DPIA — Google (Cloud infrastructure + voice AI)
Évaluation de facteurs relatifs à la vie privée · Risque : FAIBLE · Révisé 2026-06-05
1. Portée du fournisseur
| Base de données relationnelle managée | Stockage applicatif principal | northamerica-northeast1 (Montréal) |
| Stockage objet managé | Enregistrements, pièces jointes KB, audio | northamerica-northeast1 (Montréal) |
| Calcul applicatif managé | Service backend + frontend (aucune persistance) | northamerica-northeast1 (Montréal) |
| Modèle vocal Google (palier payant) | IA vocale temps réel | Edge global Google |
2. Catégories de renseignements personnels
- Audio voix de l'appelant (flux temps réel vers le modèle vocal de Google)
- Transcriptions dérivées de la voix de l'appelant
- Texte fourni par l'appelant (noms, adresses, requêtes)
- Prompts système d'agent (peuvent contenir contexte business tenant)
3. Base légale (Loi 25 Art. 17)
Le transfert hors Québec est acceptable parce que :
- Le DPA Cloud de Google fournit une protection équivalente à la Loi 25
- Catégories transférées limitées au strictement nécessaire
- Tout le stockage persistant (base de données, fichiers, enregistrements) reste au Canada
- Google interdit contractuellement l'entraînement sur données clients
- Aucun examen humain sans consentement organisationnel explicite
4. Évaluation du risque
Global : FAIBLE. Pratique standard pour l'IA vocale B2B sur GCP.
- Accès non autorisé du personnel : très faible (contrôles internes Google + interdiction DPA)
- Entraînement sur données clients : négligeable (exclusion explicite tier payant)
- Subpoena É.-U. : faible (rapports de transparence disponibles)
- Brèche datacenter : très faible (certifications SOC 2, ISO 27001, FedRAMP)
5. Rétention chez Google
- Sauvegardes base de données managée : 7 jours
- Objets stockage : selon politique de rétention tenant
- Requêtes/réponses modèle vocal Google : journaux courts de détection d'abus seulement (jours, pas années)
- Artefacts Cloud Build : 30 jours
6. Conclusion
Le modèle vocal payant de Google + son infrastructure cloud fournissent une protection équivalente aux exigences de la Loi 25. Risque FAIBLE. Transfert justifié.
Référence DPA : cloud.google.com/terms/data-processing-addendum