Google for Education

Google for Education : tel est le nom du service que nous serons désormais contraints à utiliser à Paris 3, que nous soyons étudiants ou personnels de l’université. Derrière une adresse de type prenom.nom@sorbonne-nouvelle.fr, nous devrons en réalité faire passer toutes nos données par les serveurs de Google. Et non seulement nos données mais aussi celles de nos correspondants, qui ne sauront pas qu’en écrivant à un étudiant ou à un personnel de notre université, ils envoient en fait leurs messages et leurs pièces jointes à Google.

Ce site est destiné à apporter une information complémentaire à celle que l’administration de Paris 3 a choisi de nous fournir et qui est, pour l’essentiel, la propagande de Google.

Qu’on en juge en consultant la page du site de Paris 3 consacrée à un service qui a été baptisé Num@ pour faire oublier qu’il s’agit en réalité de Google : toute l’information a été fournie par Google, les « ambassadeurs » bénévoles qui seront chargés de nous former aux nouveaux services recevront une formation dispensée « par un organisme spécialisé dans les applications Google ».

Nous vous proposerons ici d’autres informations. Et un autre point de vue sur la déontologie d’un établissement public d’enseignement supérieur et de recherche.

La CNIL recommande aux universités d’abandonner la suite Google

La CNIL, sollicitée par la conférence des présidents d’universités, a rendu un avis catégorique sur l’utilisation des « suites collaboratives pour l’éducation » (lire sur le site de la CNIL). En raison de risques avérés et croissants de vol de données et d’espionnage par les États-Unis, la CNIL recommande de cesser de recourir à ces suites, moyennant une période transitoire au cours de laquelle les établissements seront aidés pour identifier des solutions alternatives.

Refuser les plateformes commerciales à l’université

Un groupe d’universitaires italiens s’alarme de constater que la mise à distance des enseignements académiques recourt surtout à des solutions commerciales, propriétaires et souvent étatsuniennes. Leur tribune, tant il est vrai que ce problème concerne tous les pays, a été traduite dans plusieurs langues, dont le français (version originale).

La tendance à livrer l’enseignement supérieur et la recherche aux GAFAM existait déjà mais la situation sanitaire a été une bonne excuse pour précipiter le mouvement. Qu’il s’agisse de télétravail, de télémédecine, de téléenseignement, les grandes multinationales du secteur ont toujours des solutions apparemment gratuites à proposer. Une fois de plus, ce sont nos données qui les intéressent et qu’ils monnaient.

A Paris 13 aussi, on réagit contre le virus Google

Google essaie obstinément de s’infiltrer dans l’enseignement supérieur français, partout où des administrations peu regardantes le laissent prendre pied.

Dernière tentative en date : une formation de quatre jours pour les étudiants de Paris 3, généreusement offerte par Google. Voici le texte du communiqué du collectif en lutte contre cette nouvelle dérive. Ils ont reçu le soutien de l’association La Quadrature du Net.

La formation «Ateliers Numériques» donnée par Google à l’Université Paris 13 a été interrompue le lundi 25 février 2019 vers 9h30 par des membres du comité de mobilisation de Paris 13 (enseignant·e·s, chercheur·se·s,étudiant·e·s, membres du personnel) et des militant·e·s de l’association la Quadrature du Net,qui promeut et défend les libertés fondamentales dans l’environnement numérique. En présence d’une centaine d’étudiant·e·s, de Jean-Pierre Astruc (Président de l’Université) et Younès Bennani (Vice-Président«transition numérique»de l’Université), ils ont pu prendre la parole et dénoncer:

• l’ingérence d’intérêts privés dans l’enseignement supérieur public, qui corrompt l’indépendance des savoirs enseignés à l’Université,
• la faiblesse pédagogique de la formation qui se résume à de la publicité gratuite,
• la politique d’évasion fiscale massive pratiquée par Google qui contribue à la destruction de l’enseignement supérieur français, ce qui fournit en retour l’excuse pour céder à ce type de formations.

Les membres du comité de mobilisation et de la Quadrature du Net ont ensuite quitté la salle sans heurts.

Source : https://www.laquadrature.net/wp-content/uploads/sites/8/2019/02/Communiqu%C3%A9-Google-%C3%A0-Paris-13-2019.02.25.pdf

 

Une lettre au président de l’université

A la suite de la pétition demandant l’abandon du partenariat avec Google, qui a recueilli 126 signatures, le courrier suivant a été adressé au président de la Sorbonne Nouvelle – Paris 3 et aux vice-présidents concernés :

Monsieur le Président, Madame et Messieurs les Vice-Présidents, Chers collègues,

Nous vous prions de trouver un appel collectif concernant la migration de nos messageries professionnelles.

https://framaforms.org/appel-a-labandon-des-services-google-a-paris-3-1530796787

Cet appel a été signé jusqu’à présent par 126 collègues de notre Université.

Nous espérons obtenir pour le 8 octobre une réponse de la part de la Présidence à la première demande de cet appel, à savoir l’abandon du partenariat avec Google et le rétablissement en urgence d’une solution alternative, en attendant la récupération de nos données stockées sur les serveurs de Google.

A défaut de réponse de votre part, nous entamerons alors une procédure auprès de la Commission nationale de l’Informatique et des Libertés.

Nous vous prions de croire en nos salutations distinguées,

Pour les signataires.

Michel Bernard, Franck Rebillard, Fabrice Rochelandet

Google, un partenaire de confiance ?

Puisque notre université entend nous imposer l’utilisation des outils fournis gratuitement par Google, c’est le moment de prendre des informations sur une firme que la communication de la présidence nous présente comme une entreprise fiable capable de fournir des services parfaitement sécurisés, sans risque pour nos données. Puisque après tout il s’agit de confier à ce partenaire nos données professionnelles et privées, autant se renseigner.

Condamnation pour « abus de position dominante »

Et ça commence mal… Tout juste un mois après la migration de toutes nos données vers les serveurs de Google, voilà que la firme américaine est à nouveau sous les feux de l’actualité en raison de sa condamnation par la Commission européenne pour « abus de position dominante ». La presse a largement relayé cette information et le montant astronomique de l’amende : 4,34 milliards d’euros. Ce qui est plus intéressant pour nous, c’est de regarder de près la motivation de cette décision de la Commission. Google est en effet accusé d’avoir obligé les fabricants de smartphones et de tablettes Android à pré-installer ses applications sur leurs appareils, avec les incitations habituelles : la carotte (tarifs préférentiels) et le bâton (refus d’accorder des licences). Cela en dit long sur la volonté hégémonique de la firme. Plus encore, on lit dans le communiqué de presse que Google pratique la technique du cheval de Troie : Android est un système ouvert, que tout le monde peut adapter et installer librement et gratuitement sous licence… mais les services associés, comme Google Play, Google Search ou Chrome, eux, doivent donner lieu à un contrat. Ainsi, tous les constructeurs sont tentés d’utiliser Android parce que, contrairement au système d’Apple, ils n’auront pas à payer les licences, mais se retrouvent contraints à installer conjointement des applications qui rapportent de l’argent à Google. Beaucoup d’argent. La Commission estime que « Google dégage des milliards de dollars de revenus annuels grâce à son seul Google Play Store, collecte de nombreuses données utiles pour son activité de recherche et de publicité grâce aux appareils Android et aurait tiré un flux important de revenus de la publicité contextuelle même sans les restrictions. » Le montant de l’amende ne représente donc qu’une infime fraction des revenus générés par ce mécanisme.

Quand une firme qui a de telles pratiques prétend gérer gratuitement les données de l’université, de ses personnels et de ses étudiants, ne devrait-on pas y regarder à deux fois ? Surtout quand le contrat est secret…

Confidentialité ?

On nous vante également la protection des données assurées par Google. Là encore, les faits invitent à plus de prudence. Et dans deux domaines : la confidentialité des données des utilisateurs à l’égard de Google et la confidentialité à l’égard de tiers.

Nos données ? Une mine d’or

Google n’en fait pas mystère : il gagne de l’argent en vendant des profilages aux annonceurs. Sur les 24,7 milliards de dollars de chiffre d’affaire du premier trimestre 2017, 86 % provenaient de ressources publicitaires (Les Échos). Plus précisément :  » il s’agit de revenus publicitaires, essentiellement tirés des services propres à Google (le moteur de recherche, YouTube, Gmail…), mais aussi des sites tiers qui utilisent ses régies publicitaires (AdSense, DoubleClick…). » (Les Echos). Quand un même opérateur peut disposer du contenu de vos correspondances, de vos recherches sur le Web, de l’historique de vos consultations, mais aussi de vos trajets (y compris par géolocalisation de votre téléphone), de votre agenda, de la liste de vos relations, de vos vidéos et de vos photos, de vos fichiers partagés, de vos communications, etc. il est à même de déterminer de manière très précise vos centres d’intérêt, vos revenus, vos habitudes de consommation. Bref, toutes ces données dont les services de marketing et de publicité sont si friands.

Si vous voulez avoir une idée de tout ce que Google a accumulé comme données sur vous, allez sur cette page : https://takeout.google.com/settings/takeout?pli=1 Vous pouvez y télécharger toutes vos données personnelles. Voici comment Google présente la chose sur son site :

« Les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs. Il peut s’agir d’informations de base, telles que la langue que vous utilisez, ou plus complexes, comme les annonces que vous trouvez les plus utiles, les personnes qui vous intéressent le plus sur le Web ou les vidéos YouTube qui sont susceptibles de vous plaire. Les informations que nous collectons et l’usage que nous en faisons dépendent de la manière dont vous utilisez nos services et dont vous gérez vos paramètres de confidentialité.

Lorsque vous n’êtes pas connecté à un compte Google, nous stockons les informations collectées en les associant à des identifiants uniques liés au navigateur, à l’application ou à l’appareil que vous utilisez. Cela nous permet, par exemple, de conserver vos préférences linguistiques pour toutes vos sessions de navigation.

Lorsque vous êtes connecté à votre compte, nous stockons les informations collectées en les associant à votre compte Google et les considérons comme des informations personnelles. »

Ils ne font donc aucun mystère de ce prélèvement d’informations (même s’ils euphémisent leur objectif : c’est pour vous proposer les meilleures vidéos YouTube que Google collecte vos informations personnelles !) Tout le monde en a fait l’expérience : il suffit d’échanger quelques mails ou de consulter quelques sites sur une destination touristique ou un nouveau modèle de téléphone pour voir arriver les publicités correspondantes sur le moteur de recherche, YouTube ou même votre compte Gmail.

Évidemment, on nous assure que ce n’est pas le cas avec « G suite for Education » (le nom du produit utilisé par Paris 3). Il est cependant impossible de connaître les termes du contrat, puisque celui-ci est confidentiel… Il faut donc chercher un peu pour en savoir davantage. On trouve sur une page officielle de Google quelques indications utiles et même un contrat-type. Le principe général est le suivant : « Les informations personnelles des utilisateurs collectées dans le cadre des Services principaux sont utilisées uniquement pour fournir ces services. Google n’y diffuse pas d’annonces et n’utilise pas à des fins publicitaires les informations personnelles qui y sont recueillies. » (Avis de confidentialité) Voilà qui est assez rassurant. Mais la lecture complète de ces documents laisse quand même planer quelques doutes :

• Tout d’abord, la garantie de confidentialité ne porte que sur les « Services principaux ». En voici la liste : « Gmail (Inbox by Gmail inclus), Agenda, Classroom, Contacts, Drive, Docs, Forms, Google Groupes, Sheets, Sites, Slides, Talk/Hangouts et Vault. » Il est précisé que les autres services,  » ne sont pas régis par l’accord de confidentialité pour les données des élèves (Student Privacy Pledge) ni par le contrat G Suite. Par conséquent, nous pouvons être amenés à utiliser les informations contenues dans ces services complémentaires autrement que celles des services principaux de G Suite. Par exemple, les services complémentaires peuvent diffuser des annonces, et Google peut utiliser les informations contenues dans ces services pour les améliorer. » C’est toujours le principe du cheval de Troie : les services principaux sont gratuits et protégés, mais si on utilise n’importe quel autre service, tels Google Maps, Blogger, YouTube (et gageons que nous y serons incités), le profilage peut avoir lieu.
• Google mentionne que « Lorsque G Suite est utilisé dans des établissements du primaire ou du secondaire, Google n’exploite pas les informations personnelles (ni aucune autre information associée à un compte Google) des utilisateurs dans le but de diffuser des annonces ciblées. » L’absence de l’enseignement supérieur dans cet engagement laisse évidemment perplexe… Faut-il entendre que les étudiants et les personnels d’une université peuvent être l’objet d’annonces ciblées ? Là encore, la lecture du contrat mystérieux serait sans doute éclairante.
• L’établissement fournit à Google des données indispensables au fonctionnement du service (nos noms, nos adresses email et nos mots de passe). Mais l’Avis de confidentialité stipule que l’établissement pourrait fournir d’autres données à Google : « une adresse e-mail secondaire, un numéro de téléphone et une adresse postale si l’établissement décide de fournir ces renseignements ». Est-ce le cas à Paris 3 ? L’université a-t-elle communiqué ces informations à Google ? De toutes façons, Google se réserve le droit d’en prélever d’autres, sans nous demander notre avis : « Informations sur l’appareil telles que le modèle de celui-ci, la version du système d’exploitation, les identifiants uniques de l’appareil et le réseau mobile, y compris le numéro de téléphone de l’utilisateur ; données de journalisation, notamment la manière dont l’utilisateur a utilisé les services, les événements liés à l’appareil et l’adresse IP de l’utilisateur ; données de localisation telles que déterminées par diverses technologies comme l’adresse IP, le GPS et d’autres capteurs ; numéros d’application uniques, tels que le numéro de version de l’application ; cookies ou autres technologies similaires utilisés pour collecter et stocker des informations sur un navigateur ou un appareil, telles que la langue sélectionnée et d’autres paramètres » Vous avez bien lu : le contrat passé par Paris 3 avec Google autorise celui-ci à récupérer les coordonnées GPS de votre téléphone si vous utilisez les services G Suite avec celui-ci…
• Qui a accès à nos données ? A priori, uniquement les administrateurs de chez Google. Une ligne du contrat type laisse cependant perplexe : « Dans certains cas, nous pouvons être amenés à partager les informations que nous collectons. […] Pour des besoins de traitement externe. Nous transmettons des informations personnelles à nos sociétés affiliées ou autres sociétés ou personnes de confiance qui les traitent pour notre compte, selon nos instructions, conformément à nos Règles de confidentialité et dans le respect de toute autre mesure appropriée de sécurité et de confidentialité. » De qui s’agit-il ? Serons-nous avisés de ce transfert de nos données personnelles ?

Pour le reste, on croira si l’on veut aux engagements de Google (dont nous ne connaissons pas le détail pour Paris 3) sur la non utilisation des données à des fins publicitaires. Il est tout de même permis de s’interroger sur les motivations du géant publicitaire pour nous fournir gratuitement ses services…

Portes dérobées, pirates et espionnage d’État

Mais nos données peuvent aussi tomber dans d’autres mains que celles de Google, et il faut aussi être attentifs à ces possibles dérives.

Écoutons d’abord les alertes lancées par Julian Assange : « Google intègre des systèmes d’intelligence artificielle au système de sécurité nationale […] C’est une menace pour l’humanité. Nous devons cesser d’alimenter Google.” Edward Snowden, autre lanceur d’alerte, avait révélé en 2013 que la NSA disposait des moyens techniques pour prélever directement les données qui l’intéressent sur les serveurs de Google.  On nous a évidemment raconté que ces dérives avaient été stoppées et qu’un tel espionnage ne serait plus possible aujourd’hui… Il n’en demeure pas mois que des chercheurs connectés avec des collègues du monde entier doivent être particulièrement vigilants sur ces questions. Il n’est pas besoin de travailler sur la sûreté nucléaire pour intéresser les services secrets américains… Et nos collègues de pays peu démocratiques, qui nous écrivent et nous envoient des fichiers, doivent être informés que toutes ces données transitent sur les serveurs de Google.

Autre sujet d’inquiétude : les services Google peuvent être piratés, comme ceux de n’importe quel autre fournisseur. En 2014, 5 millions de mots de passe Gmail étaient publiés en ligne par des pirates russes. La popularité des services Google attire les pirates : piratage à partir de fausses pages Google Drive, modification d’un compte Gmail grâce à une faille du logiciel, ciblage des comptes Gmail par un virus, etc. Il suffit de taper « pirater gmail » dans votre moteur de recherche favori pour trouver des dizaines de sites qui proposent obligeamment des méthodes et des logiciels pour pirater un compte Gmail. Il va de soi que tout cela n’est pas toujours d’une grande efficacité, que les failles sont comblées au fur et à mesure par Google, qui a mis en place des méthodes d’authentification sophistiquées (et qui lui permettent, soit dit en passant, de récupérer votre numéro de portable…) Mais il n’en demeure pas moins que les services Google sont la cible de nombreuses attaques et que ses utilisateurs en seront les victimes si elles réussissent, avec toutes les conséquences que cela entraîne quand il s’agit de comptes professionnels.

Évasion fiscale

Google, comme beaucoup de multinationales, est régulièrement mise en cause pour ses pratiques d’évasion fiscale. Pour la France seulement, cela se chiffre en milliards. Tous les moyens sont bons :

• Le « sandwich irlandais » : les bénéfices du groupe sont enregistrés en Irlande où la fiscalité sur les entreprises est réduite (Le Figaro)
• Transfert vers des paradis fiscaux offshore (Silicon)
• Sous-estimation des bénéfices : Google « n’a ainsi payé que 5,4 millions d’euros d’impôt sur les sociétés (pour un chiffre d’affaires compris entre 1,25 à 1,4 milliard d’euros en France, selon les estimations) » (Ça m’intéresse)

Le gouvernement français et la commission européenne bataillent depuis des années pour que Google paie des impôts équitables. Est-il normal qu’un service public financé par l’impôt assure la promotion d’une société qui a de tels comportements ?

***

Au total, on comprend mal ce qui a pu pousser les dirigeants de Paris 3 dans les bras d’une telle entreprise, en dehors d’un sens étroit des économies. Mais les « utilisateurs finaux » que nous sommes ont aussi leur mot à dire comme citoyens et une déontologie à observer comme fonctionnaires.

 

Encore un changement d’adresse…

De nombreux enseignants ont manifesté leur volonté de ne plus utiliser leur courrier de Paris 3, désormais géré par Google.

Valérie Robert, Maître de conférences en Etudes germaniques, a envoyé à ses correspondants un courrier très éloquent, que nous reproduisons ci-dessous avec son autorisation :

 

Cher.e.s collègues,

Je vous prie de bien vouloir noter ma nouvelle adresse mail : valerierobert.sorbonnenouvelle@posteo.net , et de ne plus m’écrire à mon adresse institutionnelle.

En effet, je ne souhaite pas utiliser les services de Google dans le cadre de mes fonctions dans un service public, financé par les impôts et donc pas par Google, champion de l' »optimisation » fiscale. Je souhaite au contraire que le service public contribue à développer des services qui ne soient pas entre les mains des GAFAM. Je conseille à ce sujet les travaux de collègues de notre université, ou encore cet article synthétique https://www.inaglobal.fr/numerique/article/l-internet-libre-et-gratuit-c-est-bien-fini-9725.

Je souhaite ne pas avoir à rougir quand je dirai à mes étudiant.e.s que rien n’est gratuit, ou « si c’est gratuit, c’est vous le produit ». Plus généralement, je suis consternée qu’une université dont les débouchés professionnels sont largement dans le secteur de l’industrie culturelle se livre ainsi, parce que c’est « gratuit », à un acteur susceptible qui a un tel impact sur ce secteur.

Je ne souhaite pas fournir à Google des données sur mes activités et celles de mes correspondant.e.s, et je n’accorde aucune foi aux déclarations de notre université ou de Google sur la non-exploitation de ces données (voir aussi la décision de la mairie de Nantes https://www.ouest-france.fr/pays-de-la-loire/nantes-44000/pourquoi-la-maire-de-nantes-dit-non-google-5873191).

Je ne souhaite pas que mes données soient stockées ailleurs qu’en France (ce qui est visiblement le cas, puisque l’équipe Num@ a refusé de répondre à mes questions à ce sujet).

Je ne souhaite pas que le gouvernement américain, qui a adopté le CLOUD Act, puisse avoir accès à mes données (« le Cloud Act donne la possibilité à une puissance étrangère, en l’occurrence les Etats-Unis d’Amérique, d’accéder aux données dès lors qu’elles sont hébergées par des cloud providers américains, sans que les utilisateurs en soient informés, quand bien même ces données seraient stockées en France ou concerneraient un ressortissant européen, et ce sans passer par les tribunaux. »  https://www.journaldunet.com/solutions/expert/69017/le-congres-americain-vote-le-cloud-act-a-deux-mois-de-l-entree-en-application-du-rgpd.shtml)

Je ne souhaite pas que mon institution soit ridicule aux yeux des collègues français.e.s et étrangèr.e.s, qui quand on leur en parle sont consterné.e.s par la décision prise par le CA de la Sorbonne Nouvelle.

Je ne souhaite pas être obligée d’utiliser le navigateur Chrome (qui appartient à Google) pour pouvoir utiliser ma boîte mail hors ligne. Je souhaite continuer à utiliser un navigateur libre et un logiciel de messagerie (libre), et je constate que le passage à Google a nettement détérioré mes conditions de travail.

Je ne souhaite pas non plus travailler avec les outils fournis par Google, je ne travaillerai pas sur des documents dans Google Docs, alors qu’il existe des alternatives libres et gratuites (par exemple Framapad).

J’ai donc choisi un fournisseur de messagerie payant qui mise sur le développement durable, la sécurité, et la protection des données, et je regrette d’avoir été obligée de faire ce choix moi-même alors que ce serait à mon institution de garantir à ses personnels l’accès à un tel service.

Bien cordialement

Valérie Robert

Maître de conférences en Etudes germaniques
Responsable du master 2 professionnel « Journalisme franco-allemand »
Bureau 385B
Université Sorbonne Nouvelle – Paris 3
13 rue Santeuil – 75231 Paris Cedex 05

Appel pour l’abandon des services de Google et pour le retour à une gestion publique de la messagerie de l’Université Sorbonne Nouvelle – Paris 3

 

Suite à un vote de son conseil d’administration en date du 18 décembre 2015, l’Université Sorbonne Nouvelle – Paris 3 a procédé à la migration de sa messagerie sur les serveurs de la société de droit privé Google. Nos responsables ont justifié cette mesure en mettant en avant des problèmes rencontrés par rapport aux outils existants et des besoins exprimés par les personnels et les étudiants en matière d’outils collaboratifs (mais aucune étude interne ne semble avoir été menée pour mettre en évidence ces besoins et attentes). Pour cela, notre université a passé un contrat avec la société Google dans le cadre du programme « Google Suite for Education ».

 

Nous, personnels de l’Université Sorbonne Nouvelle – Paris 3, estimons que ce transfert de nos données personnelles et professionnelles vers les serveurs de la société Google, ainsi que la collecte, le traitement et l’exploitation qu’elle peut en faire, portent atteinte, d’une part, à nos droits fondamentaux, en particulier au respect de nos vies privées, et, d’autre part, à la confidentialité de nos données professionnelles et, à ce titre, à la protection du potentiel scientifique et technique de la nation[1]. 

 

En tant qu’utilisateurs de ces outils numériques, nous estimons que le stockage et la gestion des données d’usage par Google constituent une menace pour nos vies privées, ainsi que celles de nos étudiants et de nos partenaires institutionnels et professionnels avec qui nous nous coordonnons à travers ces outils numériques.

 

Nombre de nos échanges comportent des données permettant potentiellement d’inférer notre niveau de rémunération, notre localisation géographique à une date donnée, nos partenaires, etc., voire certaines données sensibles (notre état de santé en cas d’arrêt-maladie, nos opinions , etc.). Il nous semble que ces données ne sauraient être stockées et conservées que par des acteurs de confiance, en l’occurrence notre université ou tout autre établissement public tel que l’Agence de mutualisation des universités et établissements (Amue) et non un acteur privé dont le modèle économique repose précisément sur l’exploitation des données individuelles et personnelles. À cet égard, cette société a fait l’objet d’un certain nombre de procédures et de plaintes et, de ce fait, elle nous semble peu indiquée pour manipuler nos données personnelles et professionnelles, ainsi que celles des personnes physiques et morales qui nous transmettent des données (notamment les étudiants, les enseignants, les chercheurs, les professionnels, les entreprises, les organismes privés et publics avec qui nous échangeons des courriels).

 

Par ailleurs, à ce jour, malgré les demandes répétées de certains enseignants-chercheurs, le contrat liant la société Google et l’Université Sorbonne Nouvelle – Paris 3 ne nous a pas été communiqué. Nous ne sommes donc pas en mesure de connaître les modalités précises par lesquelles nos données de messagerie sont collectées, stockées, traitées, exploitées. Nous ne connaissons pas non plus les moyens financiers, techniques, humains mis en œuvre par la société Google pour protéger nos données et éviter qu’elles soient collectées et utilisées à mauvais escient.

 

Dans ces conditions, faute d’informations et confrontés à une décision qui nous a été imposée, sans nous offrir de solution alternative potentiellement plus protectrice de nos données personnelles, nous sommes particulièrement inquiets sur les risques et les menaces que cette décision représente pour nos vies privées et professionnelles. 

 

Par conséquent : 

 

(1) Nous demandons l’abandon du partenariat avec Google et le rétablissement en urgence d’une solution alternative, en attendant la récupération de nos données stockées sur les serveurs de Google.

 

(2) Faute de quoi, nous nous engageons à saisir la Commission Nationale de l’Informatique et des Libertés et l’Agence nationale de la sécurité des systèmes d’information pour qu’elles nous donnent leur avis et, le cas échéant, exigent l’interruption du contrat liant notre université à la société Google.

 

[1] Sur ce dernier point, nous rappelons que « la protection contre l’espionnage technologique est l’objectif premier du dispositif de protection du potentiel scientifique et technique de la nation (PPST). Il a pour but de protéger, au sein des établissements publics et prives, les savoirs et savoir-faire stratégiques ainsi que les technologies sensibles qu’ils détiennent. Cette règlementation offre une protection juridique et administrative fondée sur le contrôle des accès aux informations stratégiques ou sensibles détenues » (cf. http://www.ssi.gouv.fr/uploads/2018/05/guide_protection_scientifique_technique_nation_anssi-pa-049_v1.pdf).

 

Pour signer ce courrier

Google et Paris 3 : fin de partie ?

Il semble que l’opération de migration des comptes de messagerie de Paris 3 vers les serveurs de Google soit arrêtée depuis cet été. La raison mise en avant par l’administration est une note des ministères de l’Intérieur et de la Culture interdisant le stockage des archives nationales sur des plateformes extérieures au territoire national.

Cela semble en effet assez raisonnable… La note en question a été envoyée le 5 avril dernier aux préfets par la Directeur général des collectivités locales et la Direction du Patrimoine (voir le texte ici). L’argumentation du texte est sans appel, même si celui-ci ne s’adresse pas directement aux universités :

• « Les archives sont l’ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité. » (article L.211-1 du Code du patrimoine)
• Toutes les archives publiques sont des « trésors nationaux » (article L111-1 du Code du patrimoine)
• « Cela recouvre aussi bien les dossiers sur support papier numérisés que les documents bureautiques issus d’un logiciel de traitement de texte, le contenu d’une base de données ou encore les courriels transmis ou reçus […] »
• Or, « un trésor national ne peut pas sortir du territoire douanier français, sinon à titre temporaire […] Tous les autres traitements doivent avoir lieu sur le territoire national. »

Par conséquent :

« L’utilisation d’un cloud non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques […] »

 

 

Une déclaration de la CGT FERC Sup de Paris 3

Nos données chez Google sans aucun regard autorisé sur leur utilisation !

L’université a décidé de transférer sa messagerie à Google et elle est en train de mettre en place le processus de migration. La migration commence par la messagerie mais ce sont l’ensemble de nos données qui risquent à terme d’être hébergées sur les serveurs de Google.

Garder la messagerie sur nos serveurs coûtait, d’après les documents donnés en CA, un ETP (équivalent temps plein d’ingénieur) de plus que la solution Google. C’est pour cette économie que la direction de l’université a décidé cette sous-traitance.

Google propose ce service à 8 euros par boîte mail par mois aux entreprises et l’offre gratuitement aux universités. Où est le gain pour Google ? Habituer les étudiants à leurs services pour leur vendre plus tard le service ? Est-ce là une mission de l’université ?

Nous n’avons aucune information à ce jour sur le contrat qui aurait été signé entre Google et Paris 3. Nos élu.e.s au CA ont demandé à avoir accès au contrat. Il leur a été répondu que Google avait exigé le secret et qu’il n’était donc pas possible d’obtenir ce contrat. Le document n’a été mis à disposition ni des élus, ni des personnels de la DSIC, ni des collègues qui le demandaient…

Récemment, une circulaire interdisait aux collectivités locales l’utilisation de cloud non souverain « en prenant soin de prévoir les clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système« .

Pourquoi l’université peut-elle choisir un cloud non souverain alors que c’est interdit dans les collectivités territoriales ?
Comment, sans rendre public le contrat, peut-on s’assurer que les données sont et restent en France ?
Comment peut-on faire confiance à Google sur le fait que nos données ne seraient pas scannées alors que l’entreprise américaine refuse, avec la direction de l’université, de rendre public son contrat ?
Comment s’assurer de l’auditabilité, puisque le contrat est secret ?
Comment être sûr que l’on pourra revenir en arrière en cas de problème ?
Que se passera-t-il le jour où Google décidera de faire payer l’université pour ses services ?

Nous nous associons aux motions et courriers qui demandent à ce que le contrat soit rendu public et ou qui dénoncent le choix fait par l’université.

Un retour en arrière est encore possible et nécessaire.
Une messagerie qui fonctionne avec des logiciels libres, hébergée à Paris 3, c’est possible !

La CGT FERC Sup Paris 3

Une motion du département d’Études germaniques

Nous, membres du conseil de département et personnels du département d’études germaniques, sommes consternés par le choix fait par le CA de Paris 3 de confier à Google la gestion de notre messagerie électronique professionnelle et tous les services associés (agenda, partage de fichiers etc.) par un contrat qui n’a pas été rendu public à ce jour.

Rappelons que nous sommes un établissement public, (sous-)financé par le produit des impôts. Il nous semble inacceptable, à ce titre, de passer un contrat avec une multinationale spécialiste de l’évasion fiscale, dans le collimateur des autorités européennes pour ces mêmes raisons, visée par une enquête pour fraude fiscale en France même et qui fait l’objet d’une procédure de sanction de la part de la CNIL.

Le choix du CA a pour conséquence de nous mettre dans une relation de dépendance envers un prestataire extérieur qui stocke les données sur des serveurs qui ne sont pas sur le territoire français, qui tire profit financièrement de l’exploitation de toutes nos données, hors du respect de la vie privée et qui est susceptible de changer ses conditions commerciales à tout moment. Tout ceci a été rappelé dans une lettre ouverte au CA par des collègues spécialistes de ces questions(voir la lettre ouverte au CA de Franck Rebillard et Fabrice Rochelandet du 23 mars 2016), et nous nous associons à leurs objections. Nous souhaitons également souligner qu’il est absurde et préoccupant que Paris 3 emploie des chercheurs internationalement reconnus et dont les recherches portent sur ces questions, et ne tienne aucun compte de leur avis pourtant éclairé sur ces mêmes questions.

Nous demandons donc que l’on revienne sur la décision prise par le CA et que l’on utilise une messagerie électronique qui ne soit pas liée à Google.

Cette motion a été adoptée à l’unanimité (13 voix) le 23 juin 2016.