ou Virtru. Celui-ci est désormais en disponibilité générale pour Google Drive, Docs, Sheet, et Slide (documents, présentations, fichiers Office et PDF). La fonctionnalité devrait être compatible avec Gmail, Google Calendar et les flux audio et vidéo de Meet dès la fin de l’année 2022.

Des précisions plus que nouveaux engagements

Le fournisseur avait déjà présenté une feuille de route en octobre 2021 qui comprenait l’ensemble de ces mesures. Ici, il ne fait que clarifier certains mécanismes et présente un calendrier un peu plus détaillé.

De fait, Google Cloud n’est pas le seul à réagir aux questions de ses clients et au durcissement de la réglementation européenne en matière de traitement de données. Salesforce mise sur Hyperforce afin de garantir la résidentialité des données. Le géant du CRM proposera un support localisé en Europe et compte offrir des mesures de chiffrement.

De la même manière, « EU Data Boundary for the Microsoft Cloud », est le plan de Microsoft Azure pour assurer le même type de mesures et gagner la confiance des clients européens.

Reste à savoir si ces actions prises par les géants de l’IT seront compatibles avec les différentes réglementations européennes en cours d’élaboration, en premier lieu avec le Digital Market Act, le Digital Services Act, et le Data Act (la législation européenne présentée le 23 février, qui doit définir « qui peut créer de la valeur à partir des données et sous quelles conditions »).

Pour l’instant, le 29 mars 2022, Google a réaffirmé son engagement à respecter le nouvel accord concernant le transfert de données entre les États-Unis et l’Union européenne, annoncé le 25 mars 2022. Le précédent accord, communément nommé Privacy Shield, avait été retoqué par la cour européenne et révisé par le European Data Protection Board (EDPB). Google Cloud s’est également engagé à respecter les recommandations de l’EDPB.

Malgré tout, l’ensemble de ces mécanismes en place ou en construction n’entrave pas véritablement l’application des différentes lois extraterritoriales américaines, CLOUD Act, FISA Act et Patriot Act, auxquelles Google Cloud et les autres fournisseurs américains sont soumis. Et GCP n’a pas donné de nouvelles de son offre « cloud de confiance » présentée en octobre dernier en collaboration avec Thales. De toute manière, elle n’incluait pas dans sa première mouture le catalogue de solutions Workspace.

Pour approfondir sur Outils collaboratifs (messagerie, visio, communication unifiée)

Close