Extrait du site de la CNIL :
Le 27 mai dernier, la CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs étatsuniens pour l’enseignement supérieur et la recherche.
À la suite de l’arrêt Schrems II, la CNIL a été saisie par la Conférence des présidents d’université et la Conférence des grandes écoles sur l’utilisation des « suites collaboratives pour l’éducation » proposées par des sociétés américaines, plus particulièrement s’agissant de la question des transferts internationaux de données personnelles. Compte tenu du risque d’accès illégal aux données, la CNIL appelle à des évolutions dans l’emploi de ces outils et accompagnera les organismes concernés pour identifier les alternatives possibles.
La position de la CNIL sur les outils étatsuniens pour l’enseignement supérieur et la recherche
Les documents transmis par la CPU et la CGE font apparaître, dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des « suites collaboratives pour l’éducation ». Dans les établissements qui emploient ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs).
Particulièrement soucieuse de pouvoir accompagner le développement de solutions respectueuses de la protection des données personnelles dans la sphère de l’enseignement supérieur et de la recherche, la CNIL considère que :
- il est nécessaire de mettre en place des mesures supplémentaires ou de justifier le transfert de données au regard des dérogations autorisées par l’article 49 du RGPD, à la suite de l’invalidation de la décision d’adéquation qui permettait d’encadrer ces transferts. Attention cependant :
- le Comité européen de la protection des données (CEPD) n’a pas, à ce jour, identifié de mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat lorsqu’un transfert est réalisé vers un fournisseur de services informatiques en nuage ou vers d’autres sous-traitants qui, dans le cadre de leurs prestations, ont la nécessité d’accéder aux données en clair ou possèdent les clefs de chiffrement, et qui sont soumis aux législations étatsuniennes,
- les transferts dérogatoires ne peuvent pas devenir la règle et doivent rester l’exception. Ces dérogations sont soumises à des conditions particulières, d’interprétation stricte, détaillées à l’article 49 du RGPD ;
- indépendamment de l’existence de transferts, les législations américaines s’appliquent aux données stockées par les sociétés étatsuniennes en dehors de ce territoire. Il existe donc un risque d’accès par les autorités américaines aux données stockées. Cet accès, s’il n’est pas fondé sur un accord international, constituerait une divulgation non autorisée par le droit de l’Union, en violation de l’article 48 du RGPD.
Dans ce contexte, indépendamment d’autres caractéristiques de ces traitements qui pourraient eux aussi nécessiter des mises en conformité, la CNIL considère qu’il est nécessaire que le risque d’un accès illégal par les autorités américaines à ces données soit écarté.