Par akademiotoelektronik, 05/04/2022

La Cnil déconseille d'utiliser Teams ou Zoom dans l'enseignement supérieur

La Commission informatique et libertés estime que les applications collaboratives américaines Zoom et autres Microsoft Teams posent des problèmes dans l'hébergement des données personnelles. Et appelle à l'utilisation de solutions alternatives.

On le sait, la crise du covid a entraîné une explosion des logiciels collaboratifs comme Zoom ou encore Teams de Microsoft, recours massif au télétravail oblige.

Mais ces applications américaines qui dominent ce marche doivent-elles être utilisées dans tous les secteurs? La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont ainsi interrogé la Cnil sur l’utilisation dans l’enseignement supérieur et la recherche de ces outils.

Et pour la Commission nationale informatique et libertés, la réponse est assez limpide: il faut se passer de ces outils dans ce domaine. Pourquoi? Ils posent des "problématiques de plus en plus prégnantes relatives au contrôle des flux de données au niveau international, à l’accès aux données par les autorités de pays tiers, mais aussi à l’autonomie et la souveraineté numérique de l’Union européenne".

Cloud Act

En effet, rappelons que le Cloud Act permet aux autorités américaines d'obtenir de la part des opérateurs télécoms et des fournisseurs de services américains basés sur le cloud (comme les applications collaboratives) des informations stockées sur leurs serveurs qu'ils soient situés aux Etats-Unis ou en dehors.

La Cnil explique que "les documents transmis par la CPU et la CGE font apparaître, dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des suites collaboratives pour l’éducation. Dans les établissements qui emploient ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs)".

"Il existe donc un risque d’accès par les autorités américaines aux données stockées. Cet accès, s’il n’est pas fondé sur un accord international, constituerait une divulgation non autorisée par le droit de l’Union, en violation de l’article 48 du RGPD", souligne le régulateur.

Alternatives

La Commission estime donc qu'il est nécessaire de mettre en place des mesures supplémentaires ou de justifier le transfert de données au regard des dérogations autorisées par l’article 49 du RGPD. Problème, "le Comité européen de la protection des données (l'autorité européenne qui chapeauté les Cnil de chaque pats, NDLR) n’a pas, à ce jour, identifié de mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat lorsqu’un transfert est réalisé vers un fournisseur de services informatiques en nuage".

Il est donc "nécessaire que le risque d'un accès illégal par les autorités américaines à ces données soit écarté", souligne la Cnil. En attendant, l'enseignement supérieur devrait donc se passer de ces applications et utiliser des solutions alternatives estime la Commission qui promet d'aider ces organismes à identifier ces alternatives européennes voires françaises qui existent bel et bien.

Olivier Chicheportiche Journaliste BFM Business