Les deux directives européennes, DSA (Digital services act) et DMA (Digital markets act), font écho chez les géants du web. Google annonce aujourd’hui une fonctionnalité de « contrôles souverains » pour Workspace, visant à fournir des capacités de souveraineté numérique aux organisations, tant dans le secteur public que privé, pour contrôler, limiter et surveiller les transferts de données vers et depuis l'UE. Disponible dès la fin de l’année, ce service sera équipé de capacités supplémentaires tout au long de 2023. Cet engagement s'appuie sur le chiffrement côté client, les régions de données et les contrôles d'accès à ces dernières.

Dans les faits, Google Workspace utilise déjà les dernières normes cryptographiques pour chiffrer toutes les données stockées dites "au repos" et en transit entre ses installations. Les recommandations du Comité européen de la protection des données (CEPD) incluent notamment le chiffrement parmi les mesures supplémentaires de protection. Workspace, suite d'outils et de logiciels de productivité basés dans le cloud garantit à ce jour une fonction de chiffrement côté client, une confidentialité et un contrôle complets sur leur data. Les utilisateurs peuvent ainsi détenir des clés de chiffrement sur place, à l'intérieur des frontières d'un pays, ou à l'intérieur de toute autre limite qu'ils définissent. Google précise qu’il n'a jamais accès aux clés ou aux détenteurs de clés, ce qui signifie que les informations stockées sont indéchiffrables pour la firme et cette dernière ajoute n’avoir « aucune capacité technique pour y accéder ».

Des moyens de contrôles accrus pour les clients

Javier Soltero, directeur général et vice-président de Google Workspace, précise que « les entreprises peuvent choisir d'utiliser le chiffrement côté client de manière généralisée pour tous leurs utilisateurs, ou de créer des règles qui s'appliquent à des utilisateurs, des unités organisationnelles ou des lecteurs partagés spécifiques ». Le chiffrement côté client est désormais disponible pour Google Drive, Docs, Sheets et Slides, et il est prévu d'étendre cette fonctionnalité à Gmail, Google Agenda et Meet d'ici la fin 2022.

Google Workspace propose notamment un tableau de bord pour gérer les comptes utilisateur et renforcer la protection des données. (Crédit : Google)

En outre, Google prévoit d’accroître les contrôles sur l'emplacement des data. Les régions de données permettent actuellement aux clients de contrôler leur emplacement de stockage, avec pour choix les États-Unis ou l'Europe. D’ici fin 2023, une série de mesures supplémentaires sera mise en œuvre, permettant ainsi aux clients de : restreindre et/ou approuver l'accès au support Google par le biais d'approbations d'accès, limiter l'assistance aux clients au personnel d'assistance basé dans l'UE par le biais de la gestion des accès, garantir une assistance 24/24 du personnel d'ingénierie de Google, en cas de besoin, grâce à l'infrastructure de bureau virtuel à distance. Enfin, il sera possible pour les utilisateurs de générer des rapports de log complets sur l'accès aux données et les actions grâce à la transparence de l'accès.

Un pas vers la souveraineté numérique ?

« Les contrôles souverains pour Google Workspace assureront la souveraineté numérique grâce à un ensemble complet de capacités pour les organisations travaillant dans et à travers les régions de l'UE » précise Javier Soltero. En parallèle, Google Cloud continuera à fournir aux clients des mécanismes légaux pour le transfert international de données, incluant la mise à disposition des protections offertes par le nouveau cadre de transfert de données de l'UE dès sa mise en œuvre. Rappelons que le 23 avril, le Parlement européen et le Conseil ont conclu un accord politique provisoire sur la législation sur les services numériques (DSA).

« Avec la législation sur les marchés numériques (DMA), le DSA fixera pour les années à venir des normes pour un espace numérique plus sûr et plus ouvert pour les utilisateurs, ainsi que des conditions de concurrence équitables pour les entreprises » a déclaré le Parlement dans un communiqué. Le texte devra être finalisé au niveau technique et vérifié. Une fois la procédure terminée, il entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE, et les règles commenceront à s’appliquer 15 mois plus tard. Par ailleurs, du 23 au 27 mai prochain, il est prévu qu’une délégation de la commission du marché intérieur du Parlement visite plusieurs sièges d’entreprises (Meta, Google, Apple...) dans la Silicon Valley afin d’échanger sur le paquet législatif sur les marchés numériques et sur d’autres législations en préparation.