L’autorité danoise de protection des données a réprimandé la municipalité de Helsingor, le 14 juillet 2022, car la ville utilisait dans ses écoles des appareils Google Chromebook et le logiciel « Google Workspace for Education » (anciennement appelés « G Suite for Education »), sans respecter les exigences du RGPD.

Sur demande de la Commission danoise de protection des données, la municipalité a effectué une analyse d’impact[1] pour connaître les conséquences de l’utilisation des appareils et logiciels de Google. Cet exercice d’analyse a permis à la municipalité d’identifier différents risques et de mettre en place des mesures pour les atténuer, notamment :

  • le risque que Google, ou d’autres tiers, utilisent les données personnelles (dont les métadonnées) des enseignants et des élèves à des fins de marketing, ou à d’autres fins, à l’encontre des instructions de la municipalité. La municipalité a signé un accord avec Google pour diminuer ce risque. Cet acord apporte notamment des garanties sur les 14 services « de base »[2]. Les autres services ont été désactivés ;
  • le risque que Google transfère des données personnelles ou sensibles vers des pays qui ne garantissent pas une protection des données adéquate. La municipalité a choisi de stocker les données dans des datacentres situés dans l’U.E pour diminuer ce risque ;
  • le risque que les données collectées par Google dans le cadre de l’assistance aux utilisateurs et transférées vers les États-Unis ne bénéficient pas d’une protection adéquate. La municipalité a établi des clauses types pour diminuer ce risque et a pris des mesures additionnelles, notamment un chiffrement en transit et au repos. La municipalité considère, par ailleurs, ce risque faible d’après des statistiques fournies par Google.

La Commission danoise a toutefois estimé que les mesures prises par la municipalité ne permettent pas de réduire réellement les risques et ne permettent pas de se mettre en conformité par rapport au RGPD.

De manière générale, la Commission considère que « l’utilisation de technologies nouvelles et complexes, y compris les logiciels - en particulier dans le domaine de l’éducation, où les personnes concernées sont des enfants et des jeunes -, comporte généralement un risque élevé pour les droits et libertés des élèves ». La Commission estime, par ailleurs, que l’analyse réalisée par la municipalité ne documente pas la manière dont les appareils et les applications de Google, notamment le système d’exploitation utilisé par les appareils Chromebook, traitent réellement les données, ni les éventuelles interactions avec les serveurs de Google. Les risques n’intègrent pas, non plus, la manière dont la municipalité contrôle l’accès aux données des élèves et des enseignements.

De plus, par rapport aux risques évoqués précédemment :

Concernant le choix d’un datacentre européen, la Commission signale que l’accord conclu entre la municipalité et Google permet à Google d’utiliser des datacentres « dans tout pays dans lequel Google ou ses sous-traitants disposent d’installations ».

Concernant les transferts de données vers les États-Unis, la Commission danoise considère que, d’une part, l’efficacité du chiffrement au repos est limitée, car Google possède les clés de chiffrement et car les employés de Google peuvent accéder aux données, et que, d’autre part, le cadre législatif des États-Unis, notamment l’accès aux données par les services gouvernementaux américains, ne permettent pas d’assurer un niveau de protection équivalent au RGPD.

Enfin, la Commission ajoute que la liste des sous-traitants de Google utilisés par le logiciel « Google Workspace for Education » comprend des organismes situés hors de l’UE, dans des pays qui n’assurent pas un niveau de protection adapté.

En conclusion, la Commission danoise estime que la municipalité n’est pas en mesure de démontrer que les appareils et logiciels Google permettent d’assurer une protection adéquate, conformément aux exigences du RGPD.

Une interdiction d’utiliser les appareils Google Chromebook et le logiciel « Google Workspace for Education » a été prononcée. La municipalité a également l’obligation de désactiver les comptes utilisateurs créés et de supprimer les données transférées.

Lire :

Notes et références

  1. Le RGPD demande qu’une analyse d’impact soit réalisée « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (source : RGPD, article 35-1). Voir « Faut-il réaliser une analyse d’impact avant de traiter des données personnelles ? ».
  2. Les 14 services de bases proposés dans l’offre « Standard » de « Google Workspace for Education » sont : Classroom, Drive/Docs, G-mail, Chat, Chrome Sync, Groups, Meet, Vault, Playlist, Jamboard, Calendar, Keep, Tasks, Sites.

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données