Re: [EDUC] Visio / lycées

[Marc Hépiègne <marc.hepiegne AT oisux.org>]

Merci M. Bocquet d'intervenir sur une liste libriste.
Est-ce qu'il serait possible d'avoir une version vulgarisée pour le
commun des mortels ? Car une réponse trop technique peut être
interprétée comme de l’enfumage, surtout à une période où le discours
politique est encore moins qu'avant reçu avec confiance.


Le 07/04/2021 à 17:44, FRANCOIS BOCQUET a écrit :
> Bonjour
> 
> Quelques compléments d'information et précisions dans le corps de ton 
> message
>  
> Bonne journée
> 
> o------------------------------------------------------------o
>   François BOCQUET 
>   Chef de projet Veille et Prospective
>   Bureau du soutien à l’innovation et à la recherche
>   Sous-direction de la transformation numérique
>   Direction du Numérique pour l’Éducation
>   au Ministère de l’Éducation Nationale
>   Mèl. : francois.bocquet AT education.gouv.fr 
> 
> Le 01/04/2021 15:32, « educ-request AT april.org au nom de Stéphane Moulinet 
> » <educ-request AT april.org au nom de smoulinet AT april.org> a écrit :
> 
>     J'ai partagé le texte ci-dessous auprès de mes collègues. J'espère ne
>     pas avoir écrit de conneries ;-)
>     
>     ------------>------------------------->------------------------
>     Pour utiliser les services d’une plate-forme, il ne suffit pas de
>     s’assurer que cette plate-forme s’auto-proclame conforme au RGPD. 
> -> oui tu as tout à fait raison
> 
> Un  contrat de sous-traitance doit être établi entre la plate-forme et le
>     responsable des traitements. C’est notamment l’application de l’article
>     28 du RGPD. 
> -> oui c'est le cas pour tous les services qui ne sont pas administrés par 
> le responsable de traitement ou des personnes sous sa responsabilité
> 
> Certains services officiellement proposés par le ministère
>    échappent à ces obligations. 
> -> ca n'est pas tout à fait exact. Un service qui traite des données à 
> caractère personnel a toujours un responsable de traitement. C'est celui 
> qui défini les finalités et les modalités du traitement. Le ministère peut 
> gérer lui même les services qu'il utilise ou peut faire appel à des sous 
> traitants auquel cas il signe un accord de sous traitance (ou contrat ou 
> avenant) pour être conforme à l'article 28 du RGPD. Une académie peut le 
> faire également. Si un service est proposé par le Ministère ou par une 
> académie alors il n'est pas nécessaire que le chef d'etablissement 
> contracte avec le sous-traitant à son tour. C'est le cas pour les services 
> BBB et pour les apps.education.fr qui sont tous sous la responsabilité du 
> Ministère ce qui les rend utilisables dans tous les établissements 
> scolaires sans plus de démarche.
> 
> Vous pourrez par exemple librement
>     utiliser le service (propulsé par le logiciel libre Big Blue Button) :
>     https://visio-lycees.education.fr/
>     
>     De plus, dans l’arrêt « Schrems II » rendu en juillet dernier, la Cour
>     de justice de l’UE a invalidé le mécanisme d’auto-certification
>     « Privacy Shield » qui permettait le transfert de données de l’Union
>     européenne vers les États-Unis. 
> -> ca n'est pas complètement exact car il existe d'autres mesures légales 
> qui permettent l'export de données 
> Clauses de contrat type, BCR, autorisations de la CNIL et arrangement 
> administratif (comme c'est le cas entre l'administration américaine et 
> l'administration française) 
> Pour en savoir plus 
> https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
> Le Safe Harbor puis le Privacy Shield invalidé à propos de Facebook étaient 
> plutôt destinés aux services B2C (avec un contrat entre l'éditeur et 
> l'utilisateur final) alors que les services B2B (contrat entre l'éditeur 
> sous traitant et l'organisation qui contracte pour le compte de ses propres 
> utilisateurs) utilisaient depuis très longtemps l'application des clauses 
> de contrat type pour tous les contrats professionnels 
> https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
>  
> Ces clauses de contrat ne sont pas invalidées par l'arrêt Schrem 2 et sont 
> en train d'être révisées après l'avis du CEPD et du contrôleur des données 
> le 15 janvier dernier.
> https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_fr
> cette nouvelle version rendra les exports soumis à ces CCT pleinement 
> conformes par rapport aux demandes de la cour de Justice Européenne et cela 
> évitera toute les interrogations.
> 
> Ce mécanisme de « Privacy Shield »
>     n’ayant pas trouvé encore de successeur, des plate-formes comme celles
>     de Microsoft Teams ou Zoom ne peuvent a priori pas respecter le droit
>     européen (quand bien même un contrat de sous-traitance serait négocié).
> -> ca n'est pas tout à fait exact, cela dépend de la nature du contrat 
> passé (contrat B2C ou contrat B2B).
> Les gros opérateurs internationaux de services professionnels respectent 
> les exigences de conformité RGPD pour les services SaaS, IaaS ou PaaS ce 
> qui leur permet d'être largement utilisé dans l'enseignement supérieur et 
> la recherche par exemple 
> ou encore d'être certifiés pour héberger des données de santé 
> (https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies)
> ou d'être présent dans les marchés publics de l'UGAP 
> (https://www.ugap.fr/services-dinformatique-en-nuage-cloud-externe_4544324.html)
>     
>     Il existe par ailleurs, un service dédié aux agents (que la direction
>     de notre établissement pourrait donc utiliser) : 
>     https://visio-agents.education.fr/
>     
> A disposition pour répondre aux questions si nécessaire
> 
> Bien cordialement.    
>     
> 
> 
> --
> Pour vous désinscrire de cette liste : 
> https://listes.april.org/wws/sigrequest/educ
> 
> Pour connaître la configuration de la liste, gérer votre abonnement à la 
> liste educ et vos informations personnelles :
> https://listes.april.org/wws/info/educ
> 
>