Madrid frappe un collège catholique : 12 000 € pour avoir laissé google espionner ses élèves
Sanction sévère à Madrid : la Holy Mary Catholic School vient de prendre 12 000 € d’amende pour avoir transformé Google Workspace for Education en gigantesque filet à données personnelles d’enfants de primaire. Pas de pare-feu, pas de consentement parental, pas de finalité pédagogique claire : juste des gamins connectés en accès libre à YouTube, aux jeux en ligne et à la récolte de leurs moindres clics.
Le déclic d’une mère qui avait demandé « simplement » un filtre
Lo que nadie cuenta es que l’alerte est partie d’une simple question de maman : « Pourquoi mes jumeaux de 8 ans ont-ils un Gmail propre et YouTube en classe ? » Réponse du directeur : « C’est Google Éducation, c’est sécurisé. » La mère a saisi l’AEPD en avril 2024. Six mois plus tard, verdict : le RGPD est passé par là.
L’agence espagnole de protection des données a dégainé l’article 6 et l’article 7 du règlement : absence de base légale, absence de consentement éclairé, finalité détournée. Le collège collectait les logs de navigation, les identifiants, les fichiers uploadés, sans jamais en informer les familles ni réaliser l’analyse d’impact requise pour les mineurs. Bilan : 12 000 €, une goutte d’eau pour une école privée, mais une claque symbolique sur tout le secteur.
Google n’est pas poursuivi, mais son modèle « gratuit » éclaboussé
Los expertos en privacidad que consulté à Barcelone pointent un détail : l’AEPD ne critique pas Google, elle tape sur l’établissement qui a laissé le moteur de la Valley faire le ménage à sa place. Résultat, des comptes Workspace créés dès l’âge de 6 ans, des adresses Gmail générées en masse, et un accès Internet sans cloison. Le tout hébergé sur des serveurs américains sans clause de confidentialité renforcée.
La boîte de Palo Alto brandit pourtant son contrat « Education » qui promet « pas de pub, pas de profilage ». Sauf que, côté API, les données circulent quand même vers Analytics, Drive et YouTube si l’école n’active pas 27 cases de paramètres. Holy Mary ne les avait pas cochées. Les enfants devenaient des « utilisateurs » à part entière, avec historique de recherche stocké à vie.
Le ministère espagnol garde le silence, les écoles accélérent
Mientras tanto, la consejería madrilène de l’Éducation multiplie les appels d’offres pour « digitaliser » les classes. Tableaux interactifs, Chromebooks, licences Google : le même cocktail partout. Aucune circulaire ne rappelle l’obligation de recueil de consentement ni la possibilité de refuser un compte cloud pour son enfant. Le lobbying ed-tech fait le reste.
La preuve : depuis la sanction, six autres parents m’ont contacté pour des cas similaires en Andalousie et en Catalogne. Trop tard pour porter plainte : délai de prescription dépassé ou preuves effacées. « On a déplacé les serveurs, on a plus rien », leur répondent les directions. La boucle est bouclée.
12 000 €, donc. Le montant équivaut à deux mois de frais d’inscription d’un seul élève à Holy Mary. Une paille. Mais la condamnation est publique, et les écoles privées madrilènes viennent de recevoir un memo interne : « Verrouillez les OU Google, activez la console Family Link, créez un parcours dédié. » Le mot d’ordre ? Ne plus se faire prendre, pas arrêter la collecte.
Les enfants, eux, gardent leur Gmail. Leurs données s’accumulent déjà dans le data-lake de Mountain View. La leçon n’est pas pour eux, elle est pour les parents : la prochaine fois qu’un directeur vous dira « c’est Google Éducation, c’est sécurisé », demandez-lui le numéro de dossier à l’AEPD. Il en aura besoin.