Connexion
Tous les articles
Privacy·2026-05-21·9 min de lecture·Punkto Team

Google Meet est-il conforme au RGPD en 2026 ? Ce que les équipes européennes doivent savoir

Google Meet traite les données de réunion sur une infrastructure américaine soumise au CLOUD Act. Voici ce que cela implique pour les organisations européennes, ce que Google promet réellement, et quelles sont vos alternatives.

La réponse courte : techniquement oui, pratiquement compliqué. Google fournit l’échafaudage contractuel que le RGPD exige — un Data Processing Amendment, des Clauses Contractuelles Types, une option de résidence des données pour le contenu stocké. Mais le CLOUD Act américain, le contentieux Schrems II toujours ouvert et le pipeline de traitement IA de Google créent un risque de conformité réel, que les équipes juridiques et les DPO ne peuvent pas simplement signer pour le faire disparaître.

Cet article passe en revue ce à quoi Google s’engage réellement, où sont les failles, et ce que les organisations européennes devraient en faire.

Ce que Google promet

Google propose plusieurs mécanismes RGPD aux clients Workspace :

  • Data Processing Amendment (DPA). Le DPA de Google régit la façon dont Google traite les données personnelles pour le compte des clients Workspace. Il couvre la base légale, la liste des sous-traitants, l’assistance aux droits des personnes, la notification des violations.
  • Clauses Contractuelles Types (CCT). Pour les transferts de données personnelles européennes vers l’infrastructure américaine de Google, Google s’appuie sur les CCT de 2021. Elles fournissent un mécanisme juridique au transfert, mais leur adéquation reste contestée.
  • Résidence des données UE pour Drive. Les administrateurs Workspace peuvent épingler le stockage Drive (y compris les enregistrements Meet) sur des centres de données européens. Cela couvre les données au repos, pas tout le traitement.
  • Pas d’usage publicitaire des données Workspace. Google s’engage explicitement à ne pas utiliser les données des clients Workspace à des fins publicitaires. C’est une différence réelle avec les produits Google grand public.

Ces engagements comptent. Un contrat Workspace avec le DPA complet, les CCT et la résidence UE est nettement préférable à un compte Google gratuit pour vos réunions.

Là où ça coince

Le problème du CLOUD Act

Google a son siège aux États-Unis. En vertu du Clarifying Lawful Overseas Use of Data Act (2018), les autorités américaines peuvent contraindre Google à produire des données stockées n’importe où dans le monde — y compris dans des centres de données européens — par simple décision d’un tribunal américain. Google ne peut pas promettre contractuellement de refuser de telles injonctions. Son rapport de transparence montre qu’il produit régulièrement des données en réponse à des demandes légales américaines.

Les CCT ne peuvent pas primer sur le droit américain. Si une autorité américaine émet une injonction CLOUD Act valide, les engagements contractuels de Google envers ses clients européens n’empêchent pas son exécution. C’est le problème structurel que ni le Trans-Atlantic Data Privacy Framework ni les CCT actualisées ne résolvent entièrement.

Traitement IA et sous-traitants

Les fonctions IA de Google Meet — transcription en direct (Gemini), réduction de bruit, cadrage intelligent — impliquent des traitements qui ne sont pas forcément couverts par les paramètres de résidence des données. Quand ces fonctions sont actives, l’audio et la vidéo passent par l’infrastructure IA de Google. La liste des sous-traitants de ces fonctions inclut des entités américaines.

Si vos réunions contiennent des données personnelles (toutes les réunions professionnelles en contiennent) et que les fonctions IA sont actives, vous avez un transfert transfrontalier de données biométriques (voix, parfois visage). Selon certaines interprétations d’autorités de protection, cela déclenche le régime de protection renforcée de l’article 9 du RGPD.

Rétention et journaux d’accès

Google conserve diverses métadonnées des sessions Meet — listes de participants, événements d’entrée/sortie, diagnostics réseau, signaux de détection d’abus — même quand l’enregistrement est désactivé. Le DPA encadre la façon dont Google traite ces données en tant que sous-traitant, mais les durées de rétention et les politiques d’accès internes sont celles de Google, pas les vôtres.

Ce que les autorités européennes ont dit

Plusieurs autorités de protection des données se sont prononcées sur les fournisseurs cloud américains :

  • Autorité autrichienne (2022) : a jugé que l’usage de Google Analytics — produit moins sensible que Meet — violait le RGPD, faute de garanties adéquates contre l’accès CLOUD Act lors des transferts vers les États-Unis.
  • CNIL : a publié des lignes directrices indiquant que les fournisseurs américains soumis aux lois de renseignement présentent un risque « non négligeable », même avec des CCT.
  • Autorité de Hambourg : a averti que les autorités publiques allemandes ne devraient pas utiliser Microsoft Teams ou des outils similaires pour des traitements sensibles sans garanties supplémentaires.

Aucune n’a interdit Google Meet en tant que tel. Mais la doctrine cumulée est cohérente : pour les traitements sensibles, les alternatives hébergées dans l’UE sans responsable américain dans le circuit de la donnée sont préférables.

La checklist pratique pour Google Meet en contexte européen

Si vous comptez utiliser Google Meet, voici ce que votre DPO devrait vérifier :

  1. DPA Workspace signé et en vigueur
  2. Résidence des données UE configurée pour Drive (stockage des enregistrements Meet)
  3. Fonctions IA (transcription, Gemini) désactivées ou cadrées par une base légale appropriée
  4. Participants informés de l’enregistrement et du transfert potentiel vers les États-Unis via une notice de confidentialité
  5. AIPD réalisée pour les traitements impliquant des catégories sensibles (santé, juridique, RH, finance)
  6. Politique de rétention définie — enregistrements supprimés selon votre calendrier
  7. Intégrations tierces auditées (Slack, Notion, CRM qui reçoivent des données de réunion)

Quand envisager une alternative européenne

Google Meet convient à beaucoup de réunions. Il devient problématique quand :

  • Vos réunions touchent aux catégories sensibles de l’article 9 du RGPD (santé, biométrie, situation juridique)
  • Vous êtes dans un secteur régulé visé par des lignes directrices spécifiques (santé, finance, secteur public)
  • Votre DPO a signé ou envisage des engagements restreignant les fournisseurs cloud américains
  • Vous répondez à des marchés publics exigeant des outils souverains européens
  • Vous voulez une transcription IA à zéro rétention audio réelle (Google Meet conserve l’audio pendant le traitement)

Dans ces cas, l’approche la plus propre consiste à séparer l’appel vidéo (Google Meet, si nécessaire) de la couche d’intelligence de réunion — en utilisant un outil hébergé dans l’UE pour la transcription et les résumés IA, qui n’envoie jamais d’audio vers une infrastructure américaine et le supprime immédiatement après traitement.


Punkto est une plateforme de réunion RGPD-native hébergée dans l’UE. La transcription se fait en mémoire via une IA hébergée en Europe — l’audio n’est jamais stocké, nulle part. Les transcripts sont chiffrés au repos en AES-256-GCM. Gratuit pour 3 transcripts par mois.

Questions fréquentes

Google Meet est-il conforme au RGPD ?

Google Meet peut être utilisé de façon conforme au RGPD par des responsables de traitement européens, mais seulement avec une configuration soignée. Google propose un Data Processing Amendment et des Clauses Contractuelles Types. Mais en tant que société américaine soumise au CLOUD Act, Google ne peut garantir l’immunité contre un accès du gouvernement américain aux données européennes dans tous les scénarios. L’adéquation des garanties post-Schrems II/III reste contestée par plusieurs autorités de protection européennes.

Google stocke-t-il les enregistrements de réunion dans l’UE ?

Les clients Google Workspace de l’UE peuvent configurer la résidence des données pour Drive (où les enregistrements sont stockés), mais le traitement — y compris la transcription IA et la traduction en direct — peut toujours transiter par une infrastructure américaine. La résidence Drive couvre le contenu stocké, pas tout le traitement.

Qu’est-ce que le CLOUD Act et pourquoi est-ce important pour les réunions européennes ?

Le Clarifying Lawful Overseas Use of Data Act américain (2018) permet aux autorités américaines de contraindre les fournisseurs cloud dont le siège est aux États-Unis à produire des données stockées n’importe où dans le monde, quel que soit leur emplacement physique. Google est une société américaine, donc soumise au CLOUD Act. Un paramètre de résidence des données dans l’UE n’empêche pas une injonction CLOUD Act valide.

Faut-il une AIPD pour Google Meet ?

Si vous utilisez Google Meet pour traiter des données sensibles — discussions de santé, décisions RH, sujets juridiques, conseil financier — une analyse d’impact (AIPD) est fortement recommandée. Plusieurs autorités européennes ont publié des lignes directrices exigeant des AIPD pour les transferts vers des fournisseurs américains. Son résultat peut imposer des garanties supplémentaires ou vous conduire vers une alternative européenne.

Quels sont les principaux risques RGPD de Google Meet ?

Les risques principaux : (1) transfert de données personnelles (voix, visages, transcripts) vers un pays sans décision d’adéquation couvrant l’accès de la sécurité nationale américaine, (2) chaîne de sous-traitants opaque pour les fonctions IA, (3) capacité de Google à utiliser les données pour entraîner des modèles d’IA selon votre configuration Workspace, (4) fenêtres de rétention larges selon les réglages administrateur.

Quelles alternatives européennes pour la visio et la transcription ?

Pour les appels vidéo : Jitsi Meet (auto-hébergeable, open source), Whereby (norvégien), Wire (suisse). Pour la transcription IA et les comptes-rendus avec hébergement UE et zéro rétention audio : Punkto (hébergé dans l’UE, zéro rétention audio, transcripts chiffrés AES-256-GCM, DPA RGPD disponible). La différence clé : résidence des données plus zéro stockage audio — la combinaison qui élimine l’essentiel de l’exposition RGPD.

Essayer Punkto

Réunions structurées, sous-titres en direct, résumés IA — hébergé dans l’UE, RGPD natif. Gratuit 3 sessions/mois, sans carte bancaire.