Suite à l’arrêt Schrems II, la Cnil appelle le 27 mai 2021 les Gafam à des évolutions, conformes au RGPD, dans l’utilisation de leurs logiciels collaboratifs pour l’enseignement supérieur et la recherche française. Et plus particulièrement lorsqu’il s’agit des transferts internationaux de données personnelles.
À la suite de l’arrêt Schrems II, la Cnil a été saisie par la Conférence des présidents d’université et la Conférence des grandes écoles sur l’utilisation des « suites collaboratives pour l’éducation » proposées par des sociétés américaines. Et plus particulièrement lorsqu’il s’agit des transferts internationaux de données personnelles. Compte tenu du risque d’accès illégal aux données, la Cnil appelle à des évolutions dans l’emploi de ces outils et accompagnera les organismes concernés pour identifier les alternatives possibles. Mais sans donner davantage de détails.
Des problématiques relatives au contrôle des flux de données au niveau international
La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont interrogé la Cnil sur la conformité au RGPD lors de l’utilisation, dans l’enseignement supérieur et la recherche, des logiciels collaboratifs vendus par certaines sociétés américaines (Google, Microsoft, etc.). Cette demande de conseil s’inscrit notamment dans le prolongement de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne (CJUE).
La Cnil a constaté que le recours à ces solutions met en lumière des problématiques de plus en plus prégnantes relatives au contrôle des flux de données au niveau international, à l’accès aux données par les autorités de pays tiers, mais aussi à l’autonomie et la souveraineté numérique de l’Union européenne.
Les demandes des CGE et CPU s’inscrivent selon la Cnil dans le cadre de l’accélération de la transformation numérique dans l’enseignement et de la recherche, mais aussi plus largement dans toutes les organisations publiques comme privées, impliquant des services qui s’appuient, pour beaucoup, sur des technologies d’informatique en nuage (cloud computing).
En outre, le Gouvernement a annoncé le 17 mai 2021, une stratégie nationale pour le cloud, afin d’appréhender les enjeux majeurs de cette technologie pour la France, avec l’objectif de mieux protéger les données traitées dans ces services tout en affirmant notre souveraineté.