[EDUC] Liste des services en conformité avec le RGPD

[Nicolas Pettiaux <nicolas AT pettiaux.be>]

Bonjour,

Voilà une bonne idée proposée par Georges Khaznadar et alimentée par François Boquet.

Cela pourrait être fait dans le wiki d'une association qui aurait la préservation des données dans son objet social, les moyens d'être pérenne et d'offrir un wiki éditable pour tous par exemple. Pourquoi par laquadrature.net ou Framasoft ou April ?

Cordialement,

Nicolas

Le 29/09/21 à 12:40, FRANCOIS BOCQUET a écrit :

J'ai repensé à ton idée de liste d'organisation offrant des services presentant une conformité suffisante
Ca pourrait être réalisé en mode contributif
Il y a un modèle mis en place par une association aux USA 
Avec une grille d'audit des services par rapport à la "privacy" (respect de la vie privée) et à la conformité aux lois fédérales américaines relatives aux données d'éducation (qui sont beaucoup plus avancées que les notres).
C'est ici https://privacy.commonsense.org/
Et il serait possible de s'en inspirer sur le plan des critères et de la méthodes (en crowd sourcing) et de l'objectivité.
A suivre si ca vous intéresse d'en discuter...
 
o-------------------------------------------------------------------o
  François BOCQUET 
  Chef de projet Veille et Prospective
  Bureau du soutien à l’innovation et à la recherche
  Sous-direction de la transformation numérique
  Direction du Numérique pour l’Éducation
  au Ministère de l’Éducation Nationale
  Tél. : +33 155 557 781 ou +33 6 35 48 21 13
  Bureau 129 au 99  rue de Grenelle à Paris
  Mèl. : francois.bocquet AT education.gouv.fr 
  Portfolio : http://fr.linkedin.com/in/fbocquet/

Le 24/09/2021 18:44, « Georges Khaznadar » <georges.khaznadar AT free.fr> a écrit :

    Bonjour François,
    
    ce que tu viens d'écrire, c'est qu'une organisation qui n'a pas sous le
    coude un cabinet d'avocats ne pourrait jamais, dans les faits, se mettre
    en conformité avec le RGPD : vrai ou faux ?
    
    Du coup, ça irait plus vite si tu proposais directement une liste
    d'organisation qui le peuvent, directement ou via un site web qui les
    recense ; la liste ne doit pas être si longue que ça ?
    
    Le lycée où je travaille loue un serveur chez OVH, et l'authentification
    fait appel à l'annuaire LDAP du lycée, qui est communiqué à travers un tunnel
    chiffré.
    
    Ça reste-t-il dans le clous ou non ?
    
    quelques services qui tournent rond :
    
    https://lyceejeanbart.fr
    https://moodle.lyceejeanbart.fr
    https://python.lyceejeanbart.fr
    https://latin.lyceejeanbart.fr
    https://molecules.lyceejeanbart.fr/index_fr.html
    et il y en a quelques autres, utilisés par moins de monde.
    
    Amitiés,			Georges.
    
    FRANCOIS BOCQUET a écrit :
    > Bonsoir Georges,
    > 
    > Oui c'est bien ça
    > Mais l'engagement sur une page du site n'est pas suffisant
    > Il faut que le prestataire de service puisse s'engager dans un contrat de sous traitance spécifique avec tous les critères requis de par l'article 28 que le service soit gratuit ou payant.
    > Ce contrat est à verser dans le dossier de conformité du traitement, dossier maintenu par le responsable de traitement.
    > Un dossier de conformité manquant ou incomplet peut faire l'objet de sanction administrative de la part de l'autorité de contrôle.
    > C'est assez compliqué à obtenir en général car l'accord de sous traitance doit être passé entre le responsable de traitement (le DASEN ou le Recteur dans le premier degré) et l'éditeur qui doit s'adapter aux demandes du responsable de traitement.
    > Il est rare que des services conçus pour une utilisation individuelle ou associative puissent passer le temps nécessaire à élaborer de tels contrats même s'ils sont le résultat d'une action militante et de bonne foi.
    > C'était mon propos quand j'évoquais ce qui est non disponible avec les services proposés par Framasoft (je ne parle pas des fonctionnalités mais bien du cadre juridique de la prestation de service, même gratuite).
    > L'éventuelle chaine de sous traitance (sous traitant de rang 2) fait de toute façon l'objet d'une explicitation dans le contrat de sous traitance.
    > Cela peut encore compliquer les choses en particulier quand les sous traitants n'offrent pas les garanties nécessaires (à leur tour des accords de sous traitance au sens de l'art 28, leur localisation, leur cadre contractuel, etc...).
    > Autant dire que tout ce qui est "autohébergé" sur le NAS de la maison, sur celui du copain ou encore chez l'hébergeur du coin de la rue est bien sûr complètement hors des clous et impossible à utiliser hors d'une utilisation personnelle (non professionnelle) ou familiale.
    > Pour terminer la charte est un bon début mais en France elle n'est pas opposable en droit (contrairement au droit US par exemple). Ca ne peut donc suffire même si les personnes concernées sont de bonne foi. Il faut des contrats !
    > Par ailleurs le terme "données privées" n'est pas défini ni par la loi I&L ni par le RGPD. Les données à caractère personnel sont plus larges que les données "privées" de par ces texte. Lire et relire l'article 4 qui défini les "données à caractère personnel".
    > 
    > Bon we à toutes et à tous.
    >  
    > o-------------------------------------------------------------------o
    >   François BOCQUET 
    >   Chef de projet Veille et Prospective
    >   Bureau du soutien à l’innovation et à la recherche
    >   Sous-direction de la transformation numérique
    >   Direction du Numérique pour l’Éducation
    >   au Ministère de l’Éducation Nationale
    >   Tél. : +33 155 557 781 ou +33 6 35 48 21 13
    >   Bureau 129 au 99  rue de Grenelle à Paris
    >   Mèl. : francois.bocquet AT education.gouv.fr 
    >   Portfolio : http://fr.linkedin.com/in/fbocquet/
    > 
    > Le 24/09/2021 16:38, « Georges Khaznadar » <georges.khaznadar AT free.fr> a écrit :
    > 
    >     Bonjour François,
    >     
    >     Tu nous renvoie à l'article 28 du RGPD, peux tu confirmer que le texte à
    >     l'URL https://www.privacy-regulation.eu/fr/28.htm est bien le bon ?
    >     
    >     Si c'est bien ça, tu nous invites à être vigilants quant à des
    >     prestations de sous-traitants, en effet, je cite le début du document :
    >     
    >     ---------------------8<-------------------------------
    >         Article 28
    >         EU RGPD
    >         "Sous-traitant"
    >     
    >         => Article: 4
    >         => Raison: 81
    >         => administrative fine: Art. 83 (4) lit a
    >     
    >         1. Lorsqu'un traitement doit être effectué pour le compte d'un
    >     	   responsable du traitement, celui-ci fait uniquement appel à des
    >     	   sous-traitants qui présentent des garanties suffisantes ...
    >     ---------------------8<-------------------------------
    >     
    >     Un organisme certifie CHATON adhère a minima, à la charte
    >     suivante : https://www.chatons.org/charte
    >     
    >     Voici un extrait de cette charte :
    >     -----------------------8<----------------------------
    >     	le CHATON s’engage à éviter l'utilisation des services de
    >     	fournisseurs - informatiques ou non - dont les pratiques sont
    >     	incompatibles avec les principes de la présente charte, notamment en
    >     	termes de préservation et de captation des données privées. Le cas
    >     	échéant, le CHATON en informe ses utilisateurs et utilisatrices.
    >     
    >     Critère recommandé :
    >     
    >     	le CHATON doit avoir le contrôle total de son infrastructure
    >     	technique (serveurs et réseau) des logiciels et des données
    >     	associées (accès root, hyperviseur compris). Il doit être le seul à
    >     	pouvoir accéder techniquement aux données.
    >     -----------------------8<----------------------------
    >     
    >     donc, à vérifier au cas par cas : le recours à des sous-traitants est
    >     fortement découragé, et nous pouvons demander au CHATON (il doit alors
    >     répondre) s'il a recours à des sous-traitants.
    >     
    >     C'est ce que tu voulais dire, François ??
    >     
    >     Amitiés,			Georges.
    >     
    >     FRANCOIS BOCQUET a écrit :
    >     > Bien vérifier que dans le cadre de l'application du RGPD les Chatons cités ici proposent bien des contrats de sous traitance conformes à l'article 28 du RGPD. Sinon pas d'utilisation conforme car pas d'inscription possible au registre que ce soit pour une utilisation de l'enseignant seul ou avec des élèves.
    >     > 
    >     > C'est ce qui empêche par exemple l'utilisation des services de Framasoft en contexte scolaire.
    >     > 
    >     > Bonne journée.
    >     > 
    >     > ________________________________
    >     > De : educ-request AT april.org <educ-request AT april.org> de la part de Georges Khaznadar <georges.khaznadar AT free.fr>
    >     > Envoyé : mercredi 22 septembre 2021 14:06:09
    >     > À : Pat-1
    >     > Cc : educ AT april.org
    >     > Objet : Re: [EDUC] pack-office région Haut de France
    >     > 
    >     > Bonjour Patrick,
    >     > 
    >     > as-tu été voir l'offre des Chatons ?
    >     > 
    >     > Tu trouves à l'URL https://www.chatons.org/taxonomy/term/364 une liste
    >     > d'hébergeurs qui ont déclaré à moment donné maintenir un service
    >     > NextCloud Collabora Online ; plusieurs sont en Europe (en France, en
    >     > Belgique).
    >     > 
    >     > Deux fiches d'hébergeurs mentionnement de façon plus explicite la
    >     > solution Collabora Online. Vois ces fiches, pour prendre contact, et
    >     > discuter du juste prix qu'il faudra consacrer à ces services, que nous
    >     > espérons pérennes.
    >     > 
    >     > - https://www.chatons.org/chatons/tedomum
    >     > - https://www.chatons.org/chatons/domaine-public
    >     > 
    >     > Amitiés,                        Georges.
    >     > 
    >     > Pat-1 a écrit :
    >     > > Bonsoir,
    >     > >
    >     > > Demande de néophyte : Comment créer un cloud sur des
    >     > > unités/établissements/écoles modestes c'est-à-dire dans la ruralité
    >     > > française ?
    >     > >
    >     > > Ceci est un vrai et sincère questionnement.
    >     > >
    >     > > Bien à vous.
    >     > >
    >     > > Patrick, Linuxien depuis 2009
    >     > >
    >     > >
    >     > > Le 19/09/2021 à 16:35, Guyot Vincent a écrit :
    >     > > > Le dimanche 19 septembre 2021 à 12:32:59, vidal gerard a écrit :
    >     > > > > je me demande toujours pourquoi plutôt que de payer des sommes faramineuses
    >     > > > > pour un morceau de cloud  hors de portée et de contrôle, les financeurs ne
    >     > > > > construiraient pas leur cloud  en mettant un serveur  interopérable dans
    >     > > > > chaque établissement. Cela permettrait de choisir  l'infrastructure libre
    >     > > > > qui correspond aux demandes des enseignants locaux et pas à un avis  partial
    >     > > > > d'un obscur "représentant" plus attaché à sa fonction qu'au bien-être de ses
    >     > > > > collègues.
    >     > > > Bonjour,
    >     > > >
    >     > > > C'est une excellente question.
    >     > > >
    >     > > > Aujourd'hui, les valeurs de notre société sont l'argent, la compétitivité, les professionnels, les spécialistes, ... Comment
    >     > > > voulez-vous qu'un jeune éduqué à l'école de la compétitivité, de la récompense par la note, de la hiérarchie des
    >     > > > classements, dans des matières éliminant la valorisation de la collaboration, dans des enclassements en disciplines
    >     > > > concurrentes dont l'objectif est de faire de lui un spécialiste seul autorisé à s'exprimer en sa matière et ainsi
    >     > > > par ses études justifié en son salaire, ne voie pas dans l'argent non seulement l'unique motivation de travailler,
    >     > > > mais aussi l'unique moyen d'être reconnu ?
    >     > > >
    >     > > > J'ai plusieurs fois constaté que les techniciens des services techniques qui nous fournissent et nous obligent à
    >     > > > utiliser un matériel surdimensionné par rapport à nos besoins sont malheureux de notre utilisation de machines
    >     > > > modestes parce que la modestie de celles-ci ne nous valorise pas à leurs yeux. L'adaptation des machines aux besoins de leurs
    >     > > > utilisateurs n'est pas pour eux un acte d'intelligence parce que personne ne met jamais de telles actions en valeur.
    >     > > > Ainsi, utiliser un 4X4 de deux tonnes pour aller acheter ses croissants à deux kilomètres est un acte de valorisation
    >     > > > de leur condition même si il est dévalorisant du point de vue de l'efficacité par rapport à un vélo. Il en est de même
    >     > > > pour les ordinateurs.
    >     > > >
    >     > > > Par ailleurs, l'habitude de la valorisation de la compétition entre élèves, discrédite la localisation des serveurs dans
    >     > > > les établissements. Pour les services techniques, il n'est pas bon que la proximité des machines poussent les
    >     > > > enseignants à s'en occuper parce qu'ils entrevoient les connaissances que les enseignants vont alors acquérir comme une
    >     > > > concurrence dont le résultat pourrait être une hiérarchisation en leur défaveur. Ainsi, la délocalisation des machines
    >     > > > ne peut être vue comme une chance de se rendre au contact des besoins des enseignants qu'ils pourraient aider et au
    >     > > > service desquels ils pourraient se mettre. Au contraire, une centralisation des machines dans leurs locaux est
    >     > > > nécessaire pour qu'eux seuls en tant que spécialistes puissent s'en occuper et pour que leur valeur en tant que tels
    >     > > > soit établie. Ils achètent donc des machines pour eux et non pour nous.
    >     > > >
    >     > > > Partager des connaissances n'est pas une chose facile, parce que c'est partager son pouvoir. Dévaloriser la valeur
    >     > > > monétaire des choses pour valoriser l'intelligence des comportements et surtout l'acte de coopérer est encore plus
    >     > > > difficile.
    >     > > >
    >     > > > --
    >     > > > Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ
    >     > > >
    >     > > > Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
    >     > > > https://listes.april.org/wws/info/educ
    >     > > >
    >     > > >
    >     > 
    >     > > --
    >     > > Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ
    >     > >
    >     > > Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
    >     > > https://listes.april.org/wws/info/educ
    >     > >
    >     > >
    >     > 
    >     > 
    >     > --
    >     > Georges KHAZNADAR et Jocelyne FOURNIER
    >     > 22 rue des mouettes, 59240 Dunkerque France.
    >     > Téléphone +33 (0)3 28 29 17 70
    >     > 
    >     
    >     > --
    >     > Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ
    >     > 
    >     > Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
    >     > https://listes.april.org/wws/info/educ
    >     > 
    >     > 
    >     
    >     
    >     -- 
    >     Georges KHAZNADAR et Jocelyne FOURNIER
    >     22 rue des mouettes, 59240 Dunkerque France.
    >     Téléphone +33 (0)3 28 29 17 70
    >     
    >     
    > 
    
    -- 
    Georges KHAZNADAR et Jocelyne FOURNIER
    22 rue des mouettes, 59240 Dunkerque France.
    Téléphone +33 (0)3 28 29 17 70
    
    

      
      
--
Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ

Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
https://listes.april.org/wws/info/educ

--
Nicolas Pettiaux, phd - gsm +32 496 24 55 01