Position de l’UNIL sur la protection des données personnelles et sensibles et protection de la sphère privée à l’ère du COVID-19
Dans la situation extraordinaire de confinement provoquée par la pandémie de COVID-19, l’UNIL, à travers le Centre informatique et le Centre de Soutien à l’Enseignement, a pris la décision de déployer rapidement un ensemble d’outils numériques indispensables à son fonctionnement, et tout particulièrement à la poursuite de son enseignement, dans les meilleures conditions possibles.
Afin de faciliter un déploiement rapide et de supporter la brusque montée en charge attendue, le choix s’est porté sur un ensemble d’outils offerts sous la forme de services dématérialisés (cloud). Il s’agit principalement de :
- Microsoft Teams et Zoom : deux solutions de visioconférence qui se complètent et peuvent être utilisées pour la collaboration, l’enseignement synchrone et asynchrone (enregistrements), en grandes comme en petites audiences, gestion de séminaires, etc. Microsoft Teams est également utisé comme solution de messagerie instantanée se doublant d’outils de collaboration.
- Ubicast : une solution de captation, d’hébergement et de diffusion de contenus multimédias d’enseignement.
Cette palette d’outils permet de répondre à la majorité des demandes dans le contexte actuel et offre une flexibilité maximale à tous les membres de la communauté universitaire, contraints de s’adapter très rapidement à une situation inédite. Lors du retour à une situation normale, ces outils devront être consolidés en un ensemble cohérent, à même de répondre aux fonctionnements habituels de l’UNIL, tant dans ses besoins d’enseignement que de collaboration.
Il est vrai cependant que le recours à ces outils cloud suscite des interrogations relayées par les médias, tout particulièrement en ce qui concerne le traitement et la protection des données des utilisateurs.
Pour répondre au dilemme posé par la nécessité de répondre aux besoins immédiats d’une situation exceptionnelle tout en protégeant la sphère privée des usagers, la Conférence des Préposé(e)s suisses à la protection des données a émis un avis. Celui-ci pose que l’utilisation de services/solutions dont la conformité avec la protection des données n’est pas pleinement garantie peut sembler admissible pendant la durée d’une situation extraordinaire, étant entendu que les conditions normales s’appliqueront de nouveau au terme de cette situation extraordinaire.
Cette position, accompagnée d’un inventaire des principaux outils et de leur applicabilité, peut être consultée ici :
https://www.privatim.ch/fr/collaboration-digitale-pendant-la-crise-du-corona/
Les quelques paragraphes ci-dessous détaillent les mesures prises par l'UNIL dans le but de limiter les risques et de rappeler les bonnes pratiques à respecter par les utilisatrices et utilisateurs. Il convient de relever ici que si ces pratiques sont particulièrement importantes dans le contexte actuel, elles sont valables en tout temps dans notre relation quotidienne à Internet et aux applications.
L’UNIL déploie uniquement des versions commerciales
La plupart des outils mentionnés ci-dessus offrent des versions gratuites qui permettent de disposer de prestations puissantes en échange desquelles certaines informations sont mises à disposition du prestataire (par exemple le profil de l’organisateur, le nombre de visioconférences et de participants, etc.).
L'UNIL a fait le choix de déployer la version commerciale de ces outils sur des instances institutionnelles, de manière à garder un meilleur contrôle sur l’utilisation et la diffusion des métadonnées générées par leur utilisation (statistiques de visionnement de vidéos, nombre de visioconférences organisées, participants à des canaux de messagerie instantanée).
L’UNIL ne trace pas les utilisateurs
Selon la politique de respect de la sphère privée qui est la sienne envers ses membres, l’UNIL se refuse à utiliser les possibilités de traçage fin qu’offrent les outils déployés. Les seules données collectées le sont de manière agrégée et dépersonnalisée, et exclusivement à des fins statistiques.
Ainsi :
- L’UNIL ne conserve pas de journal du visionnement par les utilisateurs des contenus mis à disposition sur ces plateformes cloud.
- Le paramétrage fait par le Ci sur les instances UNIL de ces outils vise au meilleur respect possible de la vie privée (par exemple l’avertissement aux participants de l’enregistrement d’une session, etc.).
- Les fonctions avancées que permettent certains de ces outils (par exemple la mesure de l’attention des participants par l’organisateur d’une visioconférence) sont soit bridées, soit désactivées par défaut.
L’UNIL rappelle les principes de l’hygiène numérique
Il est de première importance d’être conscient des implications liées à l'utilisation de tout outil cloud. Tout enseignant·e, étudiant·e, collaborateur·ice ou autre utilisateur·ice des outils de collaboration mis à disposition par l'UNIL a la responsabilité de ne pas stocker des fichiers (vidéos, présentations, contenu audio, etc.) contenant des données personnelles et/ou sensibles sur les infrastructures cloud mises à disposition. Ceci est valable même pour des outils fournis par l’UNIL qui sont hébergés sur des infrastructures cloud en Europe.
Il est également de la responsabilité de tout organisateur·ice de visioconférence d’informer son audience de l'utilisation de fonctionnalités qu'elle pourrait percevoir à juste titre comme intrusives. Il s'agit par exemple de rapports sur la durée de connexion de chaque participant à la conférence ou ou sur le nombre de participant·e·s. Les instances institutionnelles UNIL de Microsoft Teams et Zoom ont été configurées lorsque cela était possible pour que ce type de fonctionnalités soient désactivées, soit complètement, soit par défaut. Il est donc de la responsabilité de tout organisateur·ice d'informer son audience s’il/elle prend la décision individuelle de les activer. L'organisateur·ice doit également informer son audience si la conférence est enregistrée ou si une transcription des échanges sera générée.
Tout comme c'est le cas pour un cours en auditoire, il n’est pas impossible que le lien public d'une visioconférence soit transmis à des tiers qui pourraient suivre celle-ci à l'insu de l'organisateur·ice. On peut limiter ce risque, si souhaité, en générant des mots de passe pour les visioconférence ou en utilisant un lien dédié.
Tout participant·e à une visio-conférence doit être conscient du fait que partager sa caméra et garder son micro ouvert peut conduire à partager des informations de nature privée, comme son environnement de travail à domicile en arrière-plan.
Ces recommandations s'inscrivent dans la ligne d’ «hygiène numérique» que tout un chacun devrait maintenir dans son quotidien, également hors de la période extraordinaire de pandémie actuelle. Le numérique offre la possibilité et la flexibilité d’assurer une certaine continuité des activités en dépit des contraintes dictées par une situation exceptionnelle. Il présente toutefois certains risques qui peuvent être réduits par une utilisation responsable de chacune et chacun.
L’UNIL travaille dans le respect des normes régissant la protection des données personnelles
L'UNIL, au travers du Centre informatique et du Service Juridique, s'est attelé durant l'année 2020 à la définition des normes techniques à mettre en place afin de permettre l'utilisation d'outils cloud tels que Microsoft Teams dans un contexte hors crise COVID. Le dossier a reçu l'aval de la Direction après présentation auprès du bureau de la Préposée Cantonale à la Protection des Données, et le Centre informatique a entrepris l'implémentation des mesures techniques (cryptage, journalisation d'accès, etc.) pour le déploiement de Microsoft Teams.
Page mise à jour le 15 janvier 2021