[Linux-bruxelles] Pour info : suite office et étudiants vs Google worspace

Rémi Letot hobbes at poukram.net
Mer 22 Sep 14:51:34 CEST 2021 

Bonjour Nicolas, bonjour la liste,

le cadre contractuel devrait effectivement normalement empêcher
l'utilisation des données de l'utilisateur par Microsoft (ou autre),
au-moins dans le cas d'une utilisation professionnelle sous contrat.

En théorie.

En pratique, il n'en reste pas moins que l'utilisation de ces
plateformes, même «protégé» par un contrat, reste problématique, et ce
pour plusieurs raisons:

- Microsoft tente par tous les moyens d'étendre l'emprise de ses comptes
  à l'ensemble de la plateforme utilisée par l'utilisateur. Par exemple,
  quand tu configures un compte Teams sur un pc Windows, il va te
  demander si tu veux utiliser ce compte sur toute la machine (et en
  petit te donner la possibilité de dire non). Rien que le design de cet
  écran n'est pas conforme avec le RGPD puisque par défaut c'est oui, et
  en petit difficilement visible c'est non.

- ils sont extrêmement agressifs pour pouvoir utiliser tes données et
  ton comportement, même si tu leur dis non. Par exemple, à chaque
  grosse mise à jour de Windows (y compris la version Pro), il va te
  redemander (avec insistance) si tu veux bien qu'il utilise tes données
  pour «améliorer» ses services. Ni la démarche, ni les écrans en
  question, ne sont conformes avec le RGPD.

- chrome fait à peu près la même chose: par exemple quand tu rentres sur
  ton compte gmail, même professionnel, c'est tout chrome qui s'y
  connecte sans te demander ton avis. Peut-être qu'ils n'en font
  rien. Mais vu leur historique, moi je n'ai pas spécialement
  confiance. Par exemple il y a un gros bouton «synchroniser avec
  google» qui apparaît sous ton nom de compte, sur lequel les gens ont
  tendance à pousser (le design est fait pour). Ce design n'est pas non
  plus conforme au RGPD.

- un Windows sans aucun logiciel et sans utilisation transmets déjà à
  Microsoft une quantité de données incroyables sous couvert de
  «monitoring» pour améliorer le produit (l'équivalent d'un roman par
  jour d'après le ministère de l'intérieur Allemand). Si tu ajoutes des
  logiciels, notamment Office, il semble que des bouts de documents
  passent dans ces données. Office est un produit payant, couvert par un
  contrat, mais des données qui peuvent être confidentielles sont
  quand-même envoyées à Microsoft. Alors ils n'en font peut-être
  effectivement rien à priori, mais alors pourquoi les collecter ?

Je pourrais continuer longtemps, mais je pense que le message général
est clair: oui normalement les contrats devraient nous protéger. Mais en
pratique ces sociétés enfreignent le RGPD à tours de bras, et usent de
tous les subterfuges possibles et imaginables pour étendre leur
emprise. Probablement souvent en respectant les contrats à la lettre
(après tout ce sont eux qui les ont écrits), mais probablement souvent
aussi en poussant un peu (ou beaucoup) les limites. Ils ne respectent
pas (encore) le RGPD, je ne vois pas pourquoi ils respecteraient plus
les contrats. 


Mais en plus, et ça c'est le coup de grâce pour finir: les garanties
contractuelles offertes ne sont pas au-dessus de la loi américaine à
laquelle ces éditeurs sont soumis. Le Cloud Act et le FISA sont très
clair: les agences de renseignement américaines ont la possibilité
d'avoir accès à toutes ces données, hébergées aux US ou partout
ailleurs. Avec très peu de contrôle (il existe des recours, mais leurs
conditions sont drastiques), et sans que l'utilisateur en soit averti.

Donc contrat ou pas, ils sont soumis à cette loi, et ne peuvent
respecter le RGPD.


En passant, je ne le connais pas, mais l'analyse de François Bocquet est
étonnante dans la conversation sur la liste de l'April: même les textes
qu'il fournit contredisent son interprétation, sans parler le la cours
de justice européenne...

A+,
-- 
Rémi

Nicolas Pettiaux via Linux-bruxelles <linux-bruxelles at lists.bxlug.be> writes:

> Bonjour,
>
> Le message suivant fait partie d'un fil de discussion assez bien informé et pour lequel d'autres personnes posent de bonnes questions.
>
> Toute personne qui le souhaite peut s'abonner à la liste https://listes.april.org/wws/info/educ
>
> Vous pouvez trouver le fil des échanges dans les archives publiques à https://listes.april.org/wws/arc/educ/2021-09/msg00068.html (qui est ce message en ligne).
>
> Il corrige et précise (comme d'autres messages postérieurs) des informations que nous croyons et qui ne sont pas toujours juste apparemment.
>
> Bonne journée,
>
> Nicolas
>
> -------- Message transféré -------- 
>
>  Sujet :   Re: [EDUC] étudiants-Google worspace  
>  Date :   Tue, 21 Sep 2021 09:46:28 +0000  
>  De :   FRANCOIS BOCQUET <francois.bocquet at education.gouv.fr>  
>  Répondre à :   educ at april.org  
>  Pour :   educ at april.org <educ at april.org>  
>
> Bonjour,
>
> Voici quelques informations qui semblent nous manquer pour continuer à réfléchir et à agir.
>
> Tous les éditeurs de services bureautique grand public (Microsoft Office 365 ou Google Workspace) proposent des versions professionnelles de leurs services (même Amazon ou Facebook Workplace).
>
> Dans le premier cas les services grand public repose sur un modèle économique qui utilise les données pour se rémunérer (principalement pour du profilage publicitaire). C'est donc "gratuité" contre données
> utilisables avec le consentement explicite de l'utilisateur (et c'est donc légal et conforme au RGPD même si toujours à la limite pour réaliser les profits maximum et donc avec des sanctions régulières quand les
> limites sont dépassées). Vis à vis du RGPD les éditeurs sont responsables de traitement vis à vis des utilisateurs. C'est donc ce qui est mis en œuvre quand des adresse de type @gmail.com sont utilisée ou
> encore quand Facebook ou Twitter est utilisé. Il n'y a pas de console d'administration pour l'institution et le contrat est passé directement entre l'éditeur et l'utilisateur final (ici un étudiant). D'autres services
> "loyaux" c'est à dire gratuits sans profilage (financés par des dons par exemple) sont également dans la même situation juridique (par exemple les services de Proton, de Framasoft et de tous les chatons).
> Ce modèle NE DOIT pas être utilisé dans l'éducation car il n'est pas légal (non conformité avec le RGPD sur la question de la responsabilité de traitement et du cadre contractuel).
>
> Dans le second cas, les éditeurs sont sous-traitants d'institutions. Les contrats sont passés non plus avec les utilisateurs finaux mais entre l'éditeur et l'institution. A ces contrats sont ajoutés les éléments rendus
> obligatoires par le RGPD c'est à dire le contrat de sous traitance (ou Data processing amendment) et l'éventuel cadre contractuel pour les exports de données hors UE (clauses de contrat type ou mesures
> adéquates). Il y a toujours une console d'administration et de provisionnement des comptes à disposition des administrateurs. Il n'y a jamais réutilisation des données à d'autres fins que la fourniture du service
> encadrée par le contrat passé par l'institution avec l'éditeur. C'est précisé dans le contrat lui-même et dans le DPA spécifique au RGPD en Europe.
>
> Donc il faut bien veiller dans les raisonnements à différencier les deux modèles et à bien les comprendre au moins sur le plan juridique.
>
> Enfin les critères de licéité des traitements définis par l'article 6 du RGPD ne sont pas du tout les mêmes dans les deux cas présentés ci dessus.
> https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
> Dans le premier cas il y a traitement dans le cadre de l'execution d'un contrat direct avec l'éditeur et par consentement de l'utilisateur à la réutilisation de ses données
> Dans le second cas il y a traitement pour l'exercice d'une mission de service public par un responsable d'une institution de formation avec un sous traitant (l'éditeur).
>
> Concernant Google Workspace pour éducation, c'est effectivement utilisé de façon massive dans tous les pays européens dans les établissements publics du primaire au Sup mais c'est peu développé en France.
> C'est même institutionnalisé dans plusieurs états (Ecosse, Autriche, Italie, ...) avec les deux ecosytèmes et en utilisant un annuaire et un SSO souverain (de type EduConnect).
> Microsoft est parvenu en France à remporter presque toutes les universités et commence à travailler avec les régions pour les lycées (Grand Est et Haut de France mais aussi Ile de France, PACA et même
> Normandie)
>
> A la question : est ce fait pour les établissements scolaires ? la réponse est sans doute oui ( d'autant que l'écosystème ChromeOS (basé sur un Linux) a pris des parts de marché considérables dans le domaine de
> l'éducation... En 2020 d'après un article sur Wikipedia il y avait 120 millions d'utilisateurs de Google Workspace pour éducation (dont 6 millions avec des contrats payant comme ceux des entreprises)
> https://en.wikipedia.org/wiki/Google_Workspace
>
> A la question : y a t'il du traçage et de l'exploitation des données des élèves à des fins marketing ? la réponse semble être non depuis 2012 ne serait-ce que par la loi FERPA qui protège les données scolaires des
> élèves aux USA depuis 1974 et qui est appliquée avec beaucoup de rigueur même s'il n'y a aucun procès gagné par des plaignants au sujet de la réutilisation des données par cet éditeur. Le cadre contractuel
> semble carré même vis à vis du RGPD et se trouve mis à l'épreuve régulièrement.
>
> A disposition pour répondre aux questions si nécessaire.
> o-------------------------------------------------------------------o
> François BOCQUET Tél. : +33 155 557 781 ou +33 6 35 48 21 13
> Mèl. : francois.bocquet at education.gouv.fr Portfolio : http://fr.linkedin.com/in/fbocquet/
>
> Le 20/09/2021 21:15, « educ-request at april.org au nom de Jean-Luc GENÊT » <educ-request at april.org au nom de jean-luc at brege.net> a écrit :
>
> Bonsoir,
> mes deux enfants reprennent cette semaine le chemin de leur école d'art.
> Il y a deux ans un espace Riot avait été créé pour les étudiants et j'en ai été ravi, visios jitsi, etc.
> L'an dernier ... zoom pour toutes les visios, aucun n'a protesté et je ne m'en suis pas mêlé.
> Cette année, google workspace ! Mon fils est mineur mais se retrouve avec des jeunes de 19 à 25 ans, j'hésite à intervenir.
> Ce produit n'est il pas plutôt adapté à l'entreprise ?
> La personne qui l'a mise en place a certifié aux "première année" qu'il ne seraient pas traqués, m'a dit mon fils.
> Je n'y crois pas mais cela reste tout a fait subjectif, je n'en ai pas les arguments, sauf à dire que c'est G et que son modèle économique, c'est les données...
> Je suis déboussolé par ces outils qui prennent une place que je ne désire pas dans la vie de mes enfants.
> Je pense allez rencontrer le directeur de l'école qui prône également une vie tournée vers l'écologie et qui me semble qqu'un d'ouvert. Des projets d'étudiants se tournent vers le développement durable
> d'ailleurs.
> Bon excusez mes longueurs,
> Librement
> Jean-Luc

Plus d'informations sur la liste de diffusion Linux-bruxelles