Le rapport, publié il y a six mois, a fait l’objet d’un article dans El Mundo du 27 décembre et repris par Le Figaro le 3 janvier. Il fait suite à une demande du ministère espagnol de l’Éducation, plus précisément de l’Institut national des technologies éducatives. et la Formation des Enseignants (Intef), qui en fait partie.
La demande partait d’un constat : depuis le confinement de 2020, de nombreuses écoles ont basculé vers des solutions intégrées pour faciliter le travail et la communication à distance. La question était de savoir si ces services, dont Google semble être majoritaire, étaient conformes à la loi espagnole et au Règlement général sur la protection des données (RGPD).
Dangers pour les étudiants
Le rapport, long de 64 pages, n’est pas public. Consulté par El Mundo, il décrit différents dangers pour les étudiants. ” Il est indéniable que nous sommes en présence d’une collecte invasive d’informations personnelles », indique l’AEPD. Les données, qui proviennent majoritairement de mineurs, sont « de nature particulièrement sensible ».
Des commentaires ont été formulés sur de nombreux services. On retrouve le traitement de texte Docs, le tableur Sheets, Calendar, Gmail, le service de visioconférence Meet et l’espace de stockage en ligne Drive. Prestations « supplémentaire » sont également cités, notamment YouTube pour les vidéos, Maps pour les cartes et GPS, ainsi que Photos pour le stockage et la synchronisation des images.
Ou, ” des interactions avec les différents services, des données sur la santé ou les croyances religieuses pourraient être déduites. Et ces informations pourraient être transférées vers des pays tiers qui ne garantiraient pas un niveau de protection suffisant « . Le rapport rappelle que les conditions d’utilisation mentionnent très clairement la possibilité de stocker les données sur des serveurs situés n’importe où dans le monde.
Des constats déjà faits par Intef, comme l’a indiqué au Figaro son directeur, Julio Albalad, qui pointe également la possibilité pour Google de modifier unilatéralement ses conditions. ” Mais l’agence va bien plus loin en ce qui concerne YouTube et Maps, grâce auxquels l’entreprise peut s’adonner à sa spécialité, le profilage des données. », a-t-il ajouté.
Pour Google, tout est parfaitement en ordre
Google affirme de son côté que tout est en ordre : « L’entreprise n’utilise pas les données personnelles que les étudiants partagent dans Workspace ; et s’agissant des services complémentaires, il n’y a pas de partage de données à des fins publicitaires ou de création de profils », a déclaré un porte-parole au Figaro.
L’entreprise rappelle qu’elle dispose de toutes les normes ISO requises, ainsi que des certifications du Centre national espagnol de cryptologie et du respect du système de sécurité nationale, imposé aux administrations espagnoles.
Espagne : une situation particulière
Même si le rapport a été remis par l’AEPD au ministère de l’Éducation, ce dernier ne dispose que de « pouvoirs » limités en termes absolus. L’Espagne n’est en fait ni un État centralisé ni une fédération. Dans cette monarchie constitutionnelle à la configuration particulière, unique en Europe, chaque région dispose d’une grande autonomie. Face à la crise sanitaire, chacun a fait ses propres choix d’outils pédagogiques. Seules les écoles de Ceuta et Melilla sont sous l’administration directe du ministère.
Comme le note El Mundo, les résultats de l’enquête ont été partagés avec toutes les régions. Madrid, l’Andalousie, l’Estrémadure, les îles Canaries, Murcie et La Rioja utilisent actuellement Google Workspace for Education et ne prévoient pas de changement pour le moment. L’Andalousie et les îles Canaries viennent de renouveler leur contrat avec Google pour une durée de quatre ans.
Selon les sources d’El Mundo, les outils de Google font l’objet d’une attention particulière aux Canaries, notamment en matière de sécurité, avec plusieurs audits déjà réalisés. Le média ajoute que les comptes des étudiants étaient soumis à des restrictions : « ils ne peuvent pas discuter, utiliser YouTube, installer des applications Google Play, créer des appels vidéo via Meet et ne peuvent envoyer et recevoir des e-mails Gmail qu’avec d’autres étudiants et enseignants des îles Canaries ».
Pas Google, mais Microsoft
Murcie a également déclaré qu’elle conserverait la solution de Google, adoptée déjà il y a quinze ans, car il s’agit d’un « service largement utilisé et demandé par la communauté éducative « . Dans le même temps, la région a interdit les écrans jusqu’en cinquième année.
En revanche, la région de Castille et León ne veut pas se tourner vers Google, à cause de ses outils « échapper au contrôle de sécurité de l’administration « . Elle a préféré se tourner vers Microsoft. Nous ne savons pas, pour l’instant, si l’AEPD compte également se pencher sur l’offre 365 de l’entreprise.
En France, le contrat open bar entre Microsoft et l’Éducation nationale avait fait l’objet de vives critiques et de plusieurs plaintes. Elle est toujours en cours, même si les versions gratuites d’Office 365 et de Google Workspace ne sont plus autorisées à être installées depuis fin 2022. L’année précédente, la CNIL avait appelé « aux évolutions de l’utilisation des outils collaboratifs américains pour l’enseignement supérieur et la recherche « . En Europe, la question de l’adéquation des protections des données personnelles avec les Etats-Unis reste au cœur de vifs débats, notamment dans le cadre de la future directive EUCS ainsi que dans le stockage des données de santé.
