IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les écoles au Danemark, aux Pays-Bas et en Allemagne ne peuvent pas utiliser Gmail ou de cloud de Google,
En raison de problèmes de confidentialité

Le , par Stéphane le calme

7PARTAGES

19  0 
Les écoles danoises doivent cesser d'utiliser les services de messagerie et de cloud de Google en raison de préoccupations ou de violation des normes de confidentialité européennes élevées définies par le RGPD. Selon l'autorité danoise de protection des données, la suite logicielle Workspace basée sur le cloud de Google « ne répond pas aux exigences » de la réglementation RGPD sur la confidentialité des données de l'Union européenne. Google a indiqué qu'il prévoyait de résoudre les problèmes de confidentialité d'ici août 2023, mais les versions actuelles des services de messagerie et de cloud de Google ne doivent pas être utilisées par les établissements d'enseignement.

Pendant longtemps, l'Autorité danoise de protection des données s'est concentrée sur l'utilisation des Chromebooks et de Google Workspace (anciennement G Suite for Education) dans les municipalités. L'utilisation est répandue dans tout le pays, mais concrètement, l'Autorité de protection des données a eu une affaire en cours dans la municipalité de Helsingør.

Ainsi, l'Autorité de protection des données a pris une décision en septembre 2021, où la municipalité d'Helsingør a reçu l'ordre de procéder à une évaluation des risques du traitement des données personnelles par la municipalité à l'école primaire à l'aide de Chromebooks et Workspace. Il y a quelques jours, l'autorité danoise de protection des données a, sur la base de la documentation et de l'évaluation du risque pour les personnes concernées préparées par la municipalité d'Helsingør, établi que le traitement ne répond pas aux exigences du RGPD sur plusieurs points.

« La municipalité d'Helsingør a fait un travail formidable et compétent pour cartographier la manière dont les données personnelles sont utilisées à l'école primaire, mais cela met également en évidence les problèmes juridiques de protection des données qui peuvent être liés aux méthodes des grandes entreprises technologiques pour résoudre la tâche », a déclaré Allan Frank, spécialiste de la sécurité informatique et avocat à l'Autorité danoise de protection des données.

L'Autorité danoise de protection des données a constaté que la municipalité n'a évalué aucun risque concret lié à la construction du processeur de données. En outre, l'accord sur le traitement des données stipule que les informations peuvent être transférées vers des pays tiers dans des situations d'assistance sans le niveau de sécurité requis.

Privacy Shield invalidé

Cette décision fait suite à des décisions similaires des autorités néerlandaises et allemandes.

Pour être plus précis, il a été décidé que les écoles allemandes ne doivent pas utiliser les offres cloud telles qu'Office 365, G Suite et iCloud en raison de violations de la vie privée. Le commissaire de Hesse à la protection des données et à la liberté d'information a publié une déclaration selon laquelle, compte tenu du manque de transparence en matière de protection des données et de l'accès potentiel de tiers, aucune donnée personnelle d'écoliers allemands ne doit être stockée sur les serveurs de Microsoft, Google ou Apple en dehors de l'Allemagne.

Par ailleurs, les écoles et universités néerlandaises doivent cesser d'utiliser les services de messagerie et de cloud de Google en raison de problèmes de confidentialité. Selon l'Autorité néerlandaise des données personnelles, les établissements d'enseignement ne savent pas comment et où les données personnelles des élèves et des étudiants sont traitées et stockées. En conséquence, le traitement des informations serait « non licite ».

Les problèmes auxquels les institutions gouvernementales se voient confrontées ont commencé avec l'invalidation du Privacy Shield en 2020.

Privacy Shield a été un accord de transfert de données entre les États-Unis et l'Union européenne et était censé rendre les transferts de données entre les deux légalement possibles. Cependant, l'accord a été déclaré invalide par la Cour européenne de justice en 2020 en raison de problèmes de confidentialité.

Un problème majeur que la Cour de l'UE a souligné est que les données des étrangers ne sont pas protégées aux États-Unis. Les protections qui existent - même si elles sont limitées - ne s'appliquent qu'aux citoyens américains. La NSA peut obtenir à tout moment un accès complet à toutes les données de citoyens non américains provenant d'entreprises américaines. En outre, les personnes concernées non américaines n'ont aucun droit susceptible d'action devant les tribunaux contre les autorités américaines, ce qui viole « l'essence » de certains droits fondamentaux de l'UE, a conclu la Cour européenne de justice.

L'accord de traitement des données n'est pas suffisant

Après l'invalidation du Privacy Shield, les services cloud américains se sont tournés vers des accords de traitement de données avec leurs clients européens. Cependant, cette pratique est fortement remise en question par les experts de la confidentialité des données, notamment en ce qui concerne sa légalité. La déclaration publiée par l'autorité danoise de protection des données le prouve une fois de plus. L'autorité se plaint, entre autres, que :

« l'accord sur le traitement des données stipule que les informations peuvent être transférées vers des pays tiers dans des situations d'assistance sans le niveau de sécurité requis ».

La décision résume quatre questions principales :
  1. Suspension de la municipalité d'Helsingør effectuant le traitement d'informations lorsque ces informations sont transférées vers des pays tiers sans le niveau de protection nécessaire.
  2. Une interdiction générale de traitement avec Google Workspace jusqu'à ce qu'une documentation et une analyse d'impact adéquates aient été réalisées et jusqu'à ce que le traitement soit mis en conformité avec le RGPD.
  3. Critique sérieuse du traitement des données personnelles par la municipalité.
  4. Bon nombre des conclusions de cette décision s'appliqueront probablement à d'autres municipalités qui utilisent la même structure de traitement. Ces municipalités sont censées prendre elles-mêmes les mesures appropriées en fonction de la décision.

Google Analytics également illégal en Europe

La CNIL a estimé que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.

La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD.

Concernant les services de mesure et d’analyse d’audience d’un site Web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.

Aussi, l'illégalité de Google en Europe est intervenu après que les organismes de surveillance de la confidentialité des données en France, en Italie et en Autriche ont jugé qu'il était illégal pour les sites Web européens d'utiliser Google Analytics pour suivre les visiteurs en raison d'une violation des règles européennes de confidentialité des données. Ici aussi, le problème est que les données personnelles sont transférées aux États-Unis pour être traitées sans le consentement des visiteurs du site Web.

Conséquences pour les écoles danoises, néerlandaises et allemandes

Sur la base des déclarations des organismes de protection de la vie privée danois, néerlandais et allemand, les écoles au Danemark, aux Pays-Bas et en Allemagne ne peuvent pas utiliser les services de messagerie ou de cloud de Google.

Alors que les déclarations des organismes de surveillance de la vie privée danois, néerlandais et allemand visent principalement à faire pression sur les entreprises technologiques américaines pour qu'elles adhèrent enfin aux réglementations européennes strictes en matière de confidentialité, il serait de loin préférable d'avoir une véritable alternative à Microsoft, Google et Apple.

Des alternatives européennes sont nécessaires

Les écoles européennes peuvent désormais attendre que les grandes entreprises technologiques américaines résolvent leurs problèmes de confidentialité. Ou elles peuvent commencer à chercher des alternatives européennes. Cette dernière solution aura un grand impact positif sur l'Europe et les Européens dans leur ensemble :
  • Le business technologique européen est renforcé et peut constituer une alternative aux grandes entreprises technologiques américaines.
  • Les données des citoyens européens sont protégées conformément au RGPD.
  • Les données sont stockées en Europe et aucun transfert de données n'a lieu.

En attendant, Microsoft propose Cloud for Sovereignty

« Nous attendons des clients dans le monde entier… mais les premiers clients ont été en Europe », a déclaré le vice-président Corey Sanders dans une interview, ajoutant que la société organisait des Private Preview avec les clients.

Le service est complet. Les clients reçoivent une capacité cloud, des applications, des conseils, des intégrations et une assistance. La conformité est le fil conducteur. Chaque charge de travail doit respecter les lois locales. Microsoft met ses clients en contact avec des fournisseurs locaux, des ingénieurs et des conseillers en matière de confidentialité pour organiser des serveurs et des applications de cloud public conformes.

Dans son annonce, l'entreprise a indiqué que :

Microsoft Cloud for Sovereignty est construit sur le cloud public de Microsoft pour accélérer la transformation numérique tout en créant une expérience personnalisée conforme aux exigences gouvernementales. Les clients gouvernementaux auront la puissance du cloud public, répondant aux attentes en matière de faible coût, d'agilité et d'échelle, avec toute l'étendue des capacités telles que les services de développement modernes, l'infrastructure agile, les DevOps sécurisés, les plates-formes open source, la collaboration moderne et le développement low-code. De plus, les clients Microsoft Cloud for Sovereignty continueront de bénéficier des signaux de sécurité mondiaux de Microsoft, analysant plus de 24 000 milliards de signaux chaque jour pour identifier et aider à se protéger contre les attaques locales.


La fondation de Microsoft Cloud for Sovereignty commencera par nos centres de données régionaux Azure. Aujourd'hui, avec plus de 60 régions cloud, Microsoft Cloud offre les capacités et l'innovation les plus étendues avec la résidence et la proximité des données dans plus d'emplacements que tout autre fournisseur de cloud, permettant des options de résidence pour l'ensemble de Microsoft Cloud, y compris Microsoft 365, Dynamics 365 et Azure. Grâce à nos contrôles de politique à la pointe de l'industrie, les clients peuvent aujourd'hui répondre à de nombreuses exigences réglementaires et mettre en œuvre des politiques pour contenir leurs données et applications dans leur limite géographique préférée. Les clients peuvent spécifier le pays ou la région pour la plupart des déploiements de services avec la capacité de satisfaire aux exigences sectorielles, nationales ou mondiales en matière de sécurité, de confidentialité et de conformité.

Microsoft dispose de la couverture de conformité la plus complète de tous les fournisseurs de services cloud avec plus de 100 offres, dont plus de 50 spécifiques aux régions et pays du monde. Microsoft collabore avec les gouvernements, les régulateurs, les organismes de normalisation et les organisations non gouvernementales pour comprendre les exigences émergentes et assurer une activation rapide et efficace des besoins de conformité critiques. Plus précisément en Europe, dans le cadre de notre engagement en matière de résidence des données, la future limite des données de l'UE garantira que Microsoft non seulement stocke mais traite également les données des clients dans l'UE et l'Association européenne de libre-échange.

Sources : Agence danoise de protection des données, Agence allemande à la protection des données

Et vous ?

Que pensez-vous de ces décisions ?
Que pensez-vous de l'offre de Microsoft ?

Voir aussi :

La CNIL met en demeure un gestionnaire de sites français pour son usage de Google Analytics. Le recours à Google Analytics va-t-il être remis en cause en Europe ?
Microsoft lance un cloud « souverain » pour les gouvernements et ses clients du secteur public en Europe baptisé Microsoft Cloud for Sovereignty

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Fagus
Membre expérimenté https://www.developpez.com
Le 27/07/2022 à 18:21
Danemark, Pays-Bas, Allemagne... Il n'y a que 3 pays en Europe pour faire appliquer une loi européenne qui pour une fois a du sens ?

En pratique, vos données de santé passent de temps en temps sur du cloud US parce que l'externalisation c'est bel et bon.
6  0 
Avatar de marc.collin
Membre chevronné https://www.developpez.com
Le 27/07/2022 à 14:59
il reste que ms comme toute entreprise américaine doit répondre au loi américaine qui ne sont pas nécessairement en respect des règles de pays européen ou de l'union européen.

alors dans ce quoi en quoi opter pour microsoft ou autre serait plus sécure ou respectueux des données que google?
3  0 
Avatar de sanderbe
Membre confirmé https://www.developpez.com
Le 28/07/2022 à 12:12
Bonjour,

Les écoles au Danemark, aux Pays-Bas et en Allemagne ne peuvent pas utiliser Gmail ou de cloud de Google, en raison de problèmes de confidentialité

Que pensez-vous de ces décisions ?
Pour des questions de souverainetés et de sécurité , c'est compréhensible. Enfin des pays qui "réagissent" . Après faut pas non plus tomber dans la paranoia.

Que pensez-vous de l'offre de Microsoft ?
Microsoft reste un gafam ^^ donc la problématique de chez Google se retrouvera forcement chez Microsoft

Citation Envoyé par Fagus
Danemark, Pays-Bas, Allemagne... Il n'y a que 3 pays en Europe pour faire appliquer une loi européenne qui pour une fois a du sens ?
Culture germanophone, pourtant très à la botte des usa
0  0