Google a annoncé un ensemble de contrôles supplémentaires pour les utilisateurs de sa suite de productivité, Google Workspace (neé G Suite), en Europe – qu’il déploiera d’ici la fin de l’année et l’année prochaine.
Il indique que ces contrôles supplémentaires permettront aux organisations – des secteurs public et privé – de « contrôler, limiter et surveiller les transferts de données vers et depuis l’UE à partir de la fin de 2022 », annonçant les capacités entrantes dans un article de blog.
Cette décision semble destinée à répondre au risque juridique accru lié aux exportations de données personnelles – à la suite d’une décision juridique historique de l’UE en juillet 2020 – qui risque de freiner l’utilisation régionale des services cloud américains.
Plus tôt cette année, un certain nombre d’agences de protection des données ont lancé une action d’application coordonnée axée sur l’utilisation des services en nuage par les organismes du secteur public – dans le but d’examiner si des mesures adéquates de protection des données sont appliquées, y compris lorsque les données sont exportées hors de l’Union. Et le comité européen de la protection des données (CEPD), qui dirige l’action, doit publier un rapport sur l’état d’avancement des travaux avant la fin de 2022, ce qui correspond au calendrier de Google pour le déploiement de (certains des) nouveaux contrôles.
Ces derniers mois, des agences de protection des données ont également jugé incompatibles avec les lois sur la protection de la vie privée de l’Union certaines utilisations d’outils comme Google Analytics.
Google fait référence aux capacités supplémentaires entrantes que les utilisateurs en Europe gagneront en tant que « Contrôles souverains pour Google (en anglais seulement Espace de travail » – dans ce qui ressemble également à un écho conscient d’un concept que les législateurs de l’UE aiment appeler « souveraineté numérique ».
Les législateurs de l’UE utilisent cette formulation pour parler de l’autonomie de la région en matière d’infrastructure numérique – dont une grande partie est fournie par des entreprises technologiques américaines. Mais, ici, Google semble essayer de créer une version alternative de la « souveraineté » en suggérant que les mesures techniques et les configurations des utilisateurs peuvent à elles seules fournir suffisamment d’autonomie à l’UE, quelle que soit la technologie elle-même encore fournie par un géant américain, dans l’espoir que les clients du bloc continuent d’acheter ses outils.
« Les organisations européennes déplacent de plus en plus leurs opérations et leurs données vers le cloud pour permettre la collaboration, générer de la valeur commerciale et passer au travail hybride. Cependant, les solutions cloud qui sous-tendent ces puissantes capacités doivent répondre aux exigences critiques d’une organisation en matière de sécurité, de confidentialité et de souveraineté numérique. Nous entendons souvent des décideurs politiques et des chefs d’entreprise de l’Union européenne dire qu’il est crucial d’assurer la souveraineté de leurs données cloud, grâce à la régionalisation et à des contrôles supplémentaires sur l’accès administratif, dans ce paysage en évolution », écrit-il dans le billet de blog.
« Aujourd’hui, nous annonçons Sovereign Controls pour Google Workspace, quifournira des capacités de souveraineté numérique aux organisations, tant dans le secteur public que privé, pour contrôler, limiter et surveiller les transferts de données à destination et en provenance de l’UE à partir de la fin de 2022, avec des capacités supplémentaires mises en œuvre tout au long de 2023.Cet engagement s’appuie sur nos capacités existantes de chiffrement côté client, de régions de données et de contrôles d’accès. »
Quelles fonctionnalités supplémentaires Google a-t-il annoncées maintenant? À court terme, il semble y avoir une expansion du cryptage côté client que Google a annoncé pour Workspace l’été dernier.
« Les organisations peuvent choisir d’utiliser le chiffrement côté client de manière omniprésente pour tous leurs utilisateurs ou de créer des règles qui s’appliquent à des utilisateurs, des unités organisationnelles ou des lecteurs partagés spécifiques », explique Google. « Le cryptage côté client est désormais généralement disponible pour Google Drive, Docs, Sheets et Slides, avec des plans pour étendre les fonctionnalités à Gmail, Google Agenda et Meet d’ici la fin de 2022. »
Google annonce également une expansion des contrôles de localisation des données – bien que son calendrier pour cette amélioration de la capacité soit plus lent, prévu pour venir « d’ici la fin de 2023 ».
« Les régions de données permettent déjà à nos clients de contrôler l’emplacement de stockage de leurs données couvertes au repos », écrit-il, ajoutant : « Nous améliorerons cette capacité d’ici la fin de 2023 grâce à une couverture étendue du stockage et du traitement des données dans la région ainsi qu’à une copie dans le pays. »
Il y aura également plus de contrôles d’accès – pour répondre à ce que Google qualifie de « normes de souveraineté numérique en évolution ».
Il indique que ces contrôles d’accès entrants permettront aux clients de:
- Restreindre et/ou approuver l’accès à l’assistance Google via les approbations d’accès ;
- Limiter le support client au personnel d’assistance basé dans l’UE via la gestion des accès;
- S’assurer que rAssistance permanente du personnel d’ingénierie de Google, en cas de besoin, avec une infrastructure de bureau virtuel à distance ;
- Générez des rapports de journal « complets » sur l’accès aux données et les actions via la fonction Transparence de l’accès.
Mais, encore une fois, ces contrôles supplémentaires n’arriveront pas avant la fin de 2023.
Google ne part pas de zéro ici – après avoir suivi les entrées »contrôles de souveraineté des données« pour les utilisateurs de l’UE l’automne dernier, lorsqu’il a également parlé d’offrir des services cloud sur »Les conditions de l’Europe« .
Bien qu’il appartienne bien sûr aux régulateurs de l’Union de juger si ce qu’elle propose répond à la norme juridique requise pour que les flux de données en question circulent légalement.
Google soutient généralement que le travail hybride complique l’obligation légale de « conserver le contrôle des données où qu’elles se trouvent » – avant de suggérer son approche, de « l’architecture native du cloud » (il précise que Google Workspace « fonctionne entièrement dans un navigateur, sans nécessiter de caches ou de logiciels installés sur les appareils des employés ») combinée à une approche contextuelle (« zero-trust ») de la sécurité qui fonctionne en géorepérage des utilisateurs et des appareils, plus des contrôles permettant aux administrateurs de leur permettre de définir des limites de partage et de définir des règles qui régissent la communication des utilisateurs, peut aider ses clients à naviguer dans ces eaux juridiques agitées tout en permettant aux fonctions collaboratives de base du logiciel de fonctionner.
L’utilisation dans l’UE des services cloud d’entreprises basées aux États-Unis est entourée d’insécurité juridique depuis un certain nombre d’années, la dernière fois depuis Juillet 2020 lorsque la plus haute cour de l’UE a invalidé l’accord phare de transfert de données du bouclier de protection des données UE-États-Unis en raison d’un affrontement fatal entre la loi américaine sur la surveillance et les droits à la vie privée de l’UE.
Pendant les quatre années écoulées, le bouclier de protection des données a simplifié les exportations de données de l’UE vers les États-Unis avec un système d’autocertification pour autoriser les exportations de données personnelles des Européens. Mais ce régime a pris fin avec la grève de la CJUE de juillet 2020.
Et bien que le tribunal n’ait pas complètement interdit les exportations de données, il a augmenté la complexité de l’utilisation d’autres mécanismes de transfert (tels que les clauses contractuelles types) – indiquant clairement que les agences régionales de protection des données ont le devoir d’intervenir et de suspendre les transferts de données si elles estiment que les informations européennes circulent vers une destination où elles sont à risque. (Le comité européen de la protection des données publie par la suite direction sur les « mesures supplémentaires » qui peuvent contribuer à élever le niveau de protection, telles qu’un cryptage robuste.)
Le fait que le bouclier de protection des données UE-États-Unis ait été annulé par la CJUE a clairement montré que les États-Unis sont une destination risquée pour les données de l’UE – d’où Les services cloud basés aux États-Unis sont dans le cadre depuis lors.
Et bien que la décision de justice n’ait pas été immédiatement suivie d’ordres de cesser les flux de données, les agences de l’UE ont intensifié leurs actions et leurs mesures d’application sur la question des transferts de données au cours des derniers mois. Le Contrôleur européen de la protection des données a donné un coup de pouce au Parlement européen au début de cette année sur un site de réservation de tests COVID-19 (qui utilisait Google Analytics et incluait un code pour Stripe), par exemple.
Autre suivant Décisions des contrôleurs de données ont également contesté l’utilisation de certains outils de Google.
La décision de la CJUE fait suite aux révélations de Snowden de 2013 par le lanceur d’alerte de la NSA Edward Snowden – qui a publié des détails sur les programmes de surveillance de masse du gouvernement américain exploitant des services numériques commerciaux – des révélations qui ont également conduit à l’accord de transfert de données entre l’UE et les États-Unis, Safe Harbor, étant radié en 2015 par une contestation judiciaire antérieure.
Ainsi, alors que l’UE et les États-Unis ont annoncé être parvenus à un accord politique sur le remplacement du bouclier de protection des données en mars, une troisième tentative visant à combler le même schisme juridique fera sans aucun doute l’objet d’une nouvelle contestation judiciaire. Et les chances que le bouclier de protection des données 2.0 survive à l’évaluation de la CJUE semblent assez minces, à défaut d’une réforme substantielle de la loi américaine sur la surveillance (qui ne semble pas être sur la table).
Tout cela fait que la stratégie de Google – offrir à ses clients dans l’UE un ensemble croissant de mesures techniques et organisationnelles (telles que le cryptage côté client, la localisation des données et d’autres contrôles sur mesure tels que le support technique basé dans l’UE) – ressemble à une tentative raisonnée de trouver un moyen de sécuriser et de pérenniser les flux de données commerciales critiques aux yeux des régulateurs de l’UE. indépendamment de tout accord politique sur le papier. (Bien que son article de blog note également que Google Cloud sera »faire les protections« offert par le nouveau cadre de transfert de données de l’UE disponible « une fois qu’il est mis en œuvrented » (un événement encore probablement dans plusieurs mois).)
« Nous restons déterminés à équiper nos clients en Europe et dans le monde entier de solutions techniques puissantes qui les aident à s’adapter et à rester au courant de l’évolution rapide du paysage réglementaire. Nous avons conçu et construit Google Workspace pour fonctionner sur une base sécurisée, offrant des fonctionnalités permettant de protéger nos utilisateurs, leurs données et leurs informations privées. La souveraineté numérique est au cœur de notre mission continue en Europe et ailleurs, et un principe directeur sur lequel les clients peuvent compter aujourd’hui et à l’avenir », ajoute Google.
Discutant de l’annonce du géant de la technologie, Dr Lukasz Olejnik, chercheur et consultant indépendant en cybersécurité basé en Europe, décrit le dernier développement comme « une évolution intéressante d’un produit et d’un service » qu’il estime presque certainement motivé par le droit et la politique de l’UE.
« Il semble soutenir directement les recommandations du comité européen de la protection des données, qui reflètent également mon analyse précédente. Plus précisément, le soutien à l’utilisation d’une configuration technique et organisationnelle spécifique », suggère-t-il. « En ce qui concerne le côté technique, le traitement doit être pris en charge par un cryptage côté client, de manière à ce que les clés ne quittent jamais les locaux d’une entreprise située dans l’UE. La capacité de chiffrement côté client est déjà proposé par Workspace. Aujourd’hui, cela pourrait encore être considéré comme un peu lourd – et il n’est pas clair si les nouveaux contrôles faciliteraient quelque chose. Espérons-le. Pourtant, il semble que ce qui est nouveau, c’est ce contrôle tout-en-un.
« L’expansion des centres de données dans les pays est un développement attendu, mais un développement supplémentaire qui soutiendrait l’arrêt de la CJUE », nous dit-il également, ajoutant : « Ce qui manque encore, c’est une gestion facile à utiliser et utilisable de l’accès aux données. Comme les données dans Google Docs. Par exemple, aujourd’hui, il est loin d’être simple de lister facilement tous les documents partagés, de supprimer certaines configurations de partage. S’attendre à ce que les gens fassent ce fichier après fichier, pour des fichiers individuels, est loin d’être utilisable à grande échelle. Cela devrait être simplifié, et non sur la base d’un dossier individuel. Il semble que – peut-être! — la nouvelle fonctionnalité de contrôle d’accès peut offrir de l’aide ici? Il reste à voir comment cela fonctionne dans la pratique. »