Accéder au contenu.
Menu Sympa

educ - Re: [EDUC] étudiants-Google worspace

Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)

Archives de la liste

Re: [EDUC] étudiants-Google worspace


Chronologique Discussions 
    < Chronologique >      < Discussions >
  • From: FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>
  • To: "educ AT april.org" <educ AT april.org>
  • Subject: Re: [EDUC] étudiants-Google worspace
  • Date: Wed, 22 Sep 2021 09:15:58 +0000
  • Accept-language: fr-FR, en-US
Bonjour Nicolas,
Ici encore tu confonds Gmail où l'utilisateur final contracte directement
avec Google.
Dans ce cas la justice peut faire une requête, l'éditeur peut la contester
(et c'est ce qu'ils font tous d'où l'arrivée du CLOUD Act pour une affaire
avec Microsoft) sur la base de la nationalité de la personne et de son lieu
de domicile.
Et des comptes sur un service professionnel où l'utilisateur final n'a de
relation qu'avec l'institution qui a passé un contrat professionnel avec
l'éditeur.
Dans le second cas, service professionnel, l'éditeur n'est pas responsable de
traitement et donc il n'y a pas de requête possible sauf sur un éventuel
utilisateur citoyen US ou résident US et la requête est contractuellement
transmise à l'organisation par l'éditeur.
J'ajoute que les organisations utilisant ces services bureautiques chiffrent
les données et messages en conservant eux mêmes les clés de chiffrement (ou
en les faisant gérer par des tiers souverains). L'opérateur européen Thalès
fait ça très bien pour les services des grands éditeurs et depuis longtemps
puisque c'est utilisé par Airbus sur Google Workspace ou encore par l'armée
française sur la suite Office 365
->
https://cpl.thalesgroup.com/blog/data-protection/google-workspace-client-side-encryption

Attention de ne pas tout confondre dans les processus sinon effectivement on
s'embrouille.
Je rappelle juste que ce même type de requête que celle du CLOUD Act peut
être mise en œuvre par la justice ou les services français sur n'importe quel
hébergement en France ou en Europe (libre ou pas libre et même en
autohébergement) et ça vient en France en plus de l'écoute systématique via
les boites noires des opérateurs de service !...
Voir la récente affaire Proton Mail qui a defrayé la chronique en Suisse il y
a deux semaines ->
https://www.lebigdata.fr/protonmail-fournit-donnees-a-la-police et
https://www.numerama.com/tech/736940-protonmail-transmet-des-adresses-ip-a-la-police-4-questions-pour-comprendre-la-polemique.html

Bonne journée.

o-------------------------------------------------------------------o
François BOCQUET
Chef de projet Veille et Prospective
Bureau du soutien à l’innovation et à la recherche
Sous-direction de la transformation numérique
Direction du Numérique pour l’Éducation
au Ministère de l’Éducation Nationale
Tél. : +33 155 557 781 ou +33 6 35 48 21 13
Bureau 129 au 99 rue de Grenelle à Paris
Mèl. : francois.bocquet AT education.gouv.fr
Portfolio : http://fr.linkedin.com/in/fbocquet/

Le 21/09/2021 18:52, « nicolas schont » <educ-request AT april.org au nom de
nicolas AT schont.org> a écrit :

Bonsoir

oui mais comment le fournisseur du service sait que la personne n'est
pas américaine, gmail a juste un vague nom et prénom pour pas juste dire
un pseudo, idem les autres donc ils peuvent bien récupérer les données
de personnes de l'UE même si après on pourra contester si on a été mis
au courant.

Nicolas

Le 21/09/2021 à 18:36, FRANCOIS BOCQUET a écrit :
> Non Nicolas
> Les conditions précisées ici sont celles relatives au recours contre de
la demande par la justice américaine d'accès aux communications electroniques
d'une personne physique. Donc si la personne n'est pas un citoyen US ou un
residant légal alors il est possible de rejeter la demande...
> C'est tout le contraire de ton affirmation qui suit "donc cela cible
bien les ressortissant de l'UE"
> Bonne soirée
>
> o-------------------------------------------------------------------o
> François BOCQUET
> Chef de projet Veille et Prospective
> Bureau du soutien à l’innovation et à la recherche
> Sous-direction de la transformation numérique
> Direction du Numérique pour l’Éducation
> au Ministère de l’Éducation Nationale
> Tél. : +33 155 557 781 ou +33 6 35 48 21 13
> Bureau 129 au 99 rue de Grenelle à Paris
> Mèl. : francois.bocquet AT education.gouv.fr
> Portfolio : http://fr.linkedin.com/in/fbocquet/
>
> Le 21/09/2021 18:13, « nicolas schont » <nicolas AT schont.org> a écrit :
>
> Bonjour
>
> oui je connais ce document est il va dans le sens
> page 7 :
>
> Les conditions
> La première condition est relative à la qualité
> du client ou de l’utilisateur du service . Celui-ci
> ne doit pas être un ressortissant américain (« US
> person ») 35 et ne doit pas résider sur le territoire
> américain .
>
>
> donc cela cible bien les ressortissant de l'UE
>
>
> et
>
> page 8
> À l’heure actuelle, les possibilités d’un tel
> recours sont toutefois limitées dès lors qu’il
> n’existe pas encore d’accord exécutif de ce type
> entre l’Union européenne et les États-Unis .
>
>
> Nicolas
>
> Le 21/09/2021 à 17:42, FRANCOIS BOCQUET a écrit :
> > Merci Nicolas de signaler cet article qui comporte donc une
erreur grossière, erreur ou affirmation qui n'est d'ailleurs pas sourcée par
un texte original.
> > Il est regrettable que les règles relatives aux sources
nécessaires sur Wikipedia ne soient pas mise en œuvre dans cet article.
> > J'ai déjà eu l'occasion de modifier une fois l'article en
question le 8 juin 2020 sous mon nom et ma modification a été retransformée
rapidement par un militant persuadé d'avoir raison sans que je juge
nécessaire de tenter de le convaincre par la discussion.
> > La propagande a été bien réalisée sur cette affaire de CLOUD Act
et c'est bien pour cette raison que j'ai souhaité vérifier le texte lui même
pour comprendre.
> > Il suffit de lire les versions dans d'autres langues européennes
pour voir à quel point ce texte du CLOUD act a été utilisé comme un
épouvantail.
> > Je vous propose un source non militante et moins enflammée d'un
juriste de l'université de Namur : http://www.crid.be/pdf/public/8465.pdf
> > Lire en particulier page 7 pour les conditions de recours
(référence aux personnes concernées) et la conclusion en page 12.
> >
> > A mon avis et après analyse, ça n'est pas fondé de brandir en
permanence le CLOUD Act dès lors que l'on fait un peu de droit, et donc il
vaut mieux utiliser des arguments plus forts comme ceux relatifs aux lois de
surveillance massives françaises ou US (FISA) qui sont elles de réelles
menaces.
> >
> > La référence au CLOUD Act ne doit pas nous détourner des vrais
combats et encore moins nous transformer en idiots utiles...
> >
> > Bonne soirée à toutes et à tous.
> >
> >
o-------------------------------------------------------------------o
> > François BOCQUET
> > Chef de projet Veille et Prospective
> > Bureau du soutien à l’innovation et à la recherche
> > Sous-direction de la transformation numérique
> > Direction du Numérique pour l’Éducation
> > au Ministère de l’Éducation Nationale
> > Tél. : +33 155 557 781 ou +33 6 35 48 21 13
> > Bureau 129 au 99 rue de Grenelle à Paris
> > Mèl. : francois.bocquet AT education.gouv.fr
> > Portfolio : http://fr.linkedin.com/in/fbocquet/
> >
> > Le 21/09/2021 17:16, « nicolas schont » <nicolas AT schont.org> a
écrit :
> >
> > Bonjour
> >
> > sur la page wikipédia france
> > https://fr.wikipedia.org/wiki/CLOUD_Act#Critiques
> >
> > Le CLOUD Act entre en conflit avec un règlement de la
législation
> > Européenne — le Règlement Général sur la Protection des
Données (RGPD) —
> > entré en vigueur le 25 mai 201814. Le RGPD traite de la
protection des
> > personnes physiques à l'égard du traitement des données à
caractère
> > personnel et à la libre circulation de ces données. Son
territoire
> > d'application sont les États membres de l'Union
Européenne(UE) pour
> > toutes les entreprises européennes ou non européennes qui
ciblent les
> > résidents de l'UE par le profilage ou proposent des biens
et services à
> > des résidents européens.
> >
> >
> >
> > Nicolas
> >
> > Le 21/09/2021 à 16:58, FRANCOIS BOCQUET a écrit :
> > > Bonjour,
> > > Je complète mon message de tout à l'heure car j'ai pu
lire et traduire les deux textes modifiés par le CLOUD Act.
> > > Après analyse approfondie, le CLOUD Act regle les
questions d'accès aux données des "US Persons" c'est à dire des citoyens US
et des résidents légaux aux US (détenteurs de la carte verte).
> > > Il ne concerne pas les individus qui ne seraient pas US
Persons ce qui signifie que les citoyens UE ne sont pas concernés sauf s'ils
sont résidents légaux aux USA et que les résidents européens ne sont pas
concernés sauf si ce sont des citoyens US.
> > > Cette condition permet à n'importe quelle entreprise
sollicitée par un tribunal de rejeter la demande si la personne concernée
n'est pas une "US person"
> > > En clair l'appellation CLOUD qui est un acronyme sans
aucun rapport avec le cloud a pas mal embrouillé les esprits et la période de
sortie du texte a laissé penser que c'était en lien avec le RGPD alors que
c'est en rapport avec le projet de règlement européen e-Evidence qui sera en
mirroir des textes modifiés par le CLOUD act et qui aura la même portée extra
territoriale que celle du RGPD (qui s'applique aussi sur le territoire US dès
lors qu'il concerne des personnes physiques résidents ou citoyens européens).
> > > Source : The term “U.S. person” has a broad scope and
namely includes citizens or nationals of the United States (they do not
necessarily have to reside in the United States) or aliens lawfully admitted
for permanent residence or corporations incorporated in the United States (§
2523 (a) (2) of the Cloud Act).
> > > Pour aller plus loin :
https://docassas.u-paris2.fr/nuxeo/site/esupversions/c6b02c4e-687b-4aa0-8a57-558fba1b4b92?inline
> > > Lire aussi l'article de Wikipedia en anglais :
https://en.wikipedia.org/wiki/CLOUD_Act
> > > et les informations sur les deux textes modifiés :
https://en.wikipedia.org/wiki/Stored_Communications_Act
> > > avec le paragraphe sur l'extra territorialité : Cela
signifie que la divulgation de communications privées sur des serveurs à
l'étranger par le biais d'un mandat judiciaire ne peut avoir lieu que si
l'utilisateur de ces e-mails est un citoyen américain. [27]
> > > et
https://en.wikipedia.org/wiki/Electronic_Communications_Privacy_Act
> > > Pour faire court : le CLOUD Act n'est pas un réel
problème pour les libertés des européens même avec des services US. FISA en
revanche est si proche des lois souveraines de notre propre pays qu'elle est
une menace sur les libertés individuelles.
> > > Pour en savoir plus :
https://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
> > > Bonne lecture...
> > >
o-------------------------------------------------------------------o
> > > François BOCQUET
> > > Chef de projet Veille et Prospective
> > > Bureau du soutien à l’innovation et à la recherche
> > > Sous-direction de la transformation numérique
> > > Direction du Numérique pour l’Éducation
> > > au Ministère de l’Éducation Nationale
> > > Tél. : +33 155 557 781 ou +33 6 35 48 21 13
> > > Bureau 129 au 99 rue de Grenelle à Paris
> > > Mèl. : francois.bocquet AT education.gouv.fr
> > > Portfolio : http://fr.linkedin.com/in/fbocquet/
> > >
> > > Le 21/09/2021 14:31, « Olivier Guillard »
<mairie AT guillard.nom.fr> a écrit :
> > >
> > > Contrats auxquels il conviendra d'ajouter quelques
éléments notamment
> > > les règles souveraines imposées par leurs
juridictions respectives,
> > > par exemple :
> > >
> > > https://www.justice.gov/dag/cloudact
> > >
> > > Cordialement,
> > >
> > > ---
> > > Olivier
> > >
> > > Le mar. 21 sept. 2021 à 14:01, dino
<dino AT jabberwookie.org> a écrit :
> > > >
> > > > Bonjour
> > > >
> > > > un exemple de contrat passé entre un opérateur (le
CNED) et un
> > > > fournisseur USA (blackboard)
> > > >
> > > >
https://transfert-images.parinux.org/qPLzk9fqh06XCz6x.png
> > > >
> > > > je ne pense pas, mais je peux me tromper que le
CNED en plus d'avoir
> > > > contractualisé avec blackboard, ait un contrat
avec google pour les fonts
> > > >
https://transfert-images.parinux.org/qPLzk9fqh06XCz6x.png
> > > >
> > > >
> > > > newrelic pour les mesures d'audience, mais je n'en
trouve pas trace dans
> > > > les mentions légales/données personnels, pas assez
cherché peut être et
> > > > pas de réglages d'acceptation ou de refus des
cookies
> > > > https://fr.wikipedia.org/wiki/New_Relic
> > > >
> > > >
> > > >
> > > > Pour les mentions légales voici le pdf du site
> > > >
https://classesvirtuelles.cned.fr/files/Mentions%20l%C3%A9gales%20et%20Protection%20des%20donn%C3%A9es%20%C3%A0%20caract%C3%A8re%20personnel%20MCM%202021.pdf
> > > >
> > > > Cookies
> > > > Le service n’utilise aucun cookie hormis les
cookies strictement
> > > > nécessaires à son bon
> > > > fonctionnement (comme les cookies de session par
exemple).
> > > >
> > > > Accès aux données
> > > > Les personnes ayant accès à vos données sont :
> > > > - Au sein du Cned, seuls les agents de
l’établissement qui concourent à
> > > > la délivrance du service ont accès à vos données.
> > > > - Les prestataires et sous-traitants du CNED,
uniquement pour les
> > > > opérations techniques de maintenance et
hébergement des solutions
> > > > informatiques afin de vous fournir un service de
qualité. Il s’agit de :
> > > > - Cloud temple pour l’hébergement de l’interface
de création et
> > > > administration des classes virtuelles
> > > > - La société BlackBoard pour la fourniture, la
maintenance, et
> > > > l’hébergement de la solution de classes virtuelles.
> > > >
> > > >
> > > >
> > > > cloud-front/amazon c'est le contrat du cned avec
blackboard
> > > >
> > > >
> > > > autre fournisseur Office 365 via Microsoft, c'est
censé être hébergé en
> > > > france sauf pour les DOM/COM, qui sont aussi la
france
> > > >
> > > >
> > > >
https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide#martinique
> > > >
> > > > et pour la france pas tout non plus
> > > >
https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide#france
> > > >
> > > > certes ils précisent d'autres choses sur une autre
page
> > > >
https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/eu-data-storage-locations?view=o365-worldwide
> > > >
> > > >
> > > > Dino
> > > >
> > > >
> > > > Le 21/09/2021 à 11:46, FRANCOIS BOCQUET a écrit :
> > > > > Bonjour,
> > > > >
> > > > > Voici quelques informations qui semblent nous
manquer pour continuer à réfléchir et à agir.
> > > > >
> > > > > Tous les éditeurs de services bureautique grand
public (Microsoft Office 365 ou Google Workspace) proposent des versions
professionnelles de leurs services (même Amazon ou Facebook Workplace).
> > > > >
> > > > > Dans le premier cas les services grand public
repose sur un modèle économique qui utilise les données pour se rémunérer
(principalement pour du profilage publicitaire). C'est donc "gratuité" contre
données utilisables avec le consentement explicite de l'utilisateur (et c'est
donc légal et conforme au RGPD même si toujours à la limite pour réaliser les
profits maximum et donc avec des sanctions régulières quand les limites sont
dépassées). Vis à vis du RGPD les éditeurs sont responsables de traitement
vis à vis des utilisateurs. C'est donc ce qui est mis en œuvre quand des
adresse de type @gmail.com sont utilisée ou encore quand Facebook ou Twitter
est utilisé. Il n'y a pas de console d'administration pour l'institution et
le contrat est passé directement entre l'éditeur et l'utilisateur final (ici
un étudiant). D'autres services "loyaux" c'est à dire gratuits sans profilage
(financés par des dons par exemple) sont également dans la même situation
juridique (par exemple les services de Proton, de Framasoft et de tous les
chatons).
> > > > > Ce modèle NE DOIT pas être utilisé dans
l'éducation car il n'est pas légal (non conformité avec le RGPD sur la
question de la responsabilité de traitement et du cadre contractuel).
> > > > >
> > > > > Dans le second cas, les éditeurs sont
sous-traitants d'institutions. Les contrats sont passés non plus avec les
utilisateurs finaux mais entre l'éditeur et l'institution. A ces contrats
sont ajoutés les éléments rendus obligatoires par le RGPD c'est à dire le
contrat de sous traitance (ou Data processing amendment) et l'éventuel cadre
contractuel pour les exports de données hors UE (clauses de contrat type ou
mesures adéquates). Il y a toujours une console d'administration et de
provisionnement des comptes à disposition des administrateurs. Il n'y a
jamais réutilisation des données à d'autres fins que la fourniture du service
encadrée par le contrat passé par l'institution avec l'éditeur. C'est précisé
dans le contrat lui-même et dans le DPA spécifique au RGPD en Europe.
> > > > >
> > > > > Donc il faut bien veiller dans les raisonnements
à différencier les deux modèles et à bien les comprendre au moins sur le plan
juridique.
> > > > >
> > > > > Enfin les critères de licéité des traitements
définis par l'article 6 du RGPD ne sont pas du tout les mêmes dans les deux
cas présentés ci dessus.
> > > > >
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
> > > > > Dans le premier cas il y a traitement dans le
cadre de l'execution d'un contrat direct avec l'éditeur et par consentement
de l'utilisateur à la réutilisation de ses données
> > > > > Dans le second cas il y a traitement pour
l'exercice d'une mission de service public par un responsable d'une
institution de formation avec un sous traitant (l'éditeur).
> > > > >
> > > > > Concernant Google Workspace pour éducation,
c'est effectivement utilisé de façon massive dans tous les pays européens
dans les établissements publics du primaire au Sup mais c'est peu développé
en France. C'est même institutionnalisé dans plusieurs états (Ecosse,
Autriche, Italie, ...) avec les deux ecosytèmes et en utilisant un annuaire
et un SSO souverain (de type EduConnect).
> > > > > Microsoft est parvenu en France à remporter
presque toutes les universités et commence à travailler avec les régions pour
les lycées (Grand Est et Haut de France mais aussi Ile de France, PACA et
même Normandie)
> > > > >
> > > > > A la question : est ce fait pour les
établissements scolaires ? la réponse est sans doute oui ( d'autant que
l'écosystème ChromeOS (basé sur un Linux) a pris des parts de marché
considérables dans le domaine de l'éducation... En 2020 d'après un article
sur Wikipedia il y avait 120 millions d'utilisateurs de Google Workspace pour
éducation (dont 6 millions avec des contrats payant comme ceux des
entreprises) https://en.wikipedia.org/wiki/Google_Workspace
> > > > >
> > > > > A la question : y a t'il du traçage et de
l'exploitation des données des élèves à des fins marketing ? la réponse
semble être non depuis 2012 ne serait-ce que par la loi FERPA qui protège les
données scolaires des élèves aux USA depuis 1974 et qui est appliquée avec
beaucoup de rigueur même s'il n'y a aucun procès gagné par des plaignants au
sujet de la réutilisation des données par cet éditeur. Le cadre contractuel
semble carré même vis à vis du RGPD et se trouve mis à l'épreuve
régulièrement.
> > > > >
> > > > > A disposition pour répondre aux questions si
nécessaire.
> > > > >
> > > > >
o-------------------------------------------------------------------o
> > > > > François BOCQUET
> > > > > Tél. : +33 155 557 781 ou +33 6 35 48 21 13
> > > > > Mèl. : francois.bocquet AT education.gouv.fr
> > > > > Portfolio :
http://fr.linkedin.com/in/fbocquet/
> > > > >
> > > > > Le 20/09/2021 21:15, « educ-request AT april.org au
nom de Jean-Luc GENÊT » <educ-request AT april.org au nom de jean-luc AT brege.net>
a écrit :
> > > > >
> > > > > Bonsoir,
> > > > > mes deux enfants reprennent cette semaine
le chemin de leur école d'art.
> > > > > Il y a deux ans un espace Riot avait été
créé pour les étudiants et j'en
> > > > > ai été ravi, visios jitsi, etc.
> > > > > L'an dernier ... zoom pour toutes les
visios, aucun n'a protesté et je
> > > > > ne m'en suis pas mêlé.
> > > > > Cette année, google workspace ! Mon fils
est mineur mais se retrouve
> > > > > avec des jeunes de 19 à 25 ans, j'hésite à
intervenir.
> > > > >
> > > > > Ce produit n'est il pas plutôt adapté à
l'entreprise ?
> > > > > La personne qui l'a mise en place a
certifié aux "première année" qu'il
> > > > > ne seraient pas traqués, m'a dit mon fils.
> > > > > Je n'y crois pas mais cela reste tout a
fait subjectif, je n'en ai pas
> > > > > les arguments, sauf à dire que c'est G et
que son modèle économique,
> > > > > c'est les données...
> > > > >
> > > > > Je suis déboussolé par ces outils qui
prennent une place que je ne
> > > > > désire pas dans la vie de mes enfants.
> > > > > Je pense allez rencontrer le directeur de
l'école qui prône également
> > > > > une vie tournée vers l'écologie et qui me
semble qqu'un d'ouvert. Des
> > > > > projets d'étudiants se tournent vers le
développement durable d'ailleurs.
> > > > > Bon excusez mes longueurs,
> > > > > Librement
> > > > > Jean-Luc
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Pour vous désinscrire de cette liste :
https://listes.april.org/wws/sigrequest/educ
> > > > >
> > > > > Pour connaître la configuration de la liste,
gérer votre abonnement à la liste educ et vos informations personnelles :
> > > > > https://listes.april.org/wws/info/educ
> > > > >
> > > > >
> > > >
> > > > --
> > > > Dino
> > > > --
> > > > Pour vous désinscrire de cette liste :
https://listes.april.org/wws/sigrequest/educ
> > > >
> > > > Pour connaître la configuration de la liste, gérer
votre abonnement à la liste educ et vos informations personnelles :
> > > > https://listes.april.org/wws/info/educ
> > > >
> > > >
> > >
> > >
> > > --
> > > Olivier Guillard
> > > Saint Léger en Yvelines
> > >
> > >
> > >
> > > --
> > > Pour vous désinscrire de cette liste :
https://listes.april.org/wws/sigrequest/educ
> > >
> > > Pour connaître la configuration de la liste, gérer votre
abonnement à la liste educ et vos informations personnelles :
> > > https://listes.april.org/wws/info/educ
> > >
> > >
> >
> >
> >
>
>
>




Archives gérées par MHonArc 2.6.19+.

Haut de le page