GAFAM : La Cnil rappelle l'Education à ses obligations 

"Il est plus que jamais nécessaire de fixer un cadre de régulation adapté qui protège de façon effective les données personnelles des élèves et de enseignants", déclare la CNIL le 23 mai. Elle répond ainsi à la décision du ministère d'ouvrir largement les annuaires des établissements et les données élèves aux grand s groupes du GAFAM (Gooogle, Apple, Facebook, Amazon, Microsoft).

 

La question est posée depuis la révélation par le Café pédagogique, le 16 mai, d'un courrier du Directeur du numérique pour l'éducation, Mathieu Jeandron, invitant les responsables académiques à fournir aux GAFAM les annuaires des établissements.

 

"Je tiens à vous confirmer qu'il n'y a pas de réserve générale sur l’usage des outils liés aux environnements professionnels chez les grands fournisseurs de service du Web (GAFAM et autres) dans la mesure où ils rentrent bien dans les services couverts par les conditions générales d’utilisation CGU "éducation"... Par ailleurs, je vous confirme qu’il n'y a pas de blocage juridique de principe à la connexion d'un annuaire avec l’un de ces services professionnels". La lettre de Mathieu Jeandron, Directeur du numérique pour l'éducation, que le Café pédagogique a révélé, invite clairement les directeurs académique du numérique et les DSI à laisser les établissements donner les données sur les élèves aux géants d'Internet. Pour M Jeandron , interrogé par le Café, les élèves sont suffisamment protégés par les CGU (Conditions générales d'utilisation) de ces grands groupes. "Le contrat passé avec l'entreprise est protecteur au sens de la CNIL", nous a-t-il dit. "On est protégé vis à vis des GAFAM quand on créé un compte sous le régime éducation. Celui qui crée le compte signe un contrat explicite qui est protecteur".

 

Ce n'est pas l'avis de la CNIL. Si celle-ci juge " intéressante" l’idée initiée par le ministère (mais non concrétisée) d'une charte de confiance,  "elle considère que, compte tenu de la sensibilité des données en jeu, cette charte devrait se traduire par un encadrement juridique contraignant tant en ce qui concerne la non utilisation des données scolaires à des fins commerciales, l’hébergement de ces données en France ou en Europe ou encore l’obligation de prendre des mesures de sécurité conformes aux normes en vigueur".

 

La CNIL "appelle donc les responsables éducatifs, enseignants et les collectivités territoriales à être vigilants et à ne recourir qu’à des services numériques respectant ces règles et principes."

 

F Jarraud

 

Communiqué

Gafam : Les parents demandent des comptes

Le Café révèle le courrier du DNE

 
Par fjarraud , le mercredi 24 mai 2017.
Voir le forum |  Réagir sur le forum |  Imprimer  |  Télécharger  | 

Commentaires

  • kedemferre, le 12/06/2017 à 14:08
    Juste pour réagir à ce passage : "Ce n'est pas l'avis de la CNIL."

    En vérité, la CNIL a officiellement validé la conformité du traitement des données par exemple pour les expérimentations / projets académiques avec Google Suite.

    Je vous accorde cependant que le communiqué de la CNIL du 23 mai 2017 est quelque peu flou, et fait penser le contraire. 


  • jlschaff, le 24/05/2017 à 12:35

    François. Je ne suis pas sûr que d'écrire comme ça à chaud sur des sujets complexes, soit toujours efficace.

     

    Déjà en étant formé au droit du sujet et y travaillant régulièrement pour essayer de comprendre, j'arrive à m'y perdre…

     

    Du coup le commentaire va être un peu long...

     

    L'agacement de la CNIL ne date pas d’hier. Il n'a rien à voir avec la position de clarification du Ministère de ces derniers jours elle date de début 2015, quand la CNIL s'est aperçue qu'aucun des déploiements réalisées dans le cadre du Plan numérique, notamment le déploiement des tablettes et autres équipements individuels mobiles, n’avait fait l’objet d’aucune démarche auprès d’elle….

     

    En effet, pour être compatibles avec la loi française elle même conforme au droit européen, les différents services constitutifs des nouveaux écosystèmes numériques pour enseigner et apprendre dans les nuages (MxM, services applicatifs et applications nécessitant un compte pour fonctionner : Dropbox, Evernote et Skitch, Edmodo, Remind, Adobe, Office 365, Google Apps. for Education, Book Creator, Geogebra, Scratch, … mais également Ies systèmes d’exploitation (iOS, Android et Windows depuis la version 8.1 traitent massivement des données à caractère personnel), les services d’activation des matériels, des licences ou encore les magasins d’applications) doivent (au moins) respecter les points suivants :

    • le traitement des données à caractère personnel doit respecter la loi du 6 janvier 1978 (informatique et liberté) et faire l’objet de déclaration adéquate ou de demandes d’avis auprès de la CNIL suivant la nature du traitement ou être inscrit au registre du CIL, désigné par le responsable de traitement,  lorsqu’il existe ;

    • les contrats et leurs avenants validés par  un acheteur public (école, collège, lycée publics, Université, collectivité) doivent être rédigés en français ;

    • les contrats proposés à un acheteur public doivent prévoir, en cas de contentieux, la compétence d’un tribunal français, lequel ne peut être que le tribunal administratif (ce qui est permis par l’application des clauses de contrat type exigés par la CNIL en cas d’export hors UE et pays de confiance) ;

    • la publicité visible ou destinée aux élèves est interdite (neutralité commerciale du service public de l’éducation rappelé à maintes reprises) ;

    • la nature des données collectées ainsi que leur durée de conservation doit être strictement proportionnelle aux finalités du traitement réalisé ;

    • et enfin les usagers doivent être informés du cadre juridique des traitements réalisés et disposer, auprès du signataire du contrat de sous traitance, d’un contact permettant de connaître voir de corriger les informations collectées

     

    Tous ces services ne bénéficiant pas du régime prévu par l’arrêté du 30 novembre 2006 limité aux ENT strictement conformes au SDET et à ses annexes, ils ne peuvent bénéficier de la possibilité de réaliser une déclaration simplifiée. Ils sont donc dans le régime général qui contraint à procéder aux démarches adaptées. Ce régime n’interdit rien a priori, mais “alourdit” quelque peu les démarches à réaliser par le responsable du traitement (chef d’établissement pour le secondaire et DASEN pour le premier degré), auprès des services de la CNIL puisque TOUS les traitements font l’objet de démarches. Quand je dis TOUS cela signifie que pour chaque utilisation d’une nouvelle application traitant des données à caractère personnel, une démarche doit être entreprise AVANT la mise en place de l’application ou du service pour être en stricte  conformité avec les exigences de la loi Informatique et Libertés

     

    Découvrant l’étendue du chantier issu du Plan numérique la CNIL a donc demandé au Ministère de travailler de concert pour “régulariser” la situation et préparer l’avenir. Rien d’anormal... Chantier en cours, je crois, depuis plusieurs mois.

     

    Pour autant, je ne crois pas qu’elle ait refusé à ce jour aucun traitement.

     

    Même s’agissant de l’utilisation de Windows 10, pour lequel elle s’est quelque peu énervée en juillet dernier :  https://huit.re/CNIL-vs-Microsoft.

    Il est utile de noter qu’aucune réponse n’a été apportée par Microsoft ni aucune modification de ce communiqué créé par la CNIL suite à cette mise en demeure. Je ne connais pas de collectivités ou d’administration ayant à ce jour procédé à des démarches auprès de la CNIL pour utiliser Windows 10 ou même les autres OS alors même que la CNIL a procédé à cette mise en demeure depuis maintenant plus de 10 mois.

     

    Indépendamment de ce contexte, , la personne qui a rédigé le communiqué de la CNIL a commis 2 erreurs me semble t-il  :

     

    • selon la loi  de 1978 les “données scolaires” ne sont pas des données sensibles. Mais la loi peut changer… D’une part les données scolaires ne sont définies dans aucun texte et d’autre part il est inexact d’associer sur le plan juridique le terme “sensible” au terme “données scolaires”. Cela laisse penser que la loi a changé les catégories de données sensibles ce qui n’est évidemment pas le cas. Il est important cependant de retenir que la notion de “données scolaires” est définie et protégée par la loi mais c’est aux Etats-Unis d’Amérique https://ed.gov/policy/gen/guid/fpco/ferpa/index.html et nous ne disposons pas en France d’un tel texte législatif...

    • l'export de données hors UE est autorisée sans restriction si les conditions juridiques sont remplies ce qui est le cas avec Apple (Clauses de contrat type européennes nécessitant donc une autorisation d’export de la part de la CNIL), Google et Microsoft (Clauses de contrat type européennes et adhésion au Privacy Shield impliquant une mise en oeuvre immédiate sans l’attente d’une autorisation de la CNIL). Si les conditions exigées par l‘Europe et par la CNIL sont remplies, il n’y a alors aucune raison juridique d’exclure l’export de données hors d’Europe vers des pays de confiance. La CNIL elle même est extrêmement précise sur ce point : https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
      Pour un exemple et concernant Google, la position officielle du G29 qui réunit l'ensemble des CNIL des pays membres de l'UE est claire sur la conformité de l’export lors de l’utilisation de services professionnels : https://cloud.google.com/files/2016-12-30_Common_Opinion_for_G-Suite.pdf

    • La CNIL peut elle exiger d’appliquer des règles plus exigeantes que celle imposées par l’application stricte des textes en vigueur ? C’est une question importante qui vaut sans doute le coup d’être posée.

     

     

     


    • fjarraud, le 24/05/2017 à 13:27
      bonjour
      Le problème n'est pas que juridique. La question posée est bcp plus vaste. Mais sur le terrain juridique, la répon se de la Cnil est très claire et désavoue nettement la DNE. Le dernier mot de toutes façons appartiendra à la Direction des affaires juridiques du ministère. C'est elle qui est maintenant en 1ère ligne.

      Peut etre aurait il été utile de préciser vos liens avec une des 5 entreprises du Gafam.

      Cordialement
      • jlschaff, le 24/05/2017 à 15:30
        Je n'ai pas de lien avec un éditeur particulier mais comme tout "spécialiste" de ces questions qui veut comprendre les différents écosystèmes, je me forme progressivement aux uns et aux autres. En ce moment c'est effet plutôt un qui m'occupe (écosystème Google : androïd, chrome Os). Mais après certains et avant d'autres. Je travaille ces questions depuis 20 ans alors forcément...

        On peut aussi parler des choses sans avoir passé du temps à s'y former, ou à avoir accompagné des équipes à les mettre en oeuvre...Chacun sa méthode.

        • fjarraud, le 24/05/2017 à 15:28
          "En ce moment c'est effet plutôt un qui m'occupe."
          Décryptons : un des Gafam est votre client.
          C'est quand même pas anodin par rapport à vos interventions sur ce sujet.

           
          • maikodk, le 16/09/2017 à 17:43
            C'est marrant d'accabler jlschaff quand on sait que le site du cafepedagogique.net est tenu 
            techniquement par :
            Admin Name: Hervé BORREDON
Admin Organization: ITOP Services
            qui est éditeur d'ENT #onvaarreterdesegaver

          • jlschaff, le 24/05/2017 à 15:50
            Non François. C'est faux. Je n'ai aucun contrat avec aucun des services dont on parle. Mais je ne dis pas non : il faut manger. Ma comptabilité t'est ouverte en transparence. Quand tu veux.

            Et ce n'est pas bien d'accuser sans preuve...

             Ca pourrait faire du tort...

            Maintenant quand tu veux on discute du fond.

    • jackd, le 24/05/2017 à 13:12
      Plus c'est long, plus c'est flou. Quand c'est flou, il y a un loup.
      • jlschaff, le 24/05/2017 à 15:41
        1 la loi I&L précise ce qu’est une donnée sensible. Une donnée scolaire n’est pas une donnée sensible au sens de la loi. Elle est donc protégée par le droit commun et ne fait l’objet d’aucune mesure extra-ordinaire.
        2- la loi prévoit et encadre l’export de données hors d’Europe et des pays de confiance. Si ce cadre est respecté il n’y a aucune raison juridique d’en empêcher le transfert.
        Donc la CNIL exprime un avis qui ne semble pas fondé juridiquement.
        et en France ce qui n’est pas interdit est autorisé…

        est ce assez court ?
      • jlschaff, le 24/05/2017 à 15:25
        En effet, un commentaire de 10 mots par un contributeur anonyme est clairement un exposé plus solide.
Vous devez être authentifié pour publier un commentaire.

Partenaires

Nos annonces
Qui sommes-nous ?   Nous contacter   Charte   Soutenir le Café   S’abonner   Afficher le flux RSS
Copyright © 2022 Tous Droits Réservés