Re: [EDUC] étudiants-Google worspace

[FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>]

Bonjour Xavier


Le 21/09/2021 22:58, « Vincent-Xavier JUMEL » <educ-request AT april.org au nom 
de vxjumel AT april.org> a écrit :

    Le 21 sept. à 11:46 FRANCOIS BOCQUET a écrit
    > Dans le premier cas les services grand public repose sur un modèle
    > économique qui utilise les données pour se rémunérer (principalement 
pour
    > du profilage publicitaire). C'est donc "gratuité" contre données
    > utilisables avec le consentement explicite de l'utilisateur (et c'est 
donc
    > légal et conforme au RGPD même si toujours à la limite pour réaliser les
    > profits maximum et donc avec des sanctions régulières quand les limites
    > sont dépassées). Vis à vis du RGPD les éditeurs sont responsables de
    > traitement vis à vis des utilisateurs. C'est donc ce qui est mis en 
œuvre
    > quand des adresse de type @gmail.com sont utilisée ou encore quand
    > Facebook ou Twitter est utilisé. Il n'y a pas de console 
d'administration
    > pour l'institution et le contrat est passé directement entre l'éditeur 
et
    > l'utilisateur final (ici un étudiant). D'autres services "loyaux" c'est 
à
    > dire gratuits sans profilage (financés par des dons par exemple) sont
    > également dans la même situation juridique (par exemple les services de
    > Proton, de Framasoft et de tous les chatons).
    
    Le fait même que les sanctions soient régulières signifient qu'elles sont
    inefficaces et donc que ce modèle reste très profitable malgré les lois
    existant à ce sujet.
-> non parce que chaque sanction ajuste la régulation de l'Europe (et 
d'ailleurs des autres pays)
le modèle service contre données pour de la pub reste effictivement très 
efficace même avec de la regulation qui protège de mieux en mieux les 
personnes qui consentent à utiliser ces services.
    
    La complexité de celles-ci, associée à la méconnaissance des réalités
    informatiques par l'institution judiciaire, fait que 1/ les recours sont
    rares 2/ ils sont maltraités.
-> pour avoir eu la chance d'échanger une journée complète avec des officiers 
gendarme de lutte contre la cybercriminalité je peux te garantir qu'ils sont 
super compétents ! Ensuite les recours c'est un autre sujet, il faut rappeler 
que la très très grande majorité des utilisateurs de ces services est 
consentante et accepte en connaissance de cause le pacte faustien qui leur 
est proposé. Et à chaque condamnation ce pacte est un peu plus lisible et 
compréhensible et continue d'être accepté par la très grand majorité des 
utilisateurs.
    
    > Ce modèle NE DOIT pas être utilisé dans l'éducation car il n'est pas 
légal
    > (non conformité avec le RGPD sur la question de la responsabilité de
    > traitement et du cadre contractuel).
    > 
    Étrange de mettre dans le même panier des services comme Framasoft
    (association) et Proton (Entreprise), ainsi que l'utilisation de 
guillement
    autour du mot loyal. On voudrait faire du FUD (Fear Uncertainity & Doubt)
    qu'on ne s'y prendrait pas autrement.
-> le terme "loyal" est entre guillement car imprécis. Mon objectif n'est pas 
de dire qu'il y a un doute sur leur loyauté ni sur leur militantisme pour 
Framasoft et les chatons. En revanche, ces services ne sont pas utilisables 
en conformité avec l'application du RGPD en contexte scolaire. Ils ne sont 
utilisables qu'en contexte privé (domestique ou associatif) car leurs 
contrats ne sont pas conforme aux exigences du règlement et cela même s'il 
sont loyaux quant à l'utilisation ou à la réutilisation des données des 
utilisateurs.
    
    La conformité au RGPD est une décision qui s'applique localement, service
    par service. Ce qu'un DPD A peut accepter pour un service X, peut ne pas
    être accepté par un DPD B, alors qu'il accepte d'autres choses pour Y. Ces
    acceptations pouvant évoluer dans le temps (on peut par exemple lire que
    Klassroom est toléré dans l'académie de Créteil jsuqu'à la fin de l'année
    
http://www.ac-creteil.fr/cid154302/applications-autorisees-pour-les-dsden-et-les-ecoles.html)
-> il y a deux élements à prendre en compte pour les services professionnels 
: la décision prise par le responsable de traitement (qui peut suivre ou non 
ce qu'un DPD accepte ou pas car ce dernier n'est responsable de rien vis à 
vis du traitement) qui décide en fonction de beaucoup de paramètres (dont des 
paramètres n'ayant in fine rien à voir avec le RGPD) et la conformité 
intrinsèque du service qui doit présenter un certain nombre de 
caractéristiques fonctionnelles et reglementaires pour pouvoir être examiné 
avant d'être inscrit dans un registre de traitement. Par exemple : 
l'architecture et la sécurité mise en œuvre, le peuplement des comptes, le 
chiffrement, les consoles d'administrations disponibles, l'existence d'une 
représentation en Europe, les mesures adéquates pour un éventuel export hors 
UE, des clauses de contrats type, un accord de sous traitance, la 
transparence sur les sous traitance de rang 2, etc...
Dans le second élément, tous les points sont objectivés et utilisables de 
façon commune par tous les responsables de traitement en Europe. Pour le 
premier tout dépend du contexte local et des forces en présence...
    
    Enfin, pour répondre à la question initiale, il faut le moins possible
    accepter cette mainmise par les silos de données.
-> c'est un point qui peut se discuter dès que l'on a défini ce qu'est un 
silo de données dans notre contexte __

Bonne journée.
    -- 
    Vincent-Xavier JUMEL Id: 0xBC8C2BAB14ABB3F2 https://blog.thetys-retz.net
    
    Société Libre, Logiciel Libre http://www.april.org/adherer
    Parinux, logiciel libre à Paris : http://www.parinux.org