La réponse de la Cnil sur l’utilisation des plateformes collaboratives américaines

 

Saisie d’une question par la Conférence des grandes écoles (ci-après  la « CGE ») et la Conférence des présidents d’université (ci-après la « CPU »), la Commission Nationale de l’Informatique et des Libertés (ci-après la « Cnil ») s’est prononcée sur l’utilisation de plateformes collaboratives américaines, dans le cadre de l’enseignement supérieur, aussi appelées « suites collaboratives pour l’éducation ». 

 

Au regard des données collectées par ces plateformes, la question de la conformité avec le règlement général sur la protection des données personnelles (ci-après « RGPD ») a été soulevée par ces institutions. 

 

En s’appuyant sur les documents fournis par la CGE et la CPU, la Cnil a relevé qu’une grande quantité de données étaient collectées par ces plateformes, notamment des données « sensibles » telles que : 

 

- des données de santé ;

- des données relatives à des mineurs.

 

Face aux enjeux relatifs à la protection des données personnelles, la Cnil a estimé que : 

​

- des mesures de protection renforcées étaient nécessaires pour garantir un niveau de protection des données personnelles équivalent à celui de l’Union Européenne :  

​

• le Comité Européen de la protection des données personnelles (ci-après le «CEPD») a adopté le 10 novembre 2020 des recommandations de mesures à adopter en cas d’insuffisance de protection de données personnelles dans le cadre d’un transfert à l’étranger. Ces mesures peuvent être de nature contractuelle, technique ou organisationnelle ; 

​

• l’annexe 2 des recommandations prévoit une liste de mesures pouvant être mises en place. Par exemple, la mise en place d’un algorithme permettant l’accès aux données personnelles à un nombre de personnes circonscrites ;  

​

- ou bien que les plateformes justifient le transfert de ces données à partir des dérogations prévues à l’article 49 du RGPD concernant le transfert des données à des pays tiers ou à des organisations internationales.

 

L’absence de mesures adéquates selon le Comité Européen de la protection des données personnelles 

 

La Cnil observe que le CEPD n’a pas constaté, à cette date, de mesures adéquates permettant d’assurer une protection des données suffisantes « lorsqu’un transfert est réalisé vers un fournisseur de services informatiques en nuage ou vers d’autres sous-traitants qui, dans le cadre de leurs prestations, ont la nécessité d’accéder aux données en clair ou possèdent les clefs de chiffrement, et qui sont soumis aux législations étatsuniennes » .

 

Elle rappelle également que le recours à l’article 49 du RGPD est une exception, dont les conditions d’application doivent être interprétées de manière stricte. 

 

Par ailleurs, la Cnil souligne dans sa réponse au CGE et CPU, que les données collectées par ces plateformes américaines sont soumises aux législations américaines. 

 

Cela signifie que les autorités américaines pourraient utiliser ces données ; mais à défaut d’un accord international, cela constituerait une violation au regard du droit de l’Union Européenne. 

 

La proposition d’un accompagnement des établissements

 

Face à la crise sanitaire, la Cnil reconnait la nécessité pour les établissements supérieurs de continuer à utiliser ces plateformes. En revanche, elle s’engage à aider ces établissements à trouver des alternatives de plateformes garantissant une protection des données effective.