Les coles danoises doivent cesser d’utiliser les services de messagerie et de cloud de Google en raison de proccupations ou de violation des normes de confidentialit europennes leves dfinies par le RGPD. Selon l’autorit danoise de protection des donnes, la suite logicielle Workspace base sur le cloud de Google ne rpond pas aux exigences de la rglementation RGPD sur la confidentialit des donnes de l’Union europenne. Google a indiqu qu’il prvoyait de rsoudre les problmes de confidentialit d’ici aot 2023, mais les versions actuelles des services de messagerie et de cloud de Google ne doivent pas tre utilises par les tablissements d’enseignement.
Pendant longtemps, l’Autorit danoise de protection des donnes s’est concentre sur l’utilisation des Chromebooks et de Google Workspace (anciennement G Suite for Education) dans les municipalits. L’utilisation est rpandue dans tout le pays, mais concrtement, l’Autorit de protection des donnes a eu une affaire en cours dans la municipalit de Helsingr.
Ainsi, l’Autorit de protection des donnes a pris une dcision en septembre 2021, o la municipalit d’Helsingr a reu l’ordre de procder une valuation des risques du traitement des donnes personnelles par la municipalit l’cole primaire l’aide de Chromebooks et Workspace. Il y a quelques jours, l’autorit danoise de protection des donnes a, sur la base de la documentation et de l’valuation du risque pour les personnes concernes prpares par la municipalit d’Helsingr, tabli que le traitement ne rpond pas aux exigences du RGPD sur plusieurs points.
La municipalit d’Helsingr a fait un travail formidable et comptent pour cartographier la manire dont les donnes personnelles sont utilises l’cole primaire, mais cela met galement en vidence les problmes juridiques de protection des donnes qui peuvent tre lis aux mthodes des grandes entreprises technologiques pour rsoudre la tche , a dclar Allan Frank, spcialiste de la scurit informatique et avocat l’Autorit danoise de protection des donnes.
L’Autorit danoise de protection des donnes a constat que la municipalit n’a valu aucun risque concret li la construction du processeur de donnes. En outre, l’accord sur le traitement des donnes stipule que les informations peuvent tre transfres vers des pays tiers dans des situations d’assistance sans le niveau de scurit requis.
Privacy Shield invalid
Cette dcision fait suite des dcisions similaires des autorits nerlandaises et allemandes.
Pour tre plus prcis, il a t dcid que les coles allemandes ne doivent pas utiliser les offres cloud telles qu’Office 365, G Suite et iCloud en raison de violations de la vie prive. Le commissaire de Hesse la protection des donnes et la libert d’information a publi une dclaration selon laquelle, compte tenu du manque de transparence en matire de protection des donnes et de l’accs potentiel de tiers, aucune donne personnelle d’coliers allemands ne doit tre stocke sur les serveurs de Microsoft, Google ou Apple en dehors de l’Allemagne.
Par ailleurs, les coles et universits nerlandaises doivent cesser d’utiliser les services de messagerie et de cloud de Google en raison de problmes de confidentialit. Selon l’Autorit nerlandaise des donnes personnelles, les tablissements d’enseignement ne savent pas comment et o les donnes personnelles des lves et des tudiants sont traites et stockes. En consquence, le traitement des informations serait non licite .
Les problmes auxquels les institutions gouvernementales se voient confrontes ont commenc avec l’invalidation du Privacy Shield en 2020.
Privacy Shield a t un accord de transfert de donnes entre les tats-Unis et l’Union europenne et tait cens rendre les transferts de donnes entre les deux lgalement possibles. Cependant, l’accord a t dclar invalide par la Cour europenne de justice en 2020 en raison de problmes de confidentialit.
Un problme majeur que la Cour de l’UE a soulign est que les donnes des trangers ne sont pas protges aux tats-Unis. Les protections qui existent – mme si elles sont limites – ne s’appliquent qu’aux citoyens amricains. La NSA peut obtenir tout moment un accs complet toutes les donnes de citoyens non amricains provenant d’entreprises amricaines. En outre, les personnes concernes non amricaines n’ont aucun droit susceptible d’action devant les tribunaux contre les autorits amricaines, ce qui viole l’essence de certains droits fondamentaux de l’UE, a conclu la Cour europenne de justice.
L’accord de traitement des donnes n’est pas suffisant
Aprs l’invalidation du Privacy Shield, les services cloud amricains se sont tourns vers des accords de traitement de donnes avec leurs clients europens. Cependant, cette pratique est fortement remise en question par les experts de la confidentialit des donnes, notamment en ce qui concerne sa lgalit. La dclaration publie par l’autorit danoise de protection des donnes le prouve une fois de plus. L’autorit se plaint, entre autres, que :
l’accord sur le traitement des donnes stipule que les informations peuvent tre transfres vers des pays tiers dans des situations d’assistance sans le niveau de scurit requis .
La dcision rsume quatre questions principales :
- Suspension de la municipalit d’Helsingr effectuant le traitement d’informations lorsque ces informations sont transfres vers des pays tiers sans le niveau de protection ncessaire.
- Une interdiction gnrale de traitement avec Google Workspace jusqu’ ce qu’une documentation et une analyse d’impact adquates aient t ralises et jusqu’ ce que le traitement soit mis en conformit avec le RGPD.
- Critique srieuse du traitement des donnes personnelles par la municipalit.
- Bon nombre des conclusions de cette dcision s’appliqueront probablement d’autres municipalits qui utilisent la mme structure de traitement. Ces municipalits sont censes prendre elles-mmes les mesures appropries en fonction de la dcision.
Google Analytics galement illgal en Europe
La CNIL a estim que les transferts vers les tats-Unis ne sont pas suffisamment encadrs lheure actuelle. En effet, en labsence de dcision dadquation (qui tablirait que ce pays offre un niveau de protection des donnes suffisant au regard du RGPD) concernant les transferts vers les tats-Unis, le transfert de donnes ne peut avoir lieu que si des garanties appropries sont prvues pour ce flux notamment.
Or, la CNIL a constat que ce ntait pas le cas. En effet, si Google a adopt des mesures supplmentaires pour encadrer les transferts de donnes dans le cadre de la fonctionnalit Google Analytics, celles-ci ne suffisent pas exclure la possibilit daccs des services de renseignements amricains ces donnes.
Il existe donc un risque pour les personnes utilisatrices du site franais ayant recours cet outil et dont les donnes sont exportes.
La CNIL constate que les donnes des internautes sont ainsi transfres vers les tats-Unis en violation des articles 44 et suivants du RGPD.
Concernant les services de mesure et danalyse daudience dun site Web, la CNIL recommande que ces outils servent uniquement produire des donnes statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement sassure quil ny a pas de transferts illgaux. La CNIL a dailleurs lanc un programme dvaluation pour dterminer les solutions exemptes de consentement.
Aussi, l’illgalit de Google en Europe est intervenu aprs que les organismes de surveillance de la confidentialit des donnes en France, en Italie et en Autriche ont jug qu’il tait illgal pour les sites Web europens d’utiliser Google Analytics pour suivre les visiteurs en raison d’une violation des rgles europennes de confidentialit des donnes. Ici aussi, le problme est que les donnes personnelles sont transfres aux tats-Unis pour tre traites sans le consentement des visiteurs du site Web.
Consquences pour les coles danoises, nerlandaises et allemandes
Sur la base des dclarations des organismes de protection de la vie prive danois, nerlandais et allemand, les coles au Danemark, aux Pays-Bas et en Allemagne ne peuvent pas utiliser les services de messagerie ou de cloud de Google.
Alors que les dclarations des organismes de surveillance de la vie prive danois, nerlandais et allemand visent principalement faire pression sur les entreprises technologiques amricaines pour qu’elles adhrent enfin aux rglementations europennes strictes en matire de confidentialit, il serait de loin prfrable d’avoir une vritable alternative Microsoft, Google et Apple.
Des alternatives europennes sont ncessaires
Les coles europennes peuvent dsormais attendre que les grandes entreprises technologiques amricaines rsolvent leurs problmes de confidentialit. Ou elles peuvent commencer chercher des alternatives europennes. Cette dernire solution aura un grand impact positif sur l’Europe et les Europens dans leur ensemble :
- Le business technologique europen est renforc et peut constituer une alternative aux grandes entreprises technologiques amricaines.
- Les donnes des citoyens europens sont protges conformment au RGPD.
- Les donnes sont stockes en Europe et aucun transfert de donnes n’a lieu.
En attendant, Microsoft propose Cloud for Sovereignty
Nous attendons des clients dans le monde entier mais les premiers clients ont t en Europe , a dclar le vice-prsident Corey Sanders dans une interview, ajoutant que la socit organisait des Private Preview avec les clients.
Le service est complet. Les clients reoivent une capacit cloud, des applications, des conseils, des intgrations et une assistance. La conformit est le fil conducteur. Chaque charge de travail doit respecter les lois locales. Microsoft met ses clients en contact avec des fournisseurs locaux, des ingnieurs et des conseillers en matire de confidentialit pour organiser des serveurs et des applications de cloud public conformes.
Dans son annonce, l’entreprise a indiqu que :
Microsoft Cloud for Sovereignty est construit sur le cloud public de Microsoft pour acclrer la transformation numrique tout en crant une exprience personnalise conforme aux exigences gouvernementales. Les clients gouvernementaux auront la puissance du cloud public, rpondant aux attentes en matire de faible cot, d’agilit et d’chelle, avec toute l’tendue des capacits telles que les services de dveloppement modernes, l’infrastructure agile, les DevOps scuriss, les plates-formes open source, la collaboration moderne et le dveloppement low-code. De plus, les clients Microsoft Cloud for Sovereignty continueront de bnficier des signaux de scurit mondiaux de Microsoft, analysant plus de 24 000 milliards de signaux chaque jour pour identifier et aider se protger contre les attaques locales.
La fondation de Microsoft Cloud for Sovereignty commencera par nos centres de donnes rgionaux Azure. Aujourd’hui, avec plus de 60 rgions cloud, Microsoft Cloud offre les capacits et l’innovation les plus tendues avec la rsidence et la proximit des donnes dans plus d’emplacements que tout autre fournisseur de cloud, permettant des options de rsidence pour l’ensemble de Microsoft Cloud, y compris Microsoft 365, Dynamics 365 et Azure. Grce nos contrles de politique la pointe de l’industrie, les clients peuvent aujourd’hui rpondre de nombreuses exigences rglementaires et mettre en uvre des politiques pour contenir leurs donnes et applications dans leur limite gographique prfre. Les clients peuvent spcifier le pays ou la rgion pour la plupart des dploiements de services avec la capacit de satisfaire aux exigences sectorielles, nationales ou mondiales en matire de scurit, de confidentialit et de conformit.
Microsoft dispose de la couverture de conformit la plus complte de tous les fournisseurs de services cloud avec plus de 100 offres, dont plus de 50 spcifiques aux rgions et pays du monde. Microsoft collabore avec les gouvernements, les rgulateurs, les organismes de normalisation et les organisations non gouvernementales pour comprendre les exigences mergentes et assurer une activation rapide et efficace des besoins de conformit critiques. Plus prcisment en Europe, dans le cadre de notre engagement en matire de rsidence des donnes, la future limite des donnes de l’UE garantira que Microsoft non seulement stocke mais traite galement les donnes des clients dans l’UE et l’Association europenne de libre-change.
Sources : Agence danoise de protection des donnes, Agence allemande la protection des donnes
Et vous ?
Que pensez-vous de ces dcisions ?
Que pensez-vous de l’offre de Microsoft ?