Suite à l’invalidation du Privacy Shield par la CJUE, les règles en matière de transfert de données hors UE ont changé. L’enseignement supérieur est venu interroger la Cnil quant à son utilisation de solutions, notamment collaboratives, américaines. Le gendarme des données personnelles y voit un problème et demande aux universités de passer à d’autres outils.
Il est de notoriété publique que certaines administrations ont massivement recours à des solutions américaines, de l’Éducation nationale au ministère des Armées. Récemment, la Conférence des présidents d’université (CPU) et la Conférence des grandes écoles (CGE) ont demandé les lumières de la Cnil sur ce sujet. Avec l’adoption du RGPD et suite à l’invalidation du Privacy Shield, l’enseignement supérieur est-il toujours en conformité avec la réglementation sur la protection des données ? Car les universités ont fortement tendance à utiliser des “outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis”.
D’autant qu’avec le confinement et la fermeture des établissements d’enseignement supérieur, l’adoption de ces solutions s’est accélérée. Aux yeux de la Cnil, le recours à ces outils s’avère problématique à plusieurs titres, aussi bien pour des questions de contrôle des flux de données que d’accès par les autorités de pays tiers ou encore de souveraineté numérique.
Risques d'accès non autorisés
Ainsi, l’utilisation de ces suites dans l’enseignement supérieur et la recherche concerne "un nombre important d’utilisateurs” et une “quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs)” selon le gendarme des données personnelles. Données qui sont donc transférées vers les États-Unis.
Dans ce contexte, pour être en conformité avec le RGPD, il serait nécessaire que les universités et autres écoles mettent en place des “mesures supplémentaires” ou justifient ces transferts “au regard des dérogations autorisées par l’article 49 du RGPD”. Mais un problème se pose : “le Comité européen de la protection des données (CEPD) n’a pas, à ce jour, identifié de mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat”. Et du fait des prétentions d’extraterritorialité du droit d’accès par les autorités américaines à toute donnée stockée par une société sise aux États-unis, “il existe donc un risque d’accès par les autorités américaines aux données stockées” indépendamment de l’existence ou non de transfert.
Plus concrètement, devant le risque d’un accès à leurs données de la part des autorités, les universités doivent “écarter” ce risque selon la Cnil. Soit cesser d’utiliser des solutions américaines. Ce qui implique de profondes transformations : “la nécessité pour les établissements concernés d’assurer la continuité des missions exercées grâce aux outils numériques est de nature à justifier une période transitoire” explique la Cnil, qui ajoute qu’elle accompagnera les universités dans la sélection d’alternatives et leur mise en conformité.