Des outils collaboratifs numériques qui ne respectent pas le RGPD : l’enseignement supérieur et la recherche en France invités à évoluer. Et chez nous ?

La CNIL a été saisie par les Conférences des grandes écoles et des présidents d’universités à la suite de ce qu’on appelle l’arrêt Schrems II. Un arrêt qui porte le nom de l’activiste autrichien Maximilian 'Max' Schrems. L’homme s’était d’abord fait connaître en 2011 en demandant à Facebook toutes les données le concernant (plus de 1200 pages). Quelques années plus tard, en 2015, il obtient, à travers l’arrêt Schrems I, l’invalidation auprès de la Cour de justice de l’Union européenne (CJUE) de l’accord Safe Harbor, un accord qui permettait à des sociétés américaines le transfert de données personnelles de leurs clients européens vers les Etats-Unis. Enfin, au mois de juillet 2020, il obtient de la même CJUE, l’arrêt Schrems II et l’invalidation du Privacy Shield, un autre accord permettant le transfert des données personnelles entre l’UE et les Etats-Unis, jugé trop peu protecteur face aux programmes de surveillance américains.

Le Juriste spécialisé en droit des Technologies de l’Information et chercheur à l’UNamur, Florian Jacques, nous rappelle ce qui se trouve dans l’arrêt Schrems II. La CJUE dit : "très clairement, le fait que les données à caractère personnelles soient utilisées par les agences de renseignement américaines dans le cadre de programmes de surveillance, c’est une atteinte aux droits fondamentaux. Et, est-ce qu’il existe suffisamment de recours pour le citoyen européen dans ce cas-là ? La réponse est non. La CJUE dit que le droit américain ne confère pas pour les citoyens européens de saisir une juridiction américaine et que les mécanismes en place ne peuvent être assimilés à un tribunal indépendant et impartial". La CJUE précise aussi que les transferts des données personnelles sont contraires au RGPD, sauf si des mesures supplémentaires sont mises en place ou que les transferts sont justifiés par des dérogations prévues par le RGPD.

Florian Jacques précise : "à la sortie, la CJUE laisse entendre qu’en l’état, sauf exception (transferts de données réalisés dans des situations dérogatoires où le transfert est nécessaire), le droit des Etats-Unis, ne permet pas un niveau de protection équivalent (au cadre européen) et donc il faut partir du principe que le transfert ne devrait pas se faire sans consultation d'une autorité de contrôle".

La CNIL, dans son avis, rappelle les conséquences de l’invalidation du Privacy Shield : "Si la CNIL et ses homologues continuent d’analyser toutes les conséquences de cette décision, les organismes publics et privés, français et européens, doivent d’ores et déjà respecter ces nouvelles règles en privilégiant des solutions respectueuses du RGPD, notamment quand ils ont recours à des solutions d’informatique en nuage (cloud computing)".

Et Florian Jacques d’ajouter : "parce que même en l’absence de transfert de données, le droit des Etats-Unis permet de requérir d’une société américaine ou de ses filiales d’accéder à des données qu'elles détiennent". Le Juriste spécialisé en droit des Technologies de l’Information parle ici du Cloud Act.

Notons qu’à l’heure d’écrire ces lignes, nous n’avons pas réussi à joindre l’Autorité de protection des données en Belgique afin de vérifier s’il existe un avis similaire dans le Royaume.

L’Université libre de Bruxelles, comme la majorité des universités belges, travaille pour l’instant avec la solution collaborative de Microsoft. C’est ce que nous explique Nicolas Van Zeebroeck, professeur d’Innovation et Digital Business à la Solvay Brussels School. Mais il précise aussi qu’une part non négligeable des chercheurs et enseignants, pour des raisons philosophiques ou par habitude, utilisent des solutions de logiciels libres (open source). Quant aux données sensibles de la recherche ou autres, elles sont stockées sur des serveurs non commerciaux et contrôlés par l’université.

Parmi les raisons qui ont poussé l’université à se tourner vers Microsoft, il y a le coût intéressant pour le secteur de l’enseignement. Et puis, "il n’existe pas, actuellement, de solution collaborative aussi complète et intégrée que celle de Microsoft et éventuellement de Google". Il note que des outils open source existent, mais "une solution aussi intégrée que vous avez comme ça dans une " boîte ", vous trouvez ça chez Microsoft et Google et puis c’est tout". L’homme rappelle aussi les nombreux défis auxquels sont confrontées les universités en matière d’informatique et de numérisation pour la recherche et l’enseignement. La suite collaborative n’est pas la priorité. "A l’heure actuelle, on a envie de mettre notre énergie dans des sujets qui nous paraissent plus fondamentaux".

Notre cœur bat plutôt vers des solutions ouvertes et libres

Nicolas Van Zeebroeck précise aussi que la solution Microsoft est temporaire et qu’il ne s’agit pas d’une solution optimale pour l’ULB. "Notre cœur bat plutôt vers des solutions ouvertes et libres […] on serait heureux de pouvoir revenir un jour vers une solution qui soit plus conforme à nos idéaux. On est assez bien en phase avec l’avis de la CNIL". Il explique aussi que l’ULB serait plus à l’aise si les données étaient uniquement stockées sur des serveurs en Europe, sous législation européenne et sans contrôle d’un opérateur commercial. Et puis, le professeur d’Innovation et Digital Business à la Solvay Brussels School estime qu’il ne faut pas exagérer "ce n’est pas parce que les données sont sur un cloud américain que les autorités américaines ont un droit de regard sur tout ce qu’on stock dans notre environnement. Il faut tout de même une décision de justice […], ce n’est pas " open bar "". Pour ce spécialiste, il s’agit d’une question d’équilibre entre une législation américaine qui est "embêtante" et de l’autre les solutions des géants américains qui sont probablement les plus sécurisés au monde.

►►► : SMS, appels, Internet : comment la NSA a espionné Angela Merkel et ses alliés européens grâce aux services danois

►►► : Cyberattaque d’une vaste ampleur en Belgique : des "suspicions d’espionnage" coordonné par un Etat étranger

Quant à l’avenir, si des solutions équivalentes aux produits américains voient le jour au niveau européen et mutualisé par l’ensemble des acteurs publics ou académiques "alors l’équation change assez radicalement et les universités seront ravies de basculer dans un monde open source", nous dit Nicolas Van Zeebroeck. A ce sujet, notons qu’une solution semble se dessiner avec le projet European Open Science Cloud (EOSC).

C’est à chaque fois plus de travail, mais au moins on est certain de la confidentialité des données

Direction l’université de Liège. Didier Korthoudt, le directeur général de l’informatique, nous confirme que la problématique soulevée par la CNIL est régulièrement abordée au sein de l’établissement. D’ailleurs, l’université tente de minimiser l’utilisation des solutions des entreprises américaines. Exemple, sur les 3000 serveurs de l’ULiège, deux tiers utilisent le système open source Linux, le reste est sous Microsoft Windows. La stratégie mise en place ici privilégie d’abord le logiciel libre, ensuite les solutions propriétaires, mais sans faire appel au cloud.

Et enfin, s’il n’y a pas d’autres solutions, ils se tournent vers des produits qui utilisent le cloud. Notons encore le choix de l’ULiège en matière de courriel d’utiliser en interne un logiciel libre pour assurer la confidentialité des données et des messages échangés. Idem pour le stockage en ligne (type cloud). Tout cela respecte par ailleurs des normes de confidentialité, sécurité et d’intégrité des données. "C’est à chaque fois plus de travail, mais au moins on est certain de la confidentialité des données". L’utilisation du logiciel se fait sans prosélytisme, nous assure Didier Korthoudt. Si une solution commerciale remplit mieux la fonction, elle sera choisie.