Re: [EDUC] pack-office région Haut de France

[FRANCOIS BOCQUET <francois.bocquet AT education.gouv.fr>]

J'ai repensé à ton idée de liste d'organisation offrant des services 
presentant une conformité suffisante
Ca pourrait être réalisé en mode contributif
Il y a un modèle mis en place par une association aux USA 
Avec une grille d'audit des services par rapport à la "privacy" (respect de 
la vie privée) et à la conformité aux lois fédérales américaines relatives 
aux données d'éducation (qui sont beaucoup plus avancées que les notres).
C'est ici https://privacy.commonsense.org/
Et il serait possible de s'en inspirer sur le plan des critères et de la 
méthodes (en crowd sourcing) et de l'objectivité.
A suivre si ca vous intéresse d'en discuter...
 
o-------------------------------------------------------------------o
  François BOCQUET 
  Chef de projet Veille et Prospective
  Bureau du soutien à l’innovation et à la recherche
  Sous-direction de la transformation numérique
  Direction du Numérique pour l’Éducation
  au Ministère de l’Éducation Nationale
  Tél. : +33 155 557 781 ou +33 6 35 48 21 13
  Bureau 129 au 99  rue de Grenelle à Paris
  Mèl. : francois.bocquet AT education.gouv.fr 
  Portfolio : http://fr.linkedin.com/in/fbocquet/

Le 24/09/2021 18:44, « Georges Khaznadar » <georges.khaznadar AT free.fr> a 
écrit :

    Bonjour François,
    
    ce que tu viens d'écrire, c'est qu'une organisation qui n'a pas sous le
    coude un cabinet d'avocats ne pourrait jamais, dans les faits, se mettre
    en conformité avec le RGPD : vrai ou faux ?
    
    Du coup, ça irait plus vite si tu proposais directement une liste
    d'organisation qui le peuvent, directement ou via un site web qui les
    recense ; la liste ne doit pas être si longue que ça ?
    
    Le lycée où je travaille loue un serveur chez OVH, et l'authentification
    fait appel à l'annuaire LDAP du lycée, qui est communiqué à travers un 
tunnel
    chiffré.
    
    Ça reste-t-il dans le clous ou non ?
    
    quelques services qui tournent rond :
    
    https://lyceejeanbart.fr
    https://moodle.lyceejeanbart.fr
    https://python.lyceejeanbart.fr
    https://latin.lyceejeanbart.fr
    https://molecules.lyceejeanbart.fr/index_fr.html
    et il y en a quelques autres, utilisés par moins de monde.
    
    Amitiés,                    Georges.
    
    FRANCOIS BOCQUET a écrit :
    > Bonsoir Georges,
    > 
    > Oui c'est bien ça
    > Mais l'engagement sur une page du site n'est pas suffisant
    > Il faut que le prestataire de service puisse s'engager dans un contrat 
de sous traitance spécifique avec tous les critères requis de par l'article 
28 que le service soit gratuit ou payant.
    > Ce contrat est à verser dans le dossier de conformité du traitement, 
dossier maintenu par le responsable de traitement.
    > Un dossier de conformité manquant ou incomplet peut faire l'objet de 
sanction administrative de la part de l'autorité de contrôle.
    > C'est assez compliqué à obtenir en général car l'accord de sous 
traitance doit être passé entre le responsable de traitement (le DASEN ou le 
Recteur dans le premier degré) et l'éditeur qui doit s'adapter aux demandes 
du responsable de traitement.
    > Il est rare que des services conçus pour une utilisation individuelle 
ou associative puissent passer le temps nécessaire à élaborer de tels 
contrats même s'ils sont le résultat d'une action militante et de bonne foi.
    > C'était mon propos quand j'évoquais ce qui est non disponible avec les 
services proposés par Framasoft (je ne parle pas des fonctionnalités mais 
bien du cadre juridique de la prestation de service, même gratuite).
    > L'éventuelle chaine de sous traitance (sous traitant de rang 2) fait de 
toute façon l'objet d'une explicitation dans le contrat de sous traitance.
    > Cela peut encore compliquer les choses en particulier quand les sous 
traitants n'offrent pas les garanties nécessaires (à leur tour des accords de 
sous traitance au sens de l'art 28, leur localisation, leur cadre 
contractuel, etc...).
    > Autant dire que tout ce qui est "autohébergé" sur le NAS de la maison, 
sur celui du copain ou encore chez l'hébergeur du coin de la rue est bien sûr 
complètement hors des clous et impossible à utiliser hors d'une utilisation 
personnelle (non professionnelle) ou familiale.
    > Pour terminer la charte est un bon début mais en France elle n'est pas 
opposable en droit (contrairement au droit US par exemple). Ca ne peut donc 
suffire même si les personnes concernées sont de bonne foi. Il faut des 
contrats !
    > Par ailleurs le terme "données privées" n'est pas défini ni par la loi 
I&L ni par le RGPD. Les données à caractère personnel sont plus larges que 
les données "privées" de par ces texte. Lire et relire l'article 4 qui défini 
les "données à caractère personnel".
    > 
    > Bon we à toutes et à tous.
    >  
    > o-------------------------------------------------------------------o
    >   François BOCQUET 
    >   Chef de projet Veille et Prospective
    >   Bureau du soutien à l’innovation et à la recherche
    >   Sous-direction de la transformation numérique
    >   Direction du Numérique pour l’Éducation
    >   au Ministère de l’Éducation Nationale
    >   Tél. : +33 155 557 781 ou +33 6 35 48 21 13
    >   Bureau 129 au 99  rue de Grenelle à Paris
    >   Mèl. : francois.bocquet AT education.gouv.fr 
    >   Portfolio : http://fr.linkedin.com/in/fbocquet/
    > 
    > Le 24/09/2021 16:38, « Georges Khaznadar » <georges.khaznadar AT free.fr> 
a écrit :
    > 
    >     Bonjour François,
    >     
    >     Tu nous renvoie à l'article 28 du RGPD, peux tu confirmer que le 
texte à
    >     l'URL https://www.privacy-regulation.eu/fr/28.htm est bien le bon ?
    >     
    >     Si c'est bien ça, tu nous invites à être vigilants quant à des
    >     prestations de sous-traitants, en effet, je cite le début du 
document :
    >     
    >     ---------------------8<-------------------------------
    >         Article 28
    >         EU RGPD
    >         "Sous-traitant"
    >     
    >         => Article: 4
    >         => Raison: 81
    >         => administrative fine: Art. 83 (4) lit a
    >     
    >         1. Lorsqu'un traitement doit être effectué pour le compte d'un
    >              responsable du traitement, celui-ci fait uniquement appel 
à des
    >              sous-traitants qui présentent des garanties suffisantes ...
    >     ---------------------8<-------------------------------
    >     
    >     Un organisme certifie CHATON adhère a minima, à la charte
    >     suivante : https://www.chatons.org/charte
    >     
    >     Voici un extrait de cette charte :
    >     -----------------------8<----------------------------
    >           le CHATON s’engage à éviter l'utilisation des services de
    >           fournisseurs - informatiques ou non - dont les pratiques sont
    >           incompatibles avec les principes de la présente charte, 
notamment en
    >           termes de préservation et de captation des données privées. 
Le cas
    >           échéant, le CHATON en informe ses utilisateurs et 
utilisatrices.
    >     
    >     Critère recommandé :
    >     
    >           le CHATON doit avoir le contrôle total de son infrastructure
    >           technique (serveurs et réseau) des logiciels et des données
    >           associées (accès root, hyperviseur compris). Il doit être le 
seul à
    >           pouvoir accéder techniquement aux données.
    >     -----------------------8<----------------------------
    >     
    >     donc, à vérifier au cas par cas : le recours à des sous-traitants 
est
    >     fortement découragé, et nous pouvons demander au CHATON (il doit 
alors
    >     répondre) s'il a recours à des sous-traitants.
    >     
    >     C'est ce que tu voulais dire, François ??
    >     
    >     Amitiés,                      Georges.
    >     
    >     FRANCOIS BOCQUET a écrit :
    >     > Bien vérifier que dans le cadre de l'application du RGPD les 
Chatons cités ici proposent bien des contrats de sous traitance conformes à 
l'article 28 du RGPD. Sinon pas d'utilisation conforme car pas d'inscription 
possible au registre que ce soit pour une utilisation de l'enseignant seul ou 
avec des élèves.
    >     > 
    >     > C'est ce qui empêche par exemple l'utilisation des services de 
Framasoft en contexte scolaire.
    >     > 
    >     > Bonne journée.
    >     > 
    >     > ________________________________
    >     > De : educ-request AT april.org <educ-request AT april.org> de la part 
de Georges Khaznadar <georges.khaznadar AT free.fr>
    >     > Envoyé : mercredi 22 septembre 2021 14:06:09
    >     > À : Pat-1
    >     > Cc : educ AT april.org
    >     > Objet : Re: [EDUC] pack-office région Haut de France
    >     > 
    >     > Bonjour Patrick,
    >     > 
    >     > as-tu été voir l'offre des Chatons ?
    >     > 
    >     > Tu trouves à l'URL https://www.chatons.org/taxonomy/term/364 une 
liste
    >     > d'hébergeurs qui ont déclaré à moment donné maintenir un service
    >     > NextCloud Collabora Online ; plusieurs sont en Europe (en France, 
en
    >     > Belgique).
    >     > 
    >     > Deux fiches d'hébergeurs mentionnement de façon plus explicite la
    >     > solution Collabora Online. Vois ces fiches, pour prendre contact, 
et
    >     > discuter du juste prix qu'il faudra consacrer à ces services, que 
nous
    >     > espérons pérennes.
    >     > 
    >     > - https://www.chatons.org/chatons/tedomum
    >     > - https://www.chatons.org/chatons/domaine-public
    >     > 
    >     > Amitiés,                        Georges.
    >     > 
    >     > Pat-1 a écrit :
    >     > > Bonsoir,
    >     > >
    >     > > Demande de néophyte : Comment créer un cloud sur des
    >     > > unités/établissements/écoles modestes c'est-à-dire dans la 
ruralité
    >     > > française ?
    >     > >
    >     > > Ceci est un vrai et sincère questionnement.
    >     > >
    >     > > Bien à vous.
    >     > >
    >     > > Patrick, Linuxien depuis 2009
    >     > >
    >     > >
    >     > > Le 19/09/2021 à 16:35, Guyot Vincent a écrit :
    >     > > > Le dimanche 19 septembre 2021 à 12:32:59, vidal gerard a 
écrit :
    >     > > > > je me demande toujours pourquoi plutôt que de payer des 
sommes faramineuses
    >     > > > > pour un morceau de cloud  hors de portée et de contrôle, 
les financeurs ne
    >     > > > > construiraient pas leur cloud  en mettant un serveur  
interopérable dans
    >     > > > > chaque établissement. Cela permettrait de choisir  
l'infrastructure libre
    >     > > > > qui correspond aux demandes des enseignants locaux et pas à 
un avis  partial
    >     > > > > d'un obscur "représentant" plus attaché à sa fonction qu'au 
bien-être de ses
    >     > > > > collègues.
    >     > > > Bonjour,
    >     > > >
    >     > > > C'est une excellente question.
    >     > > >
    >     > > > Aujourd'hui, les valeurs de notre société sont l'argent, la 
compétitivité, les professionnels, les spécialistes, ... Comment
    >     > > > voulez-vous qu'un jeune éduqué à l'école de la compétitivité, 
de la récompense par la note, de la hiérarchie des
    >     > > > classements, dans des matières éliminant la valorisation de 
la collaboration, dans des enclassements en disciplines
    >     > > > concurrentes dont l'objectif est de faire de lui un 
spécialiste seul autorisé à s'exprimer en sa matière et ainsi
    >     > > > par ses études justifié en son salaire, ne voie pas dans 
l'argent non seulement l'unique motivation de travailler,
    >     > > > mais aussi l'unique moyen d'être reconnu ?
    >     > > >
    >     > > > J'ai plusieurs fois constaté que les techniciens des services 
techniques qui nous fournissent et nous obligent à
    >     > > > utiliser un matériel surdimensionné par rapport à nos besoins 
sont malheureux de notre utilisation de machines
    >     > > > modestes parce que la modestie de celles-ci ne nous valorise 
pas à leurs yeux. L'adaptation des machines aux besoins de leurs
    >     > > > utilisateurs n'est pas pour eux un acte d'intelligence parce 
que personne ne met jamais de telles actions en valeur.
    >     > > > Ainsi, utiliser un 4X4 de deux tonnes pour aller acheter ses 
croissants à deux kilomètres est un acte de valorisation
    >     > > > de leur condition même si il est dévalorisant du point de vue 
de l'efficacité par rapport à un vélo. Il en est de même
    >     > > > pour les ordinateurs.
    >     > > >
    >     > > > Par ailleurs, l'habitude de la valorisation de la compétition 
entre élèves, discrédite la localisation des serveurs dans
    >     > > > les établissements. Pour les services techniques, il n'est 
pas bon que la proximité des machines poussent les
    >     > > > enseignants à s'en occuper parce qu'ils entrevoient les 
connaissances que les enseignants vont alors acquérir comme une
    >     > > > concurrence dont le résultat pourrait être une 
hiérarchisation en leur défaveur. Ainsi, la délocalisation des machines
    >     > > > ne peut être vue comme une chance de se rendre au contact des 
besoins des enseignants qu'ils pourraient aider et au
    >     > > > service desquels ils pourraient se mettre. Au contraire, une 
centralisation des machines dans leurs locaux est
    >     > > > nécessaire pour qu'eux seuls en tant que spécialistes 
puissent s'en occuper et pour que leur valeur en tant que tels
    >     > > > soit établie. Ils achètent donc des machines pour eux et non 
pour nous.
    >     > > >
    >     > > > Partager des connaissances n'est pas une chose facile, parce 
que c'est partager son pouvoir. Dévaloriser la valeur
    >     > > > monétaire des choses pour valoriser l'intelligence des 
comportements et surtout l'acte de coopérer est encore plus
    >     > > > difficile.
    >     > > >
    >     > > > --
    >     > > > Pour vous désinscrire de cette liste : 
https://listes.april.org/wws/sigrequest/educ
    >     > > >
    >     > > > Pour connaître la configuration de la liste, gérer votre 
abonnement à la liste educ et vos informations personnelles :
    >     > > > https://listes.april.org/wws/info/educ
    >     > > >
    >     > > >
    >     > 
    >     > > --
    >     > > Pour vous désinscrire de cette liste : 
https://listes.april.org/wws/sigrequest/educ
    >     > >
    >     > > Pour connaître la configuration de la liste, gérer votre 
abonnement à la liste educ et vos informations personnelles :
    >     > > https://listes.april.org/wws/info/educ
    >     > >
    >     > >
    >     > 
    >     > 
    >     > --
    >     > Georges KHAZNADAR et Jocelyne FOURNIER
    >     > 22 rue des mouettes, 59240 Dunkerque France.
    >     > Téléphone +33 (0)3 28 29 17 70
    >     > 
    >     
    >     > --
    >     > Pour vous désinscrire de cette liste : 
https://listes.april.org/wws/sigrequest/educ
    >     > 
    >     > Pour connaître la configuration de la liste, gérer votre 
abonnement à la liste educ et vos informations personnelles :
    >     > https://listes.april.org/wws/info/educ
    >     > 
    >     > 
    >     
    >     
    >     -- 
    >     Georges KHAZNADAR et Jocelyne FOURNIER
    >     22 rue des mouettes, 59240 Dunkerque France.
    >     Téléphone +33 (0)3 28 29 17 70
    >     
    >     
    > 
    
    -- 
    Georges KHAZNADAR et Jocelyne FOURNIER
    22 rue des mouettes, 59240 Dunkerque France.
    Téléphone +33 (0)3 28 29 17 70