Accéder au contenu.
Menu Sympa

educ - Re: [EDUC] Visio / lycées

Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)

Archives de la liste

Re: [EDUC] Visio / lycées


Chronologique Discussions 
  • From: Marc Hépiègne <marc.hepiegne AT oisux.org>
  • To: educ AT april.org
  • Subject: Re: [EDUC] Visio / lycées
  • Date: Wed, 07 Apr 2021 22:04:40 +0200
  • Authentication-results: vip.april.org; dkim=pass (2048-bit key; unprotected) header.d=oisux.org header.i= AT oisux.org header.b="HelV5qOh"; dkim-atps=neutral

Bonsoir,
merci d'avoir répondu clairement.

Le 7 avril 2021 21:55:56 GMT+02:00, FRANCOIS BOCQUET
<francois.bocquet AT education.gouv.fr> a écrit :
>Bonsoir,
>
>Merci de votre demande
>Quel point doit être simplifié pour répondre à votre question ?
>
>Pour tenter de faire simple (sans les références qui se retrouvent dans
>le texte intial) :
>1- L'article 28 du RGPD s'applique a tous les responsables de
>traitement (DASEN dans le 1er degré et chefs d'établissement dans le
>second degré) dès lors qu'il est fait appel à une sous-traitance sauf
>si le service est proposé par un rectorat ou le ministère. Il n'est pas
>conforme d'utiliser un service tiers (mis en place par d'autres
>personnes que celles de l'établissement) sans ce contrat de sous
>traitance et sans que le traitement soit inscrit au registre de
>l'établissement ou du DASEN.
>2- l'arret Schrem 2 invalide le Privacy Shield qui n'était utilisé que
>dans les services destinés aux personnes (et pas aux établissements ou
>académies) mais n'invalide pas les autres mesures permettant l'export
>hors UE.
>3- les clauses de contrat type produite par l'Union européenne restent
>valides actuellement et seront améliorées dans les semaines ou mois à
>venir pour éviter tout doute
>4- Microsoft Teams et Zoom cités ici respectent le règlement européen
>dans leur version profesionnelle et un responsable de traitement peut
>décider légalement de les utiliser en les inscrivant au registre des
>traitements et des sous traitants
>5- les services proposés par le Ministère et par chacune des académies
>sont réputés conformes au RGPD même s'ils font appel à des sous
>traitants et ne nécessitent pas de démarche supplémentaires pour les
>DASEN ou pour les chefs d'établissement.
>
>En espérant avoir été utile.
>Je reste à disposition si des précisions sont nécessaires.
>
>Bonne soirée.
>
>o------------------------------------------------------------o
> François BOCQUET
> Chef de projet Veille et Prospective
> Bureau du soutien à l’innovation et à la recherche
> Sous-direction de la transformation numérique
> Direction du Numérique pour l’Éducation
> au Ministère de l’Éducation Nationale
> Bureau 116A au 107 rue de Grenelle à Paris
> Mèl. : francois.bocquet AT education.gouv.fr
>
>Le 07/04/2021 21:42, « educ-request AT april.org au nom de Marc Hépiègne
>» <educ-request AT april.org au nom de marc.hepiegne AT oisux.org> a écrit :
>
> Merci M. Bocquet d'intervenir sur une liste libriste.
> Est-ce qu'il serait possible d'avoir une version vulgarisée pour le
> commun des mortels ? Car une réponse trop technique peut être
> interprétée comme de l’enfumage, surtout à une période où le discours
> politique est encore moins qu'avant reçu avec confiance.
>
>
> Le 07/04/2021 à 17:44, FRANCOIS BOCQUET a écrit :
> > Bonjour
> >
>> Quelques compléments d'information et précisions dans le corps de ton
>message
> >
> > Bonne journée
> >
> > o------------------------------------------------------------o
> > François BOCQUET
> > Chef de projet Veille et Prospective
> > Bureau du soutien à l’innovation et à la recherche
> > Sous-direction de la transformation numérique
> > Direction du Numérique pour l’Éducation
> > au Ministère de l’Éducation Nationale
> > Mèl. : francois.bocquet AT education.gouv.fr
> >
>> Le 01/04/2021 15:32, « educ-request AT april.org au nom de Stéphane
>Moulinet » <educ-request AT april.org au nom de smoulinet AT april.org> a
>écrit :
> >
>> J'ai partagé le texte ci-dessous auprès de mes collègues.
>J'espère ne
> > pas avoir écrit de conneries ;-)
> >
> > ------------>------------------------->------------------------
>> Pour utiliser les services d’une plate-forme, il ne suffit pas de
>> s’assurer que cette plate-forme s’auto-proclame conforme au RGPD.
>
> > -> oui tu as tout à fait raison
> >
>> Un contrat de sous-traitance doit être établi entre la plate-forme
>et le
>> responsable des traitements. C’est notamment l’application de
>l’article
> > 28 du RGPD.
>> -> oui c'est le cas pour tous les services qui ne sont pas
>administrés par le responsable de traitement ou des personnes sous sa
>responsabilité
> >
> > Certains services officiellement proposés par le ministère
> > échappent à ces obligations.
>> -> ca n'est pas tout à fait exact. Un service qui traite des données
>à caractère personnel a toujours un responsable de traitement. C'est
>celui qui défini les finalités et les modalités du traitement. Le
>ministère peut gérer lui même les services qu'il utilise ou peut faire
>appel à des sous traitants auquel cas il signe un accord de sous
>traitance (ou contrat ou avenant) pour être conforme à l'article 28 du
>RGPD. Une académie peut le faire également. Si un service est proposé
>par le Ministère ou par une académie alors il n'est pas nécessaire que
>le chef d'etablissement contracte avec le sous-traitant à son tour.
>C'est le cas pour les services BBB et pour les apps.education.fr qui
>sont tous sous la responsabilité du Ministère ce qui les rend
>utilisables dans tous les établissements scolaires sans plus de
>démarche.
> >
> > Vous pourrez par exemple librement
>> utiliser le service (propulsé par le logiciel libre Big Blue
>Button) :
> > https://visio-lycees.education.fr/
> >
>> De plus, dans l’arrêt « Schrems II » rendu en juillet dernier, la
>Cour
> > de justice de l’UE a invalidé le mécanisme d’auto-certification
>> « Privacy Shield » qui permettait le transfert de données de
>l’Union
> > européenne vers les États-Unis.
>> -> ca n'est pas complètement exact car il existe d'autres mesures
>légales qui permettent l'export de données
>> Clauses de contrat type, BCR, autorisations de la CNIL et arrangement
>administratif (comme c'est le cas entre l'administration américaine et
>l'administration française)
>> Pour en savoir plus
>https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
>> Le Safe Harbor puis le Privacy Shield invalidé à propos de Facebook
>étaient plutôt destinés aux services B2C (avec un contrat entre
>l'éditeur et l'utilisateur final) alors que les services B2B (contrat
>entre l'éditeur sous traitant et l'organisation qui contracte pour le
>compte de ses propres utilisateurs) utilisaient depuis très longtemps
>l'application des clauses de contrat type pour tous les contrats
>professionnels
>https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
>
>> Ces clauses de contrat ne sont pas invalidées par l'arrêt Schrem 2 et
>sont en train d'être révisées après l'avis du CEPD et du contrôleur des
>données le 15 janvier dernier.
>>
>https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_fr
>> cette nouvelle version rendra les exports soumis à ces CCT pleinement
>conformes par rapport aux demandes de la cour de Justice Européenne et
>cela évitera toute les interrogations.
> >
> > Ce mécanisme de « Privacy Shield »
>> n’ayant pas trouvé encore de successeur, des plate-formes comme
>celles
>> de Microsoft Teams ou Zoom ne peuvent a priori pas respecter le
>droit
>> européen (quand bien même un contrat de sous-traitance serait
>négocié).
>> -> ca n'est pas tout à fait exact, cela dépend de la nature du
>contrat passé (contrat B2C ou contrat B2B).
>> Les gros opérateurs internationaux de services professionnels
>respectent les exigences de conformité RGPD pour les services SaaS,
>IaaS ou PaaS ce qui leur permet d'être largement utilisé dans
>l'enseignement supérieur et la recherche par exemple
>> ou encore d'être certifiés pour héberger des données de santé
>(https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies)
>> ou d'être présent dans les marchés publics de l'UGAP
>(https://www.ugap.fr/services-dinformatique-en-nuage-cloud-externe_4544324.html)
> >
>> Il existe par ailleurs, un service dédié aux agents (que la
>direction
> > de notre établissement pourrait donc utiliser) :
> > https://visio-agents.education.fr/
> >
> > A disposition pour répondre aux questions si nécessaire
> >
> > Bien cordialement.
> >
> >
> >
> > --
>> Pour vous désinscrire de cette liste :
>https://listes.april.org/wws/sigrequest/educ
> >
>> Pour connaître la configuration de la liste, gérer votre abonnement à
>la liste educ et vos informations personnelles :
> > https://listes.april.org/wws/info/educ
> >
> >
>

--
Envoyé depuis Fairphone Open OS avec K9-Mail



Archives gérées par MHonArc 2.6.19+.

Haut de le page