Accéder au contenu.
Menu Sympa

educ - Re: [EDUC] étudiants-Google worspace

Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)

Archives de la liste

Re: [EDUC] étudiants-Google worspace


Chronologique Discussions 
  • From: FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>
  • To: "educ AT april.org" <educ AT april.org>
  • Subject: Re: [EDUC] étudiants-Google worspace
  • Date: Fri, 24 Sep 2021 14:08:30 +0000
  • Accept-language: fr-FR, en-US

Bonjour Jérôme,

Non il n’est pas clot du tout dans la mesure ou la décision de la CJU,E si elle invalide clairement le Privacy Shield qui n’a jamais été utilisé dans les services professionnels, n’invalide pas les autres mesures de conformités et demandait à les préciser et à les améliorer.

C’est l’objet des nouvelles clauses de contrat type qui ont été produite en juin par la Commission après avis de la CEPD (et des 27 CNIL).

Il en ressort que ces clauses de contrat type associées à des mesures adéquates permettent toujours des exports de données hors de l’UE valides en particulier parce qu’une des clauses ramène la juridiction realtive au traitement dans le pays émetteur de données (pour nous devant le TA pour des institutions publiques).
C’est bien sûr très différent pour les services « grand public » comme FaceBook, Gmail ou Twitter ou encore iOS ou Android qui ne répondent pas aux mêms contrats et qui ne mobilisent pas nécessairement les clauses de contrat type de façon historique.

Attention à la l’interprétation « en substance » d’un texte aussi complexe qui s’articule avec les différents textes à effets extra-territoriaux de type RGPD, FISA et autres dont e-Privacy bientôt…
La révision des clauses de contrat type par l’UE publiées en juin dernier ont 18 mois pour être appliquées.

Elles sont déjà en cours d’application chez Google pour Google Ads et autre analytics bien en avance de phase.

Le data processing amendment a également été mis à jour cet été (en version 2.3 maintenant).
Quant à Office 365, même le DINUM indique des pistes de contournement dans sa circulaire avec la proposition de l’utilisation d’O365 sur une infra Orange/Atos certifiée SecNumCloud.
Je suis prêt à parier que Google prépare la même chose avec un autre opérateur « souverain » en France ou en Europe…

A suivre dans les semaines à venir…

 

o-------------------------------------------------------------------o
  François BOCQUET 
  Chef de projet Veille et Prospective

  Bureau du soutien à l’innovation et à la recherche

  Sous-direction de la transformation numérique
  Direction du Numérique pour l’Éducation

  au Ministère de l’Éducation Nationale
  Tél. : +33 155 557 781 ou +33 6 35 48 21 13
  Bureau 129 au 99  rue de Grenelle à Paris
  Mèl. : francois.bocquet AT education.gouv.fr 
  Portfolio : http://fr.linkedin.com/in/fbocquet/

 

De : <educ-request AT april.org> au nom de BARDOT Jérôme <bardot.jerome AT gmail.com>
Répondre à : "educ AT april.org" <educ AT april.org>
Date : mercredi 22 septembre 2021 à 14:04
À : "educ AT april.org" <educ AT april.org>
Objet : Re: [EDUC] étudiants-Google worspace

 

 

Je croyais que ce débat était plus ou moins clôt a grâce de la décision de la cjue.

Qui dit en substance : si c'est un provider basé au USA de part la clause extraterritorialité il ne peut pas y avoir de garanties suffisantes pour le respect du rgpd donc l’utilisation d'un provider américain utilisant a minima une ip (défini comme donnée personnelle) est a proscrire. Et la décision se base plus sur le de l'espionnage des USA que sur le tracking publicitaire :

https://invidious.fdn.fr/watch?v=EOWeewlc2CE <= interview sourcée

 

Ne pas hésiter a allez lire les présentation leak des services américain wikileaks, qui prouve notamment leurs volonté de mapper le réseau (ip) (treasure map) et l'accès aux données des GAFAM (les nôtres) sans le consentement de qui que ce soit (PRISM).

 

j.

 

On 22/09/2021 11:24, FRANCOIS BOCQUET wrote:

La réponse est non car il s'agit d'enquêtes à charge et à décharge
Les requêtes concernent les services grand public et pas les services professionnels
Dans le cas des services professionnels les requetes sont transmises aux organisations concernées.
Les données sont seulement consultées et transférées en tant que preuve mais doit être conservées dans leur intégrité (comme dans les enquêtes de police judiciaire en France avec la gendramerie par exemple)
La personne concernée doit être informée à posteriori par la présence de ces preuves dans le dossier d'instruction de l'affaire.
Bonne journée
 
o-------------------------------------------------------------------o
  François BOCQUET 
  Chef de projet Veille et Prospective
  Bureau du soutien à l’innovation et à la recherche
  Sous-direction de la transformation numérique
  Direction du Numérique pour l’Éducation
  au Ministère de l’Éducation Nationale
  Tél. : +33 155 557 781 ou +33 6 35 48 21 13
  Bureau 129 au 99  rue de Grenelle à Paris
  Mèl. : francois.bocquet AT education.gouv.fr 
  Portfolio : http://fr.linkedin.com/in/fbocquet/
 
Le 21/09/2021 20:19, « Olivier Guillard » <mairie AT guillard.nom.fr> a écrit :
 
    J'ajoute cette question adressé aux connaisseurs du cloud act:
    
    Lorsque les données personnelles d'un utilisateur, qu'il soit européen
    ou non, sont consultées, transférées et/ou exploitées, est-il prévu
    qu'il en soit informé ?
    
    Cordialement,
    
    
    
    Le mar. 21 sept. 2021 à 18:53, nicolas schont <nicolas AT schont.org> a écrit :
    >
    > et en complément
    >
    > Le conflit de lois paraît inévitable
    > RGPD et Cloud Act entrent de plein fouet en
    > collision .
    > Une enquête américaine relative à des intérêts
    > américains pourrait, sur la base du Cloud Act,
    > donner lieu à un mandat exigeant un trans-
    > fert de données concernant, par exemple, un
    > citoyen européen, données hébergées et trai-
    > tées sur le territoire de l’UE . Et ce en dehors de
    > tout cadre légal européen ou national, sans
    > aucun contrôle d’une autorité européenne
    > et fort peu de recours effectifs 42 ouverts à la
    > personne concernée .
    >
    >
    >
    > ainsi qu'en page 8
    > À l’heure actuelle, les possibilités d’un tel
    > recours sont toutefois limitées dès lors qu’il
    > n’existe pas encore d’accord exécutif de ce type
    > entre l’Union européenne et les États-Unis .
    >
    >
    > et que malgré les 3 critéres
    > - personnes non US
    > - risque de conflit avec une loi du gouvernement distant
    > - l’analyse de courtoisie ou « Comity Analysis »
    >
    > le critére 2 ne peut être mis en place donc
    >
    > et le 3eme c'est l’intérêt des US
    > 3. Critères d’appréciation – Comity Analysis
    > Le Cloud Act prévoit que le tribunal, dans son
    > appréciation de cette troisième condition
    > (l’analyse de courtoisie ou « Comity Analysis »),
    > doit prendre en compte les critères suivants :
    >
    > extrait :
    > - les intérêts des États-Unis, y compris les inté-
    > rêts en matière d’enquête de l’entité gouver-
    > nementale cherchant à exiger la divulgation ;
    >
    > -l’importance pour l’enquête des informa-
    > tions devant être divulguées ;
    >
    >
    > donc au vu de 3 critéres dont 2 non applicable et de la demi douzine
    > d'excuses proposées,  1 critére contre X le transfére aura lieu
    >
    >
    > Nicolas
    >
    > Le 21/09/2021 à 18:42, nicolas schont a écrit :
    > > Bonsoir
    > >
    > > oui mais comment le fournisseur du service sait que la personne n'est
    > > pas américaine, gmail a juste un vague nom et prénom pour pas juste dire
    > > un pseudo, idem les autres donc ils peuvent bien récupérer les données
    > > de personnes de l'UE même si après on pourra contester si on a été mis
    > > au courant.
    > >
    > > Nicolas
    > >
    > > Le 21/09/2021 à 18:36, FRANCOIS BOCQUET a écrit :
    > >> Non Nicolas
    > >> Les conditions précisées ici sont celles relatives au recours contre
    > >> de la demande par la justice américaine d'accès aux communications
    > >> electroniques d'une personne physique. Donc si la personne n'est pas
    > >> un citoyen US ou un residant légal alors il est possible de rejeter la
    > >> demande...
    > >> C'est tout le contraire de ton affirmation qui suit "donc cela cible
    > >> bien les ressortissant de l'UE"
    > >> Bonne soirée
    > >> o-------------------------------------------------------------------o
    > >>    François BOCQUET
    > >>    Chef de projet Veille et Prospective
    > >>    Bureau du soutien à l’innovation et à la recherche
    > >>    Sous-direction de la transformation numérique
    > >>    Direction du Numérique pour l’Éducation
    > >>    au Ministère de l’Éducation Nationale
    > >>    Tél. : +33 155 557 781 ou +33 6 35 48 21 13
    > >>    Bureau 129 au 99  rue de Grenelle à Paris
    > >>    Mèl. : francois.bocquet AT education.gouv.fr
    > >>    Portfolio : http://fr.linkedin.com/in/fbocquet/
    > >>
    > >> Le 21/09/2021 18:13, « nicolas schont » <nicolas AT schont.org> a écrit :
    > >>
    > >>      Bonjour
    > >>      oui je connais ce document est il va dans le sens
    > >>      page 7 :
    > >>      Les conditions
    > >>      La première condition est relative à la qualité
    > >>      du client ou de l’utilisateur du service . Celui-ci
    > >>      ne doit pas être un ressortissant américain (« US
    > >>      person ») 35 et ne doit pas résider sur le territoire
    > >>      américain .
    > >>      donc cela cible bien les ressortissant de l'UE
    > >>      et
    > >>      page 8
    > >>      À l’heure actuelle, les possibilités d’un tel
    > >>      recours sont toutefois limitées dès lors qu’il
    > >>      n’existe pas encore d’accord exécutif de ce type
    > >>      entre l’Union européenne et les États-Unis .
    > >>      Nicolas
    > >>      Le 21/09/2021 à 17:42, FRANCOIS BOCQUET a écrit :
    > >>      > Merci Nicolas de signaler cet article qui comporte donc une
    > >> erreur grossière, erreur ou affirmation qui n'est d'ailleurs pas
    > >> sourcée par un texte original.
    > >>      > Il est regrettable que les règles relatives aux sources
    > >> nécessaires sur Wikipedia ne soient pas mise en œuvre dans cet article.
    > >>      > J'ai déjà eu l'occasion de modifier une fois l'article en
    > >> question le 8 juin 2020 sous mon nom et ma modification a été
    > >> retransformée rapidement par un militant persuadé d'avoir raison sans
    > >> que je juge nécessaire de tenter de le convaincre par la discussion.
    > >>      > La propagande a été bien réalisée sur cette affaire de CLOUD
    > >> Act et c'est bien pour cette raison que j'ai souhaité vérifier le
    > >> texte lui même pour comprendre.
    > >>      > Il suffit de lire les versions dans d'autres langues
    > >> européennes pour voir à quel point ce texte du CLOUD act a été utilisé
    > >> comme un épouvantail.
    > >>      > Je vous propose un source non militante et moins enflammée d'un
    > >> juriste de l'université de Namur : http://www.crid.be/pdf/public/8465.pdf
    > >>      > Lire en particulier page 7 pour les conditions de recours
    > >> (référence aux personnes concernées) et la conclusion en page 12.
    > >>      >
    > >>      > A mon avis et après analyse, ça n'est pas fondé de brandir en
    > >> permanence le CLOUD Act dès lors que l'on fait un peu de droit, et
    > >> donc il vaut mieux utiliser des arguments plus forts comme ceux
    > >> relatifs aux lois de surveillance massives françaises ou US (FISA) qui
    > >> sont elles de réelles menaces.
    > >>      >
    > >>      > La référence au CLOUD Act ne doit pas nous détourner des vrais
    > >> combats et encore moins nous transformer en idiots utiles...
    > >>      >
    > >>      > Bonne soirée à toutes et à tous.
    > >>      >
    > >>      >
    > >> o-------------------------------------------------------------------o
    > >>      >    François BOCQUET
    > >>      >    Chef de projet Veille et Prospective
    > >>      >    Bureau du soutien à l’innovation et à la recherche
    > >>      >    Sous-direction de la transformation numérique
    > >>      >    Direction du Numérique pour l’Éducation
    > >>      >    au Ministère de l’Éducation Nationale
    > >>      >    Tél. : +33 155 557 781 ou +33 6 35 48 21 13
    > >>      >    Bureau 129 au 99  rue de Grenelle à Paris
    > >>      >    Mèl. : francois.bocquet AT education.gouv.fr
    > >>      >    Portfolio : http://fr.linkedin.com/in/fbocquet/
    > >>      >
    > >>      > Le 21/09/2021 17:16, « nicolas schont » <nicolas AT schont.org> a
    > >> écrit :
    > >>      >
    > >>      >      Bonjour
    > >>      >
    > >>      >      sur la page wikipédia france
    > >>      >      https://fr.wikipedia.org/wiki/CLOUD_Act#Critiques
    > >>      >
    > >>      >      Le CLOUD Act entre en conflit avec un règlement de la
    > >> législation
    > >>      >      Européenne — le Règlement Général sur la Protection des
    > >> Données (RGPD) —
    > >>      >      entré en vigueur le 25 mai 201814. Le RGPD traite de la
    > >> protection des
    > >>      >      personnes physiques à l'égard du traitement des données à
    > >> caractère
    > >>      >      personnel et à la libre circulation de ces données. Son
    > >> territoire
    > >>      >      d'application sont les États membres de l'Union
    > >> Européenne(UE) pour
    > >>      >      toutes les entreprises européennes ou non européennes qui
    > >> ciblent les
    > >>      >      résidents de l'UE par le profilage ou proposent des biens
    > >> et services à
    > >>      >      des résidents européens.
    > >>      >
    > >>      >
    > >>      >
    > >>      >      Nicolas
    > >>      >
    > >>      >      Le 21/09/2021 à 16:58, FRANCOIS BOCQUET a écrit :
    > >>      >      > Bonjour,
    > >>      >      > Je complète mon message de tout à l'heure car j'ai pu
    > >> lire et traduire les deux textes modifiés par le CLOUD Act.
    > >>      >      > Après analyse approfondie, le CLOUD Act regle les
    > >> questions d'accès aux données des "US Persons" c'est à dire des
    > >> citoyens US et des résidents légaux aux US (détenteurs de la carte
    > >> verte).
    > >>      >      > Il ne concerne pas les individus qui ne seraient pas US
    > >> Persons ce qui signifie que les citoyens UE ne sont pas concernés sauf
    > >> s'ils sont résidents légaux aux USA et que les résidents européens ne
    > >> sont pas concernés sauf si ce sont des citoyens US.
    > >>      >      > Cette condition permet à n'importe quelle entreprise
    > >> sollicitée par un tribunal de rejeter la demande si la personne
    > >> concernée n'est pas une "US person"
    > >>      >      > En clair l'appellation CLOUD qui est un acronyme sans
    > >> aucun rapport avec le cloud a pas mal embrouillé les esprits et la
    > >> période de sortie du texte a laissé penser que c'était en lien avec le
    > >> RGPD alors que c'est en rapport avec le projet de règlement européen
    > >> e-Evidence qui sera en mirroir des textes modifiés par le CLOUD act et
    > >> qui aura la même portée extra territoriale que celle du RGPD (qui
    > >> s'applique aussi sur le territoire US dès lors qu'il concerne des
    > >> personnes physiques résidents ou citoyens européens).
    > >>      >      > Source : The term “U.S. person” has a broad scope and
    > >> namely includes citizens or nationals of the United States (they do
    > >> not necessarily have to reside in the United States) or aliens
    > >> lawfully admitted for permanent residence or corporations incorporated
    > >> in the United States (§ 2523 (a) (2) of the Cloud Act).
    > >>      >      > Pour aller plus loin :
    > >> https://docassas.u-paris2.fr/nuxeo/site/esupversions/c6b02c4e-687b-4aa0-8a57-558fba1b4b92?inline
    > >>
    > >>      >      > Lire aussi l'article de Wikipedia en anglais :
    > >> https://en.wikipedia.org/wiki/CLOUD_Act
    > >>      >      > et les informations sur les deux textes modifiés :
    > >> https://en.wikipedia.org/wiki/Stored_Communications_Act
    > >>      >      > avec le paragraphe sur l'extra territorialité : Cela
    > >> signifie que la divulgation de communications privées sur des serveurs
    > >> à l'étranger par le biais d'un mandat judiciaire ne peut avoir lieu
    > >> que si l'utilisateur de ces e-mails est un citoyen américain. [27]
    > >>      >      > et
    > >> https://en.wikipedia.org/wiki/Electronic_Communications_Privacy_Act
    > >>      >      > Pour faire court : le CLOUD Act n'est pas un réel
    > >> problème pour les libertés des européens même avec des services US.
    > >> FISA en revanche est si proche des lois souveraines de notre propre
    > >> pays qu'elle est une menace sur les libertés individuelles.
    > >>      >      > Pour en savoir plus :
    > >> https://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
    > >>      >      > Bonne lecture...
    > >>      >      >
    > >> o-------------------------------------------------------------------o
    > >>      >      >    François BOCQUET
    > >>      >      >    Chef de projet Veille et Prospective
    > >>      >      >    Bureau du soutien à l’innovation et à la recherche
    > >>      >      >    Sous-direction de la transformation numérique
    > >>      >      >    Direction du Numérique pour l’Éducation
    > >>      >      >    au Ministère de l’Éducation Nationale
    > >>      >      >    Tél. : +33 155 557 781 ou +33 6 35 48 21 13
    > >>      >      >    Bureau 129 au 99  rue de Grenelle à Paris
    > >>      >      >    Mèl. : francois.bocquet AT education.gouv.fr
    > >>      >      >    Portfolio : http://fr.linkedin.com/in/fbocquet/
    > >>      >      >
    > >>      >      > Le 21/09/2021 14:31, « Olivier Guillard »
    > >> <mairie AT guillard.nom.fr> a écrit :
    > >>      >      >
    > >>      >      >      Contrats auxquels il conviendra d'ajouter quelques
    > >> éléments notamment
    > >>      >      >      les règles souveraines imposées par leurs
    > >> juridictions respectives,
    > >>      >      >      par exemple :
    > >>      >      >
    > >>      >      >      https://www.justice.gov/dag/cloudact
    > >>      >      >
    > >>      >      >      Cordialement,
    > >>      >      >
    > >>      >      >      ---
    > >>      >      >      Olivier
    > >>      >      >
    > >>      >      >      Le mar. 21 sept. 2021 à 14:01, dino
    > >> <dino AT jabberwookie.org> a écrit :
    > >>      >      >      >
    > >>      >      >      > Bonjour
    > >>      >      >      >
    > >>      >      >      > un exemple de contrat passé entre un opérateur
    > >> (le CNED) et un
    > >>      >      >      > fournisseur USA (blackboard)
    > >>      >      >      >
    > >>      >      >      >
    > >> https://transfert-images.parinux.org/qPLzk9fqh06XCz6x.png
    > >>      >      >      >
    > >>      >      >      > je ne pense pas, mais je peux me tromper que le
    > >> CNED en plus d'avoir
    > >>      >      >      > contractualisé avec blackboard, ait un contrat
    > >> avec google pour les fonts
    > >>      >      >      >
    > >> https://transfert-images.parinux.org/qPLzk9fqh06XCz6x.png
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      > newrelic pour les mesures d'audience, mais je
    > >> n'en trouve pas trace dans
    > >>      >      >      > les mentions légales/données personnels, pas
    > >> assez cherché peut être et
    > >>      >      >      > pas de réglages d'acceptation ou de refus des
    > >> cookies
    > >>      >      >      > https://fr.wikipedia.org/wiki/New_Relic
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      > Pour les mentions légales voici le pdf du site
    > >>      >      >      >
    > >> https://classesvirtuelles.cned.fr/files/Mentions%20l%C3%A9gales%20et%20Protection%20des%20donn%C3%A9es%20%C3%A0%20caract%C3%A8re%20personnel%20MCM%202021.pdf
    > >>
    > >>      >      >      >
    > >>      >      >      > Cookies
    > >>      >      >      > Le service n’utilise aucun cookie hormis les
    > >> cookies strictement
    > >>      >      >      > nécessaires à son bon
    > >>      >      >      > fonctionnement (comme les cookies de session par
    > >> exemple).
    > >>      >      >      >
    > >>      >      >      > Accès aux données
    > >>      >      >      > Les personnes ayant accès à vos données sont :
    > >>      >      >      > - Au sein du Cned, seuls les agents de
    > >> l’établissement qui concourent à
    > >>      >      >      > la délivrance du service ont accès à vos données.
    > >>      >      >      > - Les prestataires et sous-traitants du CNED,
    > >> uniquement pour les
    > >>      >      >      > opérations techniques de maintenance et
    > >> hébergement des solutions
    > >>      >      >      > informatiques afin de vous fournir un service de
    > >> qualité. Il s’agit de :
    > >>      >      >      > - Cloud temple pour l’hébergement de l’interface
    > >> de création et
    > >>      >      >      > administration des classes virtuelles
    > >>      >      >      > - La société BlackBoard pour la fourniture, la
    > >> maintenance, et
    > >>      >      >      > l’hébergement de la solution de classes virtuelles.
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      > cloud-front/amazon c'est le contrat du cned avec
    > >> blackboard
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      > autre fournisseur Office 365 via Microsoft, c'est
    > >> censé être hébergé en
    > >>      >      >      > france sauf pour les DOM/COM, qui sont aussi la
    > >> france
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      >
    > >> https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide#martinique
    > >>
    > >>      >      >      >
    > >>      >      >      > et pour la france pas tout non plus
    > >>      >      >      >
    > >> https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide#france
    > >>
    > >>      >      >      >
    > >>      >      >      > certes ils précisent d'autres choses sur une
    > >> autre page
    > >>      >      >      >
    > >> https://docs.microsoft.com/fr-fr/microsoft-365/enterprise/eu-data-storage-locations?view=o365-worldwide
    > >>
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      > Dino
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >      > Le 21/09/2021 à 11:46, FRANCOIS BOCQUET a écrit :
    > >>      >      >      > > Bonjour,
    > >>      >      >      > >
    > >>      >      >      > > Voici quelques informations qui semblent nous
    > >> manquer pour continuer à réfléchir et à agir.
    > >>      >      >      > >
    > >>      >      >      > > Tous les éditeurs de services bureautique grand
    > >> public (Microsoft Office 365 ou Google Workspace) proposent des
    > >> versions professionnelles de leurs services (même Amazon ou Facebook
    > >> Workplace).
    > >>      >      >      > >
    > >>      >      >      > > Dans le premier cas les services grand public
    > >> repose sur un modèle économique qui utilise les données pour se
    > >> rémunérer (principalement pour du profilage publicitaire). C'est donc
    > >> "gratuité" contre données utilisables avec le consentement explicite
    > >> de l'utilisateur (et c'est donc légal et conforme au RGPD même si
    > >> toujours à la limite pour réaliser les profits maximum et donc avec
    > >> des sanctions régulières quand les limites sont dépassées). Vis à vis
    > >> du RGPD les éditeurs sont responsables de traitement vis à vis des
    > >> utilisateurs. C'est donc ce qui est mis en œuvre quand des adresse de
    > >> type @gmail.com sont utilisée ou encore quand Facebook ou Twitter est
    > >> utilisé. Il n'y a pas de console d'administration pour l'institution
    > >> et le contrat est passé directement entre l'éditeur et l'utilisateur
    > >> final (ici un étudiant). D'autres services "loyaux" c'est à dire
    > >> gratuits sans profilage (financés par des dons par exemple) sont
    > >> également dans la même situation juridique (par exemple les services
    > >> de Proton, de Framasoft et de tous les chatons).
    > >>      >      >      > > Ce modèle NE DOIT pas être utilisé dans
    > >> l'éducation car il n'est pas légal (non conformité avec le RGPD sur la
    > >> question de la responsabilité de traitement et du cadre contractuel).
    > >>      >      >      > >
    > >>      >      >      > > Dans le second cas, les éditeurs sont
    > >> sous-traitants d'institutions. Les contrats sont passés non plus avec
    > >> les utilisateurs finaux mais entre l'éditeur et l'institution. A ces
    > >> contrats sont ajoutés les éléments rendus obligatoires par le RGPD
    > >> c'est à dire le contrat de sous traitance (ou Data processing
    > >> amendment) et l'éventuel cadre contractuel pour les exports de données
    > >> hors UE (clauses de contrat type ou mesures adéquates). Il y a
    > >> toujours une console d'administration et de provisionnement des
    > >> comptes à disposition des administrateurs. Il n'y a jamais
    > >> réutilisation des données à d'autres fins que la fourniture du service
    > >> encadrée par le contrat passé par l'institution avec l'éditeur. C'est
    > >> précisé dans le contrat lui-même et dans le DPA spécifique au RGPD en
    > >> Europe.
    > >>      >      >      > >
    > >>      >      >      > > Donc il faut bien veiller dans les
    > >> raisonnements à différencier les deux modèles et à bien les comprendre
    > >> au moins sur le plan juridique.
    > >>      >      >      > >
    > >>      >      >      > > Enfin les critères de licéité des traitements
    > >> définis par l'article 6 du RGPD ne sont pas du tout les mêmes dans les
    > >> deux cas présentés ci dessus.
    > >>      >      >      > >
    > >> https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
    > >>
    > >>      >      >      > > Dans le premier cas il y a traitement dans le
    > >> cadre de l'execution d'un contrat direct avec l'éditeur et par
    > >> consentement de l'utilisateur à la réutilisation de ses données
    > >>      >      >      > > Dans le second cas il y a traitement pour
    > >> l'exercice d'une mission de service public par un responsable d'une
    > >> institution de formation avec un sous traitant (l'éditeur).
    > >>      >      >      > >
    > >>      >      >      > > Concernant Google Workspace pour éducation,
    > >> c'est effectivement utilisé de façon massive dans tous les pays
    > >> européens dans les établissements publics du primaire au Sup mais
    > >> c'est peu développé en France. C'est même institutionnalisé dans
    > >> plusieurs états (Ecosse, Autriche, Italie, ...) avec les deux
    > >> ecosytèmes et en utilisant un annuaire et un SSO souverain (de type
    > >> EduConnect).
    > >>      >      >      > > Microsoft est parvenu en France à remporter
    > >> presque toutes les universités et commence à travailler avec les
    > >> régions pour les lycées (Grand Est et Haut de France mais aussi Ile de
    > >> France, PACA et même Normandie)
    > >>      >      >      > >
    > >>      >      >      > > A la question : est ce fait pour les
    > >> établissements scolaires ? la réponse est sans doute oui ( d'autant
    > >> que l'écosystème ChromeOS (basé sur un Linux) a pris des parts de
    > >> marché considérables dans le domaine de l'éducation... En 2020 d'après
    > >> un article sur Wikipedia il y avait 120 millions d'utilisateurs de
    > >> Google Workspace pour éducation (dont 6 millions avec des contrats
    > >> payant comme ceux des entreprises)
    > >> https://en.wikipedia.org/wiki/Google_Workspace
    > >>      >      >      > >
    > >>      >      >      > > A la question : y a t'il du traçage et de
    > >> l'exploitation des données des élèves à des fins marketing ? la
    > >> réponse semble être non depuis 2012 ne serait-ce que par la loi FERPA
    > >> qui protège les données scolaires des élèves aux USA depuis 1974 et
    > >> qui est appliquée avec beaucoup de rigueur même s'il n'y a aucun
    > >> procès gagné par des plaignants au sujet de la réutilisation des
    > >> données par cet éditeur. Le cadre contractuel semble carré même vis à
    > >> vis du RGPD et se trouve mis à l'épreuve régulièrement.
    > >>      >      >      > >
    > >>      >      >      > > A disposition pour répondre aux questions si
    > >> nécessaire.
    > >>      >      >      > >
    > >>      >      >      > >
    > >> o-------------------------------------------------------------------o
    > >>      >      >      > >    François BOCQUET
    > >>      >      >      > >    Tél. : +33 155 557 781 ou +33 6 35 48 21 13
    > >>      >      >      > >    Mèl. : francois.bocquet AT education.gouv.fr
    > >>      >      >      > >    Portfolio : http://fr.linkedin.com/in/fbocquet/
    > >>      >      >      > >
    > >>      >      >      > > Le 20/09/2021 21:15, « educ-request AT april.org
    > >> au nom de Jean-Luc GENÊT » <educ-request AT april.org au nom de
    > >> jean-luc AT brege.net> a écrit :
    > >>      >      >      > >
    > >>      >      >      > >      Bonsoir,
    > >>      >      >      > >      mes deux enfants reprennent cette semaine
    > >> le chemin de leur école d'art.
    > >>      >      >      > >      Il y a deux ans un espace Riot avait été
    > >> créé pour les étudiants et j'en
    > >>      >      >      > >      ai été ravi, visios jitsi, etc.
    > >>      >      >      > >      L'an dernier ... zoom pour toutes les
    > >> visios, aucun n'a protesté et je
    > >>      >      >      > >      ne m'en suis pas mêlé.
    > >>      >      >      > >      Cette année, google workspace ! Mon fils
    > >> est mineur mais se retrouve
    > >>      >      >      > >      avec des jeunes de 19 à 25 ans, j'hésite à
    > >> intervenir.
    > >>      >      >      > >
    > >>      >      >      > >      Ce produit n'est il pas plutôt adapté à
    > >> l'entreprise ?
    > >>      >      >      > >      La personne qui l'a mise en place a
    > >> certifié aux "première année" qu'il
    > >>      >      >      > >      ne seraient pas traqués, m'a dit mon fils.
    > >>      >      >      > >      Je n'y crois pas mais cela reste tout a
    > >> fait subjectif, je n'en ai pas
    > >>      >      >      > >      les arguments, sauf à dire que c'est G et
    > >> que son modèle économique,
    > >>      >      >      > >      c'est les données...
    > >>      >      >      > >
    > >>      >      >      > >      Je suis déboussolé par ces outils qui
    > >> prennent une place que je ne
    > >>      >      >      > >      désire pas dans la vie de mes enfants.
    > >>      >      >      > >      Je pense allez rencontrer le directeur de
    > >> l'école qui prône également
    > >>      >      >      > >      une vie tournée vers l'écologie et qui me
    > >> semble qqu'un d'ouvert. Des
    > >>      >      >      > >      projets d'étudiants se tournent vers le
    > >> développement durable d'ailleurs.
    > >>      >      >      > >      Bon excusez mes longueurs,
    > >>      >      >      > >      Librement
    > >>      >      >      > >      Jean-Luc
    > >>      >      >      > >
    > >>      >      >      > >
    > >>      >      >      > >
    > >>      >      >      > > --
    > >>      >      >      > > Pour vous désinscrire de cette liste :
    > >> https://listes.april.org/wws/sigrequest/educ
    > >>      >      >      > >
    > >>      >      >      > > Pour connaître la configuration de la liste,
    > >> gérer votre abonnement à la liste educ et vos informations personnelles :
    > >>      >      >      > > https://listes.april.org/wws/info/educ
    > >>      >      >      > >
    > >>      >      >      > >
    > >>      >      >      >
    > >>      >      >      > --
    > >>      >      >      > Dino
    > >>      >      >      > --
    > >>      >      >      > Pour vous désinscrire de cette liste :
    > >> https://listes.april.org/wws/sigrequest/educ
    > >>      >      >      >
    > >>      >      >      > Pour connaître la configuration de la liste,
    > >> gérer votre abonnement à la liste educ et vos informations personnelles :
    > >>      >      >      > https://listes.april.org/wws/info/educ
    > >>      >      >      >
    > >>      >      >      >
    > >>      >      >
    > >>      >      >
    > >>      >      >      --
    > >>      >      >            Olivier Guillard
    > >>      >      >      Saint Léger en Yvelines
    > >>      >      >
    > >>      >      >
    > >>      >      >
    > >>      >      > --
    > >>      >      > Pour vous désinscrire de cette liste :
    > >> https://listes.april.org/wws/sigrequest/educ
    > >>      >      >
    > >>      >      > Pour connaître la configuration de la liste, gérer votre
    > >> abonnement à la liste educ et vos informations personnelles :
    > >>      >      > https://listes.april.org/wws/info/educ
    > >>      >      >
    > >>      >      >
    > >>      >
    > >>      >
    > >>      >
    > >>
    > >
    >
    
    
    -- 
          Olivier Guillard
    Saint Léger en Yvelines
    
 



--
Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ
 
Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
https://listes.april.org/wws/info/educ
 
 



Archives gérées par MHonArc 2.6.19+.

Haut de le page