Le Danemark interdit Gmail et Co dans les écoles en raison de problèmes de confidentialité.

L'autorité de protection des données du Danemark suit les autorités néerlandaises et allemandes en soulevant des inquiétudes quant à la conformité de Google au GDPR.

Stop using Google; alternatives like Tutanota fully comply with the GDPR and protect user privacy.

Les écoles danoises doivent cesser d'utiliser les services de messagerie électronique et de cloud computing de Google en raison de préoccupations ou de la violation des normes européennes élevées en matière de confidentialité définies par le GDPR. Selon l'autorité danoise de protection des données, la suite logicielle Workspace de Google, basée sur le cloud, "ne répond pas aux exigences" de la réglementation de l'Union européenne en matière de confidentialité des données (GDPR).


La messagerie et le cloud de Google “ne répondent pas aux exigences”.

La vie privée des élèves doit être protégée

Dans une déclaration publiée mi-juillet, l’agence danoise de protection des données exprime ” de sérieuses critiques et interdit […] l’utilisation de Google Workspace “.

Sur la base d’une évaluation des risques pour la municipalité de Helsingør, l’autorité de protection des données a conclu que le traitement des données personnelles des élèves ne répond pas aux exigences du GDPR et doit, par conséquent, cesser.

L’interdiction prend effet immédiatement. Helsingør a jusqu’au 3 août pour supprimer les données des élèves et commencer à utiliser une solution cloud alternative.

”La municipalité d’Helsingør a fait un travail remarquable et compétent pour cartographier la manière dont les données personnelles sont utilisées à l’école primaire, mais elle met également en lumière les problèmes juridiques de protection des données que peut poser la manière dont les grandes entreprises technologiques s’acquittent de cette tâche”, déclare Allan Frank, spécialiste de la sécurité informatique et avocat à l’Autorité danoise de protection des données.

Le Privacy Shield invalidé

Cette décision fait suite à des décisions similaires prises par les autorités néerlandaises et allemandes.

Les problèmes auxquels les institutions gouvernementales se voient confrontées ont commencé avec l’invalidation de Privacy Shield en 2020.

Le Privacy Shield était un accord de transfert de données entre les États-Unis et l’Union européenne et était censé rendre les transferts de données entre les deux juridiquement possibles. Cependant, l’accord a été déclaré invalide par la Cour de justice de l’Union européenne (CJUE) en 2020 en raison de problèmes de confidentialité.

L’un des principaux problèmes mis en évidence par la Cour de justice de l’UE est que les données des étrangers ne sont pas protégées aux États-Unis. Les protections existantes - même si elles sont limitées - ne s’appliquent qu’aux citoyens américains. La NSA peut accéder à tout moment à toutes les données des entreprises américaines concernant des citoyens non américains. En outre, les personnes concernées non américaines n’ont aucun droit d’action devant les tribunaux contre les autorités américaines, ce qui viole “l’essence” de certains droits fondamentaux de l’UE, a estimé la CJCE.

L’accord de traitement des données n’est pas suffisant

Après l’invalidation du Privacy Shield, les services américains d’informatique dématérialisée ont décidé de s’appuyer sur des accords de traitement des données avec leurs clients européens.

Toutefois, cette pratique est fortement remise en question par les experts en matière de confidentialité des données, notamment en ce qui concerne sa légalité.

La déclaration publiée aujourd’hui par l’autorité danoise de protection des données le prouve une fois de plus. Elle se plaint - entre autres - de ce que

”l’accord de traitement des données stipule que les informations peuvent être transférées vers des pays tiers dans des situations de soutien sans le niveau de sécurité requis.”

La décision résume quatre points principaux :

  1. La suspension de l’exécution par la municipalité d’Helsingør du traitement d’informations lorsque ces informations sont transférées vers des pays tiers sans le niveau de protection requis.
  2. Interdiction générale du traitement avec Google Workspace jusqu’à ce qu’une documentation et une analyse d’impact adéquates aient été réalisées et que le traitement soit mis en conformité avec le GDPR.
  3. Des critiques sérieuses sur le traitement des données personnelles par la municipalité.
  4. Bon nombre des conclusions de cette décision s’appliqueront probablement à d’autres municipalités qui utilisent la même structure de traitement. Ces municipalités sont censées prendre elles-mêmes des mesures pertinentes sur la base de cette décision.

Google Analytics également illégal en Europe

Cette dernière décision intervient après que les organismes de surveillance de la protection des données en France et en Autriche ont jugé qu’il était illégal pour les sites web européens d’utiliser Google Analytics pour suivre les visiteurs en raison d’une violation des règles européennes en matière de protection des données.

Le fait que les données personnelles soient transférées aux États-Unis pour y être traitées sans le consentement des visiteurs du site constitue également un problème.

Conséquences pour les écoles danoises, néerlandaises et allemandes

Sur la base des déclarations des organismes danois, néerlandais et allemand de protection de la vie privée, les écoles du Danemark, des Pays-Bas et d’Allemagne ne peuvent pas utiliser les services de messagerie électronique ou de cloud computing de Google.

Bien que les déclarations des organismes danois, néerlandais et allemand de protection de la vie privée visent principalement à faire pression sur les entreprises technologiques américaines pour qu’elles adhèrent enfin aux strictes réglementations européennes en matière de protection de la vie privée, il serait préférable d’avoir une véritable alternative à Microsoft, Google et Apple. C’est ce que Tutanota est en train de construire. Après avoir commencé par des e-mails sécurisés, Tutanota propose aujourd’hui un carnet d’adresses crypté, un calendrier crypté et le formulaire de contact crypté Secure Connect. De nombreuses autres fonctionnalités, telles qu’un lecteur crypté, sont prévues, et nous estimons que dans quelques années encore, nous pourrons offrir un logiciel de groupe crypté avec un respect maximal de la vie privée des utilisateurs.

Alternative européenne

Les écoles européennes peuvent maintenant soit attendre que Big Tech règle ses problèmes de confidentialité. Ou bien elles peuvent commencer à chercher des alternatives européennes. Cette dernière solution aura un impact très positif sur l’Europe et les Européens dans leur ensemble :

  1. Les entreprises technologiques européennes sont renforcées et peuvent établir une alternative à Big Tech.
  2. Les données des citoyens européens sont protégées conformément au RGPD.
  3. Les données sont stockées en Europe et aucun transfert de données n’a lieu.

Tutanota, par exemple, coche toutes les cases qu’une école européenne souhaite pour protéger les données sensibles des élèves, des enseignants et des parents. De nombreuses écoles, notamment en Allemagne, utilisent déjà Tutanota.

”Dans un environnement professionnel très sensible, nous avons choisi Tutanota parmi différents programmes de cryptage. Tutanota impressionne par son application extrêmement simple. Même les collègues non techniques peuvent crypter les pièces jointes et les textes sensibles conformément aux règles de protection des données. La simplicité de l’administration, l’accessibilité immédiate et l’amabilité des experts, ainsi que le prix raisonnable, sont également remarquables”, déclare Dietmar Kopp, Maria-Montessori-School.

En plus de respecter les règles strictes en matière de protection des données, dans Tutanota, toutes les données sont stockées de manière cryptée sur des serveurs allemands. Ainsi, Tutanota est en totale conformité avec le GDPR.