Avec Apple, les données des collégiens migrent aux Etats-Unis
En septembre 2016, le Conseil Départemental des Hauts de Seine annonçait la signature d'une convention passée avec l'Etat pour « les Collèges numériques et l'innovation pédagogique », s'inscrivant dans le Plan National Numérique de l'Etat. Cet accord prévoit, pour l'année scolaire 2016/2017, la distribution de 4500 tablettes dans différents collèges du département. Coût de l'opération : 3,1 millions d'euros dont 991 000 ? cofinancés par l'Etat, soit 2,1 millions d'euros à la charge du département.
Après un appel d'offres, c'est Apple et ses iPad qui ont été choisis par l'assemblée départementale. Dans certains cas, ce déploiement se fera sur la base d'une mutualisation, c'est-à-dire qu'une tablette pourra servir à plusieurs élèves ou enseignants. Pour gérer cette mutualisation, Apple propose un outil de gestion nommé School Manager. Sur le site de la firme, on apprend que la solution permet de « créer automatiquement des identifiants Apple gérés pour tous les élèves et le personnel, configurer les réglages d'inscription des appareils et acheter et distribuer facilement apps, livres et supports pédagogiques ».
Des données stockées aux Etats-Unis
Oui mais voilà, ce service inquiète. En effet, « le service Apple School Manager comporte des données à caractère personnel, relatives aux élèves et aux enseignants, qui sont hébergées sur le territoire des Etats-Unis », peut-on lire dans une lettre du recteur de l'Académie de Versailles. Toujours sur le site d'Apple, un document relatif à « la confidentialité des données des établissements scolaires » souligne, dans un paragraphe sur le transfert des données à l'international : « avec Apple School Manager, les identifiants Apple gérés, iTunes U et iCloud, les données personnelles peuvent être stockées ailleurs que dans leur pays d'origine. Où que les données soient stockées, elles sont assujetties aux mêmes normes et exigences rigoureuses en matière de stockage des données. » Et de préciser que le transfert transatlantique des données est soumis au Safe Harbor (invalidé en octobre 2015) ou à ses successeurs, en l'occurrence le Privacy Shield (déjà contesté). Ainsi, que par « les clauses contractuelles types de l'UE/l'Accord de Transmission à l'étranger de la Suisse, qui ont été ajoutés à l'Accord Apple School Manager ».
Face à cette problématique de localisation des données, le rectorat explique qu'Apple School Manager doit faire l'objet « d'une déclaration normale auprès de la CNIL et d'une information auprès des usagers ». Au nom de l'autonomie des établissements, c'est donc aux principaux des Collèges concernés de faire cette déclaration auprès de la CNIL.
Les Hauts de Seine temporisent
Nous avons sollicité l'avis des différents protagonistes dans cette affaire. En premier lieu, le Conseil Départemental des Hauts de Seine se dit conscient du problème : « dans le cadre du Plan numérique national des collèges, le Département des Hauts-de-Seine a remis à ce jour 3 568 tablettes personnelles à des collégiens et professeurs, sur les 4 500 prévues sur l'année scolaire 2016/2017. Le logiciel Apple School Manager n'est donc actuellement pas utilisé, puisque seules les tablettes mutualisées sont concernées par cette problématique qui retient toute l'attention du Département. »
Il ajoute que « les 932 tablettes restantes, qui seront mutualisées, seront remises après qu'une solution définitive soit trouvée » (sic). Cette dernière phrase montre que la solution Apple School Manager n'est pas encore mise en oeuvre et que des solutions alternatives pourraient être envisagées comme des outils de MDM (Mobile Device Management).
Le Ministère résolument pro Apple School Manager
Pour le ministère de l'Éducation Nationale, le discours est plus engagé. « L'analyse a montré une nécessaire mise à jour des conditions générales d'utilisation d'Apple School Manager, ce qui a été demandé et obtenu d'Apple. En particulier, Apple a fait évoluer ses CGU de façon importante, et en particulier, a accepté de se soumettre aux clauses contractuelles types validées par l'Union Européenne et recommandées par la CNIL s'agissant de l'hébergement de données aux Etats-Unis ».
Et de compléter la réponse, en indiquant que « les données personnelles concernées sont limitées aux stricts besoins d'organisation de la classe et de sécurisation des matériels (qui, quels droits d'accès à quelles applications, quelle configuration matérielle.) ; les résultats scolaires, les notes, ou toute donnée sensible ne sont pas concernés par ce traitement. En particulier, les clauses applicables sont distinctes des clauses grand public et excluent toute collecte de données à fins de profilage, de publicité, de revente. ; ainsi, très clairement, ces données sont infiniment mieux protégées que les données personnelles des élèves dans leurs usages personnels des smartphones ou des réseaux sociaux ». Et il n'est pas question de trouver une alternative via un gestionnaire de flottes, le ministère en appelle à « l'efficacité de la commande publique et la bonne utilisation des deniers publics ».
Interrogé sur ce sujet, Apple reste discret et renvoie simplement aux éléments contractuels sur la protection des données personnelles dans Apple School Manager. Nous avons aussi sollicité la CNIL, qui doit se prononcer sur la déclaration des établissements scolaires. Sans obtenir de réponse de la Commission pour le moment.
A lire aussi :
Comment contourner un iPad verrouillé dans iCloud ?
Lire aussi : RGPD : Cegedim Santé condamné à 800 000 $
Apple n'a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés
Photo credit: flickingerbrad via Visual hunt / CC BY
Sur le même thème
Voir tous les articles Actualités