Google Forms est-il sécurisé ?

« Google Forms est-il sécurisé ? » est l'une des questions les plus fréquentes avant de collecter quoi que ce soit de plus sensible qu'une commande de déjeuner. La réponse honnête est plus nuancée qu'un simple oui ou non — et dépend entièrement de ce que vous entendez par « sécurisé » et du type de données que vous collectez.

Cet article répond aux questions réellement recherchées — Google Forms est-il chiffré, qui peut lire vos réponses, est-il conforme au RGPD, comment se situe-t-il face à la protection des données suisse — et se termine là où une alternative à connaissance nulle change le tableau. Nous restons équitables tout du long : Google fait beaucoup de choses bien, et l'objectif n'est pas de vous détourner d'un bon outil, mais de vous aider à distinguer les données pour lesquelles Google Forms convient de celles pour lesquelles il ne convient pas.

Google Forms est-il chiffré ?

Oui — mais avec une nuance importante. Google Forms chiffre vos réponses en transit avec TLS (la technologie derrière le cadenas de votre navigateur) et chiffre les données stockées au repos sur l'infrastructure de Google. Ce qu'il ne fait pas, c'est le chiffrement de bout en bout : Google détient les clés, donc les données sont lisibles par les systèmes de Google.

Chiffrement en transit (TLS)

Lorsqu'un répondant soumet un formulaire Google, la connexion entre son navigateur et les serveurs de Google est enveloppée dans un tunnel TLS. Personne sur le réseau entre les deux — un attaquant sur un Wi-Fi public, un fournisseur d'accès, un proxy d'entreprise — ne peut lire les réponses en chemin. Cette partie est bien réalisée et correspond au standard de tout service web sérieux.

Chiffrement au repos

Une fois la réponse arrivée, Google déchiffre la couche TLS et stocke les données sur son infrastructure, où elles sont chiffrées au repos avec des clés que Google gère. Cela protège contre une menace étroite : quelqu'un qui volerait physiquement un disque d'un centre de données Google trouverait des octets illisibles. C'est une protection réelle, et la mise en œuvre de Google est solide.

Donc « Google Forms est-il chiffré ? » est un oui pour le transit et le repos, mais un non pour le bout en bout. Les réponses existent sous une forme que Google peut lire dès que ses systèmes en ont besoin — pour le stockage, l'indexation, la recherche, le filtrage du spam, la détection d'abus ou une investigation de support. C'est cette distinction qui compte dès que les données sont confidentielles.

Google Forms est-il sécurisé ?

Du point de vue de l'infrastructure, Google Forms est très sécurisé. Google exploite des centres de données de classe mondiale, emploie l'une des plus grandes équipes d'ingénierie de sécurité de la planète, corrige agressivement et défend contre les attaques réseau, les logiciels malveillants et les prises de contrôle de comptes mieux que presque n'importe quelle organisation ne le pourrait seule. Si votre modèle de menace est « un pirate au hasard s'introduit dans les serveurs », Google Forms tient extrêmement bien.

La vraie question n'est pas de savoir si les murs sont solides. C'est de savoir qui est déjà à l'intérieur. « Sécurisé » pour un formulaire concerne moins le fait de garder les attaquants dehors que de savoir qui a un accès légitime au contenu lisible. Pour Google Forms, cette liste est plus longue que la plupart ne l'imaginent :

• Vous, le propriétaire du formulaire, et toute personne à qui vous accordez un accès en édition ou en lecture
• Toute personne ayant accès au Google Sheet lié — qui est facile à sur-partager
• Les administrateurs Google Workspace du domaine de votre organisation, qui peuvent accéder au contenu des comptes gérés
• Google lui-même, en tant que sous-traitant exploitant le service, à des fins opérationnelles (stockage, détection d'abus, demandes légales)

Rien de tout cela ne signifie que Google lit vos réponses de sondage pour le plaisir. Cela signifie que l'architecture le permet. Les questions de sécurité pour des données confidentielles ne sont pas « un pirate pourrait-il entrer ? » mais « combien de parties peuvent lire ceci dans le cours normal des opérations, et suis-je à l'aise avec toutes ? » Pour Google Forms, la réponse à la seconde question est supérieure à zéro — et c'est exactement la faille que comble le chiffrement de bout en bout.

Qui peut lire vos réponses Google Forms ?

Plus de personnes et de systèmes que le propriétaire ne le réalise habituellement. Au-delà de l'infrastructure de Google, l'exposition pratique vient de la façon dont les réponses sont partagées, dont elles se propagent dans les feuilles de calcul et de ce qui se passe en cas de compromission d'un compte.

Le modèle de partage

Les réponses sont visibles par toute personne avec qui le formulaire — ou ses résultats — est partagé. La collaboration est une force de Google, mais cela signifie aussi que l'accès se donne en quelques clics et se perd facilement de vue. Un formulaire partagé avec un collègue qui change ensuite d'équipe, un lien transféré un cran trop loin, un paramètre « toute personne disposant du lien peut consulter » laissé activé par accident : chacun élargit le cercle des personnes pouvant lire chaque réponse.

Les feuilles de calcul liées se multiplient

La plupart des gens connectent un formulaire Google à un Google Sheet pour analyser les résultats. Dès cet instant, les réponses vivent à un second endroit avec ses propres paramètres de partage indépendants. Les gens copient la feuille, la téléchargent en Excel, collent des plages dans des e-mails, l'importent dans d'autres outils ou construisent des tableaux de bord par-dessus. Chaque copie est un nouveau contenant en texte clair des mêmes données confidentielles, et aucune n'hérite des contrôles d'accès de l'original.

Les administrateurs Workspace

Si votre formulaire réside dans un compte Google Workspace (anciennement G Suite) géré par votre organisation, vos administrateurs Workspace disposent de capacités puissantes sur ce compte, y compris la possibilité d'accéder au contenu sous leur gestion. C'est normal et nécessaire pour l'administration informatique — mais cela signifie que vos réponses sont lisibles par vos propres administrateurs, ce qui peut être approprié ou non selon ce que le formulaire collecte (une plainte RH visant un manager, par exemple).

La compromission de compte : le risque pratique

Au quotidien, la façon la plus probable dont les réponses Google Forms fuient n'est pas une violation de Google. C'est la compromission de l'un des comptes humains qui peuvent les lire — un mot de passe hameçonné, un identifiant réutilisé, un jeton de session volé sur un ordinateur portable, un second facteur manquant. Comme les données sont en texte clair pour quiconque peut se connecter, la prise de contrôle d'un compte remet à l'attaquant l'intégralité du contenu lisible. Une bonne hygiène de compte (authentification à deux facteurs matérielle, pas de réutilisation de mot de passe) est ici le contrôle le plus important — et il repose entièrement sur vous, pas sur Google.

Google Forms est-il conforme au RGPD ?

Google Forms peut être utilisé de manière conforme au RGPD, mais la conformité RGPD n'est pas une propriété de l'outil seul — elle dépend de la façon dont vous l'utilisez, du palier sur lequel vous êtes et des obligations que vous remplissez en tant que responsable du traitement. Google fournit les briques ; la responsabilité de les assembler correctement vous incombe.

Workspace vs le palier grand public gratuit

Cette distinction compte plus que presque tout le reste. Google Workspace (le palier professionnel payant) s'accompagne d'un accord de traitement des données (DPA) et de clauses contractuelles types (CCT) qui vous donnent l'assise contractuelle que le RGPD attend pour recourir à un sous-traitant. Le compte Google grand public gratuit ne s'accompagne pas des mêmes conditions de traitement professionnelles. Collecter les données personnelles d'autrui sur un compte personnel gratuit est bien plus difficile à défendre au titre du RGPD que de le faire sur un compte Workspace avec un DPA signé.

Les devoirs du responsable restent les vôtres

Même avec un DPA Workspace en place, le RGPD maintient une longue liste de devoirs sur vous en tant que responsable : établir une base légale de collecte, fournir une information de confidentialité aux répondants, honorer les demandes d'accès et de suppression, appliquer la minimisation des données, tenir un registre des traitements et évaluer si les données sont assez sensibles pour nécessiter une analyse d'impact. Rien de tout cela ne se règle en cochant une case dans Google Forms.

La question du transfert de données

Les données Google Forms sont hébergées sur Google Cloud, principalement aux États-Unis par défaut (les paliers entreprise Workspace offrent certaines options de région). Le transfert de données personnelles de l'UE vers les États-Unis est encadré par des mécanismes tels que le cadre de protection des données UE-États-Unis et les CCT, et le paysage juridique a changé à plusieurs reprises au cours de la dernière décennie. Pour des données sensibles, le fait que le contenu soit lisible par un sous-traitant établi aux États-Unis — et accessible au titre du droit américain comme le CLOUD Act — est une partie substantielle de l'analyse de conformité, pas une note de bas de page.

Google Forms et la protection des données suisse (nLPD)

Pour les entreprises suisses, l'analyse est similaire au RGPD mais passe par la loi fédérale révisée sur la protection des données (nLPD, en vigueur depuis septembre 2023). La Suisse est sa propre juridiction avec son propre régulateur, et de nombreuses organisations suisses — et leurs clients — ont une préférence claire, ou une exigence contractuelle, que les données personnelles restent sur le sol suisse sous le droit suisse.

• Localisation des données : les données Google Forms sont hébergées principalement hors de Suisse, sur Google Cloud. Le transfert transfrontalier vers les États-Unis engage les règles de la nLPD sur les transferts vers des pays à protection adéquate et sur les garanties contractuelles.
• Données personnelles sensibles : la nLPD accorde un poids particulier aux catégories sensibles (santé, opinions religieuses ou politiques, données d'aide sociale, biométrie, et plus). Les collecter via un outil où un sous-traitant américain peut lire le contenu relève le niveau de ce que vous devez documenter et justifier.
• Attentes des clients et du secteur : cabinets médicaux, études d'avocats, conseillers financiers et organismes publics suisses font souvent face à des attentes clients ou réglementaires d'hébergement suisse qu'un outil hébergé aux États-Unis et lisible par le fournisseur ne peut tout simplement pas satisfaire, quelle que soit la paperasse.

Comme pour le RGPD, Google Forms n'est pas automatiquement non conforme à la nLPD — mais la combinaison d'un hébergement américain et d'un fournisseur capable de lire le texte clair en fait un mauvais choix pour précisément les catégories de données auxquelles les règles de confidentialité suisses tiennent le plus. Pour celles-ci, garder les données illisibles par tout fournisseur et physiquement en Suisse écarte les questions les plus difficiles avant qu'elles ne soient posées.

Quand Google Forms convient parfaitement

Il faut le dire clairement : pour une large part des formulaires quotidiens, Google Forms est un choix excellent et suffisamment sécurisé, et recourir à un chiffrement lourd serait disproportionné. Sa sécurité est plus qu'adéquate quand le contenu est à faible enjeu et que vous êtes à l'aise avec le modèle d'accès. Bons cas d'usage :

• RSVP d'événements, feuilles d'inscription et commandes de repas ou de traiteur
• Sondages d'équipe internes et retours informels sans réelles données personnelles
• Enquêtes et quiz anonymes et non sensibles
• Usage scolaire et éducatif via Google Classroom
• Formulaires de coordination rapides et jetables au sein d'un groupe de confiance
• Tout ce dont le contenu ne ferait aucun mal si un collègue, un administrateur ou le fournisseur pouvait le lire

Pour ceux-ci, Google Forms est rapide, gratuit, familier et bien protégé contre les menaces qui s'appliquent réellement. L'erreur n'est pas d'utiliser Google Forms — c'est de l'utiliser au-delà du point où « Google peut lire ceci, et toute personne avec qui nous le partageons aussi » cesse d'être une réponse acceptable.

Quand vous avez besoin de plus que Google Forms

La ligne, c'est la sensibilité. Dès qu'un formulaire collecte des données dont l'exposition causerait un préjudice réel — à une personne, à vos obligations ou à votre réputation — le modèle lisible par le fournisseur cesse de suffire. Exemples typiques :

• Données de santé : admission de patients, questionnaires de symptômes, antécédents médicaux, dépistage en santé mentale
• Données juridiques : prise en charge de clients, détails de dossiers, tout ce qui relève du secret professionnel
• Données RH : plaintes, signalements de lanceurs d'alerte, affaires disciplinaires, informations de salaire et de litige
• Données financières : coordonnées bancaires, documents KYC, demandes d'assurance, informations fiscales
• Toute donnée pour laquelle les répondants seraient alarmés d'apprendre que le fournisseur de la plateforme peut lire leurs réponses

Pour celles-ci, la bonne comparaison n'est pas « Google Forms est-il sécurisé ? » mais « qui peut lire ce contenu, et cette liste est-elle assez courte ? » Le tableau ci-dessous met en regard le modèle de Google — TLS solide plus chiffrement au repos, le fournisseur détenant les clés — et un modèle chiffré de bout en bout où aucun fournisseur ne peut lire le contenu.

Remarquez la dernière ligne. Le chiffrement de bout en bout n'est pas magique : si un attaquant compromet le compte et la clé du propriétaire du formulaire, il peut lire ce que le propriétaire peut lire. Ce que l'E2EE supprime, c'est toute partie au milieu — le fournisseur, son personnel, ses autres systèmes, les administrateurs et toute personne avec qui les données liées ont été sur-partagées. Pour des données confidentielles, réduire la liste des lecteurs à « le seul propriétaire » est tout l'enjeu.

L'alternative à connaissance nulle

Schweizerform est conçu spécifiquement pour les formulaires où « le fournisseur peut lire ceci » n'est pas une réponse acceptable. C'est un constructeur de formulaires d'ingénierie suisse, axé sur la confidentialité, avec une architecture fondamentalement différente : un chiffrement de bout en bout à connaissance nulle, où l'opérateur n'a aucune capacité technique de lire la moindre soumission.

L'effet pratique est que les menaces de la colonne de droite du tableau ci-dessus sont traitées par l'architecture plutôt que par la confiance. Une assignation donne du chiffré. Une violation donne du chiffré. Un administrateur, une feuille sur-partagée ou un ingénieur curieux n'existe tout simplement pas comme chemin vers vos données, car le contenu lisible ne quitte jamais les navigateurs du propriétaire et du répondant.

Pour être clair, ce n'est pas affirmer que Schweizerform est « plus sécurisé » que Google en tout point — la sécurité d'infrastructure de Google est excellente et ce n'est pas quelque chose qu'un fournisseur plus petit surpasse en ingénierie. C'est une affirmation sur une autre propriété : l'accès. Google peut lire vos réponses Google Forms ; Schweizerform ne peut pas lire vos soumissions. Pour des données confidentielles, cette seule différence est décisive.

En résumé : Google Forms est-il sécurisé ?

Oui, Google Forms est sécurisé — pour le bon type de données. Il chiffre en transit et au repos, fonctionne sur une excellente infrastructure et est plus que suffisamment sûr pour les RSVP, les sondages internes et les enquêtes non sensibles. Ce qu'il n'est pas, c'est chiffré de bout en bout, ce qui signifie que Google, vos administrateurs et toute personne avec qui les réponses sont partagées peuvent lire le contenu.

Le test honnête est donc simple. Si votre formulaire collecte des informations de santé, juridiques, RH, financières ou autrement confidentielles, la question à poser n'est pas « Google Forms est-il chiffré ? » — c'est « chaque personne pouvant lire ces réponses est-elle quelqu'un à qui je les confierais ? » Quand cette réponse est non, il vous faut un outil que le fournisseur ne peut pas lire du tout.