Re: [EDUC] Visio / lycées

[Sébastien Kuhl <kuhl.sebastien AT bbox.fr>]

Bonsoir.

La direction interministérielle du numérique a publié le 9 avril
2020 (mise à jour le 1er décembre 2020) une page intitulée
"Webconférence : quels outils pour les agents de l’État pendant la
crise Covid-19 ?" (source : 
https://www.numerique.gouv.fr/outils-agents/organiser-webconference-outils-agents-etat/
) dans laquelle il est explicitement écrit "Par ailleurs, la DINUM
conseille de ne pas utiliser l’application Zoom ou d’autres solutions
qui ne présentent pas de garanties de sécurité et de confidentialité
suffisantes pour les usages professionnels au sein des services de
l’État."

N'y a-t-il pas une forme de contradiction avec le point 4 ?

Cordialement.


Le mercredi 07 avril 2021 à 19:55 +0000, FRANCOIS BOCQUET a écrit :
> Bonsoir,
> 
> Merci de votre demande
> Quel point doit être simplifié pour répondre à votre question ?
> 
> Pour tenter de faire simple (sans les références qui se retrouvent
> dans le texte intial) : 
> 1- L'article 28 du RGPD s'applique a tous les responsables de
> traitement (DASEN dans le 1er degré et chefs d'établissement dans le
> second degré) dès lors qu'il est fait appel à une sous-traitance sauf
> si le service est proposé par un rectorat ou le ministère. Il n'est
> pas conforme d'utiliser un service tiers (mis en place par d'autres
> personnes que celles de l'établissement) sans ce contrat de sous
> traitance et sans que le traitement soit inscrit au registre de
> l'établissement ou du DASEN.
> 2- l'arret Schrem 2 invalide le Privacy Shield qui n'était utilisé
> que dans les services destinés aux personnes (et pas aux
> établissements ou académies) mais n'invalide pas les autres mesures
> permettant l'export hors UE.
> 3- les clauses de contrat type produite par l'Union européenne
> restent valides actuellement et seront améliorées dans les semaines
> ou mois à venir pour éviter tout doute
> 4- Microsoft Teams et Zoom cités ici respectent le règlement européen
> dans leur version profesionnelle et un responsable de traitement peut
> décider légalement de les utiliser en les inscrivant au registre des
> traitements et des sous traitants
> 5- les services proposés par le Ministère et par chacune des
> académies sont réputés conformes au RGPD même s'ils font appel à des
> sous traitants et ne nécessitent pas de démarche supplémentaires pour
> les DASEN ou pour les chefs d'établissement.
> 
> En espérant avoir été utile.
> Je reste à disposition si des précisions sont nécessaires.
> 
> Bonne soirée.
> 
> o------------------------------------------------------------o
>   François BOCQUET 
>   Chef de projet Veille et Prospective
>   Bureau du soutien à l’innovation et à la recherche
>   Sous-direction de la transformation numérique
>   Direction du Numérique pour l’Éducation
>   au Ministère de l’Éducation Nationale
>   Bureau 116A au 107 rue de Grenelle à Paris
>   Mèl. : francois.bocquet AT education.gouv.fr 
> 
> Le 07/04/2021 21:42, « educ-request AT april.org au nom de Marc
> Hépiègne » <educ-request AT april.org au nom de marc.hepiegne AT oisux.org>
> a écrit :
> 
>     Merci M. Bocquet d'intervenir sur une liste libriste.
>     Est-ce qu'il serait possible d'avoir une version vulgarisée pour
> le
>     commun des mortels ? Car une réponse trop technique peut être
>     interprétée comme de l’enfumage, surtout à une période où le
> discours
>     politique est encore moins qu'avant reçu avec confiance.
>     
>     
>     Le 07/04/2021 à 17:44, FRANCOIS BOCQUET a écrit :
>     > Bonjour
>     > 
>     > Quelques compléments d'information et précisions dans le corps
> de ton message
>     >  
>     > Bonne journée
>     > 
>     > o------------------------------------------------------------o
>     >   François BOCQUET 
>     >   Chef de projet Veille et Prospective
>     >   Bureau du soutien à l’innovation et à la recherche
>     >   Sous-direction de la transformation numérique
>     >   Direction du Numérique pour l’Éducation
>     >   au Ministère de l’Éducation Nationale
>     >   Mèl. : francois.bocquet AT education.gouv.fr 
>     > 
>     > Le 01/04/2021 15:32, « educ-request AT april.org au nom de
> Stéphane Moulinet » <educ-request AT april.org au nom de 
> smoulinet AT april.org> a écrit :
>     > 
>     >     J'ai partagé le texte ci-dessous auprès de mes collègues.
> J'espère ne
>     >     pas avoir écrit de conneries ;-)
>     >     
>     >     ------------>------------------------->------------------
> ------
>     >     Pour utiliser les services d’une plate-forme, il ne suffit
> pas de
>     >     s’assurer que cette plate-forme s’auto-proclame conforme au
> RGPD. 
>     > -> oui tu as tout à fait raison
>     > 
>     > Un  contrat de sous-traitance doit être établi entre la plate-
> forme et le
>     >     responsable des traitements. C’est notamment l’application
> de l’article
>     >     28 du RGPD. 
>     > -> oui c'est le cas pour tous les services qui ne sont pas
> administrés par le responsable de traitement ou des personnes sous sa
> responsabilité
>     > 
>     > Certains services officiellement proposés par le ministère
>     >    échappent à ces obligations. 
>     > -> ca n'est pas tout à fait exact. Un service qui traite des
> données à caractère personnel a toujours un responsable de
> traitement. C'est celui qui défini les finalités et les modalités du
> traitement. Le ministère peut gérer lui même les services qu'il
> utilise ou peut faire appel à des sous traitants auquel cas il signe
> un accord de sous traitance (ou contrat ou avenant) pour être
> conforme à l'article 28 du RGPD. Une académie peut le faire
> également. Si un service est proposé par le Ministère ou par une
> académie alors il n'est pas nécessaire que le chef d'etablissement
> contracte avec le sous-traitant à son tour. C'est le cas pour les
> services BBB et pour les apps.education.fr qui sont tous sous la
> responsabilité du Ministère ce qui les rend utilisables dans tous les
> établissements scolaires sans plus de démarche.
>     > 
>     > Vous pourrez par exemple librement
>     >     utiliser le service (propulsé par le logiciel libre Big
> Blue Button) :
>     >     https://visio-lycees.education.fr/
>     >     
>     >     De plus, dans l’arrêt « Schrems II » rendu en juillet
> dernier, la Cour
>     >     de justice de l’UE a invalidé le mécanisme d’auto-
> certification
>     >     « Privacy Shield » qui permettait le transfert de données
> de l’Union
>     >     européenne vers les États-Unis. 
>     > -> ca n'est pas complètement exact car il existe d'autres
> mesures légales qui permettent l'export de données 
>     > Clauses de contrat type, BCR, autorisations de la CNIL et
> arrangement administratif (comme c'est le cas entre l'administration
> américaine et l'administration française) 
>     > Pour en savoir plus 
> https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
>     > Le Safe Harbor puis le Privacy Shield invalidé à propos de
> Facebook étaient plutôt destinés aux services B2C (avec un contrat
> entre l'éditeur et l'utilisateur final) alors que les services B2B
> (contrat entre l'éditeur sous traitant et l'organisation qui
> contracte pour le compte de ses propres utilisateurs) utilisaient
> depuis très longtemps l'application des clauses de contrat type pour
> tous les contrats professionnels 
> https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
>  
>     > Ces clauses de contrat ne sont pas invalidées par l'arrêt
> Schrem 2 et sont en train d'être révisées après l'avis du CEPD et du
> contrôleur des données le 15 janvier dernier.
>     > 
> https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_fr
>     > cette nouvelle version rendra les exports soumis à ces CCT
> pleinement conformes par rapport aux demandes de la cour de Justice
> Européenne et cela évitera toute les interrogations.
>     > 
>     > Ce mécanisme de « Privacy Shield »
>     >     n’ayant pas trouvé encore de successeur, des plate-formes
> comme celles
>     >     de Microsoft Teams ou Zoom ne peuvent a priori pas
> respecter le droit
>     >     européen (quand bien même un contrat de sous-traitance
> serait négocié).
>     > -> ca n'est pas tout à fait exact, cela dépend de la nature du
> contrat passé (contrat B2C ou contrat B2B).
>     > Les gros opérateurs internationaux de services professionnels
> respectent les exigences de conformité RGPD pour les services SaaS,
> IaaS ou PaaS ce qui leur permet d'être largement utilisé dans
> l'enseignement supérieur et la recherche par exemple 
>     > ou encore d'être certifiés pour héberger des données de santé (
> https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies)
>     > ou d'être présent dans les marchés publics de l'UGAP (
> https://www.ugap.fr/services-dinformatique-en-nuage-cloud-externe_4544324.html
> )
>     >     
>     >     Il existe par ailleurs, un service dédié aux agents (que la
> direction
>     >     de notre établissement pourrait donc utiliser) : 
>     >     https://visio-agents.education.fr/
>     >     
>     > A disposition pour répondre aux questions si nécessaire
>     > 
>     > Bien cordialement.    
>     >     
>     > 
>     > 
>     > --
>     > Pour vous désinscrire de cette liste : 
> https://listes.april.org/wws/sigrequest/educ
>     > 
>     > Pour connaître la configuration de la liste, gérer votre
> abonnement à la liste educ et vos informations personnelles :
>     > https://listes.april.org/wws/info/educ
>     > 
>     > 
>     
> 
> --
> Pour vous désinscrire de cette liste : 
> https://listes.april.org/wws/sigrequest/educ
> 
> Pour connaître la configuration de la liste, gérer votre abonnement à
> la liste educ et vos informations personnelles :
> https://listes.april.org/wws/info/educ
> 
>