Dans l’enseignement supérieur, la Cnil déconseille d’utiliser Teams ou Zoom
Ces outils posent des "problématiques de plus en plus prégnantes relatives au contrôle des flux de données au niveau international", entre autres.
On le sait, la pandémie a fait bondir à des niveaux jamais vus l’utilisation de services de visioconférence. Et élèves et étudiants ont découvert, avec plus ou moins d’enthousiasme et c’est un euphémisme, les cours à distance. A l’aide d’outils numériques pour la plupart hébergés aux États-Unis, Zoom ou Teams en tête. Seulement, la réglementation des transferts de données des utilisateurs entre Union européenne et États-Unis reste floue. En effet, le 16 juillet 2020, la Cour européenne de justice a invalidé le “privacy shield”, l’accord UE/USA qui régente ces transferts.
Interrogée, la Cnil se positionne
Dans ce cadre, la Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont demandé à la Cnil son avis sur l’usage de Teams ou Zoom par exemple, outils 100% américains. Et le gendarme de la protection des données ne fait pas dans l’ambiguïté : “Dans les établissements qui emploient ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs, et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs)”.
Privilégier des alternatives
Dans son avis du 27 mai dernier, le régulateur précise ainsi : “Il existe donc un risque d’accès par les autorités américaines aux données stockées. Cet accès, s’il n’est pas fondé sur un accord international, constituerait une divulgation non autorisée par le droit de l’Union, en violation de l’article 48 du RGPD”. Et il y a un autre problème, car “le Comité européen de la protection des données n’a pas, à ce jour, identifié de mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat lorsqu’un transfert est réalisé vers un fournisseur de services informatiques en nuage (cloud, NDLR)”. Que faire en attendant ? Utiliser des solutions alternatives, et la Cnil promet d’aider à identifier ces alternatives européennes voire françaises.