Accéder au contenu.
Menu Sympa

educ - Re: [EDUC] étudiants-Google worspace

Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)

Archives de la liste

Re: [EDUC] étudiants-Google worspace


Chronologique Discussions 
    < Chronologique >      < Discussions >
  • From: nicolas schont <nicolas AT schont.org>
  • To: FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>, "educ AT april.org" <educ AT april.org>, Olivier Guillard <mairie AT guillard.nom.fr>
  • Subject: Re: [EDUC] étudiants-Google worspace
  • Date: Tue, 21 Sep 2021 18:12:36 +0200
Bonjour

oui je connais ce document est il va dans le sens
page 7 :

Les conditions
La première condition est relative à la qualité
du client ou de l’utilisateur du service . Celui-ci
ne doit pas être un ressortissant américain (« US
person ») 35 et ne doit pas résider sur le territoire
américain .


donc cela cible bien les ressortissant de l'UE


et

page 8
À l’heure actuelle, les possibilités d’un tel
recours sont toutefois limitées dès lors qu’il
n’existe pas encore d’accord exécutif de ce type
entre l’Union européenne et les États-Unis .


Nicolas

Le 21/09/2021 à 17:42, FRANCOIS BOCQUET a écrit :
Merci Nicolas de signaler cet article qui comporte donc une erreur grossière,
erreur ou affirmation qui n'est d'ailleurs pas sourcée par un texte original.
Il est regrettable que les règles relatives aux sources nécessaires sur
Wikipedia ne soient pas mise en œuvre dans cet article.
J'ai déjà eu l'occasion de modifier une fois l'article en question le 8 juin
2020 sous mon nom et ma modification a été retransformée rapidement par un
militant persuadé d'avoir raison sans que je juge nécessaire de tenter de le
convaincre par la discussion.
La propagande a été bien réalisée sur cette affaire de CLOUD Act et c'est
bien pour cette raison que j'ai souhaité vérifier le texte lui même pour
comprendre.
Il suffit de lire les versions dans d'autres langues européennes pour voir à
quel point ce texte du CLOUD act a été utilisé comme un épouvantail.
Je vous propose un source non militante et moins enflammée d'un juriste de
l'université de Namur : http://www.crid.be/pdf/public/8465.pdf
Lire en particulier page 7 pour les conditions de recours (référence aux
personnes concernées) et la conclusion en page 12.

A mon avis et après analyse, ça n'est pas fondé de brandir en permanence le
CLOUD Act dès lors que l'on fait un peu de droit, et donc il vaut mieux
utiliser des arguments plus forts comme ceux relatifs aux lois de
surveillance massives françaises ou US (FISA) qui sont elles de réelles
menaces.

La référence au CLOUD Act ne doit pas nous détourner des vrais combats et
encore moins nous transformer en idiots utiles...
Bonne soirée à toutes et à tous.

o-------------------------------------------------------------------o
François BOCQUET
Chef de projet Veille et Prospective
Bureau du soutien à l’innovation et à la recherche
Sous-direction de la transformation numérique
Direction du Numérique pour l’Éducation
au Ministère de l’Éducation Nationale
Tél. : +33 155 557 781 ou +33 6 35 48 21 13
Bureau 129 au 99 rue de Grenelle à Paris
Mèl. : francois.bocquet AT education.gouv.fr
Portfolio : http://fr.linkedin.com/in/fbocquet/

Le 21/09/2021 17:16, « nicolas schont » <nicolas AT schont.org> a écrit :

Bonjour
sur la page wikipédia france
https://fr.wikipedia.org/wiki/CLOUD_Act#Critiques
Le CLOUD Act entre en conflit avec un règlement de la législation
Européenne — le Règlement Général sur la Protection des Données (RGPD) —
entré en vigueur le 25 mai 201814. Le RGPD traite de la protection des
personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données. Son territoire
d'application sont les États membres de l'Union Européenne(UE) pour
toutes les entreprises européennes ou non européennes qui ciblent les
résidents de l'UE par le profilage ou proposent des biens et services à
des résidents européens.
Nicolas
Le 21/09/2021 à 16:58, FRANCOIS BOCQUET a écrit :
> Bonjour,
> Je complète mon message de tout à l'heure car j'ai pu lire et traduire
les deux textes modifiés par le CLOUD Act.
> Après analyse approfondie, le CLOUD Act regle les questions d'accès aux données
des "US Persons" c'est à dire des citoyens US et des résidents légaux aux US
(détenteurs de la carte verte).
> Il ne concerne pas les individus qui ne seraient pas US Persons ce qui
signifie que les citoyens UE ne sont pas concernés sauf s'ils sont résidents
légaux aux USA et que les résidents européens ne sont pas concernés sauf si ce
sont des citoyens US.
> Cette condition permet à n'importe quelle entreprise sollicitée par un tribunal
de rejeter la demande si la personne concernée n'est pas une "US person"
> En clair l'appellation CLOUD qui est un acronyme sans aucun rapport
avec le cloud a pas mal embrouillé les esprits et la période de sortie du texte
a laissé penser que c'était en lien avec le RGPD alors que c'est en rapport avec
le projet de règlement européen e-Evidence qui sera en mirroir des textes
modifiés par le CLOUD act et qui aura la même portée extra territoriale que
celle du RGPD (qui s'applique aussi sur le territoire US dès lors qu'il concerne
des personnes physiques résidents ou citoyens européens).
> Source : The term “U.S. person” has a broad scope and namely includes
citizens or nationals of the United States (they do not necessarily have to
reside in the United States) or aliens lawfully admitted for permanent residence
or corporations incorporated in the United States (§ 2523 (a) (2) of the Cloud
Act).
> Pour aller plus loin :
https://docassas.u-paris2.fr/nuxeo/site/esupversions/c6b02c4e-687b-4aa0-8a57-558fba1b4b92?inline
> Lire aussi l'article de Wikipedia en anglais :
https://en.wikipedia.org/wiki/CLOUD_Act
> et les informations sur les deux textes modifiés :
https://en.wikipedia.org/wiki/Stored_Communications_Act
> avec le paragraphe sur l'extra territorialité : Cela signifie que la
divulgation de communications privées sur des serveurs à l'étranger par le biais
d'un mandat judiciaire ne peut avoir lieu que si l'utilisateur de ces e-mails
est un citoyen américain. [27]
> et https://en.wikipedia.org/wiki/Electronic_Communications_Privacy_Act
> Pour faire court : le CLOUD Act n'est pas un réel problème pour les
libertés des européens même avec des services US. FISA en revanche est si proche
des lois souveraines de notre propre pays qu'elle est une menace sur les
libertés individuelles.
> Pour en savoir plus :
https://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
> Bonne lecture...
> o-------------------------------------------------------------------o
> François BOCQUET
> Chef de projet Veille et Prospective
> Bureau du soutien à l’innovation et à la recherche
> Sous-direction de la transformation numérique
> Direction du Numérique pour l’Éducation
> au Ministère de l’Éducation Nationale
> Tél. : +33 155 557 781 ou +33 6 35 48 21 13
> Bureau 129 au 99 rue de Grenelle à Paris
> Mèl. : francois.bocquet AT education.gouv.fr
> Portfolio : http://fr.linkedin.com/in/fbocquet/
>
> Le 21/09/2021 14:31, « Olivier Guillard » <mairie AT guillard.nom.fr> a
écrit :
>
> Contrats auxquels il conviendra d'ajouter quelques éléments
notamment
> les règles souveraines imposées par leurs juridictions
respectives,
> par exemple :
>
> https://www.justice.gov/dag/cloudact
>
> Cordialement,
>
> ---
> Olivier
>
> Le mar. 21 sept. 2021 à 14:01, dino <dino AT jabberwookie.org> a
écrit :
> >
> > Bonjour
> >
> > un exemple de contrat passé entre un opérateur (le CNED) et un
> > fournisseur USA (blackboard)
> >
> > https://transfert-images.parinux.org/qPLzk9fqh06XCz6x.png
> >
> > je ne pense pas, mais je peux me tromper que le CNED en plus
d'avoir
> > contractualisé avec blackboard, ait un contrat avec google pour
les fonts
> > https://transfert-images.parinux.org/qPLzk9fqh06XCz6x.png
> >
> >
> > newrelic pour les mesures d'audience, mais je n'en trouve pas
trace dans
> > les mentions légales/données personnels, pas assez cherché peut
être et
> > pas de réglages d'acceptation ou de refus des cookies
> > https://fr.wikipedia.org/wiki/New_Relic
> >
> >
> >
> > Pour les mentions légales voici le pdf du site
> >
https://classesvirtuelles.cned.fr/files/Mentions%20l%C3%A9gales%20et%20Protection%20des%20donn%C3%A9es%20%C3%A0%20caract%C3%A8re%20personnel%20MCM%202021.pdf
> >
> > Cookies
> > Le service n’utilise aucun cookie hormis les cookies strictement
> > nécessaires à son bon
> > fonctionnement (comme les cookies de session par exemple).
> >
> > Accès aux données
> > Les personnes ayant accès à vos données sont :
> > - Au sein du Cned, seuls les agents de l’établissement qui
concourent à
> > la délivrance du service ont accès à vos données.
> > - Les prestataires et sous-traitants du CNED, uniquement pour
les
> > opérations techniques de maintenance et hébergement des
solutions
> > informatiques afin de vous fournir un service de qualité. Il
s’agit de :
> > - Cloud temple pour l’hébergement de l’interface de création et
> > administration des classes virtuelles
> > - La société BlackBoard pour la fourniture, la maintenance, et
> > l’hébergement de la solution de classes virtuelles.
> >
> >
> >
> > cloud-front/amazon c'est le contrat du cned avec blackboard
> >
> >
> > autre fournisseur Office 365 via Microsoft, c'est censé être
hébergé en
> > france sauf pour les DOM/COM, qui sont aussi la france
> >
> >
> >
https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide#martinique
> >
> > et pour la france pas tout non plus
> >
https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide#france
> >
> > certes ils précisent d'autres choses sur une autre page
> >
https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/eu-data-storage-locations?view=o365-worldwide
> >
> >
> > Dino
> >
> >
> > Le 21/09/2021 à 11:46, FRANCOIS BOCQUET a écrit :
> > > Bonjour,
> > >
> > > Voici quelques informations qui semblent nous manquer pour
continuer à réfléchir et à agir.
> > >
> > > Tous les éditeurs de services bureautique grand public
(Microsoft Office 365 ou Google Workspace) proposent des versions professionnelles de
leurs services (même Amazon ou Facebook Workplace).
> > >
> > > Dans le premier cas les services grand public repose sur un modèle économique qui
utilise les données pour se rémunérer (principalement pour du profilage publicitaire). C'est donc
"gratuité" contre données utilisables avec le consentement explicite de l'utilisateur (et c'est
donc légal et conforme au RGPD même si toujours à la limite pour réaliser les profits maximum et donc avec
des sanctions régulières quand les limites sont dépassées). Vis à vis du RGPD les éditeurs sont
responsables de traitement vis à vis des utilisateurs. C'est donc ce qui est mis en œuvre quand des
adresse de type @gmail.com sont utilisée ou encore quand Facebook ou Twitter est utilisé. Il n'y a pas de
console d'administration pour l'institution et le contrat est passé directement entre l'éditeur et
l'utilisateur final (ici un étudiant). D'autres services "loyaux" c'est à dire gratuits sans
profilage (financés par des dons par exemple) sont également dans la même situation juridique (par exemple
les services de Proton, de Framasoft et de tous les chatons).
> > > Ce modèle NE DOIT pas être utilisé dans l'éducation car il
n'est pas légal (non conformité avec le RGPD sur la question de la responsabilité de
traitement et du cadre contractuel).
> > >
> > > Dans le second cas, les éditeurs sont sous-traitants
d'institutions. Les contrats sont passés non plus avec les utilisateurs finaux mais
entre l'éditeur et l'institution. A ces contrats sont ajoutés les éléments rendus
obligatoires par le RGPD c'est à dire le contrat de sous traitance (ou Data processing
amendment) et l'éventuel cadre contractuel pour les exports de données hors UE
(clauses de contrat type ou mesures adéquates). Il y a toujours une console
d'administration et de provisionnement des comptes à disposition des administrateurs.
Il n'y a jamais réutilisation des données à d'autres fins que la fourniture du service
encadrée par le contrat passé par l'institution avec l'éditeur. C'est précisé dans le
contrat lui-même et dans le DPA spécifique au RGPD en Europe.
> > >
> > > Donc il faut bien veiller dans les raisonnements à
différencier les deux modèles et à bien les comprendre au moins sur le plan juridique.
> > >
> > > Enfin les critères de licéité des traitements définis par
l'article 6 du RGPD ne sont pas du tout les mêmes dans les deux cas présentés ci
dessus.
> > >
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
> > > Dans le premier cas il y a traitement dans le cadre de
l'execution d'un contrat direct avec l'éditeur et par consentement de l'utilisateur à
la réutilisation de ses données
> > > Dans le second cas il y a traitement pour l'exercice d'une
mission de service public par un responsable d'une institution de formation avec un
sous traitant (l'éditeur).
> > >
> > > Concernant Google Workspace pour éducation, c'est
effectivement utilisé de façon massive dans tous les pays européens dans les
établissements publics du primaire au Sup mais c'est peu développé en France. C'est
même institutionnalisé dans plusieurs états (Ecosse, Autriche, Italie, ...) avec les
deux ecosytèmes et en utilisant un annuaire et un SSO souverain (de type EduConnect).
> > > Microsoft est parvenu en France à remporter presque toutes
les universités et commence à travailler avec les régions pour les lycées (Grand Est
et Haut de France mais aussi Ile de France, PACA et même Normandie)
> > >
> > > A la question : est ce fait pour les établissements scolaires
? la réponse est sans doute oui ( d'autant que l'écosystème ChromeOS (basé sur un
Linux) a pris des parts de marché considérables dans le domaine de l'éducation... En
2020 d'après un article sur Wikipedia il y avait 120 millions d'utilisateurs de Google
Workspace pour éducation (dont 6 millions avec des contrats payant comme ceux des
entreprises) https://en.wikipedia.org/wiki/Google_Workspace
> > >
> > > A la question : y a t'il du traçage et de l'exploitation des
données des élèves à des fins marketing ? la réponse semble être non depuis 2012 ne
serait-ce que par la loi FERPA qui protège les données scolaires des élèves aux USA
depuis 1974 et qui est appliquée avec beaucoup de rigueur même s'il n'y a aucun procès
gagné par des plaignants au sujet de la réutilisation des données par cet éditeur. Le
cadre contractuel semble carré même vis à vis du RGPD et se trouve mis à l'épreuve
régulièrement.
> > >
> > > A disposition pour répondre aux questions si nécessaire.
> > >
> > >
o-------------------------------------------------------------------o
> > > François BOCQUET
> > > Tél. : +33 155 557 781 ou +33 6 35 48 21 13
> > > Mèl. : francois.bocquet AT education.gouv.fr
> > > Portfolio : http://fr.linkedin.com/in/fbocquet/
> > >
> > > Le 20/09/2021 21:15, « educ-request AT april.org au nom de Jean-Luc
GENÊT » <educ-request AT april.org au nom de jean-luc AT brege.net> a écrit :
> > >
> > > Bonsoir,
> > > mes deux enfants reprennent cette semaine le chemin de
leur école d'art.
> > > Il y a deux ans un espace Riot avait été créé pour les
étudiants et j'en
> > > ai été ravi, visios jitsi, etc.
> > > L'an dernier ... zoom pour toutes les visios, aucun n'a
protesté et je
> > > ne m'en suis pas mêlé.
> > > Cette année, google workspace ! Mon fils est mineur mais
se retrouve
> > > avec des jeunes de 19 à 25 ans, j'hésite à intervenir.
> > >
> > > Ce produit n'est il pas plutôt adapté à l'entreprise ?
> > > La personne qui l'a mise en place a certifié aux "première
année" qu'il
> > > ne seraient pas traqués, m'a dit mon fils.
> > > Je n'y crois pas mais cela reste tout a fait subjectif,
je n'en ai pas
> > > les arguments, sauf à dire que c'est G et que son modèle
économique,
> > > c'est les données...
> > >
> > > Je suis déboussolé par ces outils qui prennent une place
que je ne
> > > désire pas dans la vie de mes enfants.
> > > Je pense allez rencontrer le directeur de l'école qui
prône également
> > > une vie tournée vers l'écologie et qui me semble qqu'un
d'ouvert. Des
> > > projets d'étudiants se tournent vers le développement
durable d'ailleurs.
> > > Bon excusez mes longueurs,
> > > Librement
> > > Jean-Luc
> > >
> > >
> > >
> > > --
> > > Pour vous désinscrire de cette liste :
https://listes.april.org/wws/sigrequest/educ
> > >
> > > Pour connaître la configuration de la liste, gérer votre
abonnement à la liste educ et vos informations personnelles :
> > > https://listes.april.org/wws/info/educ
> > >
> > >
> >
> > --
> > Dino
> > --
> > Pour vous désinscrire de cette liste :
https://listes.april.org/wws/sigrequest/educ
> >
> > Pour connaître la configuration de la liste, gérer votre
abonnement à la liste educ et vos informations personnelles :
> > https://listes.april.org/wws/info/educ
> >
> >
>
>
> --
> Olivier Guillard
> Saint Léger en Yvelines
>
>
>
> --
> Pour vous désinscrire de cette liste :
https://listes.april.org/wws/sigrequest/educ
>
> Pour connaître la configuration de la liste, gérer votre abonnement à
la liste educ et vos informations personnelles :
> https://listes.april.org/wws/info/educ
>
>


Attachment: OpenPGP_signature
Description: OpenPGP digital signature


Archives gérées par MHonArc 2.6.19+.

Haut de le page