Ce qu'il faut retenir
- Google Workspace + Gemini accède à vos emails (Gmail), documents (Drive), présentations, feuilles de calcul, réunions (Meet) et agenda pour personnaliser les réponses de l'IA.
- Les données de productivité sont parmi les plus sensibles d'une entreprise : elles révèlent stratégie, organigramme réel, négociations en cours et relations client.
- Google est soumis au Cloud Act américain — même ses datacenters européens ne protègent pas contre les réquisitions des autorités US.
- Des alternatives souveraines existent : Nextcloud + IA open source pour les organisations ayant des ressources techniques, Infomaniak kSuite pour celles qui veulent un service clé en main.
- La migration de Google Workspace est techniquement faisable en 1 à 3 mois pour la plupart des PME.
Ce que Google collecte via Workspace AI
Avec l'intégration de Gemini dans Google Workspace (disponible en Business Starter, Standard, Plus et Enterprise depuis 2024), Google dispose d'un accès étendu aux données de productivité de vos collaborateurs pour faire fonctionner l'IA.
Les sources de données accessibles à Gemini dans Workspace
- Gmail : Gemini peut lire, résumer et répondre à vos emails. Toute la correspondance professionnelle — y compris les échanges avec avocats, comptables, partenaires — peut être analysée.
- Google Drive : tous vos fichiers (Docs, Sheets, Slides, PDF, images) sont accessibles pour répondre aux questions de type "trouve-moi le rapport financier du T3" ou "résume ce contrat".
- Google Meet : transcription automatique des réunions, résumé des points abordés, identification des participants. Les réunions de direction, les negotiations commerciales, les réunions RH sont concernées.
- Google Calendar : accès à votre agenda, participants aux réunions, titres des événements, notes associées.
- Google Chat : messages instantanés, conversations de groupe, historique complet.
Comment Google utilise ces données pour l'IA
La politique de Google distingue deux types d'utilisation :
- Traitement pour la fourniture du service : vos données sont utilisées pour générer les réponses de Gemini dans Workspace. Google affirme ne pas utiliser ces données pour entraîner ses modèles fondateurs pour les clients Business et Enterprise.
- Données agrégées et anonymisées : Google peut utiliser des données agrégées pour améliorer ses services, avec des engagements d'anonymisation dont les mécanismes ne sont pas auditables par le client.
- Données de logs et de performance : l'historique des interactions avec Gemini (pas le contenu des conversations, mais les métadonnées) peut être conservé pour des durées variables.
Le problème de l'IA Workspace avec les données RH et financières
Lorsqu'un collaborateur demande à Gemini "rédige une réponse à la réclamation de ce client", l'IA accède aux emails précédents avec ce client, aux documents liés, potentiellement aux fiches de suivi dans Sheets. Toutes ces données transitent par les serveurs de Google pour inférence. Pour les données RH (évaluations, salaires dans des Sheets) et financières (résultats dans des Docs), ce transit est particulièrement problématique au regard du RGPD et du secret des affaires.
Risques RGPD spécifiques aux données de productivité
Les données de productivité présentent une particularité importante du point de vue RGPD : elles sont à la fois omniprésentes (chaque email, chaque document) et très révélatrices. Elles constituent une fenêtre sur l'activité réelle de l'entreprise que peu d'autres types de données offrent.
Pourquoi les données de productivité sont-elles si sensibles ?
- Données personnelles des salariés : emails professionnels, agendas, performances implicitement visibles dans les habitudes de travail. La CNIL a rappelé que les données de productivité sont des données personnelles au sens du RGPD.
- Données personnelles des clients et prospects : toute la correspondance commerciale contient des données personnelles (noms, coordonnées, informations sur les besoins et situations des clients).
- Données sous secret des affaires : stratégie, brevets en cours, offres commerciales en cours d'élaboration, prix et marges dans des Sheets.
- Données sous NDA : si vous collaborez sur des projets confidentiels avec des partenaires, les documents partagés sur Drive peuvent violer vos NDA si Google y accède via Gemini.
Les obligations RGPD déclenchées par Gemini Workspace
- Information des employés : l'activation de Gemini constitue un nouveau traitement de données personnelles des salariés. Une information (et potentiellement une consultation du CSE) est nécessaire.
- Information des personnes concernées : vos correspondants (clients, partenaires) dont les emails sont analysés par Gemini doivent-ils être informés ?
- AIPD obligatoire : pour les traitements à grande échelle de données de productivité incluant des données personnelles sensibles, une Analyse d'Impact sur la Protection des Données est probablement nécessaire.
- Transferts hors UE : Google opère des services d'inférence IA depuis des datacenters américains. Même avec un hébergement européen des données au repos, l'inférence peut impliquer des transferts vers les USA.
Gemini for Workspace : les clauses contractuelles à connaître
Les conditions contractuelles de Google Workspace + Gemini comprennent plusieurs documents : les Cloud Data Processing Addendum (CDPA), les Workspace Service Specific Terms et les Gemini for Google Workspace Additional Terms. Points clés à connaître :
- Utilisation des données pour l'entraînement : Google s'engage à ne pas utiliser les Customer Data pour entraîner ses modèles fondateurs. Cependant, l'amélioration des "features" de Workspace est distincte de l'entraînement fondamental — une zone grise.
- Sous-processeurs Google : Google fait appel à une liste de sous-processeurs (environ 20-30 entités) pour opérer Workspace. Gemini AI ajoute des sous-processeurs spécifiques, notamment pour l'inférence. La liste est publique mais rarement consultée.
- Hébergement des données : avec Workspace, vous pouvez choisir la région de stockage des données au repos (Europe). Mais le traitement IA (inférence Gemini) peut s'effectuer depuis des régions non européennes — ce point est peu documenté.
- Durée de conservation des données Gemini : les historiques de conversation avec Gemini dans Workspace sont conservés selon les paramètres de votre administrateur (par défaut, selon la politique de rétention Google).
Tableau comparatif : Google Workspace + Gemini vs alternatives souveraines
| Critère | Google Workspace + Gemini | Microsoft 365 + Copilot | Nextcloud + IA open source | Infomaniak kSuite | Solution on-premise |
|---|---|---|---|---|---|
| Souveraineté données | Non (Cloud Act Google) | Non (Cloud Act Microsoft) | Totale | Haute (Suisse) | Totale |
| RGPD natif | Partiel | Partiel | Oui | Oui | Oui |
| Gmail (excellent) | Outlook (excellent) | Nextcloud Mail (bon) | Mail Infomaniak (bon) | Dovecot/Postfix | |
| Stockage et collaboration | Google Drive (excellent) | SharePoint (très bon) | Nextcloud Files (très bon) | kDrive (bon) | Nextcloud self-hosted |
| IA intégrée | Gemini (puissant) | Copilot 365 (puissant) | Modèle open source (variable) | Intégration ELODIE possible | Modèle au choix |
| Prix indicatif /user/mois | 12-26 € (+ 20-30 € Gemini) | 10-35 € (+ 30 € Copilot) | 5-15 € (hébergement + licence) | 5-9 € | Infrastructure seule |
| Facilité d'adoption | Excellente | Excellente | Bonne (formation requise) | Bonne | Complexe |
| Support français | Via revendeur | Via revendeur | Communauté + prestataires | Oui (Suisse) | Prestataire |
| Certification SecNumCloud | Non | Non | N/A (self-hosted) | Non | Possible |
Nextcloud + IA open source : la solution pour les organisations techniques
Nextcloud est une suite collaborative open source (email, stockage, calendrier, visioconférence) qui peut être hébergée sur votre infrastructure ou chez un hébergeur français souverain (OVHcloud, Scaleway, Outscale).
Nextcloud AI et intégration LLM
Depuis Nextcloud 28 (2024), la plateforme intègre "Nextcloud AI" — un framework permettant d'intégrer des modèles LLM pour des fonctionnalités de génération de texte, résumé de documents et assistant email. L'avantage majeur : le modèle LLM peut être hébergé sur votre infrastructure ou chez un fournisseur souverain de votre choix. Vous pouvez connecter Nextcloud à ELODIE 32B via l'API compatible OpenAI d'Intelligence Privée.
Coûts et complexité de Nextcloud
- Licence : Nextcloud Enterprise (avec support) coûte entre 30 et 90 € par utilisateur par an selon la taille de l'organisation.
- Infrastructure : prévoir 2 à 5 € par utilisateur par mois pour l'hébergement chez un cloud souverain français.
- Intégration IA : la connexion à un LLM souverain nécessite une configuration technique (1 à 3 jours d'intégration).
- Formation : les utilisateurs habitués à Google Workspace ont besoin de 1 à 2 semaines d'adaptation.
Infomaniak kSuite : la solution suisse sans compromis
Infomaniak est un hébergeur suisse indépendant (fondé en 1994, Genève) qui propose kSuite — une suite collaborative souveraine comprenant email, stockage, agenda, visioconférence et traitement de texte collaboratif. La Suisse bénéficie d'une législation sur la protection des données parmi les plus strictes au monde (nLPD) et n'est soumise ni au Cloud Act américain ni au RGPD (mais assure une compatibilité RGPD).
Infomaniak kSuite vs Google Workspace
kSuite couvre 80 à 85 % des fonctionnalités de Google Workspace pour les usages standards. Les points faibles : pas d'équivalent natif à Google Sheets (intégration OnlyOffice ou Collabora), pas d'IA intégrée aussi puissante que Gemini (Infomaniak développe sa propre IA). Le prix est attractif : entre 5 et 9 € par utilisateur et par mois tout compris. Infomaniak est alimenté à 100 % en énergie renouvelable — un argument RSE valorisable.
Guide de migration pratique de Google Workspace
La migration de Google Workspace vers une alternative souveraine est techniquement faisable mais nécessite une planification rigoureuse. Voici les étapes typiques pour une PME de 50 à 200 collaborateurs :
- Audit de l'existant (2-4 semaines) : cartographiez vos usages Google Workspace réels — quelles apps sont utilisées, par qui, avec quelle fréquence. Identifiez les dépendances critiques (Google Forms, AppScript, intégrations tiers via OAuth).
- Choix de la solution cible (1 semaine) : selon votre profil technique et vos contraintes réglementaires, choisissez Nextcloud (si équipe technique), Infomaniak (si vous voulez un service clé en main souverain) ou une solution on-premise.
- Migration des emails (2-4 semaines) : utilisez des outils de migration IMAP (Imapsync, Migration Wiz) pour transférer l'historique des emails. Planifiez la migration par département pour limiter l'impact.
- Migration des fichiers Drive (2-6 semaines) : exportez depuis Google Takeout, convertissez les fichiers Google Docs/Sheets/Slides en formats OpenDocument (LibreOffice) ou OOXML (Microsoft). Vérifiez la mise en forme après conversion.
- Formation des utilisateurs (en parallèle) : prévoyez des sessions de formation courtes (1h) par groupe homogène. Les utilisateurs experts Google Workspace s'adaptent en moins de 2 semaines.
- Bascule DNS et redirection email (weekend) : la bascule des enregistrements MX est instantanée. Prévoyez une période de coexistence de 2 semaines avec renvoi automatique depuis l'ancienne boîte Gmail.
Points d'attention avant de migrer
Certaines fonctionnalités Google n'ont pas d'équivalent direct : Google Forms (remplaçable par Nextcloud Forms ou Typeform), AppScript (nécessite réécriture en Python ou équivalent), Google Sites (remplaçable par WordPress ou équivalent). Identifiez ces dépendances avant de vous engager dans la migration.
Migrez de Google Workspace vers une solution souveraine
Intelligence Privée accompagne les entreprises dans leur migration depuis Google Workspace et intègre ELODIE 32B comme assistant IA souverain dans leur nouvelle suite collaborative. Demandez une étude de faisabilité gratuite.
Étude de faisabilité gratuite →FAQ
Google Workspace peut-il être conforme RGPD ?
Google propose des CDPA (Cloud Data Processing Addendum) conformes au RGPD, et permet l'hébergement des données au repos en Europe. Pour des usages sans données personnelles sensibles et avec une configuration soignée (région EU, paramètres de confidentialité Gemini désactivés), Google Workspace peut atteindre un niveau de conformité RGPD acceptable. Dès que Gemini AI est activé ou que des données sensibles sont impliquées, le niveau de risque RGPD augmente significativement.
Infomaniak est-il vraiment souverain si c'est une entreprise suisse et non française ?
Infomaniak n'est pas soumis au droit français, mais à la nLPD suisse (équivalent au RGPD) et au droit suisse. La Suisse n'est pas soumise au Cloud Act américain. Pour les entreprises françaises, Infomaniak offre une souveraineté juridique très proche de celle d'un hébergeur français, sans risque de juridiction US. En revanche, pour les données nécessitant SecNumCloud (certification ANSSI purement française), Infomaniak ne peut pas être qualifié.
Peut-on garder Google Workspace et utiliser une IA souveraine séparée ?
Oui, c'est même une stratégie de transition pragmatique. Vous continuez à utiliser Google Workspace pour la collaboration (sans activer Gemini), et vous accédez à ELODIE 32B via une interface web séparée ou un plugin pour les tâches d'assistance IA. Cette approche ne résout pas le risque Cloud Act sur vos emails et documents, mais elle évite d'y ajouter le risque IA Gemini. C'est un premier pas vers plus de souveraineté, avant une migration complète si nécessaire.