Question d'origine :

Boujour Guichet,

Je souhaite savoir s'il est toujours légal (depuis l'invalidation du Privacy Shield et le RGPD) d'utiliser Google / Microsoft comme fournisseurs de messagerie électronique (Gmail / Outlook) professionnelle, notamment pour un usage de réception de candidatures à un emploi (les CV et lettres de motivations comprenant de nombreuses données personnelles). Et si, de surcroît, les candidates et candidats n'ont pas connaissance du fournisseur, masqué derrière une adresse électronique personnalisée avec le nom de domaine de la structure qui recrute, est-ce que ça peut créer une différence ?

Un exemple :
Le Guichet du Savoir souhaiterait recruter une personne à un poste défini et diffuse son offre d'emploi dans laquelle il est indiqué d'envoyer sa candidature, en joignant CV et lettre de motivation, à l'adresse rhAROBASEguichetdusavoirPOINTorg.
Imaginons ensuite que toutes les candidatures transitent par les serveurs de Google, car le Guichet utiliserait en réalité le service Gmail.

Bonne fin de semaine !

Réponse du Guichet

Avatar personnalisé gds_db - Département : Equipe du Guichet du Savoir
Le 20/02/2023 à 17h17

Nous n'avons pas trouvé d'éléments d'information sur une possible illégalité d'utilisation d'une messagerie gmail ou outlook par les entreprises et sociétés françaises.

Bonjour,

 

Si l'usage de google analytics n'est effectivement plus autorisé car il viole l’article 44 et suivants du RGPD (Règlement Général sur la Protection des Données) en raison du transfert illégal des données des internautes vers les États-Unis, nous n'avons en revanche pas trouvé d'information relative à l'interdiction de l'usage d'une messagerie Google ou Microsoft par les entreprises ou institutions françaises et/ou européennes.

 

Google affirme respecter le RGPD :

Par quels moyens Google se conforme-t-il aux exigences européennes en matière de protection des données ?

Google dispose d'une large clientèle en Europe. Plus de 50 % de nos clients professionnels sont situés hors des États-Unis. Google fournit des engagements contractuels et des fonctionnalités destinés à respecter les lois applicables sur la protection des données. Google propose l'Avenant relatif au traitement des données dans le cloud (ATDC) pour Google Workspace et Google Cloud.

En complément d'audits de nos pratiques de protection des données par des tiers indépendants, de notre certification ISO 27001, et du contrôle que nos pratiques de confidentialité et nos engagements contractuels respectent la norme ISO/CEI 27018:2014, nous offrons à nos clients plusieurs possibilités pour être en conformité avec les réglementations européennes sur la protection des données.

 

Les lois européennes de protection des données n'imposent-elles pas le stockage des données à caractère personnel au sein de l'UE/EEE ?

Le RGPD de l'UE protège les données à caractère personnel des résidents de l'Espace économique européen (EEE), et n'autorise que dans des circonstances limitées le transfert de ces données vers des pays non membres de l'EEE qui n'ont pas été approuvés comme offrant une protection "adéquate" des données. Le RGPD du Royaume-Uni et la loi fédérale sur la protection des données de la Suisse imposent des restrictions similaires. L'utilisation de clauses contractuelles types (CCT) approuvées constitue un moyen de respecter ces restrictions.

Google Cloud intègre des clauses contractuelles types dans l'Avenant relatif au traitement des données dans le cloud (ATDC) et les DPST. En l'absence de solution de transfert alternative, ces clauses protègent automatiquement les données à caractère personnel des clients de la zone EMEA (Europe, Moyen-Orient et Afrique). Les clients situés en dehors de la zone EMEA doivent certifier via la console d'administration qu'ils sont soumis à la législation européenne sur la protection des données, afin que les clauses contractuelles types puissent être appliquées à leurs données (en l'absence de solution de transfert alternative).

source : support google

 

Microsoft s'engage-t-il auprès de ses clients en ce qui concerne le RGPD ?

Oui. Le RGPD exige que les responsables du traitement (telles des organisations utilisant les services en ligne d’entreprise de Microsoft) utilisent uniquement des sous-traitants de données (tels que Microsoft) offrant des garanties suffisantes quand à leur capacité à satisfaire aux principales exigences du RGPD. Microsoft a pris l’initiative de prendre ces engagements envers tous ses clients titulaires de licences en volume dans le cadre de leurs contrats.

source : Microsoft

Mais un rapport allemand provenant d'un groupe de personnes travaillant sur la réglementation de la protection des données indique le contraire : Microsoft 365 faces darkening GDPR compliance clouds after German report.

 

Voici quelques articles qui pourront vous intéresser :

Transférer des données hors de l'UE / CNIL

Les règles d'entreprise contraignantes (BCR) / CNIL

Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web / CNIL

Cookies : la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros / CNIL

Respecter les droits des personnes / CNIL

Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises

Tout savoir sur le chiffrement de Google Gmail

 

Nous avons posé votre question à la CNIL et vous tiendrons informé.e de sa réponse dès qu'elle nous parviendra.

 

Bonne journée.

Complément(s) de réponse

Avatar personnalisé gds_db - Département : Equipe du Guichet du Savoir
Le 25/05/2023 à 15h14

Bonjour,

 

La CNIL vient de nous répondre :

 

Tout d'abord, je vous informe que que la CNIL n'a pas vocation à se prononcer au cas par cas sur l'utilisation de tel ou tel outil, ce choix vous appartient. Vous trouverez sur ce lien des indications sur comment choisir un bon outil.

Néanmoins je vous rappelle que, en tant que responsable de traitement, [votre institution] a l'obligation de prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données suffisant.

Ainsi, vous avez, par exemple, l'obligation de vérifier si les outils utilisés présentent des garanties vis-à-vis des obligations du Règlement général sur la protection des données, de l’effectivité des droits des personnes, des mesures de sécurité, etc.

Pour cela, je vous invite dans un premier temps, à contacter le délégué à la protection des données de Google. Ce dernier est l'interlocuteur à privilégier pour toute question relative à la gestion des données par Google.

Vous pouvez l'interroger sur les mesures qui garantissent la sécurité des données sur Gmail et les messageries "masquées" à l'adresse suivante : dpo-google@google.com

 

Bonne journée.

DANS NOS COLLECTIONS :

Ça pourrait vous intéresser :

Pourquoi la Hollande s'appelle maintenant Pays-Bas...

Rapport sur l’état des services publics

TAGS

Commentaires 2

Avatar par défaut Commentaire de aeris : Publié le 24/02/2023 à 00:24
Bonjour ici ! Petits compléments en attendant une éventuelle réponse de la CNIL 😊 Google Analytics a été interdit à cause de l’arrêt Schrems II de la CJUE de juillet 2020 qui rend les États-Unis incompatibles avec le RGPD à cause de lois de renseignement extra-territoriales (FISA et Cloud Act) qui interdisent aux Européens de se défendre en cas de réquisition judiciaire de leurs données par les services de renseignement américains, ce qui est pourtant une obligation du RGPD. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311 Plusieurs autres services ont été aussi condamnés au travers de l’Europe, dont - Google Fonts (en usage sur ce site Internet 😉) : https://gdprhub.eu/index.php?title=LG_M%C3%BCnchen_-_3_O_17493/20 - Stripe (un prestataire de paiement) : https://gdprhub.eu/index.php?title=EDPS_-_2020-1013 - Mailchimp (un prestataire de service mail) : https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV - Cloudflare (un prestataire technique) : https://gdprhub.eu/index.php?title=CNPD_-_Delibera%C3%A7%C3%A3o/2021/533 - Google Analytics (du suivi d’audience) : https://gdprhub.eu/index.php?title=CNIL_(France)_-_Google_Analytics_(no_case_number), https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2021-0.586.257_(D155.027) et https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9782890 - Une obscure application de gestion d’une université : https://gdprhub.eu/index.php?title=CNPD_(Portugal)_-_Delibera%C3%A7%C3%A3o/2021/622 - WhatApp : https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_9024/181/19 La justification de chacune de ces condamnations est toujours la même : l’usage de ces solutions par une entreprise expose les données de leur propre utilisateur en les transmettant à des prestataires américains qui sont de facto non conformes RGPD de par l’arrêt Schrems II. Ceci concerne aussi les données « techniques » comme les adresses IP dans le cas de Cloudflare ou de Google Fonts, et pas exclusivement les données « fonctionnelles » du produit considéré, ce qui peut conduire à un champ d’action extrêmement large de cette décision de la CJUE. Il n’existe effectivement a priori pas de sanction visant directement Gmail ou Outlook, mais les jurisprudences, en particulier celle de Mailchimp et de WhatsApp, montrent que l’usage de tels outils risquent d’être considérés comme illicites, étant donné que les éventuels correspondants souhaitant échanger avec les employés de l’entreprise utilisant Gmail ou Outlook n’auraient pas d’autres choix que de transmettre à une entreprise américaine, donc non compatible avec le RGPD, certaines de leurs données personnelles (ici a minima leur adresse email, mais aussi le contenu de l’email). À noter aussi que le Parlement Européen s’oppose encore actuellement à ce que la Commission Européenne reconnaisse à nouveau les États-Unis comme compatible avec le RGPD suite à des négociations avec les États-Unis. https://www.europarl.europa.eu/doceo/document/LIBE-RD-740749_EN.pdf Le CEPD, l’organisme en charge de l’application du RGPD en Europe, a aussi émis des réserves sur les garanties apportées par les États-Unis et ne reconnaît pas en l’état de possibilités d’export légales. Il a même plutôt émis plusieurs avis plutôt défavorables depuis. https://www.cnil.fr/sites/default/files/atoms/files/declaration_01-2022_du_cedpb_sur_lannonce_dun_accord_de_principe_sur_un_nouveau_cadre_transatlantique_pour_la_protection_des_donnees.pdf La situation est globalement floue, en particulier parce que les effets d’une interdiction pure et simple de la majorité des services américains en Europe aurait des répercussions très importantes. Toutes les sociétés jouent actuellement avec le feu pour pouvoir continuer à utiliser de tels services et abusent du manque de jurisprudences précises ou d’avis contraignants des autorités de protection des données, elles-mêmes aussi en difficulté politique de pouvoir ou devoir arrêter net 90% des services numériques en Europe avec des obligations de mise en conformité rapides, ce qui signerait l’arrêt de mort d’énormément de services. Pourtant les différentes analyses juridiques et décisions rendues par les différentes autorités de protection des données tendent à montrer une interdiction très large de tout usage. aeris
1 réponse(s)
1 réponse(s)
Avatar personnalisé Réponse de gds_bb : Publié le 24/02/2023 à 09:05
Nous vous remercions pour ce complément d'information très précis malgré le flou de la situation elle-même.
Connectez-vous pour pouvoir commenter. Se connecter

Les cookies du Guichet du Savoir

Au Guichet du Savoir nous utilisons deux sortes de cookies : les cookies fonctionnels (obligatoires) et les cookies analytiques. En savoir plus

Acceptez-vous les cookies analytiques ?