C'est une question récurrente chez les TPE et PME : "J'utilise la version Business Starter de Google Workspace (la moins chère), suis-je en règle avec le RGPD ?"
La réponse est nuancée : Oui, l'outil est conforme par défaut, mais votre usage ne l'est probablement pas.
En 2025, la CNIL et les régulateurs européens ne se contentent plus de déclarations d'intention. Ils auditent la configuration effective de votre tenant. Voici pourquoi l'édition Starter peut devenir un piège juridique si elle n'est pas correctement paramétrée.
1. La Souveraineté des Données (Data Residency)
C'est la principale limitation de l'édition Business Starter.
Contrairement aux éditions Business Standard, Plus ou Enterprise, l'édition Starter ne vous permet pas de choisir la localisation géographique de vos données. Vos e-mails et fichiers Drive peuvent être stockés indifféremment sur des serveurs aux États-Unis, en Europe ou en Asie, selon l'optimisation de charge de Google.
Est-ce illégal ?
Non, car le Data Privacy Framework (cadre transatlantique) valide les transferts vers les USA. Cependant, pour certaines activités sensibles (santé, juridique, marchés publics), le stockage exclusif en Europe est une exigence contractuelle de vos clients.
Solution : Si vous avez une obligation de souveraineté des données, vous devez migrer vers Business Standard (ou supérieur) pour activer l'option "Régions de données".
2. Le Droit à l'Oubli et la Rétention (L'absence de Vault)
Le RGPD impose de ne pas conserver les données indéfiniment. Vous devez pouvoir supprimer les données d'un ancien employé ou d'un client qui exerce son droit à l'oubli.
L'édition Business Starter n'inclut pas Google Vault.
- Si un employé supprime un mail critique puis vide sa corbeille : il est perdu définitivement après 25 jours.
- Si vous devez prouver la suppression d'une donnée lors d'un contrôle : vous n'avez pas de journal d'audit fiable.
Le risque : En cas de litige ou de contrôle, vous êtes "aveugle". L'absence d'outil d'archivage légal est une faiblesse majeure de cette édition.
3. La Gestion des Appareils Mobiles (MDM)
Vos employés consultent leurs mails sur leurs smartphones personnels (BYOD). Que se passe-t-il si ce téléphone est perdu ou volé ?
Avec l'édition Starter, vous avez accès à une gestion des appareils fondamentale :
- Vous pouvez forcer un code de verrouillage sur l'écran.
- Vous pouvez effacer le compte pro à distance (Wipe).
Mais vous ne pouvez pas :
- Empêcher la copie de données pro vers des applis perso (copier-coller de Gmail vers WhatsApp).
- Auditer les applications installées sur le téléphone.
L'avis de l'expert : Pour une TPE, la gestion fondamentale est souvent suffisante si elle est activée. Le problème est que 80% des tenants Starter que nous auditons n'ont même pas activé ces règles de base.
Conclusion : Starter est-il viable ?
Pour une petite structure sans contraintes sectorielles fortes : OUI, à condition de :
- Activer la Double Authentification (2SV) (Obligation de sécurité de base).
- Configurer la gestion des mobiles (MDM Basic).
- Signer l'avenant de traitement des données (DPA) dans la console d'administration.
Dès que vous dépassez 10 collaborateurs ou que vous traitez des données sensibles, le coût du risque dépasse l'économie réalisée sur les licences. Le passage à Business Standard devient un investissement de conformité nécessaire.
Besoin d'un audit de conformité ?
Bourbon Digital réalise l'audit de votre tenant Google Workspace et vous fournit un rapport de conformité RGPD complet.