Le Danemark interdit effectivement les services de Google dans les écoles, après que les responsables de la municipalité d’Helsingør ont reçu l’année dernière l’ordre de procéder à une évaluation des risques liés au traitement des données personnelles par Google.
Dans un verdict publié la semaine dernière, l’agence danoise de protection des données, Datatilsynet, a révélé que le traitement des données impliquant des étudiants utilisant la suite logicielle Workspace basée sur le cloud de Google – qui comprend Gmail, Google Docs, Calendar et Google Drive – « ne répond pas aux exigences » de la Règles de confidentialité des données GDPR de l’Union européenne.
Plus précisément, l’autorité a constaté que l’accord de traitement des données – ou les conditions générales de Google – autorise apparemment le transfert de données vers d’autres pays dans le but de fournir une assistance, même si les données sont généralement stockées dans l’un des centres de données européens de Google.
Les ordinateurs portables Chromebook de Google, et par extension Google Workspace, sont utilisés dans les écoles du Danemark. Mais Datatilsynet s’est concentré spécifiquement sur Helsingør pour l’évaluation des risques après que la municipalité a signalé une « violation de la sécurité des données personnelles » en 2020. Bien que cette dernière décision ne s’applique techniquement qu’aux écoles d’Helsingør pour l’instant, Datatilsynet note que bon nombre des conclusions auxquelles elle est parvenue « s’appliquera probablement à d’autres municipalités » qui utilisent Google Chromebooks et Workspace. Il a ajouté qu’il s’attend à ce que ces autres municipalités « prennent des mesures pertinentes » à la suite de la décision prise à Helsingør.
L’interdiction est effective immédiatement, mais Helsingør a jusqu’au 3 août pour supprimer les données des utilisateurs.
Flux de données
Au cœur du problème se trouve le bouclier de protection des données UE-États-Unis, aujourd’hui disparu, qui réglementait la manière dont les données peuvent être partagées entre l’UE et les États-Unis. Bien qu’un nouvel accord sur le flux de données ait été convenu en principe, il n’est pas encore en vigueur, ce qui a laissé de nombreuses organisations dans l’incertitude. Par conséquent, les entreprises Big Tech s’appuient sur des clauses contractuelles types pour leurs pratiques de traitement des données.
Un porte-parole de Google a déclaré à TechCrunch :
Nous savons que les élèves et les écoles s’attendent à ce que la technologie qu’ils utilisent soit conforme à la loi, responsable et sûre. C’est pourquoi, depuis des années, Google investit dans les meilleures pratiques en matière de confidentialité et dans des évaluations rigoureuses des risques, et rend notre documentation largement disponible afin que tout le monde puisse voir comment nous aidons les organisations à se conformer au RGPD.
Les écoles possèdent leurs propres données. Nous ne traitons leurs données que conformément à nos contrats avec eux. Dans Workspace for Education, les données des élèves ne sont jamais utilisées à des fins publicitaires ou à d’autres fins commerciales. Des organisations indépendantes ont audité nos services et nous surveillons constamment nos pratiques pour maintenir les normes de sécurité et de conformité les plus élevées possibles.
Cette dernière annonce intervient après que des organismes locaux de surveillance des données en France, en Italie et en Autriche ont jugé que les sites Web utilisant Google Analytics pour suivre les visiteurs enfreignaient les règles européennes de confidentialité des données, étant donné que les données personnelles sont transférées aux États-Unis pour traitement. Et la Commission irlandaise de protection des données (DPC), quant à elle, réfléchit actuellement à la manière dont la société mère de Facebook, Meta, transfère des données entre l’Europe et les États-Unis, ce qui pourrait avoir un impact sur la façon dont les Européens peuvent accéder à des services tels que WhatsApp et Instagram.
Alors que les législateurs européens souhaitent établir un plus grand degré de souveraineté numérique, Google a renforcé sa plate-forme et son infrastructure pour aider à garantir que les organisations publiques et privées restent avec l’entreprise. Il y a quelques mois, Google a annoncé qu’il déploierait de nouveaux « contrôles souverains » pour les utilisateurs de Workspace en Europe, leur permettant de « contrôler, limiter et surveiller les transferts de données vers et depuis l’UE ».
Cependant, ces contrôles ne seront disponibles que plus tard cette année, avec des outils de contrôle des données supplémentaires qui arriveront tout au long de 2023. Et il n’est toujours pas clair à ce stade précoce si ces nouveaux outils seront étanches en termes de conformité GDPR.