La gestion de certains iPads des collégiens des Hauts de Seine est confiée à Apple School Manager, qui stocke les données aux États-Unis. Et cela inquiète.
En septembre 2016, le Conseil Départemental des Hauts de Seine annonçait la signature d’une convention passée avec l’Etat pour « les Collèges numériques et l’innovation pédagogique », s’inscrivant dans le Plan National Numérique de l’Etat. Cet accord prévoit, pour l’année scolaire 2016/2017, la distribution de 4500 tablettes dans différents collèges du département. Coût de l’opération : 3,1 millions d’euros dont 991 000 € cofinancés par l’Etat, soit 2,1 millions d’euros à la charge du département.
Après un appel d’offres, c’est Apple et ses iPad qui ont été choisis par l’assemblée départementale. Dans certains cas, ce déploiement se fera sur la base d’une mutualisation, c’est-à-dire qu’une tablette pourra servir à plusieurs élèves ou enseignants. Pour gérer cette mutualisation, Apple propose un outil de gestion nommé School Manager. Sur le site de la firme, on apprend que la solution permet de « créer automatiquement des identifiants Apple gérés pour tous les élèves et le personnel, configurer les réglages d’inscription des appareils et acheter et distribuer facilement apps, livres et supports pédagogiques ».
Des données stockées aux Etats-Unis
Oui mais voilà, ce service inquiète. En effet, « le service Apple School Manager comporte des données à caractère personnel, relatives aux élèves et aux enseignants, qui sont hébergées sur le territoire des Etats-Unis », peut-on lire dans une lettre du recteur de l’Académie de Versailles. Toujours sur le site d’Apple, un document relatif à « la confidentialité des données des établissements scolaires » souligne, dans un paragraphe sur le transfert des données à l’international : « avec Apple School Manager, les identifiants Apple gérés, iTunes U et iCloud, les données personnelles peuvent être stockées ailleurs que dans leur pays d’origine. Où que les données soient stockées, elles sont assujetties aux mêmes normes et exigences rigoureuses en matière de stockage des données. » Et de préciser que le transfert transatlantique des données est soumis au Safe Harbor (invalidé en octobre 2015) ou à ses successeurs, en l’occurrence le Privacy Shield (déjà contesté). Ainsi, que par « les clauses contractuelles types de l’UE/l’Accord de Transmission à l’étranger de la Suisse, qui ont été ajoutés à l’Accord Apple School Manager ».
Face à cette problématique de localisation des données, le rectorat explique qu’Apple School Manager doit faire l’objet « d’une déclaration normale auprès de la CNIL et d’une information auprès des usagers ». Au nom de l’autonomie des établissements, c’est donc aux principaux des Collèges concernés de faire cette déclaration auprès de la CNIL.
Les Hauts de Seine temporisent
Nous avons sollicité l’avis des différents protagonistes dans cette affaire. En premier lieu, le Conseil Départemental des Hauts de Seine se dit conscient du problème : « dans le cadre du Plan numérique national des collèges, le Département des Hauts-de-Seine a remis à ce jour 3 568 tablettes personnelles à des collégiens et professeurs, sur les 4 500 prévues sur l’année scolaire 2016/2017. Le logiciel Apple School Manager n’est donc actuellement pas utilisé, puisque seules les tablettes mutualisées sont concernées par cette problématique qui retient toute l’attention du Département. »
Il ajoute que « les 932 tablettes restantes, qui seront mutualisées, seront remises après qu’une solution définitive soit trouvée » (sic). Cette dernière phrase montre que la solution Apple School Manager n’est pas encore mise en œuvre et que des solutions alternatives pourraient être envisagées comme des outils de MDM (Mobile Device Management)…[lire la suite]
Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.
Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)
Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
Réagissez à cet article
|