En juillet 2022, l'Agence danoise de protection des donnees (Datatilsynet) a effectivement interdit aux produits Google de traiter des donnees personnelles dans les ecoles, avec des sanctions penales potentielles en cas de violation.

L'affaire a debute en 2019, lorsqu'un parent de la municipalite de Helsingor a depose une plainte apres que son enfant a cree a son insu un compte YouTube via un Chromebook fourni par l'ecole, ce qui a enraine la publication publique du nom de l'enfant sur YouTube.

Un resultat previsible

La decision de l'autorite reposait sur plusieurs constats cles :

Les municipalites portent la responsabilite de s'assurer que le traitement des donnees personnelles respecte les normes de legalite, d'equite et de transparence. Le bilan de Google en matiere de traitement transparent des donnees est pour le moins discutable.
Les Chromebooks servent de portes d'entree vers l'ecosysteme plus large de Google, qui collecte des informations a des fins de marketing cible. Google reste, a la base, une entreprise publicitaire.
L'autorite a classe Google comme responsable du traitement, ce qui signifie qu'il n'existe aucun mecanisme juridique valide pour que les municipalites transferent des donnees personnelles a Google pour traitement.
Google pourrait violer ses propres engagements contractuels en utilisant des donnees personnelles a des fins de marketing ou autres fins non autorisees, et aucun accord de traitement des donnees adequat n'a ete etabli avec la municipalite. De nombreuses poursuites liees au suivi des donnees des enfants par Google soutiennent cette preoccupation.
La municipalite pourrait traiter involontairement des donnees de categorie speciale a travers les plateformes de Google.
Les transferts de donnees vers les Etats-Unis restent problematiques suite a l'arret Schrems II, qui a invalide le Privacy Shield UE-Etats-Unis. Il n'existe actuellement aucun mecanisme juridique adequat pour transferer les donnees personnelles de l'UE vers des serveurs americains sans mesures supplementaires, comme indique dans les recommandations du CEPD.

Que se passe-t-il ensuite ?

L'autorite danoise a determine que les services de Google ne satisfont pas aux exigences du RGPD. En consequence, la municipalite de Helsingor doit immediatement cesser tout transfert de donnees personnelles vers les Etats-Unis. Google Workspace a ete purement et simplement interdit. Cette decision s'etend au-dela d'une seule municipalite -- l'autorite attend de toutes les municipalites danoises qu'elles se conforment a ces conclusions.

Tout transfert en cours de donnees personnelles vers des serveurs bases aux Etats-Unis a ete suspendu jusqu'a ce que la pleine conformite avec le Chapitre V du RGPD puisse etre demontree. Compte tenu du paysage juridique actuel, parvenir a une telle conformite via les services de Google semble hautement impraticable.

Sanctions en cas de non-conformite

En vertu de la loi danoise sur la protection des donnees, section 41, paragraphe 2, point 4, la violation d'une interdiction emise par l'autorite est passible d'amendes ou d'emprisonnement pouvant aller jusqu'a 6 mois.

Pourquoi les ecoles doivent s'eloigner de Google

De nombreuses alternatives open source existent pour la technologie educative. Des plateformes comme Moodle offrent des solutions d'e-learning viables pouvant etre hebergees au sein de l'UE. La question demeure : pourquoi les ecoles et les gouvernements continuent-ils de graviter vers des services geres par des entreprises publicitaires ?

Quelle que soit votre position sur le RGPD et les reglementations europeennes, tenir les ecoles responsables des outils auxquels elles exposent les enfants est essentiel. Une entreprise publicitaire avec un historique documente de violations de la vie privee ne devrait pas avoir de visibilite sur les activites en ligne des enfants.

La vie privee numerique ne peut plus rester un simple "plus" appreciable. Elle doit etre traitee comme un droit fondamental, en particulier pour les enfants qui n'ont pas leur mot a dire sur les outils que leurs ecoles les obligent a utiliser.