53 municipalités danoises contraintes de se mettre en conformité suite à l’utilisation de Chromebooks et de Google Workspace for Education dans les écoles

L’autorité danoise de protection des données a ordonné à 53 municipalités, qui utilisent des appareils Google Chromebook et le logiciel « Google Workspace for Education » dans leurs écoles, de se mettre en conformité avec le RGPD.

L’utilisation des appareils et logiciels de Google dans l’éducation est remise en question depuis plusieurs années par l’autorité danoise. En août 2022, l’autorité avait, par exemple, réprimandé la municipalité de Helsingor, car l’analyse d’impact avait notamment mis en évidence un risque d’utilisation des données à des fins de marketing et un risque de transferts de données personnelles ou sensibles vers des pays ne garantissant pas une protection adéquate. L’autorité avait également estimé que la municipalité n’avait pas sufisament documenté les traitements de données réalisés par les appareils Chromebooks.

Les travaux sur les traitements de données

La municipalité de Helsingor et 52 autres municipalités ont alors mandaté un cabinet spécialisé pour les aider à « cartographié les rôles respectifs des municipalités et de Google dans l’utilisation des Chromebooks et de Workspace for Education, ainsi que les données personnelles traitées, par qui et dans quel(s) but(s) ».

Ce travail, jugé « excellent » par l’autorité danoise, a permis aux municipalités de déterminer « les conditions contractuelles des services proposés » et de mieux choisir les services finalement utilisés. L’autorité souligne toutefois que ce travail « aurait dû être effectué avant la mise en service des Chromebooks et Workspace for Education ».

Concernant les rôles des municipalités et de Google, les travaux ont démontré que les communes devaient été considérées « responsables du traitement des données à caractère personnel lorsqu’elles utilisent des Chromebooks ou Workspace for Education ». Google a également été identifié comme responsable de traitements pour les traitements des données de services^[1], et pour les traitements de données personnelles lorsque le système d’exploitation de Chrome (Chrome OS) ou le navigateur Chrome sont utilisés. Enfin, Google a été identifié comme sous-traitant pour les traitements de données personnelles réalisés par Google Workspace for Education.

Concernant les conditions d’utilisation des services de Google, les conditions d’utilisation de Google Workspace for Education et les conditions d’utilisation de Chrome sont applicables. L’autorité note, au passage, que la signification des termes « données des clients » et « données personnelles des clients », inclus dans ces documents, ont des significations distinctes, ce qui ne facilite pas la compréhension. Les conditions générales de Google et la politique de confidentialité de Google s’appliquent également aux utilisateurs finaux, car les conditions applicables à Chrome et Chrome OS « ne sont pas convenues avec les municipalités, mais avec l’utilisateur final individuel, qui dans ce cas sont les élèves (ou leurs parents) ».

Concernant les finalités, le cabinet a « jugé nécessaire de clarifier les fondements de l’accord avec Google en ce qui concerne les finalités pour lesquelles Google traite les données » et a élaboré un avenant au contrat signé entre Google et les municipalités. Cet avenant permet notamment de considérer Google comme un sous-traitant, agissant uniquement sur ordre des municipalités. Il permet également de préciser « que les données des clients ne seront pas traitées à des fins de marketing ou pour améliorer les produits et services de Google, y compris Workspace for Education » et que les données de service ne seront pas utilisées pour « améliorer ou optimiser » des produits ou services Google que les municipalités n’utilisent pas.

L’analyse de l’autorité danoise

De manière générale, l’autorité danoise considère que les conditions d’utilisation et les explications décrivant les flux de données sont « complexes », ce qui « entraîne en soi un risque de non-conformité avec les règles de protection des données », car « des changements mineurs apportés à la pile technologique ou à la base contractuelle peuvent entraîner des changements conséquents que les municipalités pourraient négliger ». L’autorité « encourage donc les municipalités à poursuivre le dialogue avec Google afin de simplifier la base contractuelle en particulier ou de s’assurer que les municipalités possèdent ou ont accès aux compétences techniques et juridiques nécessaires pour garantir le respect des règles de protection des données ».

Par ailleurs, l’autorité a estimé que les nombreux traitements réalisés, notamment ceux réalisés par Google, en tant que responsable de traitement et pour son compte, ne disposent pas d’une base légale. En effet, si les communes « disposent d’un cadre assez large pour évaluer quels traitements de données sont nécessaires pour mener à bien leurs missions », les communes ne peuvent pas pour autant « transmettre des données à d’autres responsables de traitement pour être utilisées à leurs propres fins, notamment lorsqu’il s’agit de finalités extérieures aux tâches officielles que l’autorité publique est tenue d’accomplir » comme « le développment ultérieur des applications du fournisseur » :

« L’autorité insiste particulièrement sur le fait que ces finalités dérivées couvrent non seulement le développement des ressources pédagogiques et pédagogiques spécifiques achetées par les municipalités, mais également le développement général des produits de Google, par ex. Chrome OS et le navigateur Chrome.
Ces produits ne sont pas fournis exclusivement aux communes, mais sont généralement proposés sur le marché et leur développement ultérieur profite ainsi à la position sur le marché de ces produits et du fournisseur au sens le plus large.
En outre, l’autorité danoise de protection des données a souligné que ce développement s’effectue sur la base de données personnelles sur les élèves, qui sont collectées dans le cadre de leur utilisation des ressources pédagogiques que les élèves sont obligés d’utiliser […]. »

Pour conclure, l’autorise danoise estime qu’ « il ne semble pas que l’intention du Parlement danois » d’autoriser de tels traitements de données et appelle le législateur « à adopter une position claire à l’avenir sur la mesure dans laquelle les données personnelles des citoyens dans le cadre du contrat social peuvent ou doivent être transmises dans des cas tels que celui en question ».

Une obligation de mise en conformité est délivrée aux communes, qui inclut l’arrêt des transferts de données vers Google en l’absence d’une base légale solide. Les communes disposent jusqu’au 1^er août 2024 pour s’y conformer.

L'avis d'eWatchers (par Morgan Schmiedt)

Si les municipalités danoises dépensent autant d’énergie pour tenter de rendre conformes les produits et services de Google, c’est parce qu’elles ont fait l’acquisition de ces produits avant de se poser la question s’ils pouvaient être utilisés...

Cette décision est toutefois très intéressante, car elle montre que, même avec beaucoup de ressources et l’aide de cabinets spécialisés dans la protection des données, il est extrêmement difficile de comprendre précisément les traitements réalisés par Google, techniquement et juridiquement, et qu’il est tout aussi difficile de les rendre conformes à la règlementation européenne. Puis, dans l’éventualité où des garanties ou accords seraient concédés par Google, l’organisme n’a, de toute façon, aucun moyen de s’assurer que Google les respectera vraiment.

Cette décision confirme aussi, même si cela n’était guère nécessaire, que l’utilisation de Chrome devrait être bannie de tous les environnements sérieux, car les conditions d’utilisation de Google engagent, non pas les organismes, mais les utilisateurs finaux.

Enfin, cette décision est également conforme aux lignes directrices du Conseil de l’Europe concernant la protection des données personnelles des enfants dans un cadre éducatif, car la finalité de développement des produits n’est pas considérée comme « comme des utilisations légitimes compatibles justifiant un traitement ultérieur qui prévaudrait sur l’intérêt supérieur de l’enfant ou sur ses droits et libertés fondamentales, ni les attentes raisonnables des personnes concernées »^[2].

Liens

Décision de l'autorité danoise n° 2020-431-0001 du 30 janvier 2024 concernant 53 municipalités

Notes et références

↑L’autorité considère que les données de services « incluent principalement des données de diagnostic dérivées, par ex. l’utilisation des produits par les élèves ».
↑La référence aux lignes directrices du Conseil de l’Europe a été soulignée par un internaute (@BoriaLess).

Sigles et acronymes

↑RGPD : Règlement Général sur la Protection des Données