
Pendant longtemps, l'Autorité danoise de protection des données s'est concentrée sur l'utilisation des Chromebooks et de Google Workspace (anciennement G Suite for Education) dans les municipalités. L'utilisation est répandue dans tout le pays, mais concrètement, l'Autorité de protection des données a eu une affaire en cours dans la municipalité de Helsingør.
Ainsi, l'Autorité de protection des données a pris une décision en septembre 2021, où la municipalité d'Helsingør a reçu l'ordre de procéder à une évaluation des risques du traitement des données personnelles par la municipalité à l'école primaire à l'aide de Chromebooks et Workspace. Il y a quelques jours, l'autorité danoise de protection des données a, sur la base de la documentation et de l'évaluation du risque pour les personnes concernées préparées par la municipalité d'Helsingør, établi que le traitement ne répond pas aux exigences du RGPD sur plusieurs points.
« La municipalité d'Helsingør a fait un travail formidable et compétent pour cartographier la manière dont les données personnelles sont utilisées à l'école primaire, mais cela met également en évidence les problèmes juridiques de protection des données qui peuvent être liés aux méthodes des grandes entreprises technologiques pour résoudre la tâche », a déclaré Allan Frank, spécialiste de la sécurité informatique et avocat à l'Autorité danoise de protection des données.
L'Autorité danoise de protection des données a constaté que la municipalité n'a évalué aucun risque concret lié à la construction du processeur de données. En outre, l'accord sur le traitement des données stipule que les informations peuvent être transférées vers des pays tiers dans des situations d'assistance sans le niveau de sécurité requis.
Privacy Shield invalidé
Cette décision fait suite à des décisions similaires des autorités néerlandaises et allemandes.
Pour être plus précis, il a été décidé que les écoles allemandes ne doivent pas utiliser les offres cloud telles qu'Office 365, G Suite et iCloud en raison de violations de la vie privée. Le commissaire de Hesse à la protection des données et à la liberté d'information a publié une déclaration selon laquelle, compte tenu du manque de transparence en matière de protection des données et de l'accès potentiel de tiers, aucune donnée personnelle d'écoliers allemands ne doit être stockée sur les serveurs de Microsoft, Google ou Apple en dehors de l'Allemagne.
Par ailleurs, les écoles et universités néerlandaises doivent cesser d'utiliser les services de messagerie et de cloud de Google en raison de problèmes de confidentialité. Selon l'Autorité néerlandaise des données personnelles, les établissements d'enseignement ne savent pas comment et où les données personnelles des élèves et des étudiants sont traitées et stockées. En conséquence, le traitement des informations serait « non licite ».
Les problèmes auxquels les institutions gouvernementales se voient confrontées ont commencé avec l'invalidation du Privacy Shield en 2020.
Privacy Shield a été un accord de transfert de données entre les États-Unis et l'Union européenne et était censé rendre les transferts de données entre les deux légalement possibles. Cependant, l'accord a été déclaré invalide par la Cour européenne de justice en 2020 en raison de problèmes de confidentialité.
Un problème majeur que la Cour de l'UE a souligné est que les données des étrangers ne sont pas protégées aux États-Unis. Les protections qui existent - même si elles sont limitées - ne s'appliquent qu'aux citoyens américains. La NSA peut obtenir à tout moment un accès complet à toutes les données de citoyens non américains provenant d'entreprises américaines. En outre, les personnes concernées non américaines n'ont aucun droit susceptible d'action devant les tribunaux contre les autorités américaines, ce qui viole « l'essence » de certains droits fondamentaux de l'UE, a conclu la Cour européenne de justice.
L'accord de traitement des données n'est pas suffisant
Après l'invalidation du Privacy Shield, les services cloud américains se sont tournés vers des accords de traitement de données avec leurs clients européens. Cependant, cette pratique est fortement remise en question par les experts de la confidentialité des données, notamment en ce qui concerne sa légalité. La déclaration publiée par l'autorité danoise de protection des données le prouve une fois de plus. L'autorité se plaint, entre autres, que :
« l'accord sur le traitement des données stipule que les informations peuvent être transférées vers des pays tiers dans des situations d'assistance sans le niveau de sécurité requis ».
La décision résume quatre questions principales :
- Suspension de la municipalité d'Helsingør effectuant le traitement d'informations lorsque ces informations sont transférées vers des pays tiers sans le niveau de protection nécessaire.
- Une interdiction générale de traitement avec Google Workspace jusqu'à ce qu'une documentation et une analyse d'impact adéquates aient été réalisées et jusqu'à ce que le traitement soit mis en conformité avec le RGPD.
- Critique sérieuse du traitement des données personnelles par la municipalité.
- Bon nombre des conclusions de cette décision s'appliqueront probablement à d'autres municipalités qui utilisent la même structure de traitement. Ces municipalités sont censées prendre elles-mêmes les mesures appropriées en fonction de la décision.
Google Analytics également illégal en Europe
La CNIL a estimé que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.
Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.
Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.
La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD.
Concernant les services de mesure et d’analyse d’audience d’un site Web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.
Aussi, l'illégalité de Google en Europe est intervenu après que les organismes de surveillance de la confidentialité des données en France, en Italie et en Autriche ont jugé qu'il était illégal pour les sites Web européens d'utiliser Google Analytics pour suivre les visiteurs en raison d'une violation des règles européennes de confidentialité des données. Ici aussi, le problème est que les données personnelles sont transférées aux États-Unis pour être traitées sans le consentement des visiteurs du site Web.
Conséquences pour les écoles danoises, néerlandaises et allemandes
Sur la base des déclarations des organismes de protection de la vie privée danois, néerlandais et allemand, les écoles au Danemark, aux Pays-Bas et en Allemagne ne peuvent pas utiliser les services de messagerie ou de cloud de Google.
Alors que les déclarations des organismes de surveillance de la vie privée danois, néerlandais et allemand visent principalement à faire pression sur les entreprises technologiques américaines pour qu'elles adhèrent enfin aux réglementations européennes strictes en matière de confidentialité, il serait de loin préférable d'avoir une véritable alternative à Microsoft, Google et Apple.
Des alternatives européennes sont nécessaires
Les écoles européennes peuvent désormais attendre que les grandes entreprises technologiques américaines résolvent leurs problèmes de confidentialité. Ou elles peuvent commencer à chercher des alternatives européennes. Cette dernière solution aura un grand impact positif sur l'Europe et les Européens dans leur ensemble :
- Le business technologique européen est renforcé et peut constituer une alternative aux grandes entreprises technologiques américaines.
- Les données des citoyens européens sont protégées conformément au RGPD.
- Les données sont stockées en Europe et aucun transfert de données n'a lieu.
En attendant, Microsoft propose Cloud for Sovereignty
« Nous attendons des clients dans le monde entier… mais les premiers clients ont été en Europe », a déclaré le vice-président Corey Sanders dans une interview, ajoutant que la société organisait des Private Preview avec les clients.
Le...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.