Östersund [SE] compte vingt-quatre écoles qui utilisent Google Workspace depuis 2020. Cet outil est utilisé pour la communication, l’enseignement, l’assignation et la remise des devoirs. Google Workspace traite les données personnelles de 1 303 employés et de 5 945 élèves, y compris les noms, les adresses électroniques et l’appartenance à une classe ou à un groupe.

En 2014, une autre entité d’Östersund (le conseil régional du comté de Jämtland) a réalisé une étude d’impact sur l’utilisation des applications Google dans l’éducation et a déterminé qu’elles pouvaient être utilisées.

En 2020, le Conseil des enfants et de l’éducation de la municipalité d’Östersund [le contrôleur dans le cas d’espèce] a décidé d’intégrer Google Workspace dans ses propres systèmes et écoles, mais n’a pas réalisé d’analyse d’impact, estimant que l’analyse de 2014 était suffisante. Ce n’est qu’après cette intégration que le contrôleur a entrepris une analyse d’impact. Ce processus est en cours depuis trois ans et n’était toujours pas terminé au moment de l’enquête ouverte par l’autorité de protection des données [APD ; Integritetsskyddsmyndigheten, anciennement Datainspektionen].

Le responsable du traitement a écrit à l’APD pour lui expliquer que certaines parties de l’analyse d’impact en cours avaient fait l’objet d’un rapport et d’une action. Par exemple, des documents de politique générale ont été établis, des cours de formation ont été élaborés et des restrictions de stockage ont été mises en œuvre. Il a également été noté que l’analyse d’impact avait jusqu’à présent révélé les mêmes préoccupations que celle de 2014. La seule question qui subsistait était de savoir si l’utilisation de Google Workspace nécessitait le transfert de données à caractère personnel vers un pays tiers (une nation située en dehors de l’UE/EEE).

L’APD, dans une décision IMY-2023-1647 (https://www.imy.se/globalassets/dokument/beslut/2023/beslut-om-tillsyn-barn-och-utbildningsforvaltningen-ostersunds-kommun.pdf), présentée et commentée par gdprhub (https://gdprhub.eu/index.php?title=IMY_%28Sweden%29_-_IMY-2023-1647), considère notamment ce qui suit :

La question pour l’APD était de savoir si le responsable de traitement avait l’obligation de réaliser une analyse d’impact avant de commencer à traiter des données à caractère personnel en 2020.

Premièrement, l’enquête de l’APD a confirmé que le responsable de traitement n’avait pas effectué d’analyse d’impact avant l’utilisation de Google Workspace en 2020 et que le travail d’analyse d’impact n’avait pas encore été terminé au moment de l’intervention de l’autorité.

Deuxièmement, il aurait dû être clair pour le responsable de traitement que le traitement présentait un risque élevé et nécessitait une analyse d’impact. L’APD a cité les considérants 75 et 76 du RGPD qui indiquent que lorsque le traitement des données concerne des enfants et un grand nombre de personnes concernées, il est considéré comme un traitement à haut risque. Or l’article 35, paragraphe 1, du RGPD précise que des analyses d’impact sont nécessaires précisément dans cette hypothèse. Il était également clair que le responsable du traitement devait réaliser une analyse d’impact en vertu de l’article 35, paragraphe 4, du RGPD. Cette disposition impose aux autorités chargées de la protection des données de publier une liste des types d’opérations de traitement nécessitant une analyse d’impact. Les critères 5 et 7 de la liste de l’APD suédoise étaient remplis dans le cas d’espèce car le traitement concernait des enfants et un grand nombre de personnes concernées.

Troisièmement, l’autorité suédoise de protection des données n’a pas estimé que les actions du responsable de traitement après 2020 constituaient des circonstances atténuantes susceptibles de réduire le montant de l’amende. En effet, le responsable de traitement aurait dû établir et mettre en œuvre ces mesures avant l’utilisation du service, et non après. Sans oublier que l’analyse d’impact n’avait pas encore été achevée après trois ans, ce qui démontre un niveau élevé de négligence durable.

Dans ce contexte, l’autorité de protection des données a estimé que le responsable du traitement avait manqué à son obligation au titre de l’article 35, paragraphe RGPD et lui a infligé une amende de 300 000 SEK.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)