L’autorité danoise de protection des données (Datatilsynet) a émis une injonction concernant les données des élèves acheminées vers Google via l’utilisation des Chromebooks et des services Google Workspace dans les écoles du pays.
L’affaire a été portée à l’attention de l’agence il y a environ quatre ans par un parent et activiste inquiet, Jesper Graugaard, qui a protesté contre la façon dont les données des étudiants sont envoyées à Google sans aucune considération quant au potentiel d’utilisation abusive ou à l’impact que cela pourrait avoir sur ces personnes à l’avenir.
L’agence a maintenant décidé que les méthodes actuelles de transfert de données personnelles à Google n’avaient pas de base légale pour toutes les finalités divulguées. Par conséquent, 53 municipalités à travers le Danemark doivent ajuster leurs pratiques de traitement des données.
Plus précisément, les municipalités ont l’ordre de:
- Cesser le transfert de données personnelles à Google à des fins spécifiques ou obtenir une base juridique claire pour de tels transferts,
- Analyser et documenter la manière dont les données personnelles sont traitées avant d’utiliser des outils tels que Google Workspace, et
- Veiller à ce que Google s’abstienne de traiter les données qu’il reçoit à des fins non conformes.
L’agence a précisé que les utilisations autorisées des données des étudiants comprennent la fourniture des services éducatifs offerts par Google Workspace, l’amélioration de la sécurité et de la fiabilité de ces services, la facilitation de la communication et le respect des obligations légales.
Les cas non autorisés sont des objectifs liés à la maintenance et à l’amélioration de Google Workspace pour l’éducation, ChromeOS et le navigateur Chrome, y compris la mesure des performances ou le développement de nouvelles fonctionnalités et services pour ces plateformes.
« Les services informatiques d’aujourd’hui fonctionnent souvent de telle manière que le transfert de données personnelles est intégré au produit et que l’utilisation des informations est souvent une condition préalable pour tirer pleinement parti des fonctionnalités des produits », a déclaré le spécialiste de la sécurité informatique et du droit de l’agence, Allan Frank.
« Cependant, cela ne se produit pas toujours en mettant suffisamment l’accent sur la protection des citoyens dont les informations sont utilisées. »
« Mais ni la fonctionnalité des solutions que vous souhaitez utiliser, ni la position du fournisseur sur le marché, ni la structure standardisée, ni la simple utilisation d’un produit standard ne peuvent justifier de ne pas respecter les règles sur la protection des données, qui il a été décidé d’un point de vue politique que nous devons avoir en Europe. »
La décision de l’autorité ne se traduit pas directement par une interdiction des Chromebooks, largement utilisés dans les écoles danoises, mais elle impose des restrictions importantes sur la manière dont les données personnelles peuvent être partagées avec Google.
De plus, étant donné qu’il sera difficile, voire impossible, pour les municipalités de limiter le traitement des données sensibles du côté de Google, il n’y a peut-être aucun moyen pratique d’adhérer aux nouvelles règles sans bloquer l’utilisation des Chromebooks Google et/ou de Google Workspace.
Les municipalités ont jusqu’au 1er mars 2024 pour déclarer précisément comment elles entendent se conformer à l’ordonnance de Datatilsynet et jusqu’au 1er août 2024 pour aligner pleinement leurs pratiques de traitement des données sur les nouvelles exigences.
Bien que les gens au Danemark et ailleurs aient salué l’annonce de l’agence, beaucoup ont noté le temps inutilement long qu’il a fallu à l’autorité pour parvenir à une décision, soit 4,5 ans.
De plus, des observateurs ont souligné que les mauvaises pratiques identifiées dans le rapport de l’agence persistaient depuis au moins une décennie et devraient justifier des amendes ou d’autres mesures correctives pour les responsables.