Accéder au contenu.
Menu Sympa

educ - Re: [EDUC] PRONOTE et consors : Comment vous pouvez arrêter la privatisation des données personnelles et intimes des élèves par leurs Collèges et Lycées

Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)

Archives de la liste

Re: [EDUC] PRONOTE et consors : Comment vous pouvez arrêter la privatisation des données personnelles et intimes des élèves par leurs Collèges et Lycées


Chronologique Discussions 
    < Chronologique >      < Discussions >
  • From: Samuel Chopin <samuelchopin AT andatiep.net>
  • To: educ AT april.org
  • Subject: Re: [EDUC] PRONOTE et consors : Comment vous pouvez arrêter la privatisation des données personnelles et intimes des élèves par leurs Collèges et Lycées
  • Date: Fri, 21 Dec 2018 20:06:46 +0100

Bonjour,

Une réponse à la contribution d'Imad :

J'ai des notions de base mais je ne suis pas expert en sécurité informatique.

Tout ce que je retiens, c'est que c'est une longue chaîne de bonnes pratiques et de bons outils (par ex: de chiffrage). Et partant de là, l'erreur étant humaine, service privé ou service public, je suppose qu'il pourra toujours y avoir une faille.

Je ne doute pas une seconde que des hackers pétris de bonnes intentions puissent prouver pour l'exemple que les serveurs d'Index-Education ne sont pas sécurisés comme il faut.

Je ne doute pas une deuxième seconde que d'autres hackers dévoués à leur cause personnelle et rémunérés ou non par des intérêts privés ou des services étrangers puissent prouver que des services publics français, dont l'éducation nationale, ne sont pas sécurisés comme il faut.

Chacun ira clamer qu'il ne fallait pas privatiser le traitement des données ou qu'il fallait le faire.

Personnellement j'accepte que le service public ait des failles de sécurités, les assument et les réparent.

Je m'en fout de savoir qui sécurise le mieux entre le privé et le public à un moment X dans un endroit Y.

Je veux juste que la responsabilité et la confiance accordée soit au service public et reste dans le domaine public. Parce que notre société repose sur le contrat social et civique entre des citoyens et des collectivités publiques.

Et c'est pourquoi, en ce qui me concerne, je trouve aussi important de débattre et de savoir si un intervenant privé sous-traitant est susceptible ou pas de "subir" le RGPD sans les exceptions propres aux bases de données hébergés et gérées dans les établissements publics.

Il doit bien y avoir une Loi qui empêche un service public de sous-traiter à une entreprise privé les données de l'état civil, de la sécu, des casiers judiciaires, des enquêtes de police, des petits boutons rouges qui font partir des missiles de l'armée et des données intimes des petits nenfants à l'école ?
Non :-( ?
C'est déjà trop tard 8-( ???!!!!


Bonne soirée,

S.C.



Le 21/12/2018 à 15:20, Imad Soltani a écrit :
Comme je l'ai explique precedemment , rgpd est un outil , mais il n'est ni le debat ni le sujet .

mais clairement , https://censys.io/ipv4?q=pronote , il vaut mieux passer par un exemple concret , mettre a disposition du public le contenu complet de plusieurs etablissements , et peut etre que le declic sera plus simple a obtenir .

le debat n'est pas de savoir si un intervenant prive est susceptible de "subir" rgpd ou pas . mais est ce que les donnees concernant un enfant sont bien en conformite avec ce qu'on peut attendre au niveau de la securite des systemes d'informations du prestataire et dans sa capacite a "stocker" ces donnees dans les memes conditions

Bonne journee

IS

On 21/12/2018 14:37, Laurent COOPER wrote:
Déjà répondu à un autre post :

Article 40 de la loi (droit à l'oubli), alinéa II

------------------------------

Les deux premiers alinéas du présent II ne s'appliquent pas lorsque le traitement de données à caractère personnel est nécessaire :

....

2° Pour respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

-----------------------------

Où relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

C'est le cas pour Pronote.

Et index Education a fait un gros effort de mise en conformité au RGPD bien avant la sorti de la loi française, en se basant sur la directive européenne au départ.

C'est une entreprise qui n'a aucun intérêt à faire fuir des données ou à en revendre. Elle a un fonds de commerce qui ne concerne pas ce domaine, et elle aurait trop à perdre à jouer à ce petit jeu là.

La principale du collège n'a pas utilisé cet argument par ce que comme la plupart des chefs d'établissement, elle connaît ses obligations à l'égard du RGPD mais en dehors de cela, elle ne connaît pas la loi en détail.

Ton cas devant un juge tient au mieux 5 minutes. Le plus gros risque est l'amende pour abus d'ester en justice (ou amende pour procédure abusive) que le juge peut faire monter jusqu'à 3000 euros (code de procédure civile, article 31-1). Les juges détestent qu'on leur fasse perdre leur temps.

Maintenant, c'est ton temps et ton argent.

Cordialement

Laurent


Le 21/12/2018 à 14:22, Samuel Chopin a écrit :
Je m'attendai à ce contre-argument sur le fait que les services publics peuvent opposer un refus de modifier ou de supprimer nos données personnelles /"lorsque cela les empêchent de réaliser le service public"/.
Evidemment que c'est heureux, si on pense à un gugusse qui demande de manière absurde d'effacer ses données du service de l'Etat civil et des cartes d'identité à sa mairie.

En fait, je pensais que la principale du collège allait me rétorquer cet argument pour débouter ma demande. Mais elle ne l'a pas fait. Peut être que le délégué à la protection des données de l'académie de Grenoble le fera.

Quoiqu'il en soit, ce contre-argument n'est pas valable, selon ce que j'ai lu et compris (mais là encore, attendons les avis et les décisions des juristes et des juges qui interprêteront la chose pour l'appliquer ou pas) :



--
Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ

Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
http://listes.april.org/wws/info/educ 



--
Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ

Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
http://listes.april.org/wws/info/educ





-- 
« Lorsque vous dites 'le droit à la vie privée ne me préoccupe pas parce que je n'ai rien à cacher',
  cela ne fait aucune différence avec le fait de dire 'Je ne me soucis pas du droit à la liberté d'_expression_
  parce que je n'ai rien à dire', ou 'de la liberté de la presse parce que je n'ai rien à écrire'. »
  - Edward Snowden.

Archives gérées par MHonArc 2.6.19+.

Haut de le page