Une brève histoire de la privacy

2013, le monde découvre l’ampleur de la surveillance massive mise en place par la NSA, via le programme PRISM notamment, grâce aux révélations d’Edward Snowden. Dans ce contexte de prise de conscience des dérives liées à la collecte de données, la plateforme FUN MOOC est créée avec une vigilance particulière sur la protection des données qui seront collectées, à travers notamment :

• la technologie utilisée (un logiciel open source créé par un consortium d’établissements d’enseignement supérieur, Open edX) ;
• les structures mobilisées (Renater et INRIA sont les principaux acteurs permettant le lancement de FUN-MOOC, qui sera dans un premier temps hébergé par le CINES) ;
• et le respect de la réglementation (le Ministère échange de manière étroite avec la CNIL sur la base d’une demande d’avis pour la mise en œuvre du traitement permettant le fonctionnement de la plateforme).

À l’été 2015, alors que le groupement d’intérêt public « FUN-MOOC » est créé, le Safe Harbor, qui permettait le transfert de données vers les Etats-Unis, est déjà attaqué par Maximilian Schrems -et sera invalidé par la Cour de Justice de l’Union Européenne en octobre-. L’Europe (Commission, Parlement, Conseil) est aussi occupée à négocier ce qui sera connu quelques années plus tard comme le Règlement général sur la protection des données (RGPD).

En 2016, le RGPD entre en vigueur (il n’entrera en application qu’en 2018) et FUN est impliqué dans l’association des Correspondants informatiques et libertés de l’enseignement supérieur, de la recherche et de l’innovation (SupCIL). Le Ministère prend un arrêté qui officialise le transfert de la responsabilité du traitement de données « FUN MOOC »au groupement d’intérêt public du même nom.

2018, le mois de mai est marqué par l’entrée en application du RGPD, mais également par la doctrine du cloud de l’Etat, organisé en trois cercles ; FUN est déjà depuis quelques mois dans le cloud souverain proposé par la DINSIC (future DINUM) via son marché interministériel, grâce au travail réalisé avec l’entreprise Objectif Libre, et décide par ailleurs d’utiliser une solution recommandée par la CNIL pour sa mesure d’audience. Les DPO des établissements membres du groupement mutualisent leurs réflexions pour faire évoluer la convention de partenariat qui lie les établissements à FUN dans les cas de responsabilité conjointe, notion introduite en droit français par le RGPD.

En 2021, le datacenter Strasbourgeois d’OVH subit un incendie, ce qui impacte la sécurité des données qui y sont hébergées (« moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes », RGPD art. 32.1.b). Quelques mois plus tard, la doctrine de l’Etat est complétée de la circulaire « cloud au centre » avec pour ambition que « le passage à l'informatique en nuage (soit) l'occasion pour l'État de renforcer la résilience de ses architectures numériques au service de la continuité du service public » : FUN, qui héberge désormais ses infrastructures logicielles chez OVH via le marché du cercle 3 de la DINUM et de la DAE, optimise son plan de reprise d’activité avec une redondance sur les serveurs de Scaleway. Les deux hébergements en miroir sont donc sécurisés sur deux sites distincts de deux hébergeurs français, via un marché porté par la Direction interministérielle du numérique.

La même année, alors que le Ministère de l’enseignement supérieur, de la recherche et de l’innovation (MESRI) missionne FUN pour développer des solutions numériques en soutien à la pédagogie, la CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs étatsuniens : l’expérience du cloud de FUN ainsi que sa démarche de développements open source est mise à contribution de la communauté pour faciliter les évolutions des pratiques d’hybridation des enseignements. L’ensemble de la communauté est sollicité pour contribuer à ce nouveau projet…