« Top ten tools » pour 2013
Faisant suite à la liste des outils les plus utilisés en 2012, Jane Hart a publié la liste des 100 outils pour l’apprentissage. Cette année, cette liste est divisée en 10 catégories (outils video, audio et images, ou outils de communication par exemple).
Parmi les éléments à remarquer, notons la bonne place des outils de sauvegarde dans le nuage (Google Drive et Dropbox) ainsi que la spectaculaire progression de Skydrive (+55 places). On peut aussi relever la chute continue de SharePoint (-14) et de Firefox qui se retrouve en 97ème place (-32).
Je ne suis pas un juriste… mais tout de même…
Rappelons que l’utilisation d’applications dans le nuage (courrier électronique, sauvegardes etc) pose
un problème si l’on sauve des données personnelles d’autres personnes (documents d’élèves, leurs adresses, listes d’élèves participant à un cours, etc.). C’est très probablement interdit par la législation pour toutes les données personnelles et notamment si ce sont les notes d’examens, et c’est clairement interdit si ce sont des « données personnelles sensibles » au sens de la loi (fribourgeoise, ou fédérale, et même toute législation de type UE).
Le document http://appl.fr.ch/friactu_inter/handler.ashx?fid=7997 établit le cadre général pour une école. En fait toutes les réponses que doivent apporter l’organisation iront vers la négative, comme un avis de droit (peut être bientôt rendu public ?) le montre : contrats spécifiques refusés par le fournisseur, pas de garantie de confidentialité de la part du fournisseur, refus de se soumettre aux tribunaux du pays, nécessaires informations aux personnes concernées (ou leurs représentants légaux) et leur accord, etc. Et cela sans évoquer le fait que des agences étrangères ont un accès facilité et sans réel contrôle légal à ces services. Mettre une clause que signeraient les personnes concernées du style « vous acceptez que vos données puissent être mises dans un cloud » n’est très probablement pas acceptable pour un tribunal dans notre pays. De plus, en Australie un fournisseur a décidé d’arrêter son cloud, le délai pour pouvoir récupérer les données fut très très court…(et on ne parle pas du format des données) les écoles concernées ont beaucoup apprécié…
Dans tous les cas, il faut l’avis du ou de la préposé-e à la protection des données dont dépend l’établissement… et la réponse devrait être négative… dans le cas contraire je suis très intéressé à
en être informé… On apprend tous les jours…
Conclusion : ces outils dans le cloud sont sûrement très utilisés dans des pays qui ont une autre vision de la protection des données qu’en CH et UE… mais pour le moment les clouds ne sont très probablement pas juridiquement utilisables chez nous par des établissements scolaires. Le cas de
clouds cantonaux, nationaux CH, UE est réservé.
Merci pour ces précisions fort appréciées ! L’avis de droit que vous mentionnez m’intéresserait beaucoup (cf. aussi la suite de mon commentaire).
Bien que n’étant pas non plus juriste, je souhaiterais encore mentionner un élément important : en février 2009, la Suisse a signé avec les Etats-Unis un accord dit « U.S-Swiss safe harbor framework » : http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/index.html?lang=fr. Cet accord définit un ensemble de règles garantissant pour les entreprises américaines enregistrées un niveau suffisant de protection des données au sens de l’art. 6, al. 1, de la Loi fédérale sur la protection des données. La liste des entreprises ayant adhéré peut être consultée en ligne : https://safeharbor.export.gov/swisslist.aspx. Dropbox en fait partie par exemple.
Loin de moi l’idée d’encourager les gens à déposer à tout-va des données personnelles sur ces sites. Mais cela signifie qu’il faut quand même nuancer son attitude en fonction de l’outil utilisé et de l’usage qu’on en fait (déposer des données météorologiques publiques sur Dropbox ne devrait a priori pas poser de problèmes). Bien sûr, les développements récents nous montrent aussi que les règles juridiques ne représentent qu’un aspect des choses, et que des données stockées en Suisse seront probablement plus difficiles à intercepter 😉
Effectivement vos remarques sont intéressantes… mais hélas tout est compliqué…
Au moins il y a un premier cas, simple, que vous évoquez, et que je me permets de paraphraser :
Si les données ne concernent pas des personnes, ne sont pas confidentielles, et sont faciles à recréer en cas de panne/cessation du service de la partu du fournisseur de cloud , alors pas de soucis !
Mais il y a plus délicat : Safeharbor : j’ai longtemps cru que c’était la solution… mais en fait, il apparaît qu’il y a des subtilités (comme le refus de responsabilité semble-t-il). Il faut que je me renseigne sur cela plus précisément prochainement.
De toutes façons, faire sortir des données vers un autre pays, par exemple en UE, donc même avec suffisamment de protection (plus qu’avec Safeharbor), n’est pas autorisé « par défaut ». En fait le problème arrive dès que l’on fait sortir les données de l’organisation.
Malgré tout il y a une règle générale et simple : si des données personnelles (autres que des informations sur soi-même) sont traitées, il faut prendre contact avec le ou la préposé-e au données de son établissement ou cantonal ou fédéral, selon les cas. En cas de doutes, la direction de l’établissement doit pouvoir indiquer qui c’est. Ensuite, il est du ressort de cette personne de dire ce qui est possible, de ce qui ne l’est pas, et de l’expliquer, via une phase de dialogue. Il est alors possible de faire tout ce que cette personne a formellement autorisé.
J’espère que cette dernière proposition puisse aider les gens qui se posent des questions.