La Cnil dit non aux outils collaboratifs américains pour l’enseignement supérieur et de la recherche

La Cnil veut mettre un terme à l'utilisation par l'enseignement supérieur et de la recherche d'outils collaboratifs proposés par des entreprises américaines car les données ainsi hébergées peuvent être transférées aux autorités américaines. Une période transitoire est prévue avant de basculer tous les services vers des solutions alternatives. 

Partager
La Cnil dit non aux outils collaboratifs américains pour l’enseignement supérieur et de la recherche

La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont interrogé la Commission nationale de l'informatique et des libertés (Cnil) sur la conformité au Règlement général sur la protection des données (RGPD) des outils collaboratifs dans l'enseignement supérieur et de la recherche édités par des entreprises américains. L'autorité estime qu'il faut désormais trouver des outils alternatifs.

Cette demande s'inscrit dans le contexte de l'invalidation du Privacy Shield, ce texte qui facilitait les transferts de données entre l'Union européenne et les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.

Les fournisseurs américains remis en cause
En effet, les fournisseurs de cloud américains ne permettent pas en principe de respecter les attentes de la législation européenne sur la protection des données. En vertu du CLOUD Act, les services de renseignements américains peuvent obtenir des opérateurs de télécoms et des fournisseurs de service de cloud computing des informations stockées sur leurs serveurs qu'ils soient situés aux Etats-Unis ou en dehors.

En examinant les documents transférés par la CGE et la CPU, la Cnil conclut que "dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des 'suites collaboratives pour l’éducation'" peuvent se produire. Or, les données traitées par ces établissements concernent un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif). De plus, il peut s'agir de données sensibles telles que des données de santé, de recherche ou relatives à des mineurs.

La mise en place de garanties supplémentaires
Par conséquent, la Commission considère qu'il est nécessaire de mettre en place "des mesures supplémentaires" ou de "justifier le transfert de données" au regard des dérogations prévues dans l'article 49 du RGPD, si par exemple le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou encore si la personne a été informée et a donné son consentement.

Mais l'autorité française prévient que le Comité européen de la protection des données (CEPD), un organisme qui chapeaute les autorités nationales, n'a pas identifié à ce jour de "mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat" lorsqu'un transfert est réalisé vers un fournisseur qui doit accéder aux données en clair tout en étant soumis au droit américain. Ainsi, la Cnil considère qu'il est désormais "nécessaire que le risque d'un accès illégal par les autorités américaines à ces données soit écarté".

Pour éviter un arrêt trop brutal des solutions américaines et assurer la continuité des activités, la Commission admet qu'une période transitoire est nécessaire. Aucun délai n'a encore été fixé. Dans cet intervalle, elle promet d'apporter "toute l'aide nécessaire" pour identifier des solutions alternatives.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS