Préposé à la protection des données et transparence Jura-Neuchâtel

Clouds

Protection des données

Définition

De manière générale, les services en nuage (cloud services) peuvent être classés en trois modèles:

  • Infrastructure as a Service (IaaS) : utilisation, à partir d’un nuage, des composants d’une infrastructure de centre de calcul («composants matériels»). Exemples : puissance de calcul, espace de stockage, ressources réseau.

  • Platform as a Service (PaaS) : utilisation, à partir d’un nuage, d’une ou de plusieurs plates-formes destinées aux environnements d’application. D’autres fonctions sont ajoutées à l’IaaS, notamment un environnement de développement et ses fonctions connexes. Cela peut aller jusqu’à la distribution du logiciel réalisé.

  • Software as a Service (SaaS) : exécution et utilisation d’un logiciel sur une ressource réseau, en général sans qu’une installation locale ne soit nécessaire.

En fonction de la mise à disposition ou de l’accessibilité, on opère en outre une distinction entre un nuage «public», «communautaire», «hybride» ou «privé». 

Dans chaque cas, l’utilisation des services en nuage s’accompagne d’une externalisation de l’infrastructure informatique, dont l’étendue et la pertinence dépendent des facteurs susmentionnés.

Il convient de préciser qu’en vertu du «CLOUD Act» signé le 23 mars 2018 par le Président des États-Unis, qui complète le précédent «Stored Communications Act» (SCA), les entreprises américaines sont tenues d’accorder un accès aux données aux autorités américaines, indépendamment du lieu de stockage de ces données.

Prises de position sommaires du PPDT

2021 - 2020 - 2017 - 2016 - 2015 - 2013

  1. L’application Padlet n’offre pour l’instant pas les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Pour parer à ces exigences juridiques, il faudrait que les utilisateurs puissent rester anonymes ou que la Suisse reconnaisse à nouveau les USA comme un pays offrant une protection équivalente. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), (dossier 2021.3970).

  2. L’application Pix peut être utilisée, sous réserve d’indiquer clairement et préalablement aux utilisateurs : le lieu de situation du service, le nom du fournisseur de service, les données récoltées ainsi que les finalités (dossier 2021.3970).

  3. L’application Kahoot n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Elle peut être utilisée pour autant que l’accès à un quiz ne se fasse pas avec la création d’un compte par les élèves. Ces derniers ne doivent pouvoir se connecter sur l’application qu’en entrant le code PIN du quizz créé par leur enseignant, en s’identifiant à l’aide d’un prénom fictif d’utilisateur. De plus, les résultats des exercices ne pourront pas être associés facilement à un élève. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP) (dossier 2021.3970).

  4. L’application Quizlet n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Le principe de la proportionnalité impose que d’autres produits plus respectueux de la protection des données soient utilisés, vue que l'offre en la matière existe (dossier 2021.3970).

  5. L’application Active Presenter n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une utilisation est possible si les étudiants/élèves restent anonymes, en ne livrant pas de données personnelles reconnaissables pour se connecter et si l’utilisation se fait exclusivement depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP) (dossier 2021.4034).

  6. L’application BlinkLearning n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une possibilité pour une utilisation conforme aux règles de protection des données serait le chiffrement des données selon les standards usuels, avec la conservation de la clef par l’entité responsable du traitement (dossier 2021.3918).

  7. Une plateforme en ligne pour le parascolaire nécessite une base légale adoptée par l’organe législatif; les collaborateurs et les conseillers communaux n’ont accès qu’aux données qui leur sont nécessaires. L’application ou les instructions doivent être adaptées en conséquence (dossier 2020.3559).

  8. Il n’est pas conseillé aux entités de s’engager à respecter le RGPD. Les obligations imposées par ce dernier sont plus exigeantes et onéreuses que celles prévues dans la CPDT-JUNE (dossier 2021.4061).

  9. Un centre de loisir communal situé dans une zone frontière et fréquenté par des frontaliers n’est pas soumis au RGPD si son site internet ne cible pas expressément cette clientèle. Pour plus de détails, voir l’avis 2018.2320 (dossier 2020.3468).

  10. En principe, une personne suivie par un enquêteur professionnel mandaté par un OAI est en droit de connaître l'identité de ce dernier, contrairement à celle des dénonciateurs privés (voir avis 2013.0515). En revanche, les enquêteurs mandatés ne sont pas en droit de poster les vidéos sur YouTube, même avec un accès restreint. La lecture des conditions générales permet de constater que «YouTube a un droit non exclusif, exempt de redevance, cessible, dans le monde entier (avec le droit de concéder une sous-licence) d’utiliser, de reproduire, de distribuer, d’élaborer des œuvres dérivées, d’afficher, de rendre disponible au public, de modifier et de mettre en œuvre ce contenu dans le cadre de la fourniture du Service et, par ailleurs, en relation avec la fourniture du Service et de l’activité de YouTube, y compris, sans restriction, pour la promotion et la redistribution de tout ou partie du Service (et des œuvres dérivées de celui-ci), quel qu’en soit le format et par le biais de toute voie...». Or, les entités soumises à la CPDT-JUNE ne sont pas en droit de traiter des données personnelles à travers un Cloud, tel que Google, YouTube (dossier 2016.1408).

  11. Les entités soumises à la CPDT-JUNE ne peuvent adresser des e-mails sur la boîte privée de leurs collaborateurs que si elle offre les mêmes garanties de confidentialité et de sécurité que la boîte professionnelle. Elles ne doivent donc pas envoyer de courriel à des adresses, telles que @gmail.com, @outlook.com (dossier 2016.1507).

  12. Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe-Harbord (dossier 2015.1017).

  13. L'utilisation de formulaire Google Drive n'est pas conforme aux règles sur la protection des données si des données personnelles sont saisies, telles que, par exemple, les motifs d'absence d'enseignants ou d'élèves (dossier 2013.0558).

  14. Les entités soumises à la CPDT-JUNE ne peuvent pas migrer leur messagerie dans un cloud, sans prendre beaucoup de précautions contractuelles (dossier 2013.0538).

Ce site utilise plusieurs cookies : un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques; un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite; sept pour l'outil Microsoft Clarity utilisé afin d'élaborer des statistiques de consultation du site. En poursuivant, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.