RGPD & Google Workspace
Business Starter
: Le Guide 2025

La réponse est nuancée : Oui, l'outil est conforme par défaut, mais votre usage ne l'est probablement pas.

En 2025, la CNIL et les régulateurs européens ne se contentent plus de déclarations d'intention. Ils auditent la configuration effective de votre tenant. Voici pourquoi l'édition Starter peut devenir un piège juridique si elle n'est pas correctement paramétrée.

1. La Souveraineté des Données (Data Residency)

C'est la principale limitation de l'édition Business Starter.

Contrairement aux éditions Business Standard, Plus ou Enterprise, l'édition Starter ne vous permet pas de choisir la localisation géographique de vos données. Vos e-mails et fichiers Drive peuvent être stockés indifféremment sur des serveurs aux États-Unis, en Europe ou en Asie, selon l'optimisation de charge de Google.

Est-ce illégal ?

Non, car le Data Privacy Framework (cadre transatlantique) valide les transferts vers les USA. Cependant, pour certaines activités sensibles (santé, juridique, marchés publics), le stockage exclusif en Europe est une exigence contractuelle de vos clients.

2. Le Droit à l'Oubli et la Rétention (L'absence de Vault)

Le RGPD impose de ne pas conserver les données indéfiniment. Vous devez pouvoir supprimer les données d'un ancien employé ou d'un client qui exerce son droit à l'oubli.

L'édition Business Starter n'inclut pas Google Vault.

• Si un employé supprime un mail critique puis vide sa corbeille il est perdu définitivement après 25 jours.
• Si vous devez prouver la suppression d'une donnée lors d'un contrôle vous n'avez pas de journal d'audit fiable.

Le risque :

En cas de litige ou de contrôle, vous êtes "aveugle". L'absence d'outil d'archivage légal est une faiblesse majeure de cette édition.

3. La Gestion des Appareils Mobiles (MDM)

Vos employés consultent leurs mails sur leurs smartphones personnels (BYOD). Que se passe-t-il si ce téléphone est perdu ou volé ?

Avec l'édition Starter, vous avez accès à une gestion des appareils fondamentale :

• Vous pouvez forcer un code de verrouillage sur l'écran.
• Vous pouvez effacer le compte pro à distance (Wipe).

Mais vous ne pouvez pas :

• Empêcher la copie de données pro vers des applis perso (copier-coller de Gmail vers WhatsApp).
• Auditer les applications installées sur le téléphone.

4. L'Audit et la Conformité (Logging)

Le RGPD exige la traçabilité : qui a accédé à quoi, quand, et depuis où ?

Avec Business Starter, vous disposez des logs de base, mais ils sont limités :

5. Les Bonnes Pratiques pour Rester Conforme

Même avec Business Starter, vous pouvez optimiser votre conformité. Voici notre checklist :

6. Quand Faut-il Passer à Business Standard ?

La migration vers Business Standard n'est pas une dépense, c'est un investissement dans votre tranquillité d'esprit. Voici les signaux qui doivent vous alerter :

• Plus de 10 employés La gestion manuelle devient chronophage.
• Données sensibles Santé, éducation, secteur public.
• Premier audit RGPD prévu Les auditeurs exigent Vault et les logs complets.

7. Conclusion : Starter n'est pas "Anti-RGPD"

Business Starter peut être conforme au RGPD, mais à condition de :

• Avoir une gouvernance stricte Processus documentés et suivis.
• Former continuellement vos équipes La sécurité est l'affaire de tous.
• Accepter les limites techniques Et planifier la migration si nécessaire.

Chez Bourbon Digital, nous accompagnons des PME comme des grands comptes dans cette démarche. Notre expertise vous garantit une conformité RGPD sans compromettre votre agilité.