Open bar de données et nuages magiques, l'Éducation sous contrat - Plénière RMLL2018 - Emmanuel Charpentier - Harmonie Vo Viet Anh

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Plénière - Open bar de données et nuages magiques, l'Éducation sous contrat

Intervenants : Emmanuel Charpentier - Harmonie Vo Viet Anh

Lieu : Rencontres mondiales du logiciel libre 2018 - Strasbourg

Date : juillet 2018

Durée : 54 min

Visualiser la vidéo

Licence de la transcription : Verbatim

NB : transcription réalisée par nos soins. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas forcément celles de l'April.

Statut : Transcrit MO

Description

Le grand marché de l'éducation et ses ressorts. Comment les multinationales du numérique conquièrent-elles leurs positions, quels avantages proposent-elles et à quels prix ? Du côté du Libre, d'autres modèles se dessinent et se construisent dans le monde.

Transcription

Je vous propose de démarrer malgré tout parce que le sujet est énorme, il y a peut-être quand même des choses à en dire ; on a l’amphithéâtre jusqu’à 19 h 30, ce qui est plutôt sympa. Comme c’est un sujet qui est majeur, pour vous dire on va parler de l’Éducation nationale et des accords qui ont été faits et qui sont en train d’être faits en ce moment pour utiliser du logiciel non libre et surtout géré et hébergé par des grands acteurs de l’informatique comme Microsoft.

Je ne sais pas si vous avez suivi le sujet exactement. C’est un sujet qui a un peu défrayé la chronique mais qui commence à avoir quelques mois, ça fait peut-être même quelques années qu’il a été mis en place. Il y a même eu un reportage qui a été fait par Cash Investigation où ils ont essayé d’aller poser des questions au ministère. L’Éducation nationale est liée avec tout cela d’une manière ou d’une autre parce que l’Éducation nationale, tout comme le ministère de la Défense, ont fait un accord avec Microsoft Irlande pour gérer leur informatique, sous un format qu’ils appellent open bar et qui permet à tous les personnels du ministère d’utiliser tous les logiciels qu’ils veulent, à volonté, tous les logiciels dont ils pensent avoir besoin et qui sont dans le portefeuille de logiciels de Microsoft. Donc c’est quelque chose de gigantesque. Microsoft c’est une des plus grosses entreprises au monde, on peut le dire, ça fait partie des plus grosses capitalisations, et ils ont un portefeuille de logiciels, que ce soit pour les ordinateurs portables, les tablettes, les téléphones mais aussi les serveurs, et ce portefeuille de logiciels est accessible librement, gratuitement dans la mesure où, en tout cas, les gens qui les mettent en place et qui les choisissent n’ont pas besoin de débourser de l’argent. Vous êtes un administrateur système de l’Éducation nationale, vous avez besoin d’une base de données, vous ne vous posez pas de questions vous pouvez prendre celle de Microsoft, l’installer sur un serveur, l’utiliser à volonté et, au bout d’un certain cycle, au bout d’un certain temps, Microsoft va aller voir l’Éducation nationale et va lui faire : « Ah ! On s’était mis d’accord ; je revois à peu près ce que vous faites comme usage de mes logiciels, eh bien en fonction de cet usage -là, je vous fais payer telle somme. »

Alors c’est quelque chose d’assez énorme, ça c’est le mécanisme open bar et avec l’Éducation nationale ce mécanisme a été mis en place de manière assez bizarre, c’est-à-dire que c’est Microsoft qui a payé l’Éducation nationale 13 millions d’euros pour que l’Éducation nationale utilise les logiciels de Microsoft.

Ça fait terriblement original, parce qu’il n’y a pas ce type de paiement ; normalement l’utilisateur paye le fournisseur du service ou du logiciel, surtout si c’est un service et un logiciel privateur, mais là il se trouve, non ! L’Éducation nationale est payée pour utiliser et mettre en place ces logiciels. Ça va encore plus loin que ça : les professeurs de l’Éducation nationale en France, on leur propose dans les locaux de Microsoft, d’utiliser les locaux de Microsoft pour faire des formations aux professeurs. Donc à Paris il y a un grand bâtiment que l’on peut voir quand on prend le périphérique, sur la partie sud, c’est un bâtiment plutôt joli, plutôt original, c’est le bâtiment Microsoft, il y a l’Éducation nationale d’après ce que l’on me dit qui n’est pas très loin, en tout cas il y a des bâtiments de l’Éducation nationale qui sont à quelques centaines de mètres, eh bien les professeurs, en quelque sorte, se prennent par la main et ils vont suivre des formations dans les salles de Microsoft. C’est quelque chose de très sympathique, c’est très gentil de la part de cette multinationale qui est de mettre en avant et de favoriser l’éducation des professeurs, mais c’est une éducation de nos professeurs qui se fait avec leurs logiciels. Et ce n’est pas une éducation libératrice, c’est le moins qu’on puisse dire, c’est une éducation qui les éduque aux logiciels de Microsoft et seulement aux logiciels de Microsoft.

Ça va encore plus loin que ça, je ne sais pas si vous avez entendu, ça a fait scandale, ça a fait un gros brouhaha, mais Apple a proposé et ça a été bien entendu, de faire des visites organisées, favorisées, dans les Apple Stores. Donc l’Éducation nationale, aujourd’hui, on leur propose facilement et de manière assez sympathique parce que, après tout, les Apple Stores c’est un lieu très festif, c’est un lieu agréable ; quand vous rentrez dans un Apple Store, on me dit, les employés se mettent à l’entrée et vous font une haie d’honneur. Quand vous achetez des matériels Apple, les premières fois, on me dit vous pouvez être applaudi. Donc les gens sont vraiment favorisés, sont poussés à aller là-dedans et là, les professeurs on les encourage à aller avec leur classe dans les Apple Stores. Donc ils débarquent gentiment ; on va leur monter comment ça fonctionne ; on leur montre le matériel Apple ; il est très joli ; les logiciels Apple sont très faciles, c’est ce qu’on vous dit, c’est ce qu’on vous propose. Et surtout, c’est que tout ça c’est très sexy, c’est très à la mode et on encourage d’autant plus les gamins, qui sont à priori des cibles faciles, on les encourage encore plus à s’approprier et à apprécier ces logiciels et il semblerait, le soir, quand les gamins rentrent chez eh bien ils vont dire à leurs parents : « Apple c’est génial ; j’en veux ; c’est vraiment bien. » Alors je veux bien croire que Apple n’a pas forcément besoin de cette publicité, ils sont tellement à la mode depuis déjà quelque temps !

Public : Inaudible.

Emmanuel : Alors ça peut-être, effectivement. On a quelqu’un dans la salle qui fait une remarque et c’est pertinent.

Public : Je ne suis pas tout à fait ce sujet. Mais je pense que ça a été interdit par le ministère récemment.

Emmanuel : Je sais que ça a fait hurler. Le ministère, je ne sais pas si ça été interdit ; ils ont peut-être envoyé une petite directive interne, un règlement, un changement de règlement parce qu’effectivement il y a plein de gens, y compris des journalistes et ça c’est très embêtant quand les journalistes s’y mettent, qui ont fait remarquer que c’était favoriser une entreprise de manière pernicieuse et bien trop forte et que l’Éducation nationale n’avait pas cette vocation.

Harmonie : Cependant il ne faut pas oublier. Je ne sais pas si vous vous rappelez un peu du titre de la plénière de ce soir « Open bar de données et nuages magiques, l’Éducation sous contrat » . L’Éducation nationale française a signé un contrat avec Microsoft pour pouvoir avoir ce qu’on appelle un contrat open bar ; ce qu’ils appellent comme ça c’est que vous avez le droit d’utiliser autant de fois la licence Microsoft sur des postes, mais nous, dans le cadre des RMLL, on a ajouté open bar de données, parce que bien évidemment pour Microsoft cela a intérêt de pouvoir récupérer toutes les données des étudiants. En tant que juriste j’ai étudié plus précisément le contrat en question qui date de 2014 si mes souvenirs sont bons.

Emmanuel : Trois ans. Je sais qu’on en avait parlé. Je m’occupe d’un podcast, d’une revue de presse à l’April et on en avait parlé. Oui, ça doit être dans ces eaux-là.

Harmonie : En gros, il était précisé que Microsoft gérerait, du coup, les données des étudiants en garantissant à l’Éducation une certaine sécurité, mais qu’en échange Microsoft aurait le droit d’utiliser ces données éventuellement à des fins éducatives, pour pouvoir proposer des meilleurs programmes éducatifs aux enfants en fonction de leurs profils.

Emmanuel : Pour faire du data mining à priori, pour en retirer des informations, des informations travaillées à partir des data qui sont les notes des gamins et de peut-être leurs appréciations. Il doit y avoir moyen de retirer des choses très utiles et, effectivement, ça fait jaser beaucoup de gens parce que ces données-là elles sont, aujourd’hui, considérées un petit peu comme privilégiées parce que cela concerne des mineurs. Et ces mineurs, le jour où ils arrivent dans le monde du travail ou dans le monde social des adultes, peut-être dans des relations amicales ou amoureuses, eh bien les notes qu’on a eues à l’école peuvent être influentes de manière assez négative ou positive ; mais quand c’est négatif, eh bien là on perd le contrôle complètement.

Public : Avec le RGFD, ce n’est pas complètement interdit maintenant puisque la finalité du traitement des données est complètement différente de ce que à quoi ça sert à l’origine ?

Harmonie : J’ai oublié de me présenter. Je m’appelle Vo Viet Anh Harmonie, je suis juriste en droit numérique ; je suis aussi présidente des Rencontres mondiales 2018 de cette année et, du coup, c’est un honneur pour moi de vous avoir ce soir.

Emmanuel : Et on a de la chance nous aussi !

Harmonie : Et du coup ! Normalement dans le cadre du RGPD, effectivement tout ce qui est données concernant des mineurs est censé être des données plus sensible. Mais après, il faut savoir que dans le RGPD il y aussi énormément d’exceptions qui ont été obtenues par la force des lobbies et une de ces exceptions, dont pourrait éventuellement bénéficier Microsoft, c’est de dire que le traitement de ces données est nécessaire dans le cadre d’un contrat. Et du coup, éventuellement, ils pourraient argumenter que dans le cadre de son contrat avec l’Éducation nationale française, étant donné que dans le contrat il y a marqué que Microsoft est censé pouvoir utiliser ces données à ces fins éducatives pour proposer des programmes plus adaptés, ainsi le traitement du coup serait justifié.

Emmanuel : on peut aussi rajouter que Microsoft pourra se targuer d’être prestataire à destination de l’Éducation nationale et que c’est l’Éducation nationale qui est responsable des données qui peut-être sont déléguées ensuite, dans leur gestion, à une entreprise, ça c’est quelque chose que l’on a droit de faire, mais c’est l’Éducation nationale qui risque d’être responsable. Or, en tant qu’Éducation nationale, connaître les notes des élèves, connaître les appréciations, connaître le parcours, ça paraît être la primauté importante de leur objectif. Et donc là-dessus il n’y a pas de problème ; je pense que le RGPOD ils vont pouvoir passer dessous ; sans oublier que c’est une administration d’un État fort et cette administration, si elle veut quelque chose, elle doit pourvoir courber les réglemente, même s’ils sont européens.

9’ 58

Public : Quand bien même, il y a un peu le principe de, comment on appelle ça déjà, la proportionnalité de la collecte de données aussi qui est un peu en filigrane de ce règlement européen et qui à priori, si Microsoft prétexte par exemple l’Éducation pour collecter des données, même si ce n’est pas sur la base du consentement, ça peut-être pour l’intérêt légitime, etc.

Emmanuel : Ou ça peut être en tant que prestataire, encore une fois.

Public : Oui, mais ils ont quand même à justifier une autre finalité de données s’ils veulent faire de l’analyse.

Emmanuel : C’est peut-être à l’Éducation nationale de montrer que la finalité des données correspond à ce qu’ils ont stocké comme informations et pas à Microsoft. Microsoft ils peuvent, dans une certain mesure, alors ce serait à confirmer parce que c’est l’existence des attaques en justice qui va nous montrer comment gérer tout ça, mais c’est peut-être à l’Éducation nationale de montrer si c’est pertinent ou pas de stocker ou pas toutes ces données et pas à Microsoft. Il est possible que Microsoft s’en lave les mains !

Harmonie : Exactement parce que, éventuellement dans le cadre que Microsoft dirait qu’ils sont simplement un prestataire de service et que le traitement, en réalité, repose sur l’Éducation nationale française, du coup ça serait… Il y a quand même une obligation de contrôle et les prestataires doivent normalement s’engager effectivement à respecter une certaine rationalisation des traitements de données. Mais, à mon avis, le problème c’est qu’il n’y a pas encore de décision concernant l’application du RGPD pour le moment parce que, comme on le rappelait, là on est le 7 juillet 2018, la mise en application théorique du RGPD a commencé le 25 mai.

Emmanuel : Donc les clauses payantes, en tout cas, sont en force. En fait le RGPD est en place depuis plus longtemps que ça mais les clauses, comment on peut dire, de pénalités monétaires, ne sont en place que depuis quelques semaines. Donc pour l’instant on n’a pas vu les conséquences et on n’est pas près de les voir ; il va falloir aller en justice. La Quadrature du Net, on me dit, est vraiment sur les starting-blocks ; ils sont en train de lancer plein de choses contre de grosses multinationales, les Facebook, les Google, mais l’Éducation nationale je ne suis pas sûr que ce soit facile de s’y attaquer dans un premier temps, surtout en utilisant un règlement européen. Et une administration comme l’Éducation nationale c’est quelque chose de compliqué à attaquer. Dans La Quadrature, je les vois mal sortir leurs drapeaux de guerre et s’attaquer aux professeurs par exemple. Ça va être un peu compliqué.

Je me présente ; je suis Emmanuel Charpentier, membre de l’April. Donc à l’April on a aussi tout un groupe de travail sur l’éducation et, suite à la mise en place de tous ces contrats avec Microsoft, il y a eu un afflux majeur de profs qui se sont pointés sur une association défendant le logiciel libre, parce que l’April s’est marquée et s’est démarquée dans son attaque de cet accord-là. Donc il y a plein de profs qui sont pleins d’énergie et ça foisonne, il y a plein de discussions sur la mailing-liste ; ce sont des centaines de profs – je crois qu’ils arrivent au millier ; c’est assez considérable. C’est pour discuter malheureusement, c’est pour lancer des pétitions. Seulement il n’y a pas beaucoup de moyens techniques, aujourd’hui, d’attaquer cet accord-là. Il y a eu Cash Investigation qui a parlé des accords entre les ministères et Microsoft, j’en ai parlé un petit au début.

Harmonie : Il me semble que récemment, en fait dans le RGPD effectivement, ils ont carrément mis en place une action spéciale qui permet aux associations de défendre, du coup, les personnes en cas de traitement abusif de leurs données à caractère personnel, mais il me semble que l’application du coup de cette clause particulière a été repoussé à 2019.

Emmanuel : Je ne suis pas étonné !

Public : Dans l’historique, est-ce que ce contrat avec l’Éducation nationale, entre Éducation nationale-Microsoft, a donné lieu à un appel d’offres et à un cahier des charges ?

Emmanuel : Pas du tout ! Mais pas du tout ! Ce n’est pas du tout passé par la procédure de marché public qui est une procédure hyper-stricte et hyper-compliquée. À l’April aussi on a gueulé parce qu’on avait des gens qui étaient spécialisés là-dessus, sur les marchés publics, qui étaient intervenus et qui avaient fait remonter au niveau du Conseil d’État – ce sont des gros trucs – que le logiciel libre n’avait pas les mêmes requis que les logiciels privateurs : on peut nommer un logiciel libre dans un marché public, mais non ! On s’y connaît un petit peu sur ce sujet-là, mais là avec l’Éducation nationale pas du tout ! Ils sont juste fait « nous on fait un accord et c’est Microsoft qui nous paye » ; ce n’est pas un marché public avec un fournisseur qui fournit un service ou un produit. Et ça a été au jugement et au jugement dans les premiers états de la chose, il n’y a pas eu de remise en cause. Je ne sais pas où on en est, je ne sais pas si tu as suivi le dossier ?

Harmonie : Globalement ils se retranchaient sur le fait qu’ils avaient respecté à la lettre les critères d’évaluation du contrat concernant les coûts. Parce qu’il ne faut pas oublier que un des « soucis » entre guillemets du logiciel libre c’est que passer de logiciel propriétaire à du logiciel libre, en général ça a un coût d’entrée qui est plus élevé, même si c’est beaucoup plus rentable sur du long terme. Mais après, expliquer ça à des politiques publiques qui sont souvent sur des idées court-termistes juste pour pouvoir rester en position, c’est assez compliqué ! Ils ont du mal à se projeter dans l’avenir, je pense, parce que la plupart des personnes politiques essaient de faire une carrière, un peu comme on fait du business de nos jours, ce qui me semble quand même assez regrettable.

Public : D’un point de vue juridique, sachant que ce contrat de travail a été signé avant la mise en application du RGPD, est-ce que ça peut être un axe de défense de Microsoft pour ne pas se conformer à l’ensemble des recommandations, directives et exigences ?

Emmanuel : Ça me parait compliqué. Ça me paraît mettre trop en avant le RGPD qui, pour l’instant, n’a pas été utilisé et n’a pas encore été utile, ce qui est normal parce qu’il est tout jeune le truc.

Harmonie : Surtout que d’un point de vue juridique, sauf exception, on est censé respecter le droit applicable au moment de la signature du contrat. Ce qui veut dire que potentiellement à chaque fois que ce contrat va être reconduit, donc avant qu’il y ait sa fin, on va pouvoir rester sur la loi telle qu’elle était en place en 2014, si la date, si je me souviens bien, est la bonne.

Public : Le RGPD a un effet rétroactif : à partir de sa date de mise en application, tous les traitements sont soumis au règlement européen.

Emmanuel : Pour le micro, tu parles de… je comprends, mais c’est pour l’enregistrement. Tu parles de rétroactivité du RGPD et c’est très bien, pourquoi pas ! Il y a peut-être là moyen d’appliquer rétroactivement à des accords qui ont été passés, les contrats open bar c’est un peu compliqué. Moi je vais être négatif. Le RGPD, c’est un truc super, on vient de le voir arriver, c’est déboulé, c’est un gros truc, on a trop d’espoir dedans ! Honnêtement on va être déçus ! Préparez-vous, préparons-nous, le RGPD c’est une licorne ce truc. On croit que ça va tout changer, mais non ! Alors ça bouge des choses, ça fait changer des choses, oui, mais il ne faut pas rêver, ça ne va pas être un monde rose grâce au RGPD. Les grosses entreprises comme Microsoft, Google, Facebook, elles ne sont pas dérangées par le RGPD, elles sont déjà prêtes ; elles ont des équipes d’avocats en place qui ont déjà surveillé tout ce qu’il y avait à faire, il y avait à changer, et même si on les attaque avec de bonnes raisons – et La Quadrature, ils ont des gars en ce moment qui sont en train de se muscler, de faire des pompes, ils se préparent et ils vont attaquer – , mais même dans ces cas-là je pense que les gros acteurs sont pénards. Eux ils ont à l’abri. Au pire il y aura un jugement qui va se mettre en place, il y aura des cours, il y aura des petites choses, il y aura des actions juridiques qui vont se mettre en place, mais c’est bon ! Eux ils peuvent faire traîner ça pendant des années il n’y a aucun souci. Et s’il faut payer, eh bien ils paieront un peu.

Harmonie : Oui ! Ils paieront un peu ! Par exemple, une fois, Google s’est pris une amende de 150 000 euros par la CNIL. Qu’est-ce que c’est que 150 000 euros pour Google ?

Emmanuel : Quelques secondes ! Quelques secondes de leur business ! Là effectivement il y a des clauses monétaires qui sont supposées être très fortes. C’est quelques pour cent du chiffre d’affaires mondial consolidé.

Harmonie : Ça peut aller jusqu’à 4 % du chiffre d’affaires mondial, très exactement.

Emmanuel : Donc c’est considérable pour les gros, les GAFAM, c’est juste gigantesque ! Mais ne rêvons pas encore une fois. Le RGPD c’est bien, c’est une sorte de barrière. On va dire aux gens « ne dépassez pas cette barrière, quand vous roulez vous devez vous assurer qu’il y a proportionnalité ; les données que vous conservez sont conservées à des fins appropriées ; il faut faire un accord positif des utilisateurs et pas un accord par défaut ». Donc il y a plein de bonnes choses. Mais les gros vont s’y mettre, il n’y a pas de souci. Je pense qu’on va être déçus par le RGPD !

Harmonie : Si je voulais reprendre un peu les mots de Lionel Maurel, un juriste que je respecte beaucoup, lui pense que ce règlement, le RGPD, est quand même assez schizophrène au sens où il y a énormément de bonnes idées. D’ailleurs le RGPD, pour dire, ce qui est marrant c’est que c’est quand même un règlement qui a pratiquement 200 considérations et 99 articles. Juste pour vous rappeler, les considérants c’est une espèce d’introduction pour vous expliquer comment vous êtes censé d’interpréter le reste du règlement. Du coup, le fait d’avoir plus d’introduction que d’articles, c’est presque pour dire qu’il y a quand même eu pas mal de débats là-dessus, et c’est vrai il y a pas mal de choses intéressantes : par exemple le fait de responsabiliser les individus sur leurs données. Bon ; ça a certaines limites, je ne vais pas m’étaler sur le sujet maintenant. Le fait de demander à ce que les données soient minimisées, ne dépassent pas un certain délai de traitement, etc.. Mais il y a quand même énormément de grosses exceptions qui ont été mises en place aussi par le RGPD. Par exemple tout ce qui est traitement par rapport à la sécurité nationale ne rentre pas le cadre du RGPD, je tiens à le préciser. Ou tout ce qui est de la prérogative des États européens ne rentre pas dans le cadre du RPD.

Emmanuel : L’éducation c’est une prérogative des États.

Harmonie : Exactement !

Emmanuel : Je ne savais pas ! Clause intéressante qui pourra être utile.

Harmonie : Pour aussi un peu arrêter éventuellement de s’étaler sur le RGPD, j’aimerais aussi ajouter que, en principe, le RGPD est censé être complété par un autre règlement qui s’appelle le règlement e-Privacy qui est censé réguler, du coup, tout ce qui est transfert de données, tout ce qui est transfert de données dans les télécommunications. Or, je pense que vous n’êtes pas sans vous douter que la plupart du temps une donnée elle circule, donc elle passe par une télécommunication. Du coup, en réalité, il manque quand même une partie importante du RGPD qui est encore discussion. Et pourquoi il y a une aussi grosse discussion ? Pour des raisons de lobbies. Actuellement, les gros débats qui sont en cours, c’est concernant les cookies. Tout ce qui est gestion de cookies et notamment tout ce qui est gestion de cookies tiers : quand un site internet met des cookies du coup d’un autre site sur son propre site sans forcément en informer les utilisateurs d’ailleurs.

21’05

Public : Vous avez dû venir ce matin,

Récupérée de « http://wiki.april.org/index.php?title=Open_bar_de_données_et_nuages_magiques,_l%27Éducation_sous_contrat_-_Plénière_RMLL2018_-_Emmanuel_Charpentier_-_Harmonie_Vo_Viet_Anh&oldid=80146 »