Re: [EDUC] Visio / lycées

[FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>]

Bonjour

Quelques compléments d'information et précisions dans le corps de ton message
 
Bonne journée

o------------------------------------------------------------o
  François BOCQUET 
  Chef de projet Veille et Prospective
  Bureau du soutien à l’innovation et à la recherche
  Sous-direction de la transformation numérique
  Direction du Numérique pour l’Éducation
  au Ministère de l’Éducation Nationale
  Mèl. : francois.bocquet AT education.gouv.fr 

Le 01/04/2021 15:32, « educ-request AT april.org au nom de Stéphane Moulinet » 
<educ-request AT april.org au nom de smoulinet AT april.org> a écrit :

    J'ai partagé le texte ci-dessous auprès de mes collègues. J'espère ne
    pas avoir écrit de conneries ;-)
    
    ------------>------------------------->------------------------
    Pour utiliser les services d’une plate-forme, il ne suffit pas de
    s’assurer que cette plate-forme s’auto-proclame conforme au RGPD. 
-> oui tu as tout à fait raison

Un  contrat de sous-traitance doit être établi entre la plate-forme et le
    responsable des traitements. C’est notamment l’application de l’article
    28 du RGPD. 
-> oui c'est le cas pour tous les services qui ne sont pas administrés par le 
responsable de traitement ou des personnes sous sa responsabilité

Certains services officiellement proposés par le ministère
   échappent à ces obligations. 
-> ca n'est pas tout à fait exact. Un service qui traite des données à 
caractère personnel a toujours un responsable de traitement. C'est celui qui 
défini les finalités et les modalités du traitement. Le ministère peut gérer 
lui même les services qu'il utilise ou peut faire appel à des sous traitants 
auquel cas il signe un accord de sous traitance (ou contrat ou avenant) pour 
être conforme à l'article 28 du RGPD. Une académie peut le faire également. 
Si un service est proposé par le Ministère ou par une académie alors il n'est 
pas nécessaire que le chef d'etablissement contracte avec le sous-traitant à 
son tour. C'est le cas pour les services BBB et pour les apps.education.fr 
qui sont tous sous la responsabilité du Ministère ce qui les rend utilisables 
dans tous les établissements scolaires sans plus de démarche.

Vous pourrez par exemple librement
    utiliser le service (propulsé par le logiciel libre Big Blue Button) :
    https://visio-lycees.education.fr/
    
    De plus, dans l’arrêt « Schrems II » rendu en juillet dernier, la Cour
    de justice de l’UE a invalidé le mécanisme d’auto-certification
    « Privacy Shield » qui permettait le transfert de données de l’Union
    européenne vers les États-Unis. 
-> ca n'est pas complètement exact car il existe d'autres mesures légales qui 
permettent l'export de données 
Clauses de contrat type, BCR, autorisations de la CNIL et arrangement 
administratif (comme c'est le cas entre l'administration américaine et 
l'administration française) 
Pour en savoir plus https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
Le Safe Harbor puis le Privacy Shield invalidé à propos de Facebook étaient 
plutôt destinés aux services B2C (avec un contrat entre l'éditeur et 
l'utilisateur final) alors que les services B2B (contrat entre l'éditeur sous 
traitant et l'organisation qui contracte pour le compte de ses propres 
utilisateurs) utilisaient depuis très longtemps l'application des clauses de 
contrat type pour tous les contrats professionnels 
https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
 
Ces clauses de contrat ne sont pas invalidées par l'arrêt Schrem 2 et sont en 
train d'être révisées après l'avis du CEPD et du contrôleur des données le 15 
janvier dernier.
https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_fr
cette nouvelle version rendra les exports soumis à ces CCT pleinement 
conformes par rapport aux demandes de la cour de Justice Européenne et cela 
évitera toute les interrogations.

Ce mécanisme de « Privacy Shield »
    n’ayant pas trouvé encore de successeur, des plate-formes comme celles
    de Microsoft Teams ou Zoom ne peuvent a priori pas respecter le droit
    européen (quand bien même un contrat de sous-traitance serait négocié).
-> ca n'est pas tout à fait exact, cela dépend de la nature du contrat passé 
(contrat B2C ou contrat B2B).
Les gros opérateurs internationaux de services professionnels respectent les 
exigences de conformité RGPD pour les services SaaS, IaaS ou PaaS ce qui leur 
permet d'être largement utilisé dans l'enseignement supérieur et la recherche 
par exemple 
ou encore d'être certifiés pour héberger des données de santé 
(https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies)
ou d'être présent dans les marchés publics de l'UGAP 
(https://www.ugap.fr/services-dinformatique-en-nuage-cloud-externe_4544324.html)
    
    Il existe par ailleurs, un service dédié aux agents (que la direction
    de notre établissement pourrait donc utiliser) : 
    https://visio-agents.education.fr/
    
A disposition pour répondre aux questions si nécessaire

Bien cordialement.