La réponse de la CNIL est précise.
Dans sa réponse, la CNIL indique que l’écosystème numérique des établissements d’Enseignement Supérieur, de la Recherche de l’Innovation (ESRI) ayant fait le choix d’outils collaboratifs relevant de pays non adéquat au sens du droit européen1 -et précisément de droit étatsunien- doit évoluer. Elle rappelle que les données personnelles traitées dans le cadre des missions d’intérêt public d’enseignement et de recherche doivent être particulièrement protégées dans les plus hauts standards de nos valeurs de droit.
La réponse de la CNIL annonce un changement d’ère.
La protection des données administratives et de recherche traitées avec des outils numériques relevant de droits extra-territoriaux à l’Union Européenne, ne rentrant pas dans le cadre des dérogations ou de mécanisme d’adéquation 2, ne peut être assurée sans mesures de protection supplémentaires : les droits et libertés fondamentales de nos populations sont en jeu, la protection du patrimoine scientifique ainsi que la compétitivité numérique européenne aussi. A grande échelle, l’ESRI pâtit d’une jurisprudence RGPD en construction, d’une absence de réglementation internationale adéquate, de situations monopolistiques et de modèles économiques en apparence gratuits.
L’affirmation selon laquelle l’Union Européenne et ses États membres ne peuvent rien contre les grandes plateformes numériques extra-territoriales n’est plus fondée, et nous devons prendre acte des nouvelles règles pour, collectivement, travailler sur les alternatives techniques et juridiques efficaces. Elles existent.
Avec cette réponse de la CNIL, SupDPO espère retrouver l’ensemble des gouvernances des structures de l’ESRI définitivement convaincues. De par leurs missions, les Délégués à la protection des données (DPO) de l’ESRI et notre association professionnelle SupDPO sont là pour leur apporter des conseils et recommandations.
La réponse de la CNIL est prometteuse.
Avec cette réponse, la CNIL se positionne sur l’écosystème numérique de l’ESRI et l’amène à se diriger vers un cadre souverain et éthique de la gestion des données, et permet à nos établissements de converger vers la même philosophie numérique : la protection des données est un enjeu de responsabilité sociétale majeur.
Par ailleurs, beaucoup parlent de souveraineté sans définir ni savoir traduire ce concept : la CNIL, les autorités homologues de protection des données européennes et le Comité Européen à la Protection des Données (CEPD / EDPB) démontrent définitivement par leurs avis successifs (Health Data Hub, Microsoft, Google, etc.) que le RGPD est un outil d’une politique numérique souveraine.
SupDPO croit en la fédération des forces de l’ESRI, en l’installation de gouvernance post-RGPD dans les établissements et en la coordination des moyens sectoriels pour développer le futur bouquet numérique français ou européen de service de l’ESRI (messagerie, stockage, agenda, visio, portfolio tout au long de la vie, etc.).
SupDPO y voit le signe aussi d’un renforcement sectoriel et régional et d’un premier jalon pour affirmer une idée de souveraineté numérique dans l’ESRI : meilleure cohérence et interopérabilité des outils collaboratifs, amélioration des conditions de marché à ce jour imposées par les opérateurs de solutions numériques, ouverture du marché et négociation nationale, voire européenne et choix d’une solution de droit européen uniquement. Des solutions sont possibles tant au niveau contractuel qu’au niveau du droit des marchés publics ou de l’hébergement des données (ie. tiers de confiance européen). L’harmonisation sectorielle à l’échelle européenne des politiques de protection des données personnelles est en vue.
A nous tous, acteurs de l’ESRI, de construire cette vision cible. Ensemble.
SupDPO remercie les gouvernances d’établissements qui ont travaillé et défendu ces principes de protection par défaut dans chacun de leurs choix numériques. La gratuité, la sécurité ou encore l’ergonomie de certains outils présentent toujours de sérieux arguments en faveur de la qualité de service que les établissements souhaitent apporter à leurs populations. Ces établissements ont réussi à préserver un écosystème souverain et SupDPO espère qu’ils participeront à diffuser leurs expériences et pratiques.
L’arrêt Schrems II de la Cour de justice de l’Union Européenne du 16 juillet 2020 a permis de clarifier les contours de ce qui est autorisé et de ce qui ne l’est pas.
SupDPO salue le travail de Maximilian Schrems, qui en est à l’origine. Les invalidations du Safe Harbor, puis du Privacy Shield, changent la donne pour tous les secteurs européens, dont l’ESRI français, et cette décision de justice doit encore être comprise et appliquée par tous les établissements. Il en sera de même à présent de la réponse de la CNIL qui en est la juste conséquence.
SupDPO remercie la CNIL qui permet aujourd’hui de faire avancer ce chantier au niveau national et européen.
SupDPO remercie la Conférence des Présidents d’Université (CPU) et la Conférence des grandes écoles (CGE) qui, en tant que représentants des établissements, ont soutenu les travaux d’instruction des solutions GAFAM de SupDPO et porté la saisine sectorielle auprès de la CNIL, plutôt que de concentrer la saisine et la responsabilité d’une telle démarche sur un seul de nos établissements.
SupDPO se tient à disposition des établissements pour les soutenir dans l’analyse de conformité des déploiements ou développements de solutions collaborative pour l’éducation et les accompagner dans leurs choix numériques ;
Parallèlement, nous nous tenons à disposition du Ministère et des différentes centrales d’achat de l’ESRI afin de travailler au renforcement des enjeux RGPD dans le pilotage national des marchés publics et des offres négociées, notamment avec les grands opérateurs de solutions numériques utilisées par l’ESRI.
SupDPO se réjouit de voir parallèlement avancer la stratégie nationale de labellisation Cloud de confiance reposant sur le visa SecNumCloud délivré par l’ANSSI.
Populations de l’ESRI, SupDPO vous prie désormais, pour ceux évoluant dans un -ou plusieurs- établissement concerné par les conséquences de la présente position de la CNIL, de donner le temps à vos établissements et à leurs partenaires et sous-traitants respectifs de renforcer leurs écosystèmes numériques et juridiques. Le travail doit se poursuivre encore aussi au niveau sectoriel et au niveau européen. Comprenez que les évolutions que cela requiert prendront encore un peu de temps à être mises en œuvre.
Enfin, nous engageons les opérateurs des solutions numériques utilisées par l’ESRI, à faire évoluer leurs offres dans les meilleurs délais.
Afin d’accompagner les établissements dans la transformation, nous publions ce jour nos recommandations aux opérateurs de solutions numériques. Ce document recense ce qui doit être exigé lors d’une sous-traitance et qui fait malheureusement défaut de manière générale. Nous encourageons plus que jamais nos établissements -et bien sûr les opérateurs- à s’en saisir.
SupDPO rappelle aussi l’ensemble des publications de son GT GAFAM (Consulter le DPO de votre établissement)
- 09/2020 – Invalidation du Privacy Shield : recommandations pour l’ESR concernant l’utilisation de solutions numériques relevant du droit américain (USA)
- 04/2020 – Outils collaboratifs dans l’ESR (COVID-19 / outil de visio-conférence)
- 04/2020 – AIPD Mise en oeuvre d’un outil de visioconférence (le cas Zoom)
- 02/2020 – Conseils et propositions aux Etablissements d’enseignement supérieur et de recherche concernant le choix et la mise en œuvre des suites collaboratives « For Education »
En savoir +
- RGPD – Article 45 – Transferts fondés sur une décision d’adéquation
- RGPD – Chapitre V et particulièrement art. 45 et 49
- Visa de sécurité SecNumCloud de l’ANSSI
