Google Workspace, incompatible RGPD ?

Clément Bohic,
Linkedin
Google Workspace Danemark Chromebook

La Cnil danoise considère comme non conforme au RGPD l’usage de Google Workspace dans une école… et potentiellement bien d’autres structures.

Du support technique localisé dans l’Union européenne ? Les coentreprises Bleu et S3NS, entre autres, en ont fait un argument de vente pour leurs offres « souveraines » à venir. Avec une garantie principale : éviter le transfert de données vers des pays tiers… et les accès indésirables qui pourraient s’ensuivre, au mépris du RGPD.

Cette dimension est au cœur d’un dossier que la Cnil danoise suit depuis près de trois ans. À l’origine, il y a la plainte d’un parent d’élève, qui avait signalé une violation de données personnelles de son enfant en lien avec l’ouverture d’un compte YouTube. Institution visée : l’école primaire de la municipalité d’Elseneur (nord du pays).

Celle-ci utilisait – et utilise toujours – des Chromebook et la suite Google Workspace pour l’Éducation (édition Standard). À la suite de la plainte en question, la Cnil danoise lui a imposé une revue de ses activités de traitement. La démarche a révélé des inconformités vis-à-vis du RGPD. Ainsi en a en tout cas jugé l’autorité. Avec au premier chef, un risque d’exploitation de données personnelles – a fortiori de personnes mineures – par le groupe américain ou d’autres tiers, dans le cadre d’opérations d’assistance.

Support Google Workspace : des « fenêtres » de communication en clair

La municipalité a reçu pour ordre de suspendre l’usage de Google Workspace le temps de se mettre en règle. Plus précisément, tant qu’elle ne disposera pas d’une « documentation adéquate » des risques encourus. Et ce même si « statistiquement », comme elle l’a fait valoir chiffres à l’appui, l’école a peu de chances d’être cible d’une requête d’autorités de pays tiers.

Quand bien même les données en question seraient chiffrées, il peut exister une fenêtre pendant laquelle des communications peuvent se faire en clair, noté la Cnil danoise. En outre, dans le cadre de l’offre qu’exploite l’école, le groupe américain qui détient les clés de chiffrement… même si, au vu de la structure du contrat (régi par des clauses types), Google EMEA est censé devoir donner son aval au siège américain.

La Cnil danoise investigue le cas d’autres municipalités qui exploitent des modèles de traitement similaires.

Illustration © Google