En 2021, des consultants en confidentialité travaillant pour deux universités néerlandaises ont publié un bulletin critique sur les applications éducatives de Google, un ensemble d’outils de classe comme Google Docs qui sont utilisés par plus de 170 millions d’étudiants et d’enseignants dans le monde.
L’audit a averti que les outils de Google pour les écoles manquaient d’un certain nombre de protections de la vie privée – comme des limites étroites sur la façon dont l’entreprise pourrait utiliser les données personnelles des élèves et des enseignants – qui étaient requises par la législation européenne. Bien que la société ait répondu à certaines des préoccupations, selon le rapport, Google a refusé de se conformer aux demandes des Pays-Bas de réduire un certain nombre de “risques élevés” cités dans l’audit.
Il a fallu une menace de l’Autorité néerlandaise de protection des données, l’organisme national de réglementation de la confidentialité, pour aider à sortir de l’impasse : les écoles néerlandaises devraient bientôt cesser d’utiliser les outils éducatifs de Google, a déclaré l’agence gouvernementale, si les produits continuaient à présenter ces risques.
Deux ans plus tard, Google a développé de nouvelles mesures de confidentialité et des outils de transparence pour répondre aux préoccupations néerlandaises. Le géant de la technologie prévoit maintenant de déployer ces changements auprès de ses clients du secteur de l’éducation plus tard cette année aux Pays-Bas et ailleurs dans le monde.
Le gouvernement néerlandais et les organisations éducatives ont obtenu un succès remarquable en obligeant les grandes entreprises technologiques à apporter des changements majeurs à la confidentialité. Leur approche de la carotte et du bâton engage des cadres de haut niveau de la Silicon Valley dans des mois de discussions hautement techniques, puis en vaut la peine en négociant des conventions collectives permettant aux entreprises de vendre leurs outils approuvés à différents ministères et écoles du pays. Et les efforts néerlandais pour provoquer le changement pourraient fournir un livre de jeu pour d’autres petites nations aux prises avec des superpuissances technologiques.
Pour certaines entreprises technologiques américaines, l’imprimatur néerlandais est désormais devenu un symbole de statut, une sorte de sceau d’approbation qu’elles peuvent montrer aux régulateurs ailleurs pour démontrer qu’elles ont passé l’un des processus de conformité à la protection des données les plus stricts d’Europe.
Comment les Pays-Bas, un petit pays d’environ 17,8 millions d’habitants, en sont venus à influencer les géants américains de la technologie est une histoire de David et Goliath impliquant une loi historique, appelée Règlement général sur la protection des données, qui a été mise en vigueur en 2018 par l’Union européenne. États membres.
Cette législation européenne oblige les entreprises et autres organisations à minimiser leur collecte et leur utilisation d’informations personnelles. Il oblige également les entreprises, les écoles et autres à effectuer des audits, appelés évaluations d’impact sur la protection des données, pour certaines pratiques, comme le traitement des informations personnelles sensibles, qui pourraient présenter des risques élevés pour la vie privée.
Mais le gouvernement central néerlandais et les établissements d’enseignement sont allés beaucoup plus loin en commandant des évaluations techniques et juridiques exhaustives de plates-formes logicielles complexes telles que Microsoft Office et Google Workspace, et en garantissant la participation de haut niveau des entreprises au processus.
“Ils ont une approche centralisée qui permet d’avoir des solutions évolutives”, a déclaré Julie Brill, le responsable de la confidentialité chez Microsoft. “Les Pays-Bas frappent au-dessus de leur poids.”
L’année dernière, Zoom a annoncé des changements majeurs dans ses pratiques et politiques de protection des données après des mois de discussions intensives avec SURF, une coopérative aux Pays-Bas qui négocie des contrats avec des fournisseurs de technologies au nom d’universités et d’instituts de recherche néerlandais.
Lynn Haaland, responsable de la confidentialité chez Zoom, a déclaré que les discussions avaient aidé la société de communication vidéo à comprendre comment améliorer ses produits pour répondre aux normes européennes de protection des données et “être plus transparente avec nos utilisateurs”.
Entre autres choses, Zoom a publié un document de 11 pages détaillant la manière dont l’entreprise collecte et utilise les informations personnelles des personnes participant aux réunions et aux discussions sur sa plateforme.
L’expertise technique néerlandaise a aidé les auditeurs de confidentialité à obtenir des informations inhabituellement précises sur la façon dont certaines des plus grandes sociétés de logiciels collectent des données personnelles sur des centaines de millions de personnes. Il a également permis à des experts néerlandais d’interpeller des entreprises pour des pratiques qui semblent enfreindre les règles européennes.
Certaines grandes entreprises technologiques américaines rechignent au début, a déclaré Sjoera Nas, conseillère principale à la Privacy Company, une société de conseil à La Haye qui effectue les évaluations des risques liés aux données pour le gouvernement néerlandais et d’autres institutions.
« Nous sommes si petits qu’au début, de nombreux fournisseurs de cloud nous regardent, lèvent un sourcil et disent : ‘Et alors ? Vous êtes les Pays-Bas. Vous n’avez pas d’importance », a déclaré Mme Nas, qui a aidé à mener les négociations néerlandaises avec Microsoft, Zoom et Google. Mais ensuite, a-t-elle dit, les entreprises commencent à comprendre que les équipes néerlandaises négocient la conformité pour les Pays-Bas avec les règles de protection des données qui s’appliquent également dans toute l’Union européenne.
“Ensuite, les fournisseurs de technologie se rendent compte qu’ils ne seront pas en mesure de fournir leurs services à 450 millions de personnes”, a déclaré Mme Nas.
L’effort néerlandais a commencé à prendre de l’ampleur en 2018, après que le ministère de la Justice et de la Sécurité du pays a commandé un audit d’une version entreprise de Microsoft Office. Le rapport indique que Microsoft a systématiquement collecté jusqu’à 25 000 types d’activités d’utilisateurs, comme des changements d’orthographe et les détails des performances logicielles de programmes tels que PowerPoint, Word et Outlook sans fournir de documentation ni donner aux administrateurs la possibilité de limiter cette collecte de données. Dans un article de blog à l’époque, Mme Nas, dont l’entreprise a mené l’audit, a décrit les résultats comme “alarmants”.
Les logiciels grand public collectent généralement des tonnes de données d’utilisation et de performances à partir des appareils et des services cloud des utilisateurs – des données de diagnostic que les entreprises technologiques américaines utilisent souvent librement à des fins commerciales telles que le développement de nouveaux services. Mais en vertu de la législation de l’UE, les données de diagnostic liées à un utilisateur identifiable sont considérées comme des informations personnelles, tout comme les e-mails qu’une personne envoie ou les photos qu’elle publie.
Cela signifie que les entreprises doivent limiter leur utilisation des données personnelles de diagnostic et en fournir aux personnes des copies sur demande. L’audit néerlandais a révélé que Microsoft n’avait pas réussi à le faire.
Microsoft a accepté de résoudre ces problèmes. En 2019, la société a introduit une nouvelle politique de confidentialité et de transparence pour les clients du cloud dans le monde entier, qui incluait les “modifications demandées par le ministère néerlandais de la Justice”, a écrit Mme Brill dans un article de blog de la société. Microsoft a également publié un outil de visualisation de données pour permettre aux clients de voir les “données de diagnostic brutes” qu’Office a envoyées à l’entreprise.
Mme Brill a déclaré que les discussions avec les Néerlandais avaient aidé Microsoft à adopter les vues européennes sur la protection des données, un changement de culture d’entreprise qui, selon elle, était plus important que les modifications logicielles.
“Cela commence par la culture, puis s’assure que le pivot culturel apparaît dans nos produits et nos logiciels et, plus important encore, dans la façon dont nous décrivons ce que nous faisons à nos clients”, a déclaré Mme Brill.
La pandémie a accéléré l’effet néerlandais sur les entreprises technologiques américaines.
En 2021, l’audit néerlandais des outils de Google pour les écoles, désormais connus sous le nom de Google Workspace for Education, a signalé que les produits manquaient de certains contrôles de confidentialité, de transparence et de limites contractuelles concernant leur utilisation des données personnelles. Les outils éducatifs comprenaient des applications telles que Gmail et Google Classroom, un centre d’apprentissage en ligne.
Google a finalement accepté les demandes néerlandaises visant à restreindre considérablement la manière dont l’entreprise pouvait utiliser les données personnelles collectées par ses outils éducatifs, ce que les régulateurs américains n’avaient pas accompli.
Entre autres choses, Google a accepté de limiter la façon dont il utilisait les données de diagnostic de ses applications éducatives de base à seulement trois objectifs fixes, contre plus d’une douzaine d’objectifs. Les trois utilisations comprenaient la fourniture de services aux clients et la gestion de problèmes tels que les menaces de sécurité.
Google a également accepté de ne pas utiliser les données de diagnostic à des fins telles que des études de marché, le profilage des utilisateurs ou l’analyse de données. Et il a accepté de développer un outil permettant aux clients de l’éducation de voir leurs données de diagnostic.
“Nous avons dû expliquer à Google que les conseils scolaires ont un devoir de diligence et qu’ils doivent contrôler les données personnelles des élèves”, a déclaré Job Vos, responsable de la protection des données pour SIVON, une coopérative néerlandaise qui négocie des contrats avec des fournisseurs de technologies. au nom des écoles néerlandaises, qui ont participé aux discussions de plusieurs années avec Google. “Il ne peut pas être utilisé à des fins commerciales.”
Dans une récente interview, Phil Venables, responsable de la sécurité de l’information chez Google Cloud, a déclaré que Google travaillait régulièrement avec des régulateurs du monde entier et ne considérait pas les discussions avec les Néerlandais – ou les changements qui en résultaient dans les pratiques de Google en matière de données – comme particulièrement remarquables. Il a ajouté que la société accueillait favorablement la sophistication technique des efforts néerlandais.
“Nous avons été heureux de travailler avec les Néerlandais parce qu’ils ont été exigeants à ce sujet”, a déclaré M. Venables, “et nous avons répondu à cela.”
Google a accepté de fournir de nouveaux contrôles de confidentialité et de nouveaux outils de transparence d’ici la fin de 2022. Mme Nas et M. Vos ont déclaré qu’ils testaient maintenant les solutions proposées par Google, un processus qui pourrait prendre des mois.
Les efforts néerlandais pourraient améliorer la confidentialité des écoles aux États-Unis et ailleurs, dont beaucoup ne disposent pas de l’expertise technique interne pour enquêter de manière indépendante sur la façon dont des plateformes complexes comme Google collectent et utilisent les données des élèves.
Mais les experts néerlandais de la protection de la vie privée considèrent leur processus d’audit et de négociation comme faisant partie d’un effort beaucoup plus vaste des pays essayant d’affirmer leur souveraineté numérique face aux superpuissances technologiques américaines.
“Nous sommes essentiellement capturés par les géants de la technologie”, a déclaré Mme Nas. “Nous commençons à réaliser que la seule façon d’y faire face est de négocier notre chemin vers leur conformité aux normes européennes.”
