La CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs états-uniens pour l’enseignement supérieur et la recherche
À la suite de l’arrêt Schrems II, la CNIL a été saisie par la Conférence des présidents d’université et la Conférence des grandes écoles sur l’utilisation des « suites collaboratives pour l’éducation » proposées par des sociétés américaines, plus particulièrement s’agissant de la question des transferts internationaux de données personnelles. Compte tenu du risque d’accès illégal aux données, la CNIL appelle à des évolutions dans l’emploi de ces outils et accompagnera les organismes concernés pour identifier les alternatives possibles.
La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont interrogé la CNIL sur la conformité au RGPD de l’utilisation, dans l’enseignement supérieur et la recherche, d’outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis. Cette demande de conseil s’inscrit notamment dans le prolongement de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne (CJUE).
Cette démarche s’inscrit dans le cadre de l’accélération de la transformation numérique dans l’enseignement et de la recherche, mais aussi plus largement dans toutes les organisations publiques comme privées, impliquant des services qui s’appuient, pour beaucoup, sur des technologies d’informatique en nuage (cloud computing). La CNIL a constaté que le recours à ces solutions met en lumière des problématiques de plus en plus prégnantes relatives au contrôle des flux de données au niveau international, à l’accès aux données par les autorités de pays tiers, mais aussi à l’autonomie et la souveraineté numérique de l’Union européenne. En outre, le gouvernement a annoncé, le 17 mai 2021, une stratégie nationale pour le cloud, afin d’appréhender les enjeux majeurs de cette technologie pour la France, avec l’objectif de mieux protéger les données traitées dans ces services tout en affirmant notre souveraineté.
Les conséquences de l’invalidation du Privacy Shield
Le 16 juillet 2020, la CJUE a jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD (qui prévoit des dérogations dans des situations particulières).
Si la CNIL et ses homologues continuent d’analyser toutes les conséquences de cette décision, les organismes publics et privés, français et européens, doivent d’ores et déjà respecter ces nouvelles règles en privilégiant des solutions respectueuses du RGPD, notamment quand ils ont recours a des solutions d’informatique en nuage (cloud computing).
En particulier, cet arrêt a notamment eu des conséquences, en France, dans la mise en œuvre de la Plateforme des données de santé (Health Data Hub), qui est actuellement hébergée au sein d’une infrastructure états-unienne (Microsoft Azure). En effet, le Conseil d’État a reconnu un risque de transfert des données de santé vers les États-Unis, du fait de la soumission de Microsoft au droit états-unien, et a demandé des garanties supplémentaires en conséquence. Partageant cette inquiétude, la CNIL a réclamé et obtenu de nouvelles garanties du ministère en charge de la santé quant à un changement de solution technique dans un délai déterminé. Cette Plateforme sera ainsi hébergée dans des infrastructures européennes dans un délai de 12 à 18 mois et, en tout état de cause, ne dépassant pas deux ans après novembre 2020.
La position de la CNIL sur les outils états-uniens pour l’enseignement supérieur et la recherche
Les documents transmis par la CPU et la CGE font apparaître, dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des « suites collaboratives pour l’éducation ». Dans les établissements qui emploient ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs).
Particulièrement soucieuse de pouvoir accompagner le développement de solutions respectueuses de la protection des données personnelles dans la sphère de l’enseignement supérieur et de la recherche, la CNIL considère que :
- il est nécessaire de mettre en place des mesures supplémentaires ou de justifier le transfert de données au regard des dérogations autorisées par l’article 49 du RGPD, à la suite de l’invalidation de la décision d’adéquation qui permettait d’encadrer ces transferts. Attention cependant :
- le Comité européen de la protection des données (CEPD) n’a pas, à ce jour, identifié de mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat lorsqu’un transfert est réalisé vers un fournisseur de services informatiques en nuage ou vers d’autres sous-traitants qui, dans le cadre de leurs prestations, ont la nécessité d’accéder aux données en clair ou possèdent les clefs de chiffrement, et qui sont soumis aux législations états-uniennes,
- les transferts dérogatoires ne peuvent pas devenir la règle et doivent rester l’exception. Ces dérogations sont soumises à des conditions particulières, d’interprétation stricte, détaillées à l’article 49 du RGPD ;
- indépendamment de l’existence de transferts, les législations américaines s’appliquent aux données stockées par les sociétés états-uniennes en dehors de ce territoire. Il existe donc un risque d’accès par les autorités américaines aux données stockées. Cet accès, s’il n’est pas fondé sur un accord international, constituerait une divulgation non autorisée par le droit de l’Union, en violation de l’article 48 du RGPD.
Dans ce contexte, indépendamment d’autres caractéristiques de ces traitements qui pourraient eux aussi nécessiter des mises en conformité, la CNIL considère qu’il est nécessaire que le risque d’un accès illégal par les autorités américaines à ces données soit écarté.
Un accompagnement pour identifier des solutions alternatives
Compte tenu des enjeux résultant d’une telle analyse, en particulier dans le contexte sanitaire actuel, la nécessité pour les établissements concernés d’assurer la continuité des missions exercées grâce aux outils numériques est de nature à justifier une période transitoire.
Dans l’intervalle, la CNIL apportera toute l’aide nécessaire à ces organismes afin de leur permettre d’identifier des alternatives possibles. Elle les accompagnera dans leur mise en conformité, comme prévu dans la charte d’accompagnement des professionnels de la CNIL et avec l’appui des « têtes de réseaux » du secteur.
Alors que la transition numérique s’intensifie, les enjeux de protection des données et de souveraineté européenne sont devenus plus que jamais essentiels au développement durable d’une économie numérique fondée sur la confiance. La CNIL continuera à s’attacher à faire respecter le droit à la vie privée tout en veillant à ce que la protection des données favorise l’innovation et soit un des marqueurs de l’action des secteurs public comme privé.
