Accéder au contenu.
Menu Sympa

educ - Re: [EDUC] étudiants-Google worspace

Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)

Archives de la liste

Re: [EDUC] étudiants-Google worspace


Chronologique Discussions 
  • From: nicolas schont <nicolas AT schont.org>
  • To: educ AT april.org, FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>
  • Subject: Re: [EDUC] étudiants-Google worspace
  • Date: Sat, 25 Sep 2021 15:34:35 +0200

Bonjour

un exemple de gestion des données avec les entreprises US et la loi FISA

https://www.france24.com/fr/%C3%A9missions/tech-24/20210924-nos-donn%C3%A9es-de-sant%C3%A9-sont-elles-s%C3%A9curis%C3%A9es

vers 5mn20

Nicolas

Le 21/09/2021 à 11:46, FRANCOIS BOCQUET a écrit :
Bonjour,

Voici quelques informations qui semblent nous manquer pour continuer à
réfléchir et à agir.

Tous les éditeurs de services bureautique grand public (Microsoft Office 365
ou Google Workspace) proposent des versions professionnelles de leurs
services (même Amazon ou Facebook Workplace).

Dans le premier cas les services grand public repose sur un modèle économique qui utilise les
données pour se rémunérer (principalement pour du profilage publicitaire). C'est donc
"gratuité" contre données utilisables avec le consentement explicite de l'utilisateur
(et c'est donc légal et conforme au RGPD même si toujours à la limite pour réaliser les profits
maximum et donc avec des sanctions régulières quand les limites sont dépassées). Vis à vis du
RGPD les éditeurs sont responsables de traitement vis à vis des utilisateurs. C'est donc ce qui
est mis en œuvre quand des adresse de type @gmail.com sont utilisée ou encore quand Facebook ou
Twitter est utilisé. Il n'y a pas de console d'administration pour l'institution et le contrat
est passé directement entre l'éditeur et l'utilisateur final (ici un étudiant). D'autres services
"loyaux" c'est à dire gratuits sans profilage (financés par des dons par exemple) sont
également dans la même situation juridique (par exemple les services de Proton, de Framasoft et
de tous les chatons).
Ce modèle NE DOIT pas être utilisé dans l'éducation car il n'est pas légal
(non conformité avec le RGPD sur la question de la responsabilité de
traitement et du cadre contractuel).

Dans le second cas, les éditeurs sont sous-traitants d'institutions. Les
contrats sont passés non plus avec les utilisateurs finaux mais entre
l'éditeur et l'institution. A ces contrats sont ajoutés les éléments rendus
obligatoires par le RGPD c'est à dire le contrat de sous traitance (ou Data
processing amendment) et l'éventuel cadre contractuel pour les exports de
données hors UE (clauses de contrat type ou mesures adéquates). Il y a
toujours une console d'administration et de provisionnement des comptes à
disposition des administrateurs. Il n'y a jamais réutilisation des données à
d'autres fins que la fourniture du service encadrée par le contrat passé par
l'institution avec l'éditeur. C'est précisé dans le contrat lui-même et dans
le DPA spécifique au RGPD en Europe.

Donc il faut bien veiller dans les raisonnements à différencier les deux
modèles et à bien les comprendre au moins sur le plan juridique.

Enfin les critères de licéité des traitements définis par l'article 6 du RGPD
ne sont pas du tout les mêmes dans les deux cas présentés ci dessus.
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
Dans le premier cas il y a traitement dans le cadre de l'execution d'un
contrat direct avec l'éditeur et par consentement de l'utilisateur à la
réutilisation de ses données
Dans le second cas il y a traitement pour l'exercice d'une mission de service
public par un responsable d'une institution de formation avec un sous
traitant (l'éditeur).

Concernant Google Workspace pour éducation, c'est effectivement utilisé de
façon massive dans tous les pays européens dans les établissements publics du
primaire au Sup mais c'est peu développé en France. C'est même
institutionnalisé dans plusieurs états (Ecosse, Autriche, Italie, ...) avec
les deux ecosytèmes et en utilisant un annuaire et un SSO souverain (de type
EduConnect).
Microsoft est parvenu en France à remporter presque toutes les universités et
commence à travailler avec les régions pour les lycées (Grand Est et Haut de
France mais aussi Ile de France, PACA et même Normandie)

A la question : est ce fait pour les établissements scolaires ? la réponse
est sans doute oui ( d'autant que l'écosystème ChromeOS (basé sur un Linux) a
pris des parts de marché considérables dans le domaine de l'éducation... En
2020 d'après un article sur Wikipedia il y avait 120 millions d'utilisateurs
de Google Workspace pour éducation (dont 6 millions avec des contrats payant
comme ceux des entreprises) https://en.wikipedia.org/wiki/Google_Workspace

A la question : y a t'il du traçage et de l'exploitation des données des
élèves à des fins marketing ? la réponse semble être non depuis 2012 ne
serait-ce que par la loi FERPA qui protège les données scolaires des élèves
aux USA depuis 1974 et qui est appliquée avec beaucoup de rigueur même s'il
n'y a aucun procès gagné par des plaignants au sujet de la réutilisation des
données par cet éditeur. Le cadre contractuel semble carré même vis à vis du
RGPD et se trouve mis à l'épreuve régulièrement.

A disposition pour répondre aux questions si nécessaire.
o-------------------------------------------------------------------o
François BOCQUET
Tél. : +33 155 557 781 ou +33 6 35 48 21 13
Mèl. : francois.bocquet AT education.gouv.fr
Portfolio : http://fr.linkedin.com/in/fbocquet/

Le 20/09/2021 21:15, « educ-request AT april.org au nom de Jean-Luc GENÊT »
<educ-request AT april.org au nom de jean-luc AT brege.net> a écrit :

Bonsoir,
mes deux enfants reprennent cette semaine le chemin de leur école d'art.
Il y a deux ans un espace Riot avait été créé pour les étudiants et j'en
ai été ravi, visios jitsi, etc.
L'an dernier ... zoom pour toutes les visios, aucun n'a protesté et je
ne m'en suis pas mêlé.
Cette année, google workspace ! Mon fils est mineur mais se retrouve
avec des jeunes de 19 à 25 ans, j'hésite à intervenir.
Ce produit n'est il pas plutôt adapté à l'entreprise ?
La personne qui l'a mise en place a certifié aux "première année" qu'il
ne seraient pas traqués, m'a dit mon fils.
Je n'y crois pas mais cela reste tout a fait subjectif, je n'en ai pas
les arguments, sauf à dire que c'est G et que son modèle économique,
c'est les données...
Je suis déboussolé par ces outils qui prennent une place que je ne
désire pas dans la vie de mes enfants.
Je pense allez rencontrer le directeur de l'école qui prône également
une vie tournée vers l'écologie et qui me semble qqu'un d'ouvert. Des
projets d'étudiants se tournent vers le développement durable d'ailleurs.
Bon excusez mes longueurs,
Librement
Jean-Luc


--
Pour vous désinscrire de cette liste :
https://listes.april.org/wws/sigrequest/educ

Pour connaître la configuration de la liste, gérer votre abonnement à la
liste educ et vos informations personnelles :
https://listes.april.org/wws/info/educ



Attachment: OpenPGP_signature
Description: OpenPGP digital signature




Archives gérées par MHonArc 2.6.19+.

Haut de le page