Est-il légal d'utiliser google/microsoft comme fournisseur de messagerie professionnelle ?
Question d'origine :
Boujour Guichet,
Je souhaite savoir s'il est toujours légal (depuis l'invalidation du Privacy Shield et le RGPD) d'utiliser Google / Microsoft comme fournisseurs de messagerie électronique (Gmail / Outlook) professionnelle, notamment pour un usage de réception de candidatures à un emploi (les CV et lettres de motivations comprenant de nombreuses données personnelles). Et si, de surcroît, les candidates et candidats n'ont pas connaissance du fournisseur, masqué derrière une adresse électronique personnalisée avec le nom de domaine de la structure qui recrute, est-ce que ça peut créer une différence ?
Un exemple :
Le Guichet du Savoir souhaiterait recruter une personne à un poste défini et diffuse son offre d'emploi dans laquelle il est indiqué d'envoyer sa candidature, en joignant CV et lettre de motivation, à l'adresse rhAROBASEguichetdusavoirPOINTorg.
Imaginons ensuite que toutes les candidatures transitent par les serveurs de Google, car le Guichet utiliserait en réalité le service Gmail.
Bonne fin de semaine !
Réponse du Guichet
Nous n'avons pas trouvé d'éléments d'information sur une possible illégalité d'utilisation d'une messagerie gmail ou outlook par les entreprises et sociétés françaises.
Bonjour,
Si l'usage de google analytics n'est effectivement plus autorisé car il viole l’article 44 et suivants du RGPD (Règlement Général sur la Protection des Données) en raison du transfert illégal des données des internautes vers les États-Unis, nous n'avons en revanche pas trouvé d'information relative à l'interdiction de l'usage d'une messagerie Google ou Microsoft par les entreprises ou institutions françaises et/ou européennes.
Google affirme respecter le RGPD :
Google dispose d'une large clientèle en Europe. Plus de 50 % de nos clients professionnels sont situés hors des États-Unis. Google fournit des engagements contractuels et des fonctionnalités destinés à respecter les lois applicables sur la protection des données. Google propose l'Avenant relatif au traitement des données dans le cloud (ATDC) pour Google Workspace et Google Cloud.
En complément d'audits de nos pratiques de protection des données par des tiers indépendants, de notre certification ISO 27001, et du contrôle que nos pratiques de confidentialité et nos engagements contractuels respectent la norme ISO/CEI 27018:2014, nous offrons à nos clients plusieurs possibilités pour être en conformité avec les réglementations européennes sur la protection des données.
Le RGPD de l'UE protège les données à caractère personnel des résidents de l'Espace économique européen (EEE), et n'autorise que dans des circonstances limitées le transfert de ces données vers des pays non membres de l'EEE qui n'ont pas été approuvés comme offrant une protection "adéquate" des données. Le RGPD du Royaume-Uni et la loi fédérale sur la protection des données de la Suisse imposent des restrictions similaires. L'utilisation de clauses contractuelles types (CCT) approuvées constitue un moyen de respecter ces restrictions.
Google Cloud intègre des clauses contractuelles types dans l'Avenant relatif au traitement des données dans le cloud (ATDC) et les DPST. En l'absence de solution de transfert alternative, ces clauses protègent automatiquement les données à caractère personnel des clients de la zone EMEA (Europe, Moyen-Orient et Afrique). Les clients situés en dehors de la zone EMEA doivent certifier via la console d'administration qu'ils sont soumis à la législation européenne sur la protection des données, afin que les clauses contractuelles types puissent être appliquées à leurs données (en l'absence de solution de transfert alternative).
source : support google
Microsoft s'engage-t-il auprès de ses clients en ce qui concerne le RGPD ?
Oui. Le RGPD exige que les responsables du traitement (telles des organisations utilisant les services en ligne d’entreprise de Microsoft) utilisent uniquement des sous-traitants de données (tels que Microsoft) offrant des garanties suffisantes quand à leur capacité à satisfaire aux principales exigences du RGPD. Microsoft a pris l’initiative de prendre ces engagements envers tous ses clients titulaires de licences en volume dans le cadre de leurs contrats.
source : Microsoft
Mais un rapport allemand provenant d'un groupe de personnes travaillant sur la réglementation de la protection des données indique le contraire : Microsoft 365 faces darkening GDPR compliance clouds after German report.
Voici quelques articles qui pourront vous intéresser :
Transférer des données hors de l'UE / CNIL
Les règles d'entreprise contraignantes (BCR) / CNIL
Cookies : la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros / CNIL
Respecter les droits des personnes / CNIL
Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises
Tout savoir sur le chiffrement de Google Gmail
Nous avons posé votre question à la CNIL et vous tiendrons informé.e de sa réponse dès qu'elle nous parviendra.
Bonne journée.
Complément(s) de réponse
Bonjour,
La CNIL vient de nous répondre :
Tout d'abord, je vous informe que que la CNIL n'a pas vocation à se prononcer au cas par cas sur l'utilisation de tel ou tel outil, ce choix vous appartient. Vous trouverez sur ce lien des indications sur comment choisir un bon outil.
Néanmoins je vous rappelle que, en tant que responsable de traitement, [votre institution] a l'obligation de prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données suffisant.
Ainsi, vous avez, par exemple, l'obligation de vérifier si les outils utilisés présentent des garanties vis-à-vis des obligations du Règlement général sur la protection des données, de l’effectivité des droits des personnes, des mesures de sécurité, etc.
Pour cela, je vous invite dans un premier temps, à contacter le délégué à la protection des données de Google. Ce dernier est l'interlocuteur à privilégier pour toute question relative à la gestion des données par Google.
Vous pouvez l'interroger sur les mesures qui garantissent la sécurité des données sur Gmail et les messageries "masquées" à l'adresse suivante : dpo-google@google.com
Bonne journée.