Re: [EDUC] Visio / lycées

[Marc Hépiègne <marc.hepiegne AT oisux.org>]

Bonsoir,
merci d'avoir répondu clairement.

Le 7 avril 2021 21:55:56 GMT+02:00, FRANCOIS BOCQUET 
<francois.bocquet AT education.gouv.fr> a écrit :
>Bonsoir,
>
>Merci de votre demande
>Quel point doit être simplifié pour répondre à votre question ?
>
>Pour tenter de faire simple (sans les références qui se retrouvent dans
>le texte intial) : 
>1- L'article 28 du RGPD s'applique a tous les responsables de
>traitement (DASEN dans le 1er degré et chefs d'établissement dans le
>second degré) dès lors qu'il est fait appel à une sous-traitance sauf
>si le service est proposé par un rectorat ou le ministère. Il n'est pas
>conforme d'utiliser un service tiers (mis en place par d'autres
>personnes que celles de l'établissement) sans ce contrat de sous
>traitance et sans que le traitement soit inscrit au registre de
>l'établissement ou du DASEN.
>2- l'arret Schrem 2 invalide le Privacy Shield qui n'était utilisé que
>dans les services destinés aux personnes (et pas aux établissements ou
>académies) mais n'invalide pas les autres mesures permettant l'export
>hors UE.
>3- les clauses de contrat type produite par l'Union européenne restent
>valides actuellement et seront améliorées dans les semaines ou mois à
>venir pour éviter tout doute
>4- Microsoft Teams et Zoom cités ici respectent le règlement européen
>dans leur version profesionnelle et un responsable de traitement peut
>décider légalement de les utiliser en les inscrivant au registre des
>traitements et des sous traitants
>5- les services proposés par le Ministère et par chacune des académies
>sont réputés conformes au RGPD même s'ils font appel à des sous
>traitants et ne nécessitent pas de démarche supplémentaires pour les
>DASEN ou pour les chefs d'établissement.
>
>En espérant avoir été utile.
>Je reste à disposition si des précisions sont nécessaires.
>
>Bonne soirée.
>
>o------------------------------------------------------------o
>  François BOCQUET 
>  Chef de projet Veille et Prospective
>  Bureau du soutien à l’innovation et à la recherche
>  Sous-direction de la transformation numérique
>  Direction du Numérique pour l’Éducation
>  au Ministère de l’Éducation Nationale
>  Bureau 116A au 107 rue de Grenelle à Paris
>  Mèl. : francois.bocquet AT education.gouv.fr 
>
>Le 07/04/2021 21:42, « educ-request AT april.org au nom de Marc Hépiègne
>» <educ-request AT april.org au nom de marc.hepiegne AT oisux.org> a écrit :
>
>    Merci M. Bocquet d'intervenir sur une liste libriste.
>    Est-ce qu'il serait possible d'avoir une version vulgarisée pour le
>    commun des mortels ? Car une réponse trop technique peut être
>  interprétée comme de l’enfumage, surtout à une période où le discours
>    politique est encore moins qu'avant reçu avec confiance.
>    
>    
>    Le 07/04/2021 à 17:44, FRANCOIS BOCQUET a écrit :
>    > Bonjour
>    > 
>> Quelques compléments d'information et précisions dans le corps de ton
>message
>    >  
>    > Bonne journée
>    > 
>    > o------------------------------------------------------------o
>    >   François BOCQUET 
>    >   Chef de projet Veille et Prospective
>    >   Bureau du soutien à l’innovation et à la recherche
>    >   Sous-direction de la transformation numérique
>    >   Direction du Numérique pour l’Éducation
>    >   au Ministère de l’Éducation Nationale
>    >   Mèl. : francois.bocquet AT education.gouv.fr 
>    > 
>> Le 01/04/2021 15:32, « educ-request AT april.org au nom de Stéphane
>Moulinet » <educ-request AT april.org au nom de smoulinet AT april.org> a
>écrit :
>    > 
>>     J'ai partagé le texte ci-dessous auprès de mes collègues.
>J'espère ne
>    >     pas avoir écrit de conneries ;-)
>    >     
>  >     ------------>------------------------->------------------------
>>     Pour utiliser les services d’une plate-forme, il ne suffit pas de
>>     s’assurer que cette plate-forme s’auto-proclame conforme au RGPD.
>
>    > -> oui tu as tout à fait raison
>    > 
>> Un  contrat de sous-traitance doit être établi entre la plate-forme
>et le
>>     responsable des traitements. C’est notamment l’application de
>l’article
>    >     28 du RGPD. 
>> -> oui c'est le cas pour tous les services qui ne sont pas
>administrés par le responsable de traitement ou des personnes sous sa
>responsabilité
>    > 
>    > Certains services officiellement proposés par le ministère
>    >    échappent à ces obligations. 
>> -> ca n'est pas tout à fait exact. Un service qui traite des données
>à caractère personnel a toujours un responsable de traitement. C'est
>celui qui défini les finalités et les modalités du traitement. Le
>ministère peut gérer lui même les services qu'il utilise ou peut faire
>appel à des sous traitants auquel cas il signe un accord de sous
>traitance (ou contrat ou avenant) pour être conforme à l'article 28 du
>RGPD. Une académie peut le faire également. Si un service est proposé
>par le Ministère ou par une académie alors il n'est pas nécessaire que
>le chef d'etablissement contracte avec le sous-traitant à son tour.
>C'est le cas pour les services BBB et pour les apps.education.fr qui
>sont tous sous la responsabilité du Ministère ce qui les rend
>utilisables dans tous les établissements scolaires sans plus de
>démarche.
>    > 
>    > Vous pourrez par exemple librement
>>     utiliser le service (propulsé par le logiciel libre Big Blue
>Button) :
>    >     https://visio-lycees.education.fr/
>    >     
>>     De plus, dans l’arrêt « Schrems II » rendu en juillet dernier, la
>Cour
>  >     de justice de l’UE a invalidé le mécanisme d’auto-certification
>>     « Privacy Shield » qui permettait le transfert de données de
>l’Union
>    >     européenne vers les États-Unis. 
>> -> ca n'est pas complètement exact car il existe d'autres mesures
>légales qui permettent l'export de données 
>> Clauses de contrat type, BCR, autorisations de la CNIL et arrangement
>administratif (comme c'est le cas entre l'administration américaine et
>l'administration française) 
>> Pour en savoir plus
>https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
>> Le Safe Harbor puis le Privacy Shield invalidé à propos de Facebook
>étaient plutôt destinés aux services B2C (avec un contrat entre
>l'éditeur et l'utilisateur final) alors que les services B2B (contrat
>entre l'éditeur sous traitant et l'organisation qui contracte pour le
>compte de ses propres utilisateurs) utilisaient depuis très longtemps
>l'application des clauses de contrat type pour tous les contrats
>professionnels
>https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
>
>> Ces clauses de contrat ne sont pas invalidées par l'arrêt Schrem 2 et
>sont en train d'être révisées après l'avis du CEPD et du contrôleur des
>données le 15 janvier dernier.
>>
>https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_fr
>> cette nouvelle version rendra les exports soumis à ces CCT pleinement
>conformes par rapport aux demandes de la cour de Justice Européenne et
>cela évitera toute les interrogations.
>    > 
>    > Ce mécanisme de « Privacy Shield »
>>     n’ayant pas trouvé encore de successeur, des plate-formes comme
>celles
>>     de Microsoft Teams ou Zoom ne peuvent a priori pas respecter le
>droit
>>     européen (quand bien même un contrat de sous-traitance serait
>négocié).
>> -> ca n'est pas tout à fait exact, cela dépend de la nature du
>contrat passé (contrat B2C ou contrat B2B).
>> Les gros opérateurs internationaux de services professionnels
>respectent les exigences de conformité RGPD pour les services SaaS,
>IaaS ou PaaS ce qui leur permet d'être largement utilisé dans
>l'enseignement supérieur et la recherche par exemple 
>> ou encore d'être certifiés pour héberger des données de santé
>(https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies)
>> ou d'être présent dans les marchés publics de l'UGAP
>(https://www.ugap.fr/services-dinformatique-en-nuage-cloud-externe_4544324.html)
>    >     
>>     Il existe par ailleurs, un service dédié aux agents (que la
>direction
>    >     de notre établissement pourrait donc utiliser) : 
>    >     https://visio-agents.education.fr/
>    >     
>    > A disposition pour répondre aux questions si nécessaire
>    > 
>    > Bien cordialement.    
>    >     
>    > 
>    > 
>    > --
>> Pour vous désinscrire de cette liste :
>https://listes.april.org/wws/sigrequest/educ
>    > 
>> Pour connaître la configuration de la liste, gérer votre abonnement à
>la liste educ et vos informations personnelles :
>    > https://listes.april.org/wws/info/educ
>    > 
>    > 
>    

-- 
Envoyé depuis Fairphone Open OS avec K9-Mail