Recevez chaque jour toute l'actualité du numérique

x

La Cnil dit non aux outils collaboratifs américains pour l’enseignement supérieur et de la recherche

La Cnil veut mettre un terme à l'utilisation par l'enseignement supérieur et de la recherche d'outils collaboratifs proposés par des entreprises américaines car les données ainsi hébergées peuvent être transférées aux autorités américaines. Une période transitoire est prévue avant de basculer tous les services vers des solutions alternatives. 
Twitter Facebook Linkedin Flipboard Email
×

La Cnil dit non aux outils collaboratifs américains pour l’enseignement supérieur et de la recherche
La Cnil dit non aux outils collaboratifs américains pour l’enseignement supérieur et de la recherche © Josefa nDiaz/Unsplash

La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont interrogé la Commission nationale de l'informatique et des libertés (Cnil) sur la conformité au Règlement général sur la protection des données (RGPD) des outils collaboratifs dans l'enseignement supérieur et de la recherche édités par des entreprises américains. L'autorité estime qu'il faut désormais trouver des outils alternatifs. 

Cette demande s'inscrit dans le contexte de l'invalidation du Privacy Shield, ce texte qui facilitait les transferts de données entre l'Union européenne et les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen. 

Les fournisseurs américains remis en cause 
En effet, les fournisseurs de cloud américains ne permettent pas en principe de respecter les attentes de la législation européenne sur la protection des données. En vertu du CLOUD Act, les services de renseignements américains peuvent obtenir des opérateurs de télécoms et des fournisseurs de service de cloud computing des informations stockées sur leurs serveurs qu'ils soient situés aux Etats-Unis ou en dehors. 

En examinant les documents transférés par la CGE et la CPU, la Cnil conclut que "dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des 'suites collaboratives pour l’éducation'" peuvent se produire. Or, les données traitées par ces établissements concernent un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif). De plus, il peut s'agir de données sensibles telles que des données de santé, de recherche ou relatives à des mineurs. 

La mise en place de garanties supplémentaires
Par conséquent, la Commission considère qu'il est nécessaire de mettre en place "des mesures supplémentaires" ou de "justifier le transfert de données" au regard des dérogations prévues dans l'article 49 du RGPD, si par exemple le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou encore si la personne a été informée et a donné son consentement.

Mais l'autorité française prévient que le Comité européen de la protection des données (CEPD), un organisme qui chapeaute les autorités nationales, n'a pas identifié à ce jour de "mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat" lorsqu'un transfert est réalisé vers un fournisseur qui doit accéder aux données en clair tout en étant soumis au droit américain. Ainsi, la Cnil considère qu'il est désormais "nécessaire que le risque d'un accès illégal par les autorités américaines à ces données soit écarté".

Pour éviter un arrêt trop brutal des solutions américaines et assurer la continuité des activités, la Commission admet qu'une période transitoire est nécessaire. Aucun délai n'a encore été fixé. Dans cet intervalle, elle promet d'apporter "toute l'aide nécessaire" pour identifier des solutions alternatives. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.