Clouds externes

De manière générale, les services en nuage (cloud services) peuvent être classés en trois modèles:

• Infrastructure as a Service (IaaS) : utilisation, à partir d’un nuage, des composants d’une infrastructure de centre de calcul (« composants matériels »). Exemples : puissance de calcul, espace de stockage, ressources réseau.

• Platform as a Service (PaaS) : utilisation, à partir d’un nuage, d’une ou de plusieurs plates-formes destinées aux environnements d’application. D’autres fonctions sont ajoutées à l’IaaS, notamment un environnement de développement et ses fonctions connexes. Cela peut aller jusqu’à la distribution du logiciel réalisé.

• Software as a Service (SaaS) : exécution et utilisation d’un logiciel sur une ressource réseau, en général sans qu’une installation locale ne soit nécessaire.

En fonction de la mise à disposition ou de l’accessibilité, on opère en outre une distinction entre un nuage « public », « communautaire », « hybride » ou « privé ». 

Dans chaque cas, l’utilisation des services en nuage s’accompagne d’une externalisation de l’infrastructure informatique, dont l’étendue et la pertinence dépendent des facteurs susmentionnés.

Il convient de préciser qu’en vertu du «CLOUD Act» signé le 23 mars 2018 par le Président des États-Unis, qui complète le précédent « Stored Communications Act » (SCA), les entreprises américaines sont tenues d’accorder un accès aux données aux autorités américaines, indépendamment du lieu de stockage de ces données.

1. L’emploi du temps professionnel des membres de la fonction publique est transparent. Autrement dit, il est accessible à tout un chacun. En d’autres termes, les règles de protection des données ne s’appliquent pas dans un tel cas, à commencer par celle relative au lieu d’hébergement. Par conséquent, il n’y a pas de contre-indication à l’utilisation de Framadate, selon les conditions contractuelles du 13.05.2022, (dossier 2022.4283).

2. Selon les conditions contractuelles du 30.05.2022, et dans la mesure où l’application Wiris Quizzes for Moodle ne récolte absolument aucune donnée personnelle, il n’y a pas de contre-indication à l’utilisation (dossier 2022.4302).

3. Au regard de la politique de confidentialité du fournisseur et sans règles d’utilisation particulières, l’application Kailo-edu n’est pas utilisable dans le respect des règles de protection des données, selon les conditions contractuelles du 30.05.2022 (dossier 2022.4306).

4. Selon les conditions contractuelles du 31.05.2022, l’application Algopyhton peut être utilisée conformément aux règles de protection des données, sous réserve que l’enseignant crée un compte pour lui et les élèves, en utilisant des pseudos non significatifs pour ces derniers et sans adresse e-mail (dossier 2022.4309).

5. Selon les conditions contractuelles du 02.09.2022, la plateforme La Digitale  https://ladigitale.dev/ hébergée en Suisse peut être utilisée, pour autant que le service informatique concerné confirme que les standards usuels de sécurité sont respectés, selon les conditions contractuelles du 02.09.2022 (dossier 2022.4416).

6. L’application Padlet n’offre pour l’instant pas les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Pour parer à ces exigences juridiques, il faudrait que les utilisateurs puissent rester anonymes ou que la Suisse reconnaisse à nouveau les USA comme un pays offrant une protection équivalente. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 18.10.2021 (dossier 2021.3970).

7. L’application Pix peut être utilisée, sous réserve d’indiquer clairement et préalablement aux utilisateurs : le lieu de situation du service, le nom du fournisseur de service, les données récoltées ainsi que les finalités, selon les conditions contractuelles du 19.10.2021 (dossier 2021.3970).

8. L’application Kahoot n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Elle peut être utilisée pour autant que l’accès à un quiz ne se fasse pas avec la création d’un compte par les élèves. Ces derniers ne doivent pouvoir se connecter sur l’application qu’en entrant le code PIN du quizz créé par leur enseignant, en s’identifiant à l’aide d’un prénom fictif d’utilisateur. De plus, les résultats des exercices ne pourront pas être associés facilement à un élève. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 20.10.2021 (dossier 2021.3970).

9. L’application Quizlet n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Le principe de la proportionnalité impose que d’autres produits plus respectueux de la protection des données soient utilisés, vue que l'offre en la matière existe, selon les conditions contractuelles du 21.10.2021 (dossier 2021.3970).

10. L’application Active Presenter n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une utilisation est possible si les étudiants/élèves restent anonymes, en ne livrant pas de données personnelles reconnaissables pour se connecter et si l’utilisation se fait exclusivement depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 29.11.2021 (dossier 2021.4034).

11. L’application BlinkLearning n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une possibilité pour une utilisation conforme aux règles de protection des données serait le chiffrement des données selon les standards usuels, avec la conservation de la clef par l’entité responsable du traitement, selon les conditions contractuelles du 02.09.2021 (dossier 2021.3918).

12. Une plateforme en ligne pour le parascolaire nécessite une base légale adoptée par l’organe législatif; les collaborateurs et les conseillers communaux n’ont accès qu’aux données qui leur sont nécessaires. L’application ou les instructions doivent être adaptées en conséquence (dossier 2020.3559).

13. Il n’est pas conseillé aux entités de s’engager à respecter le RGPD. Les obligations imposées par ce dernier sont plus exigeantes et onéreuses que celles prévues dans la CPDT-JUNE (dossier 2021.4061).

14. Un centre de loisir communal situé dans une zone frontière et fréquenté par des frontaliers n’est pas soumis au RGPD si son site internet ne cible pas expressément cette clientèle. Pour plus de détails, voir l’avis 2018.2320 (dossier 2020.3468).

15. En principe, une personne suivie par un enquêteur professionnel mandaté par un OAI est en droit de connaître l'identité de ce dernier, contrairement à celle des dénonciateurs privés (voir avis 2013.0515). En revanche, les enquêteurs mandatés ne sont pas en droit de poster les vidéos sur YouTube, même avec un accès restreint. La lecture des conditions générales permet de constater que «YouTube a un droit non exclusif, exempt de redevance, cessible, dans le monde entier (avec le droit de concéder une sous-licence) d’utiliser, de reproduire, de distribuer, d’élaborer des œuvres dérivées, d’afficher, de rendre disponible au public, de modifier et de mettre en œuvre ce contenu dans le cadre de la fourniture du Service et, par ailleurs, en relation avec la fourniture du Service et de l’activité de YouTube, y compris, sans restriction, pour la promotion et la redistribution de tout ou partie du Service (et des œuvres dérivées de celui-ci), quel qu’en soit le format et par le biais de toute voie...». Or, les entités soumises à la CPDT-JUNE ne sont pas en droit de traiter des données personnelles à travers un Cloud, tel que Google, YouTube (dossier 2016.1408).

16. Les entités soumises à la CPDT-JUNE ne peuvent adresser des e-mails sur la boîte privée de leurs collaborateurs que si elle offre les mêmes garanties de confidentialité et de sécurité que la boîte professionnelle. Elles ne doivent donc pas envoyer de courriel à des adresses, telles que @gmail.com, @outlook.com (dossier 2016.1507).

17. Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe Harbor (dossier 2015.1017).

18. L'utilisation de formulaire Google Drive n'est pas conforme aux règles sur la protection des données si des données personnelles sont saisies, telles que, par exemple, les motifs d'absence d'enseignants ou d'élèves (dossier 2013.0558).

19. Les entités soumises à la CPDT-JUNE ne peuvent pas migrer leur messagerie dans un cloud, sans prendre beaucoup de précautions contractuelles (dossier 2013.0538).