Données personnelles : le règlement européen oblige les universités à se pencher sur leur data

Romain Ledroit Publié le
Données personnelles : le règlement européen oblige les universités à se pencher sur leur data
Applicable au 25 mai 2018, le RGPD pose de nouvelles questions aux établissements, en matière de collecte, de stockage et d'utilisation de leurs données. // ©  plainpicture/Hero Images
L'entrée en vigueur, en mai 2018, du règlement européen sur la protection des données questionne les établissements d'enseignement supérieur sur la collecte, le stockage et l'utilisation de leurs informations numériques. L'enjeu est de taille : il s'agit de conserver leur souveraineté numérique. Un dossier aux répercussions tant techniques que politiques.

Universités et écoles produisent des données en continu, qui se comptent en pétaoctets, l'équivalent de milliers de disques durs personnels. Ces gisements d'informations liés à la recherche, à la pédagogie ou encore à l'administration doivent entrer en conformité avec le nouveau RGPD (Règlement général sur la protection des données) applicable au 25 mai 2018 partout dans l'Union européenne.

Publié en avril 2016, le texte relatif "à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données" vise à unifier le cadre juridique pour l'ensemble des pays de l'UE. Il renforce certains droits (portabilité des données personnelles, dispositions spécifiques pour les personnes mineures) et fixe de nouvelles règles, en obligeant notamment les établissements à nommer un Délégué à la protection des données et à documenter l'ensemble des traitements de données personnelles, en visant entre autres ceux de données considérées comme sensibles par la production d'études d'impact sur la vie privée.

Cette évolution de la réglementation intervient alors que la production des données est en constante augmentation. "Dans quelques années, les systèmes d'information devront traiter un volume de données un milliard de fois plus important qu'aujourd'hui. Ce tsunami oblige toutes les structures à s'organiser", analyse Olivier Kempf, chercheur en sciences politiques à l'Iris (institut de relations internationales et stratégiques).

Pour ce dernier, le nouveau Règlement européen sur la protection des données est un "signe fort", qui donne à voir cette protection comme une "garantie pour les libertés individuelles". Reste à développer une culture de la donnée et une prise en considération par les organisations de leur responsabilité dans la collecte, le stockage et l'utilisation de leurs données.

Le stockage des données, une question politique

Dans ce contexte, se pose la question cruciale de la souveraineté – la part d'indépendance numérique – des établissements d'enseignement supérieur. Faut-il externaliser ou non l'hébergement des données produites ? Pour bon nombre d'universités, le choix est fait : il faut garder les données dans un data center sur le campus. Une tendance justifiée par "une volonté politique, celle de favoriser l'indépendance numérique", selon Marie-Ange Rito, directrice du pôle numérique de l'université de Bourgogne.

Le data center de cet établissement abrite "tous les services nécessaires pour les personnels, les enseignants-chercheurs et les étudiants, soit 97 applications métiers, un cloud et l'hébergement du site de l'université et des 300 sites satellites des composantes". L'infrastructure permet le déploiement du septième cluster de calcul – regroupement d'ordinateurs destiné tant à la recherche qu'à l'enseignement – de France.

Pour Marie-Ange Rito, héberger les données chez un prestataire était impensable : "Il y a un manque de lisibilité dans les offres de data centers et des doutes sur l'intégrité de nos données." Le prix à payer pour déployer la solution d'hébergement des deux pétaoctets de l'université de Bourgogne ? 4 millions d'euros.

Dans quelques années, les systèmes d'information devront traiter un volume de données un milliard de fois plus important qu'aujourd'hui. Ce tsunami oblige toutes les structures à s'organiser.
(O. Kempf)

À l'inverse, le choix d'externaliser l'hébergement des données a été la solution retenue par Arnaud Saint-Georges, DSI (directeur des services informatiques) de l'université de Rennes 2. "En 2016, l'un de nos deux data centers devait être rénové, pour un coût estimé de 500.000 euros. Nous avons alors cherché des solutions alternatives." À commencer par un prestataire privé du big data, avant de se raviser : "nous voulions garder la main sur nos données et nous nous posions la question de la pérennité de ce service".

C'est alors que le DSI de Rennes 2 découvre l'opportunité de mutualiser l'hébergement des données avec un autre établissement d'enseignement supérieur – dont le DSI ne souhaite pas dévoiler le nom – situé sur le campus Beaulieu, à quelques kilomètres de là. Cette solution sera choisie pour un coût annuel de 40.000 euros, soit le coût de la location assurant des standards de sécurité et d'infrastructure.

Un passage obligé vers le cloud ?

Autre tendance : le cloud, encouragé par de très nombreux prestataires. "Certains partenaires du privé, comme Microsoft, proposent pour des coûts proches de zéro d'héberger les données de mon établissement, assure un CIL (correspondant informatique et libertés) d'une université de l'Ouest, qui souhaite garder l'anonymat. Et cet argument du prix pèse dans la décision de la direction." Pour l'heure, le projet d'externalisation est encore à l'étude.

Si toutes les données sont traitées et stockées dans un pays avec un niveau de protection suffisant au sens du RGPD, l'offre est recevable.
(T. de Gueltzl)

"La question du cloud, ce n'est pas de savoir si nous l'utiliserons ou pas, mais quand nous l'utiliserons" souligne Olivier Kempf. En moyenne, chaque année, les universités voient augmenter leur volume de données traitées d'un peu plus d'un tiers. Ce développement rapide rend les offres d'externalisation de l'hébergement intéressantes pour certains services liés à la pédagogie.

Sur le sujet, l'avocat Thomas de Gueltzl, spécialiste du numérique, se veut clair : "Si toutes les données sont traitées et stockées dans un pays avec un niveau de protection suffisant au sens du RGPD, l'offre est recevable. Mais il faut rester vigilant sur le degré d'importance de certaines données contenant beaucoup d'informations sensibles. Et les établissements doivent s'assurer auprès du prestataire de l'intégrité des traitements, qui doit respecter strictement la sécurité et l'accès aux informations."

Sensibiliser les personnels

Au vu du développement du stockage à distance, tout établissement d'enseignement supérieur pourrait anticiper les besoins et avoir une offre cloud répondant aux principes du RGPD. La menace, si l'établissement ne prend pas les devants, est de laisser une trop grande autonomie aux utilisateurs, qui risquent d'utiliser des services soumis à d'autres législations. Par exemple, travailler avec son smartphone ou son ordinateur personnel et partager un document via un outil en ligne augmente potentiellement la "surface d'attaque", soit les biais possibles pour une intrusion dans un système d'information.

Quoi qu'il en soit, qu'il s'agisse d'un stockage des données dans le cloud ou en data centers, les obligations légales pour les établissements restent les mêmes. La CNIL le rappelle : l'employeur est "responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu'elles sont stockées sur des terminaux dont il n'a pas la maîtrise physique ou juridique, mais dont il a autorisé l'utilisation pour accéder aux ressources informatiques de l'entreprise."

Pour prendre en compte ces enjeux, Marie-Ange Rito plaide pour une première étape radicale : "empêcher l'utilisation des applications de gestion sur les terminaux personnels". Mais au-delà de cette étape, la sensibilisation des personnels à la question ne pourra pas se faire sans investissement, plaide la directrice du pôle numérique, qui suggère notamment la mise à disposition de smartphones ou d'ordinateurs, au préalable sécurisés par la direction du numérique. De quoi porter le sujet sur le terrain politique et pousser les établissements à faire de la protection et de la valorisation de leurs données un véritable axe de développement stratégique.

Romain Ledroit | Publié le