Re: [EDUC] Visio / lycées

[FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>]

Bonsoir,

Merci de votre demande
Quel point doit être simplifié pour répondre à votre question ?

Pour tenter de faire simple (sans les références qui se retrouvent dans le 
texte intial) : 
1- L'article 28 du RGPD s'applique a tous les responsables de traitement 
(DASEN dans le 1er degré et chefs d'établissement dans le second degré) dès 
lors qu'il est fait appel à une sous-traitance sauf si le service est proposé 
par un rectorat ou le ministère. Il n'est pas conforme d'utiliser un service 
tiers (mis en place par d'autres personnes que celles de l'établissement) 
sans ce contrat de sous traitance et sans que le traitement soit inscrit au 
registre de l'établissement ou du DASEN.
2- l'arret Schrem 2 invalide le Privacy Shield qui n'était utilisé que dans 
les services destinés aux personnes (et pas aux établissements ou académies) 
mais n'invalide pas les autres mesures permettant l'export hors UE.
3- les clauses de contrat type produite par l'Union européenne restent 
valides actuellement et seront améliorées dans les semaines ou mois à venir 
pour éviter tout doute
4- Microsoft Teams et Zoom cités ici respectent le règlement européen dans 
leur version profesionnelle et un responsable de traitement peut décider 
légalement de les utiliser en les inscrivant au registre des traitements et 
des sous traitants
5- les services proposés par le Ministère et par chacune des académies sont 
réputés conformes au RGPD même s'ils font appel à des sous traitants et ne 
nécessitent pas de démarche supplémentaires pour les DASEN ou pour les chefs 
d'établissement.

En espérant avoir été utile.
Je reste à disposition si des précisions sont nécessaires.

Bonne soirée.

o------------------------------------------------------------o
  François BOCQUET 
  Chef de projet Veille et Prospective
  Bureau du soutien à l’innovation et à la recherche
  Sous-direction de la transformation numérique
  Direction du Numérique pour l’Éducation
  au Ministère de l’Éducation Nationale
  Bureau 116A au 107 rue de Grenelle à Paris
  Mèl. : francois.bocquet AT education.gouv.fr 

Le 07/04/2021 21:42, « educ-request AT april.org au nom de Marc Hépiègne » 
<educ-request AT april.org au nom de marc.hepiegne AT oisux.org> a écrit :

    Merci M. Bocquet d'intervenir sur une liste libriste.
    Est-ce qu'il serait possible d'avoir une version vulgarisée pour le
    commun des mortels ? Car une réponse trop technique peut être
    interprétée comme de l’enfumage, surtout à une période où le discours
    politique est encore moins qu'avant reçu avec confiance.
    
    
    Le 07/04/2021 à 17:44, FRANCOIS BOCQUET a écrit :
    > Bonjour
    > 
    > Quelques compléments d'information et précisions dans le corps de ton 
message
    >  
    > Bonne journée
    > 
    > o------------------------------------------------------------o
    >   François BOCQUET 
    >   Chef de projet Veille et Prospective
    >   Bureau du soutien à l’innovation et à la recherche
    >   Sous-direction de la transformation numérique
    >   Direction du Numérique pour l’Éducation
    >   au Ministère de l’Éducation Nationale
    >   Mèl. : francois.bocquet AT education.gouv.fr 
    > 
    > Le 01/04/2021 15:32, « educ-request AT april.org au nom de Stéphane 
Moulinet » <educ-request AT april.org au nom de smoulinet AT april.org> a écrit :
    > 
    >     J'ai partagé le texte ci-dessous auprès de mes collègues. J'espère 
ne
    >     pas avoir écrit de conneries ;-)
    >     
    >     ------------>------------------------->------------------------
    >     Pour utiliser les services d’une plate-forme, il ne suffit pas de
    >     s’assurer que cette plate-forme s’auto-proclame conforme au RGPD. 
    > -> oui tu as tout à fait raison
    > 
    > Un  contrat de sous-traitance doit être établi entre la plate-forme et 
le
    >     responsable des traitements. C’est notamment l’application de 
l’article
    >     28 du RGPD. 
    > -> oui c'est le cas pour tous les services qui ne sont pas administrés 
par le responsable de traitement ou des personnes sous sa responsabilité
    > 
    > Certains services officiellement proposés par le ministère
    >    échappent à ces obligations. 
    > -> ca n'est pas tout à fait exact. Un service qui traite des données à 
caractère personnel a toujours un responsable de traitement. C'est celui qui 
défini les finalités et les modalités du traitement. Le ministère peut gérer 
lui même les services qu'il utilise ou peut faire appel à des sous traitants 
auquel cas il signe un accord de sous traitance (ou contrat ou avenant) pour 
être conforme à l'article 28 du RGPD. Une académie peut le faire également. 
Si un service est proposé par le Ministère ou par une académie alors il n'est 
pas nécessaire que le chef d'etablissement contracte avec le sous-traitant à 
son tour. C'est le cas pour les services BBB et pour les apps.education.fr 
qui sont tous sous la responsabilité du Ministère ce qui les rend utilisables 
dans tous les établissements scolaires sans plus de démarche.
    > 
    > Vous pourrez par exemple librement
    >     utiliser le service (propulsé par le logiciel libre Big Blue 
Button) :
    >     https://visio-lycees.education.fr/
    >     
    >     De plus, dans l’arrêt « Schrems II » rendu en juillet dernier, la 
Cour
    >     de justice de l’UE a invalidé le mécanisme d’auto-certification
    >     « Privacy Shield » qui permettait le transfert de données de l’Union
    >     européenne vers les États-Unis. 
    > -> ca n'est pas complètement exact car il existe d'autres mesures 
légales qui permettent l'export de données 
    > Clauses de contrat type, BCR, autorisations de la CNIL et arrangement 
administratif (comme c'est le cas entre l'administration américaine et 
l'administration française) 
    > Pour en savoir plus 
https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
    > Le Safe Harbor puis le Privacy Shield invalidé à propos de Facebook 
étaient plutôt destinés aux services B2C (avec un contrat entre l'éditeur et 
l'utilisateur final) alors que les services B2B (contrat entre l'éditeur sous 
traitant et l'organisation qui contracte pour le compte de ses propres 
utilisateurs) utilisaient depuis très longtemps l'application des clauses de 
contrat type pour tous les contrats professionnels 
https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
 
    > Ces clauses de contrat ne sont pas invalidées par l'arrêt Schrem 2 et 
sont en train d'être révisées après l'avis du CEPD et du contrôleur des 
données le 15 janvier dernier.
    > 
https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_fr
    > cette nouvelle version rendra les exports soumis à ces CCT pleinement 
conformes par rapport aux demandes de la cour de Justice Européenne et cela 
évitera toute les interrogations.
    > 
    > Ce mécanisme de « Privacy Shield »
    >     n’ayant pas trouvé encore de successeur, des plate-formes comme 
celles
    >     de Microsoft Teams ou Zoom ne peuvent a priori pas respecter le 
droit
    >     européen (quand bien même un contrat de sous-traitance serait 
négocié).
    > -> ca n'est pas tout à fait exact, cela dépend de la nature du contrat 
passé (contrat B2C ou contrat B2B).
    > Les gros opérateurs internationaux de services professionnels 
respectent les exigences de conformité RGPD pour les services SaaS, IaaS ou 
PaaS ce qui leur permet d'être largement utilisé dans l'enseignement 
supérieur et la recherche par exemple 
    > ou encore d'être certifiés pour héberger des données de santé 
(https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies)
    > ou d'être présent dans les marchés publics de l'UGAP 
(https://www.ugap.fr/services-dinformatique-en-nuage-cloud-externe_4544324.html)
    >     
    >     Il existe par ailleurs, un service dédié aux agents (que la 
direction
    >     de notre établissement pourrait donc utiliser) : 
    >     https://visio-agents.education.fr/
    >     
    > A disposition pour répondre aux questions si nécessaire
    > 
    > Bien cordialement.    
    >     
    > 
    > 
    > --
    > Pour vous désinscrire de cette liste : 
https://listes.april.org/wws/sigrequest/educ
    > 
    > Pour connaître la configuration de la liste, gérer votre abonnement à 
la liste educ et vos informations personnelles :
    > https://listes.april.org/wws/info/educ
    > 
    >