Re: [EDUC] Visio / lycées

[Sébastien Kuhl <kuhl.sebastien AT bbox.fr>]

Bonjour.

Je vous remercie de ces précisions.

Cordialement.


Le mercredi 07 avril 2021 à 21:55 +0000, FRANCOIS BOCQUET a écrit :
> Bonsoir,
> Toute la question est : s'agit il d'un contrat passé entre une
> personne et Zoom ou d'un contrat passé entre une organisation et Zoom
> ?
> Dans le premier cas le traitement ne peut être conforme au RGPD en
> contexte professionnel et il est logique de ne pas en recommander
> l'utilisation.
> Dans le second cas le traitement est conforme aux exigences du RGPD
> s'il est inscrit au registre car Zoom offre toutes les garanties
> techniques, contractuelles et juridiques. 
> Celles-ci lui ont d'ailleurs permis d'être utilisé massivement par de
> très nombreuses universités et laboratoires de recherche en France
> ainsi que par beaucoup d'institutions publiques.
> C'est au responsable de traitement de choisir les services dont il
> assume la responsabilité en suivant ou non les conseils de la DINUM.
> C'est ce qui explique que des universités choisissent Zoom, Webex,
> Collaba (de Blackboard), Teams ou encore Meet parfois en plus de
> services Jitsi ou BBB dont elles assurent elles-mêmes l'exploitation.
> Bonne soirée.
> o------------------------------------------------------------o
>   François BOCQUET 
>   Chef de projet Veille et Prospective
>   Bureau du soutien à l’innovation et à la recherche
>   Sous-direction de la transformation numérique
>   Direction du Numérique pour l’Éducation
>   au Ministère de l’Éducation Nationale
>   Tél. : +33 155 557 781 ou +33 6 35 48 21 13
>   Bureau 116A au 107 rue de Grenelle à Paris
>   Mèl. : francois.bocquet AT education.gouv.fr 
>   Portfolio : http://fr.linkedin.com/in/fbocquet/
> 
> Le 07/04/2021 22:14, « educ-request AT april.org au nom de Sébastien
> Kuhl » <educ-request AT april.org au nom de kuhl.sebastien AT bbox.fr> a
> écrit :
> 
>     Bonsoir.
>     
>     La direction interministérielle du numérique a publié le 9 avril
>     2020 (mise à jour le 1er décembre 2020) une page intitulée
>     "Webconférence : quels outils pour les agents de l’État pendant
> la
>     crise Covid-19 ?" (source : 
>     
> https://www.numerique.gouv.fr/outils-agents/organiser-webconference-outils-agents-etat/
>     ) dans laquelle il est explicitement écrit "Par ailleurs, la
> DINUM
>     conseille de ne pas utiliser l’application Zoom ou d’autres
> solutions
>     qui ne présentent pas de garanties de sécurité et de
> confidentialité
>     suffisantes pour les usages professionnels au sein des services
> de
>     l’État."
>     
>     N'y a-t-il pas une forme de contradiction avec le point 4 ?
>     
>     Cordialement.
>     
>     
>     Le mercredi 07 avril 2021 à 19:55 +0000, FRANCOIS BOCQUET a écrit
> :
>     > Bonsoir,
>     > 
>     > Merci de votre demande
>     > Quel point doit être simplifié pour répondre à votre question ?
>     > 
>     > Pour tenter de faire simple (sans les références qui se
> retrouvent
>     > dans le texte intial) : 
>     > 1- L'article 28 du RGPD s'applique a tous les responsables de
>     > traitement (DASEN dans le 1er degré et chefs d'établissement
> dans le
>     > second degré) dès lors qu'il est fait appel à une sous-
> traitance sauf
>     > si le service est proposé par un rectorat ou le ministère. Il
> n'est
>     > pas conforme d'utiliser un service tiers (mis en place par
> d'autres
>     > personnes que celles de l'établissement) sans ce contrat de
> sous
>     > traitance et sans que le traitement soit inscrit au registre de
>     > l'établissement ou du DASEN.
>     > 2- l'arret Schrem 2 invalide le Privacy Shield qui n'était
> utilisé
>     > que dans les services destinés aux personnes (et pas aux
>     > établissements ou académies) mais n'invalide pas les autres
> mesures
>     > permettant l'export hors UE.
>     > 3- les clauses de contrat type produite par l'Union européenne
>     > restent valides actuellement et seront améliorées dans les
> semaines
>     > ou mois à venir pour éviter tout doute
>     > 4- Microsoft Teams et Zoom cités ici respectent le règlement
> européen
>     > dans leur version profesionnelle et un responsable de
> traitement peut
>     > décider légalement de les utiliser en les inscrivant au
> registre des
>     > traitements et des sous traitants
>     > 5- les services proposés par le Ministère et par chacune des
>     > académies sont réputés conformes au RGPD même s'ils font appel
> à des
>     > sous traitants et ne nécessitent pas de démarche
> supplémentaires pour
>     > les DASEN ou pour les chefs d'établissement.
>     > 
>     > En espérant avoir été utile.
>     > Je reste à disposition si des précisions sont nécessaires.
>     > 
>     > Bonne soirée.
>     > 
>     > o------------------------------------------------------------o
>     >   François BOCQUET 
>     >   Chef de projet Veille et Prospective
>     >   Bureau du soutien à l’innovation et à la recherche
>     >   Sous-direction de la transformation numérique
>     >   Direction du Numérique pour l’Éducation
>     >   au Ministère de l’Éducation Nationale
>     >   Bureau 116A au 107 rue de Grenelle à Paris
>     >   Mèl. : francois.bocquet AT education.gouv.fr 
>     > 
>     > Le 07/04/2021 21:42, « educ-request AT april.org au nom de Marc
>     > Hépiègne » <educ-request AT april.org au nom de 
> marc.hepiegne AT oisux.org>
>     > a écrit :
>     > 
>     >     Merci M. Bocquet d'intervenir sur une liste libriste.
>     >     Est-ce qu'il serait possible d'avoir une version vulgarisée
> pour
>     > le
>     >     commun des mortels ? Car une réponse trop technique peut
> être
>     >     interprétée comme de l’enfumage, surtout à une période où
> le
>     > discours
>     >     politique est encore moins qu'avant reçu avec confiance.
>     >     
>     >     
>     >     Le 07/04/2021 à 17:44, FRANCOIS BOCQUET a écrit :
>     >     > Bonjour
>     >     > 
>     >     > Quelques compléments d'information et précisions dans le
> corps
>     > de ton message
>     >     >  
>     >     > Bonne journée
>     >     > 
>     >     > o------------------------------------------------------
> ------o
>     >     >   François BOCQUET 
>     >     >   Chef de projet Veille et Prospective
>     >     >   Bureau du soutien à l’innovation et à la recherche
>     >     >   Sous-direction de la transformation numérique
>     >     >   Direction du Numérique pour l’Éducation
>     >     >   au Ministère de l’Éducation Nationale
>     >     >   Mèl. : francois.bocquet AT education.gouv.fr 
>     >     > 
>     >     > Le 01/04/2021 15:32, « educ-request AT april.org au nom de
>     > Stéphane Moulinet » <educ-request AT april.org au nom de 
>     > smoulinet AT april.org> a écrit :
>     >     > 
>     >     >     J'ai partagé le texte ci-dessous auprès de mes
> collègues.
>     > J'espère ne
>     >     >     pas avoir écrit de conneries ;-)
>     >     >     
>     >     >     ------------>------------------------->------------
> ------
>     > ------
>     >     >     Pour utiliser les services d’une plate-forme, il ne
> suffit
>     > pas de
>     >     >     s’assurer que cette plate-forme s’auto-proclame
> conforme au
>     > RGPD. 
>     >     > -> oui tu as tout à fait raison
>     >     > 
>     >     > Un  contrat de sous-traitance doit être établi entre la
> plate-
>     > forme et le
>     >     >     responsable des traitements. C’est notamment
> l’application
>     > de l’article
>     >     >     28 du RGPD. 
>     >     > -> oui c'est le cas pour tous les services qui ne sont
> pas
>     > administrés par le responsable de traitement ou des personnes
> sous sa
>     > responsabilité
>     >     > 
>     >     > Certains services officiellement proposés par le
> ministère
>     >     >    échappent à ces obligations. 
>     >     > -> ca n'est pas tout à fait exact. Un service qui traite
> des
>     > données à caractère personnel a toujours un responsable de
>     > traitement. C'est celui qui défini les finalités et les
> modalités du
>     > traitement. Le ministère peut gérer lui même les services qu'il
>     > utilise ou peut faire appel à des sous traitants auquel cas il
> signe
>     > un accord de sous traitance (ou contrat ou avenant) pour être
>     > conforme à l'article 28 du RGPD. Une académie peut le faire
>     > également. Si un service est proposé par le Ministère ou par
> une
>     > académie alors il n'est pas nécessaire que le chef
> d'etablissement
>     > contracte avec le sous-traitant à son tour. C'est le cas pour
> les
>     > services BBB et pour les apps.education.fr qui sont tous sous
> la
>     > responsabilité du Ministère ce qui les rend utilisables dans
> tous les
>     > établissements scolaires sans plus de démarche.
>     >     > 
>     >     > Vous pourrez par exemple librement
>     >     >     utiliser le service (propulsé par le logiciel libre
> Big
>     > Blue Button) :
>     >     >     https://visio-lycees.education.fr/
>     >     >     
>     >     >     De plus, dans l’arrêt « Schrems II » rendu en juillet
>     > dernier, la Cour
>     >     >     de justice de l’UE a invalidé le mécanisme d’auto-
>     > certification
>     >     >     « Privacy Shield » qui permettait le transfert de
> données
>     > de l’Union
>     >     >     européenne vers les États-Unis. 
>     >     > -> ca n'est pas complètement exact car il existe d'autres
>     > mesures légales qui permettent l'export de données 
>     >     > Clauses de contrat type, BCR, autorisations de la CNIL et
>     > arrangement administratif (comme c'est le cas entre
> l'administration
>     > américaine et l'administration française) 
>     >     > Pour en savoir plus 
>     > https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
>     >     > Le Safe Harbor puis le Privacy Shield invalidé à propos
> de
>     > Facebook étaient plutôt destinés aux services B2C (avec un
> contrat
>     > entre l'éditeur et l'utilisateur final) alors que les services
> B2B
>     > (contrat entre l'éditeur sous traitant et l'organisation qui
>     > contracte pour le compte de ses propres utilisateurs)
> utilisaient
>     > depuis très longtemps l'application des clauses de contrat type
> pour
>     > tous les contrats professionnels 
>     > 
> https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
>     >  
>     >     > Ces clauses de contrat ne sont pas invalidées par l'arrêt
>     > Schrem 2 et sont en train d'être révisées après l'avis du CEPD
> et du
>     > contrôleur des données le 15 janvier dernier.
>     >     > 
>     > 
> https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_fr
>     >     > cette nouvelle version rendra les exports soumis à ces
> CCT
>     > pleinement conformes par rapport aux demandes de la cour de
> Justice
>     > Européenne et cela évitera toute les interrogations.
>     >     > 
>     >     > Ce mécanisme de « Privacy Shield »
>     >     >     n’ayant pas trouvé encore de successeur, des plate-
> formes
>     > comme celles
>     >     >     de Microsoft Teams ou Zoom ne peuvent a priori pas
>     > respecter le droit
>     >     >     européen (quand bien même un contrat de sous-
> traitance
>     > serait négocié).
>     >     > -> ca n'est pas tout à fait exact, cela dépend de la
> nature du
>     > contrat passé (contrat B2C ou contrat B2B).
>     >     > Les gros opérateurs internationaux de services
> professionnels
>     > respectent les exigences de conformité RGPD pour les services
> SaaS,
>     > IaaS ou PaaS ce qui leur permet d'être largement utilisé dans
>     > l'enseignement supérieur et la recherche par exemple 
>     >     > ou encore d'être certifiés pour héberger des données de
> santé (
>     > 
> https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies
> )
>     >     > ou d'être présent dans les marchés publics de l'UGAP (
>     > 
> https://www.ugap.fr/services-dinformatique-en-nuage-cloud-externe_4544324.html
>     > )
>     >     >     
>     >     >     Il existe par ailleurs, un service dédié aux agents
> (que la
>     > direction
>     >     >     de notre établissement pourrait donc utiliser) : 
>     >     >     https://visio-agents.education.fr/
>     >     >     
>     >     > A disposition pour répondre aux questions si nécessaire
>     >     > 
>     >     > Bien cordialement.    
>     >     >     
>     >     > 
>     >     > 
>     >     > --
>     >     > Pour vous désinscrire de cette liste : 
>     > https://listes.april.org/wws/sigrequest/educ
>     >     > 
>     >     > Pour connaître la configuration de la liste, gérer votre
>     > abonnement à la liste educ et vos informations personnelles :
>     >     > https://listes.april.org/wws/info/educ
>     >     > 
>     >     > 
>     >     
>     > 
>     > --
>     > Pour vous désinscrire de cette liste : 
>     > https://listes.april.org/wws/sigrequest/educ
>     > 
>     > Pour connaître la configuration de la liste, gérer votre
> abonnement à
>     > la liste educ et vos informations personnelles :
>     > https://listes.april.org/wws/info/educ
>     > 
>     > 
>     
>     
> 
> --
> Pour vous désinscrire de cette liste : 
> https://listes.april.org/wws/sigrequest/educ
> 
> Pour connaître la configuration de la liste, gérer votre abonnement à
> la liste educ et vos informations personnelles :
> https://listes.april.org/wws/info/educ
> 
>