Sécurité dans le Cloud Google
Tout le reste n'est que croyance, désinformation et conjectures...
C'est quoi le Patriot Act ?
Le Patriot Act permet aux agences gouvernementales américaines (le FBI, la CIA, la NSA, l’armée) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme. Etes-vous concernés ?
C'est quoi le CLOUD Act ?
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) n'a rien à voir avec le Cloud à la base ! C'est une mise à jour de la législation américaine qui clarifie la portée géographique des demandes d’application de la loi des États-Unis. Le CLOUD Act reconnaît ainsi surtout aux prestataires de services le droit de contester les demandes contraires aux lois ou aux intérêts nationaux d'un autre pays. Le CLOUD Act n'a donc PAS préséance sur la législation locale d'un autre pays dont dépendent les données.
Google s'est de plus engagée dans le respect de la loi à prévenir le client final de toute demande du gouvernement US dans le cadre du Cloud Act et à publier son processus d'évaluation des demandes.
Le CLOUD Act ne donne PAS aux forces de l’ordre US un accès illimité ou sans entrave aux données. Ces forces de l’ordre ne peuvent en effet demander un accès au fournisseur que dans deux circonstances: (1) avec le consentement du client ou (2) avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Et pour qu'un mandat soit émis, un tribunal américain doit être convaincu qu'il existe des motifs probables de croire qu'un crime a été commis et que les preuves demandées sont directement liées à ce crime. Vous sentez-vous concernés ?
De quelle entité relèvent les contrats clients ?
Les contrats dépendent de Google Cloud France.
Cette entité juridique simplifie les relations de Google avec ses clients qui sont désormais assurés de dépendre uniquement du droit français. C’est un point contractuel important qui clarifie la relation client-fournisseur. Auchan, Airbus, Alstom, Essilor, GRTgaz, Lafarge, Orange (avec qui Google Cloud a un partenariat technologique), Valéo, Véolia, etc... sont déjà tous clients Google Cloud France.
Google peut-il héberger des données de santé ?
OUI. Google est certifié hébergeur de données de santé par le gouvernement français. Google a aussi mis en place des Clauses Contractuelles Types qui pallient au Privacy Shield invalidé en 2020.
Les données peuvent-elles être chiffrées ?
OUI. Selon les versions Google Workspace, les données peuvent être chiffrées à la source par le client final et sont donc totalement inexploitables par tout service étatique US.
Par défaut, les données sont chiffrées en transit ET au repos par Google. Les collaborateurs Google n'ont ainsi pas accès aux données. SEUL le client a accès à ses données.
N.B. Toutes les données iCloud d'Apple sont aussi chez Google ! Apple est aujourd'hui le 1er client mondial de Google Cloud...
Et le Digital Markets Act (DMA) ?
Mise à jour 25 mars 2022.
Le Digital Markets Act vise à s'assurer qu'aucune grande plateforme en ligne qui se trouve dans une position de « contrôleur d'accès » vis-à-vis d’un grand nombre d’utilisateurs n’abuse de cette position au détriment d'autres entreprises qui souhaitent toucher ces utilisateurs (cas d'Apple avec l'Apple Store, Google avec le Play Store, etc...). Le DMA prône ainsi une meilleure concurrence dans l’espace numérique européen.
Et le Digital Services Act (DSA) alors ?
Mise à jour 23 avril 2022.
Le Digital Services Act définit des règles de responsabilité des fournisseurs de services ainsi que leur obligation de transparence. Le DSA a pour ambition de lutter contre la désinformation, les contenus illicites, ainsi que la vente de produits illégaux. L'utilisateur ne pourra ainsi plus être ciblé en fonction de la religion, du sexe, etc... ni être incité à cliquer involontairement sur du contenu. Les grandes plateformes en ligne seront obligées de publier les mesures prises pour lutter contre la désinformation, la propagande et les victimes de cyberharcèlement seront mieux protégées avec le retrait immédiats des contenus incriminés et partagés. Le DSA vise à protéger les utilisateurs de ces mauvaises pratiques et s'appliquera à tous les services intermédiaires (moteur de recherche, sites web, médias sociaux,…) fournis aux internautes résidant dans l'Union Européenne.