L’université a décidé de transférer sa messagerie à Google et elle est en train de mettre en place le processus de migration. La migration commence par la messagerie mais ce sont l’ensemble de nos données qui risquent à terme d’être hébergées sur les serveurs de Google.

Garder la messagerie sur nos serveurs coûtait, d’après les documents donnés en CA, un ETP (équivalent temps plein d’ingénieur) de plus que la solution Google. C’est pour cette économie que la direction de l’université a décidé cette sous-traitance.

Google propose ce service à 8 euros par boîte mail par mois aux entreprises et l’offre gratuitement aux universités. Où est le gain pour Google ? Habituer les étudiants à leurs services pour leur vendre plus tard le service ? Est-ce là une mission de l’université ?

Nous n’avons aucune information à ce jour sur le contrat qui aurait été signé entre Google et Paris 3. Nos élu.e.s au CA ont demandé à avoir accès au contrat. Il leur a été répondu que Google avait exigé le secret et qu’il n’était donc pas possible d’obtenir ce contrat. Le document n’a été mis à disposition ni des élus, ni des personnels de la DSIC, ni des collègues qui le demandaient...

Récemment, une circulaire interdisait aux collectivités locales l’utilisation de cloud non souverain "en prenant soin de prévoir les clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système".

Pourquoi l’université peut-elle choisir un cloud non souverain alors que c’est interdit dans les collectivités territoriales ?
Comment, sans rendre public le contrat, peut-on s’assurer que les données sont et restent en France ?
Comment peut-on faire confiance à Google sur le fait que nos données ne seraient pas scannées alors que l’entreprise américaine refuse, avec la direction de l’université, de rendre public son contrat ?
Comment s’assurer de l’auditabilité, puisque le contrat est secret ?
Comment être sûr que l’on pourra revenir en arrière en cas de problème ?
Que se passera-t-il le jour où Google décidera de faire payer l’université pour ses services ?

Nous nous associons aux motions et courriers qui demandent à ce que le contrat soit rendu public et ou qui dénoncent le choix fait par l’université.

Un retour en arrière est encore possible. Une messagerie qui fonctionne avec des logiciels libres, hébergée à Paris 3, c’est possible !

La CGT FERC Sup Paris 3

PS : ci-dessous deux motions de départements et un courrier de collègues. Un collectif "Google à Paris 3 ? Non, merci." a aussi créé un site web pour recenser de l’information sur google.

Une motion du département d’Études germaniques

Nous, membres du conseil de département et personnels du département d’études germaniques, sommes consternés par le choix fait par le CA de Paris 3 de confier à Google la gestion de notre messagerie électronique professionnelle et tous les services associés (agenda, partage de fichiers etc.) par un contrat qui n’a pas été rendu public à ce jour.

Rappelons que nous sommes un établissement public, (sous-)financé par le produit des impôts. Il nous semble inacceptable, à ce titre, de passer un contrat avec une multinationale spécialiste de l’évasion fiscale, dans le collimateur des autorités européennes pour ces mêmes raisons, visée par une enquête pour fraude fiscale en France même et qui fait l’objet d’une procédure de sanction de la part de la CNIL.

Le choix du CA a pour conséquence de nous mettre dans une relation de dépendance envers un prestataire extérieur qui stocke les données sur des serveurs qui ne sont pas sur le territoire français, qui tire profit financièrement de l’exploitation de toutes nos données, hors du respect de la vie privée et qui est susceptible de changer ses conditions commerciales à tout moment. Tout ceci a été rappelé dans une lettre ouverte au CA par des collègues spécialistes de ces questions(voir la lettre ouverte au CA de Franck Rebillard et Fabrice Rochelandet du 23 mars 2016), et nous nous associons à leurs objections. Nous souhaitons également souligner qu’il est absurde et préoccupant que Paris 3 emploie des chercheurs internationalement reconnus et dont les recherches portent sur ces questions, et ne tienne aucun compte de leur avis pourtant éclairé sur ces mêmes questions.

Nous demandons donc que l’on revienne sur la décision prise par le CA et que l’on utilise une messagerie électronique qui ne soit pas liée à Google.

Cette motion a été adoptée à l’unanimité (13 voix) le 23 juin 2016.

Une motion du département du Monde anglophone

Motion votée le 20 juin 2016 par le Conseil du département du Monde Anglophone :

Les élu-e-s du conseil du département du Monde Anglophone prennent acte de la décision du Conseil d’Administration d’une prise en charge de la messagerie des étudiant-e-s et des personnels de l’université par le service Google Apps. La mise en fonction de ce service est en cours, sous le nom de Num@.

Les termes du contrat avec Google n’ayant à ce jour pas été rendus publics, ils/elles demandent qu’ils soient diffusés auprès des personnels et des étudiant-e-s de la Sorbonne Nouvelle, notamment en ce qui concerne la protection et l’utilisation des données des usager-e-s par Google. Nous estimons indispensable que l’université accompagne le passage à cette nouvelle messagerie par une formation sur la protection des données qui serait proposée à tous les personnels et les étudiant-e-s de l’université.

Motion adoptée par 16 voix et 2 abstentions.

Lettre ouverte aux membres du Conseil d’Administration de l’Université Sorbonne Nouvelle Paris 3

Paris, le 23 mars 2016

Mesdames, Messieurs les membres du Conseil d’Administration,

Nous avons récemment pris connaissance du procès verbal de la séance du Conseil d’Administration du 18 décembre 2015. Le compte rendu des débats concernant le point n°6 à propos de l’évolution du service de messagerie de l’Université, et la décision d’opter pour la solution Google Apps pour l’éducation – Cloud Google, nous laisse penser que certains arguments cruciaux n’ont pas été pris en considération. Nous estimons par conséquent nécessaire, en tant que membres du personnel et spécialistes de la socioéconomie du numérique, de vous alerter sur les conséquences d’une telle décision, conséquences dangereuses à de nombreux égards.

La décision de confier les principaux services de l’environnement numérique de travail de l’Université (messagerie, agendas, documents partagés, …) à cette firme transnationale fréquemment épinglée par diverses institutions à travers le monde, et de voir les données afférentes hébergées sur des serveurs situés « dans le monde » (Projet de communication numérique annexé au PV de la séance du CA), nous semble totalement infondée dans le contexte actuel et à contresens par rapport aux orientations politiques françaises actuelles, notamment celles visant à préserver la souveraineté numérique. La prise en compte du seul critère d’économies pour les finances de notre institution (un montant de 150 000 euros est évoqué) nous semble relever d’une logique comptable qui n’est pas à la hauteur des enjeux géopolitiques et de libertés fondamentales générés par une telle décision.

Pourquoi confier nos données professionnelles et, par croisement de données, personnelles, à un tel acteur ? Il est de notoriété publique que son modèle économique est fondé sur l’exploitation de telles ressources informationnelles et que, de surcroît, ses activités relèvent d’un cadre juridique garantissant moins les libertés fondamentales en matière de vie privée que la loi française. Le traitement de nos informations -celles du personnel de l’université et celles des étudiant.e.s- permet ainsi de profiler chacun d’entre nous assez finement à partir des informations que nous délivrons (analyse sémantique du contenu de nos messages, de notre localisation, de nos réseaux sociaux, etc.). Ces données peuvent être certes non exploitées directement à partir des services offerts directement sur la plateforme de Paris 3 -à ce sujet, nous espérons tout de même qu’il n’est pas question de transférer à Google jusqu’aux dossiers administratifs de l’actuel ENT contenant Numen, numéros de comptes bancaires et renseignements biographiques sur les membres de la famille des personnels-, mais indirectement à partir de données cédées à des tiers, et sous la forme de publicités (soi-disant contextualisées, en réalité ciblées) sur les sites et les applications que nous utilisons par ailleurs. Une vaste littérature (à laquelle nous avons contribué) montre les risques importants associés à de telles exploitations.

En particulier, en prenant une telle décision, vous exposez également les personnes physiques et morales extérieures à notre établissement et avec lesquelles nous travaillons, échangeons régulièrement des informations, parfois sensibles, (les équipes de recherche et les entreprises avec lesquelles nous sommes liés, les autres services administratifs), ce qui peut engendrer des risques majeurs en matière d’atteinte à la vie privée, au secret des affaires, à la sécurité publique, etc. Il peut arriver que nous soyons en relation avec une entreprise prestataire, un laboratoire ou un syndicat, qui ne souhaitent pas voir leurs données et propos identifiables et susceptibles d’être exploités par une entreprise qui a fait l’objet de multiples rappels à l’ordre de la part des institutions françaises (à commencer par la Commission nationale de l’informatique et des libertés) et européennes. Google est une entreprise connue pour ses dérives en matière de respect de la vie privée (qui, encore une fois, ne se résume pas à de la publicité contextuelle sur son service de messagerie gmail ou les pages de recherche de son moteur, mais consiste en une traque systématique des usagers de ses services via le croisement des données collectées), et dont les données ont été exploitées par la NSA et le FBI comme l’ont confirmé The Guardian et The Washington Post dès 2013, à la suite des révélations d’Edward Snowden.

En outre, plus la masse de données collectées sur les membres du personnel et les étudiant.e.s augmentera, plus grande sera la dépendance à l’égard de Google et moindre sera la capacité de discuter de nouvelles conditions commerciales si cet acteur en décidait ainsi, comme il l’a déjà fait par le passé avec de nombreuses autres entreprises et institutions, autrement plus puissantes que notre Université. L’économie immédiate réalisée en recourant à ce service qui présente aujourd’hui tous les atours de la gratuité pourrait entraîner un verrouillage informationnel, classique dans le secteur de l’informatique mais ici décuplé par la position oligopolistique de Google, et possiblement lourd de conséquences financières sur le long terme. Vous êtes évidemment bien plus légitimes que nous pour décider des orientations de l’Université et nous n’ignorons pas non plus les contraintes qui pèsent sur vos arbitrages budgétaires. Sauf que en fin de compte, il nous semble que le coût du recours aux services de Google surpasse très largement l’économie de quelques euros par usager de l’université (pour des services qui sont utilisés au quotidien par tou.te.s) et l’offre d’outils, certes séduisants mais au fond empoisonnés, et surtout face auxquels il existe une offre d’outils sécurisés, tout aussi performants et garantissant à la fois la souveraineté numérique et le respect de nos libertés fondamentales et de celles de nos partenaires.

Nous avons ainsi souhaité avec cette lettre insister sur l’importance d’une telle décision en apportant quelques éclairages complémentaires. En vous alertant aussi de façon plus prospective sur les risques juridiques induits à l’ère numérique, à commencer par celui de soustraire les membres du personnel, en raison de leurs obligations professionnelles, et les étudiant.e.s, en raison de leurs obligations scolaires, au droit à l’autodétermination informationnelle proposé par le Conseil d’Etat en 2014 et repris dans le rapport de l’Assemblée Nationale sur le droit et les libertés numériques en 2015. Permettez-nous, par conséquent, de vous demander solennellement de réexaminer une telle décision et, le cas échéant, d’opter pour une solution qui permette de conserver, juridiquement et techniquement, un contrôle effectif sur nos données et celles de nos partenaires.

Nous vous prions d’agréer, Mesdames et Messieurs les membres du Conseil d’Administration, l’expression de nos respectueuses salutations.

Franck Rebillard

Professeur à l’Institut de la Communication et des Médias

Chercheur au laboratoire Cim (Communication, information, médias)

Fabrice Rochelandet

Professeur au Département Médiation culturelle

Chercheur à l’Ircav (Institut de recherche sur le cinéma et l’audiovisuel)