La CNIL saisie sur l’accord entre Microsoft et l’Éducation nationale

La CNIL saisie sur l’accord entre Microsoft et l’Éducation nationale

Saisir par la charte ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

10/11/2016 3 minutes
29

La CNIL saisie sur l’accord entre Microsoft et l’Éducation nationale

Après l’échec d’un référé devant les juridictions civiles, une association traine l’accord de partenariat entre l’Éducation nationale et Microsoft devant la CNIL, mais aussi le ministère. La cible ? La question des données personnelles. 

Le collectif EduNathon vient d’adresser une lettre à la Commission Informatique et Libertés. Pour comprendre son objet, il faut revenir sur la convention passée entre le ministère et l’éditeur installé en Irlande le 30 novembre 2015. Outre des mesures d’accompagnement, de formation des élèves et des enseignants, dont une initiation au code informatique, etc. elle programmait dès ses origines un « engagement dans une démarche visant à l’adhésion à une charte de confiance en cours de rédaction pour assurer la protection et la vie privée des données personnelles des élèves et des enseignants ».

Seul hic, dans le recours en référé porté vainement par Me Jean-Baptise Souffron, le collectif assure que les conclusions des parties adverses « ne présentaient aucune démarche » traduisant l’exécution de cette charte de confiance.

Où est la charte ? 

Alors que l’accord fait évidemment la part belle aux produits maisons, Office 365, Windows Azure, etc., EduNathon vient de s'adresser à la CNIL pour savoir si elle avait été saisie ou, au moins, avait connaissance « de l’existence et du contenu » de cette fameuse charte. Il souhaite connaitre également sa conformité aux recommandations de la Commission en matière de protection des données personnelles.

Dans un second courrier adressé cette fois au ministère, le même EduNathon, qui compte parmi ses rangs le Conseil national du logiciel libre, l’association la Mouette, l’ALDIL, etc. s’émeut également d’un autre chapitre du partenariat. La « création et l’expérimentation d’une plateforme d’analyse des données d’apprentissage des élèves basée sur les outils décisionnels (learning analytics) et l’Adaptative Learning de Microsoft ». Soit, selon le résumé de Me Jean-Baptise Soufron, « la mise en place d’algorithmes d’analyse ».

Et celui-ci de solliciter là encore l’attention compte tenu de la sensibilité du sujet, notamment « en raison des risques portant sur l’exploitation et le stockage des données personnelles sensibles comme le sont celles des enfants ».  

Un projet de charte déjà distribuée, selon un proche du dossier

Plus globalement, dans un communiqué à venir, le collectif multiplie les interrogations : « Les parents (et enseignants) ont-ils été informés de l’expérimentation faite avec leurs enfants ? Ont-ils signé un accord avec l’Éducation nationale qui autorise explicitement la société Microsoft à collecter les données concernant leurs enfants mineurs ?  Quel est la teneur du texte qu'ils ont signé ? Connaissent-ils les données qui sont communiquées à Microsoft ? Quelles sont les données récupérées par Microsoft, où sont-elles stockées, pendant combien de temps ? »

Une source proche du dossier nous indique cependant que « la charte a bien été donnée aux organisations professionnelles et qu'il est légitime que la CNIL soit associée ». Ce document, prévu il y a un an, avant la mise en route du partenariat, va bien au-delà de la seule question des données personnelles. Seul détail, il est toujours en discussion entre les acteurs impliqués.

29

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Où est la charte ? 

Un projet de charte déjà distribuée, selon un proche du dossier

Commentaires (29)


Bof, quand tu vois le peu de réaction face au fichier monstre légitime, cet accord tout autant légitime ne devrait pas trop émouvoir la CNIL



 


La Cnil n’est pas opposé aux bases de données et au fichage des individus, elle sert à faire respecter quelques règles relatives aux données personnelles par les organismes collecteurs.


cet accord est légitime : les étudiants sont formatés aux produits microsoft, comme ça quand ils auront achevé leurs études et qu’ils travailleront pour la défense nationale, ils seront déjà formés aux produits microsoft. <img data-src=" />


C’est pas justement son but d’être opposé au stockage d’infos abusives ? d’ailleurs c’est là tout le sujet de l’article ici, même si ici l’abus semble être plus explicite.


C’est bien la moindre des choses, vu que Microsoft va récolter et traiter les données de millions d’enfants français : nom, prénom, tout leur parcours scolaire, leurs notes, leurs recherches Internet, leurs emails, conversations Skype… Ça mérite bien que la CNIL y jette un œil ! Puisque la majorité des parents n’a pas l’air d’être choquée par cet accord…



Moi ce qui me choque dans ce « partenariat », c’est que les enfants sont mineurs, ils n’ont pas les moyens de savoir ni de comprendre ce qui est fait avec leurs données. Quand ils seront en âge de comprendre, il sera trop tard : leurs parents et l’Éducation Nationale auront déjà donné toutes leurs données à Microsoft, sans leur accord… Les enfants pourront-ils alors porter plainte contre l’État ?



Quand des adultes responsables donnent leur vie à Facebook, Google ou Microsoft, c’est leur problème, ils sont responsables de leurs actes devant la Loi. Mais là, qui est responsable de donner en pâture les données de tous ces enfants ? Les enfants sont légalement non responsables, alors qui sera jugé responsable ?








Konrad a écrit :



Quand des adultes responsables donnent leur vie à Facebook, Google ou Microsoft, c’est leur problème, ils sont responsables de leurs actes devant la Loi. Mais là, qui est responsable de donner en pâture les données de tous ces enfants ? Les enfants sont légalement non responsables, alors qui sera jugé responsable ?





Meme reponse : leurs parents. Si leurs parents sont ok, alors ok.



Un organisme peut collecter et traiter des données en respectant des procédures et des conditions.



Je ne sais pas ce que tu appelles “stockage d’infos abusives”, en tout cas effectivement on ne peut pas stocker des informations personnelles n’importe comment ou pour n’importe quelle raison.


Sauf que les parents n’ont pas eu mot à dire dans cet accord et au recueil des données.



A moins qu’à chaque rentrée scolaire, un papier soit signé par les parents concernant les données de l’enfant.



Pour mon gamin, à la rentrée, on a eu une demande d’autorisation concernant les donnes le concernant avec à chaque type de demande (évolution motrice, langage, droit à l’image, etc.) une case à cochée OK/NOK.








tifounon a écrit :



Sauf que les parents n’ont pas eu mot à dire dans cet accord et au recueil des données.



A moins qu’à chaque rentrée scolaire, un papier soit signé par les parents concernant les données de l’enfant.



Pour mon gamin, à la rentrée, on a eu une demande d’autorisation concernant les donnes le concernant avec à chaque type de demande (évolution motrice, langage, droit à l’image, etc.) une case à cochée OK/NOK.





Attention, j’ai pas dit que j’approuvais, hein.

Juste un petit rappel qu’ici comme sur tous les autres sujets, la responsabilité de ce qui arrive aux gamins, ou de ce que font les gamins, incombe aux parents. Meme si ce qui leur arrive rst le fait d’une inaction des parents ou d’un manque d’implication.



Pour faire chier le monde quand c’est purée a la cantoche a la place de frites, ou pour gerer les conflits de billes a la récré, là on les entend, les parents. Par contre sur un sujet comme celui là, rien ? Qu’ils se bougent ou ne s’en prennent qu’ à eux mêmes









Konrad a écrit :



C’est bien la moindre des choses, vu que Microsoft va récolter et traiter les données de millions d’enfants français : nom, prénom, tout leur parcours scolaire, leurs notes, leurs recherches Internet, leurs emails, conversations Skype… Ça mérite bien que la CNIL y jette un œil ! Puisque la majorité des parents n’a pas l’air d’être choquée par cet accord…





Tu as oublié la couleur de leurs yeux, leur préférence à la cantine, leur star préférée et bien entendu le compte en banque leur parent… <img data-src=" />





Konrad a écrit :



Moi ce qui me choque dans ce « partenariat », c’est que les enfants sont mineurs, ils n’ont pas les moyens de savoir ni de comprendre ce qui est fait avec leurs données. Quand ils seront en âge de comprendre, il sera trop tard : leurs parents et l’Éducation Nationale auront déjà donné toutes leurs données à Microsoft, sans leur accord… Les enfants pourront-ils alors porter plainte contre l’État ?





Non ils porteront plainte contre leurs parents, cela sera plus sain <img data-src=" />



Sinon juste pour rire, à part partir en live, tu as des infos sur les données collectées ?

Car c’est précisément le but de la saisie: je serai toi je me rapprocherai du collectif, histoire de leur faire gagner des frais d’avocat inutiles…









joma74fr a écrit :



La Cnil n’est pas opposé aux bases de données et au fichage des individus, elle sert à faire respecter quelques règles relatives aux données personnelles par les organismes collecteurs.





et à faire respecter les libertés individuelles



Effectivement, limiter le pouvoir de l’informatique afin d’assurer les libertés personnelles : loi “informatique et libertés”.



D’ailleurs, un texte intéressant à propos de la Cnil, notamment de la réforme de la Cnil de 2004 dont voici un extrait :



« 15 juillet 2004 : sous l’impulsion d’Alex Türk, nouveau président de la CNIL, le

Parlement adopte une refonte de la loi informatique et libertés,

particulièrement critiquée, notamment par d’anciens commissaires de la CNIL.



Entre autres choses, elle éxonère l’Etat de tout risque de sanction, libéralise

la création des fichiers portant sur l’ensemble de la population (tels que la

carte électronique d’identité ou les traitements relatifs à l’administration

électronique), retire les données génétiques, biométriques, sociales et

psychiques des données dites sensibles, protége les fichiers policiers

(existants et futurs), et couvre le fait que nombre d’entre-eux sont pourtant

“hors-la-loi”. »

source: Les atteintes à la vie privée - Jean-Marc Manach - texte de 2004








joma74fr a écrit :



Effectivement, limiter le pouvoir de l’informatique afin d’assurer les libertés personnelles : loi “informatique et libertés”.



D’ailleurs, un texte intéressant à propos de la Cnil, notamment de la réforme de la Cnil de 2004 dont voici un extrait :




« 15 juillet 2004 : sous l'impulsion d'Alex Türk, nouveau président de la CNIL, le      

Parlement adopte une refonte de la loi informatique et libertés,

particulièrement critiquée, notamment par d'anciens commissaires de la CNIL.






Entre autres choses, elle éxonère l'Etat de tout risque de sanction, libéralise      

la création des fichiers portant sur l'ensemble de la population (tels que la

carte électronique d'identité ou les traitements relatifs à l'administration

électronique), retire les données génétiques, biométriques, sociales et

psychiques des données dites sensibles, protége les fichiers policiers

(existants et futurs), et couvre le fait que nombre d'entre-eux sont pourtant

"hors-la-loi". »

source: Les atteintes à la vie privée - Jean-Marc Manach - texte de 2004







Exonérer l’Etat de sanction n’empêche pas de dire son désaccord, même si ça n’a pas d’incidence sur les décisions









Drepanocytose a écrit :



Pour faire chier le monde quand c’est purée a la cantoche a la place de frites





il faut dire que double portion de purée ça n’intéresse pas les gamins qui ne prennent pas de jambon …



Il est seulement regrettable que la Cnil, dont le rôle était à l’origine de prémunir les individus des excès de fichage de la part de l’éxecutif de l’État, ne soit plus en mesure d’interdire un fichage de la part l’exécutif.



Une loi n’est pas indétrônable non plus : si l’opinion publique se sensibilise à la question, la loi peut changer. C’est ce qui s’était passé en 1978 et qui a provoquer la création de la Cnil.








picatrix a écrit :



il faut dire que double portion de purée ça n’intéresse pas les gamins qui ne prennent pas de jambon …





Il ont qu’à prendre plus de saucisson en entrée&nbsp;<img data-src=" />









joma74fr a écrit :



Il est seulement regrettable que la Cnil, dont le rôle était à l’origine de prémunir les individus des excès de fichage de la part de l’éxecutif de l’État, ne soit plus en mesure d’interdire un fichage de la part l’exécutif.&nbsp;



Une loi n’est pas indétrônable non plus : si l’opinion publique se sensibilise à la question, la loi peut changer. C’est ce qui s’était passé en 1978 et qui a provoquer la création de la Cnil.





Ca c’est sûr

Par contre j’ai pas trop d’espoir que l’opinion s’en empare, les gens sont justement bien trop occupés à parler des frites/jambon et crier “OMG Trump&nbsp;OMG Trump&nbsp;OMG Trump”



“Ces trucs-là de toute façon j’y comprends rien je m’en fous”









Konrad a écrit :



Puisque la majorité des parents n’a pas l’air d’être choquée par cet accord…&nbsp;&nbsp;





Malheureusement ils ( la majorité ) ne savent même pas de quoi il en retourne…





Konrad a écrit :



Quand ils seront en âge de comprendre, il sera trop tard





S’ils comprennent un jour… pas comme leurs parents.



Ils n’y a que les geeks ( et encore, pas tous ) qui se préoccupent de ce genre de chose. La plupart des users lambda ne savent même pas que Windows est édité par MS, alors leur faire comprendre qu’utiliser la suite Office à l’école par leur gosse est potentiellement dangereux pour leurs données personnelles. Pas gagné.



Ça vient petit à petit, mais le temps qu’ils s’en rendent compte, toutes leurs vies est déjà sur les serveurs des GAFA.



C’est quand même dingue qu’ils réveillent un an après l’accord, c’est même retard qui avait fait échoué en partie leur recours.








carbier a écrit :



Sinon juste pour rire, à part partir en live, tu as des infos sur les données collectées ?

Car c’est précisément le but de la saisie: je serai toi je me rapprocherai du collectif, histoire de leur faire gagner des frais d’avocat inutiles…







Je ne pars pas en live, je dis juste que ces questions sont légitimes, et j’aimerais bien savoir ce qu’il en est vraiment.



Déjà, je sais que le but du « partenariat » est que les enfants utilisent les produits Microsoft : Outlook, Skype, MS-Office, et One Drive.



Dans une utilisation habituelle, ces logiciels récoltent bel et bien toute une série de données, de la télémétrie, jusqu’aux fichiers que tu stockes dans One Drive, les emails que tu stockes chez eux, et ainsi de suite.



Microsoft propose peut-être ces produits « gratuitement » à l’Éducation Nationale, mais tu ne me feras pas croire qu’ils le font par pure bonté d’âme, et qu’ils enlèveront toute la collecte de données hein. <img data-src=" />



Du coup les questions sont légitimes. Qu’est-ce qui est réellement récolté : télémétrie, données personnelles, historique de recherches, emails, conversations… ? Que fait Microsoft de ces données : profilage, publicité ciblée ? Où est-ce stocké : en France, aux États-Unis ? Pour combien de temps : un an, à vie ?



Mon petit doigt me dit qu’on n’aura droit qu’à des réponses floues, car ce sont des questions sensibles. Microsoft a tout intérêt à récolter un max de données, mais à ce qu’on ne sache pas ce qu’ils récoltent (comme Google ou Facebook au passage hein, même combat). Mais tu as raison, on va attendre d’avoir les réponses, on verra bien…









Drepanocytose a écrit :



Meme reponse : leurs parents. Si leurs parents sont ok, alors ok.





Ont-ils le choix?



ou bien est-ce comme d’habitude tout ou rien?

Si vous n’acceptez pas notre politique de (non) confidentialité, votre enfant n’aura pas accès aux outils microsoft gna gna gna et sera le vilain petit canard de la classe.



Tiens ça me fait penser aux nouveaux pilotes Géforce qui envoient des données de télémétrie et si tu refuses, tu ne peux pas installer les drivers, car il faut accepter par avance avant même de pouvoir les télécharger.

et quid de drivers installé par un autre utilisateur sur la même machine, ou d’une machine qui revient d’un SAV avec ces drivers à ton insu ?



&nbsp;

&nbsp;



bonjour, concernant le&nbsp; timing.. pour info le collectif est composé de 4 associations et il n’y a aucun salarié sur ces 4 assos…. donc pas évident du tout… à faire avancer en + du reste !

Et libre à chacun (à la lecture de la convention) d’effectuer les démarches qu’il/elle souhaite.&nbsp;

Enfin il nous semble important de le faire et désolé si c’est “trop tard” pour certains…

bye

fa

&nbsp;

http://edunathon.org/index.php/soutenir-edunathon/


Je crois surtout que par “partir en live”, il souligne le fait que ta liste d’éléments potentiellement collectés que tu énonces (nom, prénom, tout leur parcours scolaire, leurs notes, leurs recherches Internet, leurs emails, conversations Skype… ) semble non seulement peu plausible, mais surtout élaborée avec un caractère trollien à peine masqué, même si demain est férié…



Il aurait peut-être fallu commencer par poser la question de ce qui est listé avant donc de “partir en live” ;) Donc effectivement, obtenir (…) une liste des données collectées sera beaucoup plus constructif que de partir en criant au grand méchant loup, puisqu’il est déjà là, et de pouvoir rectifier le tir / limiter les dégâts…



Sinon, plutôt bien amené le sous-titre dans le mood <img data-src=" /> <img data-src=" />








waazdakka a écrit :



Je crois surtout que par “partir en live”, il souligne le fait que ta liste d’éléments potentiellement collectés que tu énonces (nom, prénom, tout leur parcours scolaire, leurs notes, leurs recherches Internet, leurs emails, conversations Skype… ) semble non seulement peu plausible







Peu plausible ?



Tu t’es renseigné un peu sur le « partenariat » ou pas ?



Regarde les infos officielles :



« 3. La mise à disposition de solutions pour une utilisation pertinente, facile et optimale des équipements mobiles. Ce plan passe notamment par la mise à disposition de l’écosystème Cloud de Microsoft pour tous les établissements scolaires du Plan Numérique à l’École qui le souhaiteraient. »



Dans l’accord de partenariat (je te laisse cliquer sur le lien du PDF) :



« Mise à disposition de l’écosystème Cloud de Microsoft (Office 365 Education, Microsoft Azure Active Directory, etc.).

(…)

Création et expérimentation d’une plate-forme d’analyse des données d’apprentissage des élèves (learning analytics), (…) qui permettra (…) de récupérer les données nécessaires au renseignement de ces indicateurs (données, traces d’activités, etc.) »



Bref, il est clair que :



(1) c’est l’établissement scolaire qui décide ou non d’utiliser les produits Microsoft ; les parents n’ont pas leur mot à dire.



(2) Les élèves travailleront dans le Cloud de Microsoft. Ils travailleront avec des fichiers Word, Excel et autres dans Office 365, y taperont leurs rapports, et ainsi de suite. Ils utiliseront un compte Microsoft, qui servira pour les authentifier sous Windows, pour utiliser Office 365, pour apprendre à utiliser les emails, et ainsi de suite : bref, Microsoft récoltera sur ses serveurs l’historique Web des élèves, les recherches qu’ils font (Bing, Cortana), les emails, et ainsi de suite. Mais bon, il suffit de dire : « c’est de la télémétrie », et tout le monde se dit « oh ben ça va alors », alors que personne ne sait réellement ce qui est récolté.



(3) Microsoft mettra en place une plate-forme regroupant et analysant l’évolution des élèves : en gros, leur parcours scolaires, leurs notes, leur évolution quoi.





Alors, toujours aussi farfelue ma liste ? Je la rappelle : « nom, prénom, tout leur parcours scolaire, leurs notes, leurs recherches Internet, leurs emails, conversations Skype »… Ben non, moi je pense que cette liste est tout à fait réaliste, et qu’il est effectivement pertinent de s’inquiéter de comment toutes ces données seront enregistrées et traitées par Microsoft. Parce qu’une phrase « on va signer une charte de confiance », ça fait joli, mais je trouve ça un peu léger.



Le doigt dans la charte !



<img data-src=" />


Tout d’abord, merci à Marc Rees pour cet excellent résumé de la situation.

&nbsp;Merci à Konrad pour ses longues et très claires explications sur les dangers réels et irrémédiables.

La question est de savoir comment faire comprendre aux parents que le problème existe et quels en sont les enjeux…. Je cherche désespérément à trouver des analogies qui les toucheraient (car l’informatique bien sûr, personne ne connaît alors, c’est pas grave, c’est pas de leur génération…).

On ne parviendra pas à mobiliser les personnes concernées (les parents et certains enseignants) tant qu’elles ne voudront pas comprendre.

Si vous avec des idées ! Car l’heure est grave.








lepetitpoucet a écrit :



Tout d’abord, merci à Marc Rees pour cet excellent résumé de la situation.

&nbsp;Merci à Konrad pour ses longues et très claires explications sur les dangers réels et irrémédiables.

La question est de savoir comment faire comprendre aux parents que le problème existe et quels en sont les enjeux…. Je cherche désespérément à trouver des analogies qui les toucheraient (car l’informatique bien sûr, personne ne connaît alors, c’est pas grave, c’est pas de leur génération…).

On ne parviendra pas à mobiliser les personnes concernées (les parents et certains enseignants) tant qu’elles ne voudront pas comprendre.

Si vous avec des idées ! Car l’heure est grave.





Entièrement d’accord, mais quid de l’accueil réservé à la personne voulant diffuser cette information, les parents, s’ils ne sont pas contraints, venir 1, 2 heures pour s’informer sur les outils et ce qu’ils impliquent… heu pas sûr du succès, et pour rappel aucune info n’a suinté à ce sujet, ici on est face à un forfait déjà accompli par la bassesse des personnes aux étages supérieurs qui ont donné leur accord…



Ta réponse contient ma réflexion



 &nbsp;       









Konrad a écrit :



&nbsp;[…] Mais bon, il suffit de dire : « c’est de la télémétrie », et tout le monde se dit « oh ben ça va alors », alors que personne ne sait réellement ce qui est récolté.






 Si ton raisonnement est parfaitement juste, pourquoi partir du principe qu'un nombre illimité de données est collecté sans sans en limiter la portée (nom, prénom, tout leur parcours scolaire) , et de ne pas être plutôt dans une démarche proactive à  :      

- lister exhaustivement les données collectées

- définir un périmètre de collecte acceptable, s'il est impossible de de refuser celle-ci dans l'accord passé (...)

- informer et permettre aux familles souhaitant refuser cette collecte de s'y opposer librement

- ...






 A aucun moment je n'ai dit approuver ce type d'accord. En revanche, il ne faut pas oublier que quelle que soit l'entité concernée ou le service offert, il est toujours proposé de transmettre un rapport d'utilisation, logiciel libre, gratuit ou non. Qu'est ce que je sais des rapports de plantages envoyés par Firefox quand celui-ci décide de me lâcher ? Ce que ma ROM Cyanogenmod envoie à la team CM quotidiennement ?        

&nbsp;

La seule différence est le choix, et c'est à mon sens l'un des points essentiel à cette réflexion (et l'absence de choix des enfants entre les parents et les éditeurs est aussi problématique..)

&nbsp;

Et si on n'imagine que les parents n'auront malheureusement pas leur mot à dire, j'ai du mal à accorder crédit à bon nombre d'entre eux qui publient déjà l'entièreté de la vie privée de leurs enfants sur le net, non ? Pov' gamins...&nbsp;.&nbsp;Edit : et merci pour les liens ;)


Tiens, je me posais la question depuis la mise a jour de Geforce Experience à la con : il m’est demandé de me connecter via un compte depuis la dernière mise à jour, mais je n’ai pas encore trouvé comment contourner ça…



C’est obligé obligé ??