gkss a écrit :
Salut, c'est clairement de l'exfiltration de données. Et quid de la RGPD ?
|
Oui niveau RGPD, cela ne colle pas.
Car il s'agit de données personnelles qui se retrouvent gérées (stockage, traitement) par un sous-traitant (en l’occurrence Google) non répertorié par le responsable de traitement (l'employeur).
Il n'y a donc aucune gestion de la sécurité (accès, stratégie des MDP, sauvegardes, etc.) ni du risque. Impossible aussi de gérer le cycle de vie de la donnée. Impossible de s'assurer que les données ne sont pas exportées vers un pays tiers, ce qui implique des garanties supplémentaires. Impossible enfin de prendre connaissance des violations de données et de gérer les obligations qui en découlent.