Conformité RGPD et éducation Expertise et conseils pour des usages

, par Serge Raynaud


Un relais de Fabrice Lemoine, adjoint du Dan de l’académie de Versailles et un dossier réalisé par l’équipe d’experts « RGPD » de l’académie de Versailles.

Présentation

Le règlement général sur la protection des données -RGPD- encadre le traitement des données à caractère personnel sur le territoire de l’Union européenne.

Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données à caractère personnel pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne ;
- ou que son activité cible directement des résidents européens.

Autorisé ou pas ?

Dans l’académie de Versailles une équipe pluridisciplinaire a développé une expertise quant au RGPD, ses encadrements, applications et les pratiques qui doivent en découler.

  • Attention : il s’agit bien d’applications que des enseignants souhaitent faire utiliser à leurs élèves. Ce qui ne vous empêche pas, si vous acceptez les conditions et le traitement de vos informations et données à caractère personnel de les utiliser pour présenter des contenus à des élèves. Mais vous ne pouvez pas demander à des apprenants d’utiliser ces outils.

Genial’ly

  • Questions : Autorisé ou non ? Si non pourquoi ? Et quelle application conseillez-vous ?
  • Contexte : un professeur propose une présentation Genial’ly à ses élèves.
  • Réponse :
    Vous demandez d’expliciter pourquoi un professeur ne peut pas utiliser l’application Genial’ly avec les élèves et le cas échéant quelle application peut être conseillée.

L’application Genial’ly , de la société espagnole Genial’ly, ne peut pas être utilisée par l’enseignant avec les élèves, notamment pour les raisons suivantes :
- L’application Genial’ly est un service collaboratif fourni par la société espagnole Genial’ly qui utilise des cookies de la société américaine Intercom. Lors de l’utilisation de l’application Genial’ly, la société Intercom collecte des données à caractère personnel. Pour l’utilisateur, il n’y a pas de garantie que ses données ne soient pas transférées aux États-Unis par la société Intercom et il n’y a pas d’encadrement juridique permettant de sécuriser le transfert de ses données à caractère personnel aux États-Unis depuis le 20 juillet 2020, date d’invalidation du Privacy shield.
- En ce qui concerne les élèves de moins de 16 ans, le traitement ne peut pas être opéré sur la base d’une mission de service public, mais uniquement sur la base du consentement. Celui-ci doit être libre, ce qui n’est pas le cas quand il y a prescription de l’enseignant pour travailler sur un contenu de « classe ».

Il semble qu’il n’existe pas d’applications similaires à conseiller.

Padlet

  • Questions : Autorisé ou non ? si non pourquoi ? et quelle application conseillez-vous ?
  • Contexte : Un professeur propose un Padlet à ses élèves.
  • Réponse :
    Vous demandez d’expliciter pourquoi il n’est pas autorisé d’utiliser l’application Padlet pour créer un mur virtuel collaboratif, sur lequel les élèves peuvent ajouter très simplement des contenus ; puis quelle application peut être conseillée.

L’application Padlet de la société américaine Wallwisher, Inc. DBA Padlet, ne peut pas être utilisée pour créer un mur virtuel collaboratif, notamment pour les raisons suivantes :
- L’application Padlet est un service collaboratif fourni par la société américaine Wallwisher, Inc. DBA Padlet. Pour l’utilisation de ce service, la société Wallwisher, Inc. DBA Padlet collecte des données à caractère personnel. Pour l’utilisateur, il n’y a pas de garantie que ses données ne soient pas transférées aux États-Unis et il n’y a pas d’encadrement juridique permettant de sécuriser le transfert de ses données à caractère personnel aux États-Unis depuis le 20 juillet 2020, date d’invalidation du Privacy shield.
- Le traitement ne peut pas être opéré sur la base d’une mission de service public, mais uniquement sur la base du consentement. Celui-ci doit être libre, ce qui n’est pas le cas quand il y a prescription de l’enseignant pour s’inscrire sur un contenu de « classe ».

Il peut être conseillé un service numérique alternatif « Digipad ». Ce service collecte des données à caractère personnel minimales (identifiant de l’utilisateur et identification du socket de communication), conserve ces données de manière limitée (7 jours), ne transfère pas ces données en dehors de l’Union européenne.

Teams

  • Questions : Autorisé ou non ? si non pourquoi ? et quelle application conseillez-vous ?
  • Contexte : Utilisation de Teams entre professeurs, direction, élèves.
  • Réponses :
    Vous demandez d’expliciter pourquoi il n’est pas autorisé d’utiliser l’application Teams pour communiquer entre les professeurs, entre les personnels de direction, avec les élèves ; puis quelle application peut être conseillée.

En ce qui concerne les outils de communication avec les membres de la communauté éducative (entre professeurs, entre personnels de direction, avec les élèves), nous conseillons aux chefs d’établissement d’utiliser les outils mis en œuvre par la collectivité territoriale de rattachement (le conseil départemental ou le conseil régional) en lien avec l’académie, ainsi que par le ministère. Ces outils couvrent tous les besoins de communication entre professeurs, entre personnels de direction, avec les élèves et de manière générale entre les membres de la communauté éducative. En fonction du contexte d’utilisation et de la situation de l’établissement, le chef d’établissement peut trouver les outils adaptés en consultant le site web de sa Dane et de son académie, qui explique les outils disponibles pour la continuité pédagogique en fonction de l’espace numérique de travail (ENT) de l’établissement et de la collectivité territoriale de rattachement.

De manière plus spécifique, l’application Teams est un service collaboratif fourni par la société américaine Microsoft. Pour l’utilisation de ce service, la société Microsoft collecte des données à caractère personnel. Pour l’utilisateur, il n’y a pas de garantie que ses données ne soient pas transférées aux États-Unis et il n’y a pas d’encadrement juridique permettant de sécuriser le transfert de ses données à caractère personnel aux États-Unis depuis le 20 juillet 2020, date d’invalidation du Privacy shield. C’est parce qu’il n’y a plus d’encadrement légal de transfert de données à caractère personnel vers les États-Unis que la CNIL recommande de ne pas utiliser les applications américaines telles que Teams dans cet article publié le 27 mai 2021.

En résumé, il n’est pas autorisé d’utiliser l’application américaine Teams pour communiquer entre les professeurs, entre les personnels de direction, avec les élèves, parce qu’il n’y a pas d’encadrement juridique permettant de sécuriser le transfert des données à caractère personnel aux États-Unis et parce qu’il existe des services numériques alternatifs fournis par le ministère ainsi que par la collectivité territoriale en lien avec l’académie.

Zoom

  • Questions : Autorisé ou non ? si non pourquoi ? et quelle application conseillez-vous ?
  • Contextes :

    - un professeur propose une réunion zoom à ses élèves ;
    - un chef d’établissement, un inspecteur propose une réunion zoom à des professeurs.

« Je leur ai vivement déconseillé cette application. J’ai proposé Webconférence, Visio agent, Via, Ma classe du CNED. »

  • Réponses :
    Vous demandez d’expliciter pourquoi il n’est pas autorisé d’utiliser l’application Zoom pour effectuer une réunion avec les professeurs et avec les élèves ; puis quelle application peut être conseillée.

En ce qui concerne les outils de communication avec les membres de la communauté éducative (avec les professeurs, avec les élèves), nous conseillons aux chefs d’établissement et aux inspecteurs d’utiliser les outils mis en œuvre par la collectivité territoriale de rattachement (le conseil départemental ou le conseil régional) en lien avec l’académie ainsi que par le ministère. Ces outils couvrent tous les besoins de communication avec les professeurs et avec les élèves et de manière générale entre les membres de la communauté éducative. En fonction du contexte d’utilisation et de la situation de l’établissement, le chef d’établissement et l’inspecteur peuvent trouver les outils adaptés en consultant les sites web de leur Dane et leur académie, qui expliquent les outils disponibles pour la continuité pédagogique en fonction de l’espace numérique de travail (ENT) de l’établissement et de la collectivité territoriale de rattachement.

De manière plus spécifique, l’application Zoom est un service collaboratif fourni par la société américaine Zoom Vidéo Communications. Pour l’utilisation de ce service, la société Zoom Vidéo Communications collecte des données à caractère personnel. Pour l’utilisateur, il n’y a pas de garantie que ses données ne soient pas transférées aux États-Unis et il n’y a pas d’encadrement juridique permettant de sécuriser le transfert de ses données à caractère personnel aux États-Unis depuis le 20 juillet 2020, date d’invalidation du Privacy shield. C’est parce qu’il n’y a plus d’encadrement légal de transfert de données à caractère personnel vers les États-Unis que la CNIL recommande de ne pas utiliser les applications américaines telles que Zoom dans cet article publié le 27 mai 2021.

En mai 2020, l’académie de Versailles a écrit un focus sur l’application Zoom expliquant pourquoi cette application est à proscrire. Il était indiqué notamment que Zoom collecte un grand nombre de données à caractère personnel (« nom, adresse mail, numéro de téléphone, adresse postale, adresses IP », « genre d’appareil que vous utilisez », « version du système d’exploitation et l’identifiant de l’appareil », « l’endroit où vous vous trouvez »...) ; que le document de politique de confidentialité accessible aux utilisateurs explique que la société zoom possède ses propres services de marketing ; que le système mis en place par zoom intègre un indicateur d’attention ce qui constitue une violation de la vie privée au regard de la loi.

En résumé, il n’est pas autorisé d’utiliser l’application Zoom pour effectuer une réunion avec les professeurs et avec les élèves. Il existe des services numériques alternatifs fournis par le ministère ainsi que par la collectivité territoriale en lien avec l’académie.

Whatsapp

  • Questions : Autorisé ou non ? si non pourquoi ? et quelle application conseillez-vous ?
  • Contexte : Des professeurs et des chefs d’établissement dialoguent avec cette application.

« Je leur ai vivement déconseillé cette application. Je leur ai conseillé Tchap. »

  • Réponses :
    Vous demandez d’expliciter pourquoi l’application Whatsapp n’est pas autorisée, puis quelle application peut être conseillée.

En mai 2020, l’académie a écrit un focus sur l’application Whatsapp expliquant pourquoi cette application est à proscrire. Il était indiqué notamment que l’utilisateur cède toutes ses données ; que même après la clôture du compte, Whatsapp pourra continuer à utiliser toutes les données de l’utilisateur ; qu’on ne peut obliger un utilisateur à accepter les conditions de services qu’il n’utilise pas directement (à propos de l’utilisation des données par les autres entités du groupe Facebook, récemment renommé Meta).

Depuis le 16 juillet 2020, date d’annulation du Privacy Shield par l’arrêt "Schrems II" de la Cour de justice de l’Union européenne (CJUE), il n’y a plus de cadre légal pour transférer des données à caractère personnel de l’Union européenne vers les États-Unis. Il n’est donc pas envisageable d’utiliser l’application Whatsapp, parce qu’elle transfère les données à caractère personnel des utilisateurs aux États-Unis.

En septembre 2021, la CNIL irlandaise, qui est l’autorité chef de file pour toutes les CNIL des États membres de l’Union européenne, a infligé une amende de 225 millions d’euros à Whatsapp pour avoir enfreint la réglementation européenne sur la protection des données à caractère personnel. Parmi les motifs retenus, Whatsapp ne traite pas les données à caractère personnel de ses utilisateurs de manière licite, loyale et transparente et Whatsapp n’a pas fourni d’informations sur la manière avec laquelle les données sont collectées, stockées et transférées à des tiers.

En résumé, il n’est pas autorisé d’utiliser l’application Whatsapp. Pour être en conformité avec le RGPD, il est possible d’utiliser Tchap [1], la messagerie instantanée de l’État.

  • Il est à noter que si le chef d’établissement décide d’utiliser l’application Tchap pour le dialogue avec les professeurs, il doit au préalable informer les personnes concernées puis recueillir leur consentement.

Liens

- Académie de Versailles
- Dane - Délégation académique au numérique éducatif de l’académie de Versailles

Des outils proposés par le ministère de l’Éducation nationale, de la Jeunesse et des Sports


L’ensemble des services « apps.education.fr » est disponible pour tous les agents du ministère. Ce site groupe de nombreux outils répondant au RGPD mis à disposition des fonctionnaires du système éducatif français :

Notes

[1La messagerie instantanée Tchap a été créée pour les agents publics comme l’alternative française et sécurisée aux messageries instantanées grand public.
Tchap s’adresse à tous les agents publics, peu importe leur contrat de travail.
Pour utiliser Tchap, il faut un e-mail professionnel d’une administration reconnue comme :
- L’ensemble de l’administration et de la fonction publique (d’État, hospitalière et territoriale) ;
- L’ensemble des établissements publics comme les Établissements Publics Administratifs (EPA) et Établissements Publics Industriels et Commerciaux (EPIC) ;
- Les Autorités Administratives Indépendantes (AAI) ;
- Les universités ;
- Les collectivités ;
- Autres personnes morales de droit public comme les Groupements d’Intérêt Public (GIP).