Chapitre 15.3 — Outils de l’école (Workspace, ENT, Moodle)
⏱️ TL;DR — Le choix des outils est devenu un sujet RGPD brûlant à l’école. En France, l’Éducation nationale a écarté le déploiement des offres gratuites de Google Workspace et Microsoft 365 dans les établissements scolaires, pour non-conformité au RGPD (notamment les transferts de données hors UE) — dans le sillage de l’Allemagne, du Danemark et des Pays-Bas. La CNIL recommande depuis 2021 des suites hébergées dans l’UE. À l’inverse, les ENT (espaces numériques de travail) encadrés et des outils auto-hébergeables comme Moodle offrent un bien meilleur contrôle. Ce chapitre t’explique le raisonnement — pour choisir, et pour construire un produit qui coche les bonnes cases.
🎯 Objectifs
- Comprendre pourquoi les offres gratuites Workspace/365 posent problème à l’école.
- Distinguer « outil interdit » de « outil à encadrer » (nuance importante).
- Situer les ENT et leur cadre de confiance.
- Voir en quoi Moodle auto-hébergé dans l’UE facilite la conformité.
Le cas Google Workspace & Microsoft 365
Ces suites sont d’excellents outils. Le problème n’est pas leur qualité, mais trois caractéristiques qui heurtent le RGPD dans un contexte scolaire :
- Transferts hors UE : les données peuvent être traitées aux États-Unis ou accessibles par une maison-mère soumise au droit américain (revois le CLOUD Act en Partie 13).
- Finalités du fournisseur : dans les offres gratuites, le modèle économique repose historiquement sur l’exploitation des données (mesure, amélioration produit, parfois publicité) — difficilement compatible avec des données de mineurs et le rôle de simple sous-traitant.
- Manque de maîtrise : l’établissement, responsable, ne contrôle ni où vont les données, ni ce qu’en fait le prestataire.
En conséquence, l’Éducation nationale a confirmé (début 2024) la fin du déploiement des offres gratuites Google Workspace et Microsoft 365 dans les écoles, et la CNIL recommande depuis mai 2021 aux établissements d’enseignement supérieur de privilégier des suites collaboratives soumises au droit européen, hébergées dans l’UE et sans transfert vers les États-Unis. Plusieurs académies ont migré vers des solutions hébergées en France. À l’échelle européenne, d’autres autorités (dont la CNIL espagnole sur Google Workspace for Education) ont pointé une collecte trop large.
⚠️ Piège — En déduire « tout outil américain est interdit à l’école ». C’est inexact et dangereux comme raccourci. Ce qui a été écarté, ce sont surtout les offres gratuites au modèle problématique ; une version payante, correctement contractualisée, avec un DPA solide et des garanties de transfert (hébergement UE, CCT, analyse d’impact du transfert) peut rester envisageable, au cas par cas. Le mot juste n’est pas « interdit » mais « à encadrer rigoureusement » — et, à défaut de pouvoir encadrer, à remplacer.
🔒 Côté personne concernée — Derrière ce débat, il y a un enfant dont les brouillons, les recherches, les erreurs et les échanges transitent par des serveurs qu’aucun parent ne maîtrise. L’enjeu n’est pas « anti-américain » : c’est que la donnée d’un mineur en situation d’apprentissage — où il a le droit de se tromper — ne devienne pas une matière première commerciale ni une ressource pour une puissance étrangère.
Les alternatives
L’écosystème français et européen s’est structuré autour de cette exigence :
| Besoin | Alternatives orientées conformité |
|---|---|
| Suite bureautique / collaboration | La Suite numérique / apps.education.fr (proposée par l’État aux agents et enseignants), solutions Nextcloud, OnlyOffice hébergés en UE |
| Espace de travail scolaire | ENT régionaux/académiques (hébergés en France, cadre de confiance) |
| Plateforme de cours (LMS) | Moodle auto-hébergé dans l’UE, Chamilo |
| Vie scolaire | Éditeurs français (ex. solutions de gestion de vie scolaire hébergées en France) |
| Visioconférence | Solutions UE (ex. BigBlueButton auto-hébergé, offres souveraines) |
Le critère commun : droit européen applicable, hébergement UE, DPA clair, et pas de réutilisation des données des élèves.
Les ENT : un cadre pensé pour ça
Un ENT (Espace Numérique de Travail) est le portail scolaire qui réunit cahier de textes, notes, messagerie, ressources. Son intérêt RGPD : il s’inscrit dans un cadre de confiance (référentiels de l’Éducation nationale et de la CNIL) qui impose hébergement, sécurité, durées et transparence. Dans ce schéma :
- la collectivité (région pour les lycées, département pour les collèges, commune pour le primaire) et l’établissement sont responsables ;
- l’éditeur de l’ENT et son hébergeur sont sous-traitants ;
- les finalités, durées et destinataires sont cadrés par le référentiel.
C’est le modèle vers lequel un produit EdTech a intérêt à ressembler : cadre clair, hébergement maîtrisé, rôles nets.
Moodle : l’atout de l’auto-hébergement
Moodle est un LMS open source que tu peux héberger toi-même dans l’UE. C’est un avantage RGPD majeur : tu maîtrises où sont les données, qui y accède, les durées, les sauvegardes. Mais l’auto-hébergement ne rend pas magiquement conforme — il faut :
- configurer les durées de conservation et la politique de confidentialité (Moodle a des outils « RGPD » intégrés : politique, demandes d’accès/suppression) ;
- surveiller les plugins et intégrations : un plugin d’analytics tiers, une intégration vidéo externe ou un service de proctoring peuvent rouvrir des transferts et des collectes ;
- sécuriser l’instance (mises à jour, accès, chiffrement) comme n’importe quel service (Partie 9).
🧭 Sur FormaCampus — FormaCampus combine une app Next.js (le portail, les parcours) et un Moodle pour l’hébergement de certains cours. Bon réflexe : le Moodle est auto-hébergé en France, la base Next.js aussi. Le point de vigilance, ce sont les briques tierces greffées « pour aller vite » : une vidéo YouTube intégrée (traceur), un outil d’analytics US, un LLM américain pour l’aide aux devoirs. Chacune est un sous-traitant et parfois un transfert — à encadrer (DPA, hébergement UE, minimisation) ou à remplacer par une alternative européenne.
📚 Le texte — Ce chapitre applique le chapitre V (transferts) et l’art. 28 (sous-traitance) à l’école. Sources officielles à jour : la CNIL (dossier « RGPD et écoles », recommandations sur les suites collaboratives), le référentiel des ENT et les communications du ministère de l’Éducation nationale. Vérifie toujours l’état courant : les positions évoluent.
✏️ Exercices
Exercice 1 — Diagnostique l’outil. Une école veut utiliser la version gratuite de Google Workspace for Education pour les messageries des élèves de 6e. Quels sont les deux principaux problèmes RGPD, et quelle est la bonne posture ?
✅ Solution
Deux problèmes : (1) les transferts de données hors UE (droit américain applicable, CLOUD Act) et (2) l’exploitation des données par le fournisseur dans une offre gratuite, difficilement compatible avec le rôle de sous-traitant et avec des données de mineurs. La bonne posture n’est pas idéologique : c’est de constater que l’offre gratuite a été écartée par l’Éducation nationale pour ces raisons, et de se tourner vers une alternative hébergée en UE (ENT, La Suite numérique, Moodle auto-hébergé) — ou, si un outil équivalent est jugé indispensable, de l’encadrer (version payante, DPA, garanties de transfert), ce qui est lourd.
Exercice 2 — Le piège du plugin. Tu auto-héberges Moodle en France, tout va bien — puis un formateur installe un plugin d’analytics « pour voir les stats », qui envoie les données à un service américain. Que s’est-il passé, côté RGPD ?
✅ Solution
Le plugin a introduit un nouveau sous-traitant (le service d’analytics) et probablement un transfert hors UE — sans DPA, sans information, sans base pour ce transfert. L’avantage de l’auto-hébergement (maîtrise) est annulé par une brique tierce ajoutée sans contrôle. Leçon : la conformité d’une plateforme se maintient ; chaque intégration doit repasser par la grille sous-traitant + transfert (Parties 12 et 13).
🧠 Quiz de révision
1. Qu’a décidé l’Éducation nationale au sujet de Google Workspace et Microsoft 365 gratuits ?
Elle a écarté le déploiement de leurs offres gratuites dans les établissements scolaires (confirmé début 2024), pour non-conformité au RGPD — notamment les transferts hors UE — dans le sillage de plusieurs pays européens.
2. « Tout outil américain est interdit à l’école » : vrai ou faux ?
Faux comme raccourci. Ce sont surtout les offres gratuites au modèle problématique qui ont été écartées. Une version payante correctement encadrée (DPA, hébergement UE, garanties de transfert) peut rester envisageable au cas par cas. Le mot juste est « à encadrer », pas « interdit ».
3. Que recommande la CNIL depuis 2021 pour les suites collaboratives de l’enseignement supérieur ?
De privilégier des prestataires soumis au droit européen, qui hébergent dans l’UE et ne transfèrent pas les données vers les États-Unis.
4. Pourquoi Moodle auto-hébergé facilite-t-il la conformité ?
Parce qu’on maîtrise l’hébergement (UE), les accès, les durées, les sauvegardes. Mais il faut le configurer (durées, outils RGPD intégrés), surveiller les plugins/intégrations (qui peuvent rouvrir transferts et collectes) et le sécuriser.
5. Dans un ENT, qui est responsable et qui est sous-traitant ?
La collectivité (région/département/commune) et l’établissement sont responsables ; l’éditeur de l’ENT et son hébergeur sont sous-traitants. Le tout est cadré par un référentiel de confiance (hébergement, sécurité, durées, transparence).
Chapitre suivant : Organismes de formation (Qualiopi) — les stagiaires, les financeurs, le CPF et l’articulation entre certification qualité et RGPD.