Google a accepté des « améliorations majeures de la confidentialité » à la suite d’une menace d’interdire l’utilisation de Google Workspace dans l’éducation par l’Autorité néerlandaise de protection des données (DPA).
En mars, Privacy Company a conclu que huit des dix risques élevés pour la confidentialité dans la suite de productivité de Google, Workspace, subsistaient. Les établissements d’enseignement néerlandais ont alors demandé conseil à la DPA néerlandaise. Au fin mai la DPA a averti les écoles et les universités de cesser d’utiliser Google Workspace for Education avant le début de la nouvelle année scolaire.
Maintenant, après quoi Privacy Company, une société de conseil en données employée par les coopératives néerlandaises d’informatique dans le domaine de l’éducation, appelé Les « négociations intenses de Google avec des représentants des écoles et des établissements d’enseignement supérieur aux Pays-Bas », la chocolaterie a apparemment accepté d’atténuer ces risques, évitant « une éventuelle application par l’autorité néerlandaise de protection des données ».
L’impact d’une telle application aurait pu être considérable, puisque selon le rapport Workspace est utilisé par 52 pour cent des écoles primaires, 36 pour cent des écoles secondaires et certaines facultés de quatre universités. La DPA néerlandaise avait averti que ces installations devraient « cesser d’utiliser Google Workspace avant la rentrée scolaire » cet automne, ce qui « aurait obligé les écoles et leurs administrateurs … à passer à un nouveau logiciel pendant leurs vacances d’été ».
Qu’est-ce que Google a réellement accepté ? Dans un e-mail à la presse, Privacy Company a déclaré que « Google, comme Microsoft, deviendra un processeur de données de diagnostic. Cela signifie que Google ne peut traiter ces données concernant l’utilisation individuelle des services qu’aux fins approuvées par les écoles.
« Il y a trois de ces finalités, à savoir fournir et sécuriser les services, ainsi que les maintenir à jour. Ainsi, Google n’est pas autorisé à traiter les données personnelles des élèves et des étudiants à des fins de publicité, de marketing, de profilage ou d’analyse de mégadonnées. Google développera également une version de traitement de données des Chromebooks et du navigateur Chrome pour les clients professionnels et éducatifs. »
Dans le RGPD (Règlement général sur la protection des données) de l’UE, un sous-traitant est distinct d’un responsable de traitement, et c’est le responsable du traitement qui « détermine les finalités et les moyens du traitement des données personnelles » (chapitre 1.4.7).
Qu’est-ce qui sera exactement différent dans ces versions spéciales de Chrome OS et Chrome, et seront-elles disponibles au-delà des établissements d’enseignement néerlandais ? Nous avons demandé à Google car ce n’est pas tout à fait clair.
Cependant ce rapport détaillé contient des assurances, notamment que l’apprentissage automatique de l’orthographe et de la grammaire est limité « au domaine de l’entreprise du client » ; que le paramètre par défaut pour la personnalisation des annonces sera désactivé pour les nouveaux utilisateurs ; et qu’il y aura un outil d’inspection pour permettre aux administrateurs d’afficher les données client dans les données de diagnostic. Il y aura également un « nouvel avertissement aux utilisateurs finaux dans le formulaire de commentaires de ne pas partager de données sensibles avec Google ».
Selon la Privacy Company, « L’adaptation complète du rôle du processeur de données nécessite des changements techniques et organisationnels importants dans les systèmes et processus de Google et ne peut donc pas être mise en œuvre du jour au lendemain. Cependant, les risques élevés seront atténués avant la rentrée scolaire. . »
Détails, détails
Il y a quelques mises en garde. L’une des principales préoccupations de la DPA néerlandaise est le mélange des applications Workspace avec ce qu’elle appelle des « services supplémentaires » tels que YouTube, Search, Scholar, Photos et Maps. Si un utilisateur connecté à Workspace visite ensuite YouTube ou effectue une recherche, cela ne relève pas des termes de Workspace, mais du point de vue de Google, il s’agit du même utilisateur connecté, alors comment cela affecte-t-il la confidentialité et en particulier les responsabilités des établissements d’enseignement protéger les données personnelles de leurs enfants et étudiants ?
Selon Privacy Company, la recherche n’est pas si mauvaise car les enfants et les étudiants « sont automatiquement déconnectés lorsqu’ils visitent la recherche » et sont donc traités comme des utilisateurs anonymes – bien que nous ayons remarqué que même les utilisateurs anonymes doivent cliquer sur un accord intimidant pour utilisez la recherche, avec seulement une option de retrait partielle disponible.
Dans le cas des autres services supplémentaires, cependant, « Google n’offre pas cette mesure de protection de la vie privée ». Par conséquent, « les écoles et les universités doivent utiliser la possibilité d’interdire techniquement aux utilisateurs finaux d’accéder aux services supplémentaires », rapportent les consultants néerlandais.
Les utilisateurs qui souhaitent toujours y accéder peuvent le faire, mais seulement après avoir créé un deuxième compte Google privé, nous présumons ainsi dégager la responsabilité de l’école ou de l’université. L’utilisation intégrée de vidéos YouTube dans des diapositives ou Google Classroom est autorisée, Google indiquant que les cookies dans les vidéos intégrées seront conformes aux « mesures convenues » d’ici le début de l’année scolaire.
D’autres mises en garde sont que les établissements d’enseignement néerlandais doivent signer un contrat avec Google qui contient le « nouvel amendement de confidentialité » et que les écoles doivent mener leurs propres enquêtes sur la protection des données.
« Chaque école et université est responsable, et peut être tenue pour responsable, d’évaluer les risques supplémentaires possibles pour les droits et libertés des élèves/étudiants et des employés, et de déterminer si l’utilisation factuelle de Workspace for Education est conforme au RGPD. » Société a déclaré.
« Google a accepté de devenir plus transparent », selon Privacy Company, au moins en ce qui concerne la documentation des données personnelles qu’elle collecte.
L’enjeu est de taille, dans la mesure où ce qui se passe aux Pays-Bas pourrait bien s’étendre à l’ensemble de l’UE, et Google sera soucieux de garder son ancrage dans l’éducation, car il espère sans doute que les jeunes se familiariseront avec ses services et voudront continuer avec eux dans les affaires. Google changera-t-il cependant ses méthodes de saisie de données ? Peut-être un peu, dans ce contexte étroit.
L’expérience néerlandaise montre cependant que la réglementation peut être efficace pour modérer le comportement des grandes technologies – bien qu’une autre question pertinente soit la mesure dans laquelle les départements informatiques des écoles et universités néerlandaises seront en mesure de se conformer à ces exigences de confidentialité à court terme, compte tenu de toutes les l’autre demande à leurs services. ®