Accéder au contenu.
Menu Sympa

educ - Re: [EDUC] Visio / lycées

Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)

Archives de la liste

Re: [EDUC] Visio / lycées


Chronologique Discussions 
  • From: FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>
  • To: "educ AT april.org" <educ AT april.org>
  • Subject: Re: [EDUC] Visio / lycées
  • Date: Wed, 7 Apr 2021 19:55:56 +0000
  • Accept-language: fr-FR, en-US

Bonsoir,

Merci de votre demande
Quel point doit être simplifié pour répondre à votre question ?

Pour tenter de faire simple (sans les références qui se retrouvent dans le
texte intial) :
1- L'article 28 du RGPD s'applique a tous les responsables de traitement
(DASEN dans le 1er degré et chefs d'établissement dans le second degré) dès
lors qu'il est fait appel à une sous-traitance sauf si le service est proposé
par un rectorat ou le ministère. Il n'est pas conforme d'utiliser un service
tiers (mis en place par d'autres personnes que celles de l'établissement)
sans ce contrat de sous traitance et sans que le traitement soit inscrit au
registre de l'établissement ou du DASEN.
2- l'arret Schrem 2 invalide le Privacy Shield qui n'était utilisé que dans
les services destinés aux personnes (et pas aux établissements ou académies)
mais n'invalide pas les autres mesures permettant l'export hors UE.
3- les clauses de contrat type produite par l'Union européenne restent
valides actuellement et seront améliorées dans les semaines ou mois à venir
pour éviter tout doute
4- Microsoft Teams et Zoom cités ici respectent le règlement européen dans
leur version profesionnelle et un responsable de traitement peut décider
légalement de les utiliser en les inscrivant au registre des traitements et
des sous traitants
5- les services proposés par le Ministère et par chacune des académies sont
réputés conformes au RGPD même s'ils font appel à des sous traitants et ne
nécessitent pas de démarche supplémentaires pour les DASEN ou pour les chefs
d'établissement.

En espérant avoir été utile.
Je reste à disposition si des précisions sont nécessaires.

Bonne soirée.

o------------------------------------------------------------o
François BOCQUET
Chef de projet Veille et Prospective
Bureau du soutien à l’innovation et à la recherche
Sous-direction de la transformation numérique
Direction du Numérique pour l’Éducation
au Ministère de l’Éducation Nationale
Bureau 116A au 107 rue de Grenelle à Paris
Mèl. : francois.bocquet AT education.gouv.fr

Le 07/04/2021 21:42, « educ-request AT april.org au nom de Marc Hépiègne »
<educ-request AT april.org au nom de marc.hepiegne AT oisux.org> a écrit :

Merci M. Bocquet d'intervenir sur une liste libriste.
Est-ce qu'il serait possible d'avoir une version vulgarisée pour le
commun des mortels ? Car une réponse trop technique peut être
interprétée comme de l’enfumage, surtout à une période où le discours
politique est encore moins qu'avant reçu avec confiance.


Le 07/04/2021 à 17:44, FRANCOIS BOCQUET a écrit :
> Bonjour
>
> Quelques compléments d'information et précisions dans le corps de ton
message
>
> Bonne journée
>
> o------------------------------------------------------------o
> François BOCQUET
> Chef de projet Veille et Prospective
> Bureau du soutien à l’innovation et à la recherche
> Sous-direction de la transformation numérique
> Direction du Numérique pour l’Éducation
> au Ministère de l’Éducation Nationale
> Mèl. : francois.bocquet AT education.gouv.fr
>
> Le 01/04/2021 15:32, « educ-request AT april.org au nom de Stéphane
Moulinet » <educ-request AT april.org au nom de smoulinet AT april.org> a écrit :
>
> J'ai partagé le texte ci-dessous auprès de mes collègues. J'espère
ne
> pas avoir écrit de conneries ;-)
>
> ------------>------------------------->------------------------
> Pour utiliser les services d’une plate-forme, il ne suffit pas de
> s’assurer que cette plate-forme s’auto-proclame conforme au RGPD.
> -> oui tu as tout à fait raison
>
> Un contrat de sous-traitance doit être établi entre la plate-forme et
le
> responsable des traitements. C’est notamment l’application de
l’article
> 28 du RGPD.
> -> oui c'est le cas pour tous les services qui ne sont pas administrés
par le responsable de traitement ou des personnes sous sa responsabilité
>
> Certains services officiellement proposés par le ministère
> échappent à ces obligations.
> -> ca n'est pas tout à fait exact. Un service qui traite des données à
caractère personnel a toujours un responsable de traitement. C'est celui qui
défini les finalités et les modalités du traitement. Le ministère peut gérer
lui même les services qu'il utilise ou peut faire appel à des sous traitants
auquel cas il signe un accord de sous traitance (ou contrat ou avenant) pour
être conforme à l'article 28 du RGPD. Une académie peut le faire également.
Si un service est proposé par le Ministère ou par une académie alors il n'est
pas nécessaire que le chef d'etablissement contracte avec le sous-traitant à
son tour. C'est le cas pour les services BBB et pour les apps.education.fr
qui sont tous sous la responsabilité du Ministère ce qui les rend utilisables
dans tous les établissements scolaires sans plus de démarche.
>
> Vous pourrez par exemple librement
> utiliser le service (propulsé par le logiciel libre Big Blue
Button) :
> https://visio-lycees.education.fr/
>
> De plus, dans l’arrêt « Schrems II » rendu en juillet dernier, la
Cour
> de justice de l’UE a invalidé le mécanisme d’auto-certification
> « Privacy Shield » qui permettait le transfert de données de l’Union
> européenne vers les États-Unis.
> -> ca n'est pas complètement exact car il existe d'autres mesures
légales qui permettent l'export de données
> Clauses de contrat type, BCR, autorisations de la CNIL et arrangement
administratif (comme c'est le cas entre l'administration américaine et
l'administration française)
> Pour en savoir plus
https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
> Le Safe Harbor puis le Privacy Shield invalidé à propos de Facebook
étaient plutôt destinés aux services B2C (avec un contrat entre l'éditeur et
l'utilisateur final) alors que les services B2B (contrat entre l'éditeur sous
traitant et l'organisation qui contracte pour le compte de ses propres
utilisateurs) utilisaient depuis très longtemps l'application des clauses de
contrat type pour tous les contrats professionnels
https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

> Ces clauses de contrat ne sont pas invalidées par l'arrêt Schrem 2 et
sont en train d'être révisées après l'avis du CEPD et du contrôleur des
données le 15 janvier dernier.
>
https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_fr
> cette nouvelle version rendra les exports soumis à ces CCT pleinement
conformes par rapport aux demandes de la cour de Justice Européenne et cela
évitera toute les interrogations.
>
> Ce mécanisme de « Privacy Shield »
> n’ayant pas trouvé encore de successeur, des plate-formes comme
celles
> de Microsoft Teams ou Zoom ne peuvent a priori pas respecter le
droit
> européen (quand bien même un contrat de sous-traitance serait
négocié).
> -> ca n'est pas tout à fait exact, cela dépend de la nature du contrat
passé (contrat B2C ou contrat B2B).
> Les gros opérateurs internationaux de services professionnels
respectent les exigences de conformité RGPD pour les services SaaS, IaaS ou
PaaS ce qui leur permet d'être largement utilisé dans l'enseignement
supérieur et la recherche par exemple
> ou encore d'être certifiés pour héberger des données de santé
(https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies)
> ou d'être présent dans les marchés publics de l'UGAP
(https://www.ugap.fr/services-dinformatique-en-nuage-cloud-externe_4544324.html)
>
> Il existe par ailleurs, un service dédié aux agents (que la
direction
> de notre établissement pourrait donc utiliser) :
> https://visio-agents.education.fr/
>
> A disposition pour répondre aux questions si nécessaire
>
> Bien cordialement.
>
>
>
> --
> Pour vous désinscrire de cette liste :
https://listes.april.org/wws/sigrequest/educ
>
> Pour connaître la configuration de la liste, gérer votre abonnement à
la liste educ et vos informations personnelles :
> https://listes.april.org/wws/info/educ
>
>





Archives gérées par MHonArc 2.6.19+.

Haut de le page