Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)
Archives de la liste
Re: [EDUC] [Aful] Re: De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux
Chronologique Discussions
- From: Stéfane Fermigier <sf AT fermigier.com>
- To: Nicolas Pettiaux <nicolas AT pettiaux.be>
- Cc: Bastien <bzg AT bzg.fr>, educ AT april.org, Frédéric CUIF <fredux86 AT gmail.com>, Aful discussion <discussion AT aful.org>, "educ AT aful.org" <educ AT aful.org>, linux-bruxelles <linux-bruxelles AT lists.bxlug.be>, Benjamin Jean <mjeanb AT eml.cc>, Jacques Folon <jacques AT gdprfolder.eu>, François PELLEGRINI <francois.pellegrini AT labri.fr>, François Elie <francois AT elie.org>, Erick Mascart <erick AT educode.be>, Benjamin Henrion <bhenrion AT educode.be>
- Subject: Re: [EDUC] [Aful] Re: De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux
- Date: Fri, 22 Jan 2021 14:45:15 +0100
Microsoft Teams ou rien
Jan 21, 2021 at 12:59 AM - Guest post, Lukas Wagner - in Privacy - 59 additions.
Lorsque je regarde le dernier endroit de l'historique des activités de mon assistant vocal, je vois "Hé Google, quel temps va-t-il faire". Oui, j'avais un assistant vocal qui envoyait mes commandes vocales dans le monde entier, quelque part sur un serveur que je ne connaissais pas. Un jour, j'ai dit à un ami : "Je veux que Google ait tous mes contacts pour qu'ils puissent m'aider encore mieux". J'ai aimé les services que j'évite maintenant pour le monde entier. Lorsque l'entreprise m'a demandé si je voulais fournir des données pour "l'amélioration du produit", j'ai accepté sans réfléchir - cela semblait être dans un but caritatif, après tout. Combien de comptes ai-je eus avec des vendeurs qui m'ont offert des services apparemment gratuits ? Je ne m'en souviens pas. Mais j'ai découvert au fil du temps qu'ils coûtent beaucoup plus que de l'argent.
Le cours de mes activités chez Google se termine en octobre 2018, date à laquelle j'ai compris que la numérisation ne fonctionne pas à long terme sans certains cadres. Cela s'explique probablement par le fait que je programme depuis de nombreuses années et que je m'intéresse de plus en plus à l'arrière-plan du monde numérique impénétrable. Je me suis distancé des demandes des entreprises qui ne pouvaient pas m'expliquer de manière transparente quelles données elles utilisaient et comment. Je ne voulais plus payer dans la monnaie des données.
Cependant, si je peux décider par moi-même de ce que je veux utiliser dans ma vie privée, il y a eu un long chemin à parcourir pour arriver à la même chose à l'école.
Traitement des données contre ma volonté
Mon école traite diverses données. Cela commence par le compte du réseau central de l'école. Avec celui-ci, on se connecte aux services propres de l'école ainsi qu'aux services en ligne. En plus de services tels que le système de gestion de l'apprentissage Moodle, qui est hébergé sur le serveur de l'école sur le site, le nom et la date de naissance sont également transmis à Microsoft. Ces données peuvent ensuite être utilisées par l'entreprise américaine en les reliant aux données d'utilisation générées lors de l'utilisation de services tels que Microsoft Teams. Ensuite, selon la façon dont il est utilisé, il y a aussi des informations que les gens saisissent activement, par exemple un texte dans le cadre d'une leçon de politique.
Il n'y a aucun doute : pour être autorisé à traiter ce type de données, une base juridique est nécessaire dans l'Union européenne. De nombreuses écoles en Allemagne s'appuient sur le consentement des personnes concernées. Il faudrait l'obtenir auprès des parents ou, à partir de 16 ans, auprès des élèves eux-mêmes. Dans mon école, cependant, il n'y a jamais eu une telle chose. L'école a seulement obtenu légalement la publication des photos.
Si ce consentement peut légitimer le traitement des données qui restent sur le serveur de l'école, comme dans le cas du Moodle auto-hébergé, il est contesté si et dans quelle mesure le consentement constitue une base juridique suffisante pour l'utilisation des produits Microsoft dans les écoles. En 2019, par exemple, le commissaire à la protection des données de la Hesse a déclaré que Microsoft Office 365 ne pouvait pas être utilisé dans les écoles, même avec le consentement des intéressés. Dans de nombreuses écoles, cependant, c'est ainsi que cela se passe et je voulais moi aussi que nous soyons mieux informés et que nous ayons le choix.
Il existe sur le web de nombreux modèles de formulaires de consentement pour l'utilisation des produits Microsoft dans les écoles. Vous pensez peut-être qu'il serait facile de faire distribuer par l'école un simple formulaire de consentement dans lequel vous pouvez cocher les services que vous souhaitez utiliser et les données que vous souhaitez voir traitées. Ce n'était pas le cas.
Pendant des années, l'école a traité des données sans faire preuve de transparence à leur sujet. Au moment où je suis venu à l'école, je n'étais pas informé de cela. Il a fallu six mois avant que j'apprenne que des données étaient traitées pour les services dans le nuage, et j'ai même fini par quitter le bâtiment de l'école. Je m'en suis rendu compte quand on m'a demandé de m'inscrire à Moodle. J'ai voulu agir quand on m'a demandé en plus de m'inscrire chez Microsoft.
Un début difficile
C'est à la fin du mois d'avril de l'année 2020 de Corona qu'un cours de mathématiques a été programmé en ligne. Au début, j'étais très favorable à cette idée, car après une longue période d'apprentissage indépendant avec des devoirs écrits, il allait enfin être possible de poser des questions oralement.
Mais c'est venu comme il fallait : Le logiciel Microsoft Teams a été choisi. Je ne voulais plus être un client de Microsoft et répandre mes données de manière incontrôlée. Mais pour l'instant, je n'avais pas d'autre choix que d'installer le logiciel, sinon je manquerais les cours.
J'ai donc commencé à écrire à mon professeur, qui est le responsable informatique conjointement responsable du fonctionnement du logiciel. Je lui ai fait part de mes préoccupations quant aux raisons de mon désaccord avec le choix du logiciel. Je lui ai également demandé comment l'utilisation du logiciel pouvait être légalement légitimée.
La réponse peut se résumer ainsi : Le nom et la date de naissance sont envoyés à Microsoft. Il n'a pas eu besoin de me dire où se trouvaient les serveurs ; selon lui, aucune donnée personnelle n'était impliquée. Outre le fait que ces données sont exactement personnelles, je n'ai pas eu à réfléchir longtemps au fait que l'utilisation du logiciel génère naturellement plus de données. Le fait même que des données aient été envoyées lorsque j'ai quitté la fenêtre "Teams" avec le pointeur de la souris réfute cette affirmation. Et que signifie, selon vous, l'occurrence cent fois plus grande du mot "télémétrie" dans le fichier journal généré pendant la leçon de mathématiques ?
L'idée de l'école était de simplement supprimer mon compte en conséquence. Ce n'était pas une option pour moi, car cela aurait signifié la perte de l'accès à Moodle et donc de tout enseignement en ligne, et c'est exactement ce que j'ai répondu. Mon compte a ensuite été restauré, avec tous les cours toujours là, donc le compte n'a jamais été supprimé. Le professeur en question m'a également dit qu'il voulait parler à mes parents. Cependant, cette conversation n'a jamais eu lieu.
Aucune volonté de coopérer
J'ai ensuite pris contact avec le responsable de la protection des données de l'école. Je lui ai demandé de me parler, d'autant plus qu'il y avait d'autres questions (comme Google Analytics sur le site web) qui n'étaient pas pertinentes pour cette affaire. Je m'attendais à recevoir une proposition en réponse quant à la date et aux modalités de la réunion.
Faux - j'ai reçu la réponse suivante : "Nous n'avons pas besoin de discuter et nous ne discuterons pas d'autres sujets que vous souhaitez aborder avec vous - il y a également un accord à ce sujet de la part de la direction de l'école". En outre, je pourrais demander une auto-divulgation. À mon avis, il n'était pas nécessaire de discuter de mes questions. Il était trop clair que le consentement était nécessaire. Je lui ai donc répondu en lui demandant de répondre à mes questions par écrit. Mes courriels ont tout simplement été ignorés à partir de ce moment.
Après les vacances, je suis allé voir le délégué à la protection des données en personne à ce sujet. Il ne voulait pas me parler, il m'a juste dit d'aller à l'administration de l'école. Cela m'a amené à lancer une "action DDoS" avec des amis. Nous avons réuni des élèves qui ont ensuite chacun envoyé une demande de données au délégué à la protection des données. L'objectif était de montrer à l'école qu'il y a plus de gens qui se soucient de la protection de leurs données.
Après seulement trois personnes, mon professeur d'informatique m'a alors expliqué que l'école avait probablement fait une erreur. Bien sûr, il y aurait maintenant un consentement, il avait simplement été oublié jusqu'à présent. Un jour plus tard, il m'a envoyé une première ébauche.
Un long chemin vers l'objectif
Cependant, près de quatre mois se sont écoulés avant que je ne contacte à nouveau le délégué à la protection des données par courrier électronique le 7 décembre. Je voulais savoir quel était le statut du formulaire de consentement. Je l'ai confronté à mon opinion selon laquelle je considérais son comportement comme une négligence et que je me tournerais vers l'autorité de contrôle si un changement n'était pas effectué dans les plus brefs délais. Cette fois-ci, j'ai reçu une réponse étonnamment rapide. Mon courrier électronique avait été noté, les choses avaient été lancées.
Puis, fin décembre, la lueur d'espoir - une version préliminaire du formulaire de consentement final qui sera distribuée en janvier. Et soudain, il est également possible d'utiliser les services séparément. Je le demandais depuis le début, mais l'école m'a toujours dit jusque-là que ce n'était pas techniquement possible.
Aujourd'hui, en janvier, j'ai eu des expériences à la fois positives et négatives. Bien que l'enseignement à distance n'ait pas encore permis de distribuer le formulaire de consentement, les enseignants, du moins dans mes classes, utilisent le BigBlueButton et une instance de Jitsi, qui a été récemment louée par l'école. Puis l'autre jour, on m'a demandé d'utiliser Microsoft Teams pour une conférence. J'ai écrit au professeur pour lui dire que je ne voulais pas faire cela, et j'ai appris par la même occasion que l'administration de l'école semblait toujours convaincue de la légalité du traitement des données. Après une discussion sur la question de savoir si le fait de refuser de participer à une vidéoconférence non conforme à la protection des données serait considéré comme un absentéisme, ils ont fini par préférer utiliser le BigBlueButton.
Des progrès sont donc réalisés, même si cela a été laborieux et qu'il reste encore beaucoup de chemin à parcourir. En fin de compte, je ne veux pas dire qu'au bout d'un an (peut-être), une base juridique pour le traitement des données sera finalement créée. Je m'intéresse également aux questions fondamentales. Imaginez que dans 20 ans, je me retrouve devant un algorithme non transparent qui me rejette pour un travail parce qu'il n'aime pas un texte que j'ai écrit en cours de politique,
Il faut comprendre pourquoi la protection des données dans les écoles est importante - et les commissaires d'école doivent y repenser. En outre, il ne devrait pas être possible pour une école de traiter des données sans autorisation pendant des années. Les meilleures lois sur la protection des données ne sont d'aucune utilité si elles ne sont pas catégoriquement respectées et il est aussi difficile d'agir contre une violation que dans mon cas.
Lukas Wagner fréquente la douzième année d'un lycée de Hesse.
Bonjour,
Je suis en contact avec son équipe. C'est vraiment facile à trouver : voir https://noyb.eu « my privacy is non of your business »
Avec des équipes d'étudiants universitaires, cette équipe explore des questions juridiques. J'ai soumis à un contact francophone membre de cette équipe les questions évoquées ici.
Par exemple « comment faire reconnaître par un juge rapidement que les OS et programmes propriétaires et les grandes plateformes du web ne respectent pas la vie privée et donc le rgpd. »
Bonne journée,
Nicolas
Le 21/01/21 à 09:11, Bastien a écrit :
Stéfane Fermigier <sf AT fermigier.com> writes:4) Il y a quelqu'un qui connaît bien le RGPD et qui a l'air motivé: Max Schrems. Ne vaut-il pas mieux passer par lui ? Ou a minima le contacter pour voir ce qu'on peut faire ensemble ?À titre personnel, je trouve que l'idée ci-dessus est excellente. Je n'ai pas de contact direct avec Schrems mais je vais chercher, je vous dis si je trouve.--
Nicolas Pettiaux,phd - gsm +32.496.24.55.01 - nicolas AT pettiaux.be - - nicolas.pettiaux.be
Accompagner l'école face aux défis du numérique et de la vie privée educode.be & wiki.educode.be
Founder & CEO, Abilian - Enterprise Social Software - http://www.abilian.com/
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, (suite)
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, william, 17/01/2021
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Frédéric CUIF, 18/01/2021
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Nicolas Pettiaux, 18/01/2021
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Frédéric CUIF, 20/01/2021
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Nicolas Pettiaux, 20/01/2021
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Stéfane Fermigier, 20/01/2021
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Stéfane Fermigier, 20/01/2021
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Nicolas Pettiaux, 20/01/2021
- Re: [EDUC] [Aful] Re: De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Bastien, 21/01/2021
- Re: [EDUC] [Aful] Re: De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Nicolas Pettiaux, 21/01/2021
- Re: [EDUC] [Aful] Re: De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Stéfane Fermigier, 22/01/2021
- Re: [EDUC] [Aful] Re: De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Pierre Opter, 22/01/2021
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Nicolas Pettiaux, 18/01/2021
- [EDUC] Ecosystème Libre Re: De la légalité des systèmes d'exploitation(...), Frédéric Adamczak, 20/01/2021
- Message indisponible
- Re: [EDUC] De la légalité des systèmes d'exploitation courant et de l'autorisation de vendre des machines avec ceux-ci et d'autres logiciels potentiellement illégaux, Nicolas Pettiaux, 26/01/2021
- Re: [EDUC] remarques sur les sites des vendeurs de matos : fnac, mediamarkt, carrefour, darty ..., Nicolas Pettiaux, 20/01/2021
Archives gérées par MHonArc 2.6.19+.