En s’appuyant sur les documents transmis par la Conférence des présidents d'université (CPU) et la Conférence des grandes écoles (CGE), la CNIL demande à l’enseignement supérieur et au monde de la recherche d’utiliser des alternatives européennes aux outils collaboratifs américains. Cette décision résulte d’un dommage collatéral causé par la décision par la décision du 16 juillet 2020 de la Cour de justice de l’Union européenne (CJUE). Celle-ci s’était en effet prononcée sur les transferts de données entre l’Union européenne et les Etats-Unis, jugeant que « la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours ».

En affirmant que « les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne », la CJUE impose ainsi sa vision européenne. Dans ce cadre, une seule exception à la règle est possible ; « si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD (qui prévoit des dérogations dans des situations particulières) ».  Mais ce n'est pas le cas dans le cadre de l'enseignement. La Cnil rappelle que parmi les établissements qui emploient les outils collaboratifs états-uniens (Zoom, Office365, Google, Discord, WebEx, ...), les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et « ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (notamment des données de santé) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs) ».

Pas de mesures supplémentaires au niveau européen

Dans le cadre de la recherche, la Cnil évoque l’exemple de la Plateforme des données de santé (Health Data Hub), qui est actuellement hébergée au sein d’une infrastructure américaine, Microsoft Azure. Par la suite, le Conseil d’État a reconnu un risque de transfert des données de santé vers les États-Unis, « du fait de la soumission de Microsoft au droit étatsunien », et a demandé des garanties supplémentaires en conséquence. La Cnil a également réclamé et obtenu de nouvelles garanties du ministère en charge de la santé concernant un changement de solution technique dans un délai restreint. A l'occasion de la présentation de la stratégie de l'Etat sur le cloud de confiance, Amélie de Montchalin, ministre de la transformation et de la fonction publique, a annoncé que la plateforme devra « être hébergée au sein des infrastructures européennes dans un délai de 12 à 18 mois et, en tout état de cause, ne dépassant pas deux ans après novembre 2020 ».

Cette démarche s’inscrit dans une volonté plus large d’accélérer la transformation numérique dans l’enseignement et la recherche, mais aussi « dans toutes les organisations publiques comme privées, impliquant des services qui s’appuient, pour beaucoup, sur des technologies de cloud computing ». Le régulateur a constaté que le recours à ces solutions met en lumière des problématiques relatives au contrôle des flux de données au niveau international, à l’accès aux données par les autorités de pays tiers, mais aussi à l’autonomie et la souveraineté numérique de l’Union européenne. « La CNIL continuera à s’attacher à faire respecter le droit à la vie privée tout en veillant à ce que la protection des données favorise l’innovation et soit l’un des marqueurs de l’action des secteurs public comme privé » conclut-elle. Cette dernière reconnait néanmoins une impasse dans les mesures complémentaires à adopter de la part de l'UE et le CEPD en particulier pour assurer le transfert de données transatlantiques en toute légalité.

Une période transitoire

Face à cette incertitude et à la crise sanitaire, La Cnil précise de son côté qu’elle accompagnera les organismes vers la recherche d'alternatives françaises et européennes. Elle ouvre donc une période transitoire pour garder une continuité de service. Reste à savoir quels seront les outils mis à disposition de l’enseignement et de la recherche, alors que la France peine à proposer des outils qui puissent égaler les solutions proposées par Google, Microsoft ou Zoom. Il en existe pourtant comme Tixeo ou Jitsi.