Monsieur le Président,
Conformément à l’article 83 du Règlement de la Chambre des Députés, je vous prie de bien vouloir transmettre la question parlementaire suivante à Monsieur le ministre de l’Education nationale.
Suite à la réponse de Monsieur le Ministre de l’Education nationale à ma question parlementaire n°2992 , j’aimerais revenir sur les missions du Centre de Gestion Informatique de l’Etat en rapport avec la protection des données privées des élèves et du personnel de l’Education nationale. En réponse à ma question parlementaire précitée, le Ministre affirme que « La gestion des identités et des droits d’accès est un maillon clé de la sécurité du CGIE (…) » et en rapport avec le système de gestion d’identité et d’accès IAM développé par le CGIE il précise : « Autant de services et d’administrations [de l’Education nationale ndlr.] possèdent de nombreuses données à caractère personnel qui ne doivent pas être divulguées au public. »
Or, le CGIE indique dans le mode d’emploi pour l’activation des tablettes à disposition des élèves dans le cadre du programme « one2one » que la création d’un identifiant Apple est nécessaire. Cette modalité supposerait donc un transfert direct d’informations d’élèves et du personnel de l’Education nationale vers une multinationale du numérique.
Toujours dans la réponse à ma question parlementaire précitée, Monsieur le Ministre indique : « Avec Microsoft365, le CGIE a introduit une offre évolutive, riche et cohérente d’applications en ligne (…) Plus de 39.000 Teams et environ 280 TB d’espace de stockage occupés dans le cloud exposent le succès de cette plateforme (…) qui aujourd’hui est devenue la plateforme de communication et de collaboration phare de l’Education nationale. »
Face à ces informations, je m’interroge sur la gestion et la protection des données du personnel de l’Education nationale et des élèves. Par ailleurs, une proposition de résolution du Parlement européen dans le cadre du rapport de 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d’affaires intérieures, observe que « (…) les entreprises qui ont été identifiées dans les révélations faites aux médias comme étant impliquées dans la surveillance de masse à grande échelle des personnes concernées dans l’Union effectuée par la NSA sont des entreprises qui ont affirmé adhérer aux principes de la « sphère de sécurité » et que cette sphère est l’instrument juridique utilisé pour le transfert des données européennes à caractère personnel vers les États-Unis (par exemple Google, Microsoft, Yahoo!, Facebook, Apple, LinkedIn) ».
Cette même résolution invite les autorités compétentes des États membres, en particulier les autorités chargées de la protection des données « (…) à faire usage de leurs compétences existantes pour suspendre sans attendre les flux de données à destination de toute organisation ayant adhéré aux principes de la « sphère de sécurité » américaine (…) » .
Un arrêt récent de la Cour de Justice Européenne argumente également dans le sens de l’insuffisance des précautions et exigences des autorités européennes en matière de transfert de données personnelles vers au moins l’une des entreprises américaines précitées : il s’agit plus précisément d’un arrêt concernant le cas de Maximilian Schrems qui avait engagé une plainte contre le siège irlandais de facebook pour le transfert de ces données personnelles vers les Etats-Unis où les programmes de surveillance américains mettraient en cause son droit fondamental à la vie privée, la protection de ces données et une protection juridictionnelle efficace. Après l’ouverture de cette procédure, la Commission avait adopté la décision (UE) 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données. Le 16 juillet 2020, la CJEU a déclaré non-valide cette décision de la Commission Européenne recommandant des exigences plus strictes.
Sur le fond de ces informations qui mettent en doute la protection des données des élèves dans le cas présent du transfert de données d’élèves et du personnel de l’Education nationale aux entreprises Apple et Microsoft, je voudrais poser les questions suivantes à Monsieur le Ministre:
1. Les élèves et le personnel de l’Education nationale disposent-ils ou disposent-elles d’un identifiant accordé par le CGIE, ou bien s’agit-il d’identifiants liés à leurs comptes privés respectifs ?
2. Leurs données sont-elles hébergées sur des serveurs locaux ?
3. Dans la négative, comment le CGIE peut-il garantir que ces données ne seront pas récupérées à des fins commerciales par les entreprises avec lesquelles le MENJE a contracté l’achat de certains produits et matériel numériques ?
4. Le CGIE est-il au courant de la recommandation européenne et de l’arrêt prononcé par la Cour de Justice Européenne concernant le transfert de données privées à toute organisation ayant adhéré aux principes de la « sphère de sécurité » américaine ?
5. Dans l’affirmative, comment Monsieur le Ministre tient-il compte de ces recommandations concernant le traitement des données des élèves et du personnel de l’Education nationale ?
Veuillez agréer, Monsieur le Président, l’expression de mes sentiments distingués,
David Wagner
Député