Le rapport, publié il y a six mois, a fait l’objet d’un article dans El Mundo le 27 décembre et repris par le Figaro le 3 janvier. Il fait suite à une demande du ministère espagnol de l’Éducation, plus précisément de l’Institut national des technologies éducatives et de formation des enseignants (Intef), qui en fait partie.

La demande partait d’un constat : depuis le confinement de 2020, de très nombreuses écoles ont basculé sur des solutions intégrées pour faciliter le travail à distance et la communication. La question était de savoir si ces services, parmi lesquels Google apparait comme majoritaire, étaient en phase avec la loi espagnole et le règlement général sur la protection des données (RGPD).

Des dangers pour les élèves

Le rapport, de 64 pages, n’est pas public. Consulté par El Mundo, il décrit divers dangers pour les élèves. « Il est incontestable que nous sommes en présence d’une collecte invasive d’informations personnelles », indique ainsi l’AEPD. Les données, qui émanent essentiellement de mineurs, sont « de caractère particulièrement sensible ».

Les observations ont été formulées sur de nombreux services. On trouve ainsi le traitement de texte Docs, le tableur Sheets, Calendrier, Gmail, le service de visioconférence Meet et l’espace de stockage en ligne Drive. Des services « additionnels » sont également cités, dont YouTube pour les vidéos, Maps pour les cartes et le GPS, ainsi que Photos pour le stockage et la synchronisation des images.

Or, « à partir des interactions avec les différents services, des données sur la santé ou les convictions religieuses pourraient être déduites. Et cette information pourrait être transférée à des États tiers qui ne garantiraient pas un niveau suffisant de protection ». Le rapport rappelle que les conditions d’utilisation mentionnent très clairement la possibilité pour les données d’être stockées dans des serveurs situés partout dans le monde.

Des observations déjà formulées par l’Intef, comme l’a indiqué au Figaro son directeur, Julio Albalad, qui pointe également la possibilité pour Google de modifier unilatéralement ses conditions. « Mais l’agence va beaucoup plus loin en ce qui concerne YouTube et Maps, par lesquels l’entreprise peut se livrer à sa spécialité, le profilage des données », a-t-il ajouté.

Pour Google, tout est parfaitement en règle

Google affirme de son côté que tout est en règle : « L’entreprise n’utilise pas les données personnelles que les étudiants partagent dans Workspace ; et en ce qui concerne les services additionnels, il n’y a pas de partage des données à des fins publicitaires ni de confection de profils », a déclaré un porte-parole au Figaro.

La société rappelle qu’elle dispose de toutes les normes ISO requises, ainsi que des certifications du Centre national espagnol de cryptologie et une conformité au Schéma national de sécurité, imposé aux administrations espagnoles.

Espagne : une situation particulière

Même si le rapport a été remis par l’AEPD au ministère de l’Éducation, celui-ci n’a dans l’absolu que des « pouvoirs » limités. L’Espagne n’est en effet ni un État centralisé, ni une fédération. Dans cette monarchie constitutionnelle à la configuration particulière, unique en Europe, chaque région dispose d’une grande autonomie. Dans le sillage de la crise sanitaire, chacune a fait ses propres choix d’outils éducatifs. Seules les écoles de Ceuta et Melilla sont sous administration directe du ministère.

Comme le relève El Mundo, les résultats de l’enquête ont été partagés avec toutes les régions. Madrid, l'Andalousie, l'Estrémadure, les îles Canaries, Murcie et La Rioja utilisent actuellement Google Workspace for Education et n’ont aucune intention d’en changer pour l’instant. L’Andalousie et les Iles Canaries viennent d’ailleurs de renouveler leur contrat avec Google, pour une durée de quatre ans.

Selon les sources d’El Mundo, les outils de Google font l’objet d’une attention particulière aux Canaries, notamment sur la sécurité, avec plusieurs audits déjà réalisés. Le média ajoute que les comptes des élèves ont été soumis à des restrictions : « ils ne peuvent pas chatter, utiliser YouTube, installer des applications Google Play, créer des appels vidéo via Meet et ne peuvent envoyer et recevoir des courriels Gmail qu'avec d'autres élèves et enseignants des îles Canaries ».

Pas de Google, mais du Microsoft

La Murcie a également déclaré qu’elle conserverait la solution de Google, adoptée depuis déjà quinze ans, car il s’agit d’un « service très utilisé et demandé par la communauté éducative ». Parallèlement, la région a interdit les écrans jusqu’en CM2.

En revanche, la région de Castille-et-León ne souhaite pas se tourner vers Google, car ses outils « échappent au contrôle de sécurité de l’administration ». Elle a préféré se tourner vers Microsoft. On ne sait pas, à l’heure actuelle, si l’AEPD compte se pencher aussi sur l’offre 365 de l’entreprise.

En France, le contrat open bar entre Microsoft et l’Éducation nationale avait fait l’objet de vives critiques et de plusieurs plaintes. Il est toujours en cours, même si les versions gratuites d’Office 365 et Google Workspace n’ont plus le droit d’être installées depuis fin 2022. L’année précédente, la CNIL avait appelé « à des évolutions dans l’utilisation des outils collaboratifs états-uniens pour l’enseignement supérieur et la recherche ». En Europe, la question de l’adéquation des protections sur les données personnelles avec les États-Unis reste au cœur de vifs débats, notamment dans le cadre de la future directive EUCS ainsi que dans le stockage des données de santé.