La charte de confiance des services numériques pour l’Éducation, Microsoft compris

Nous avons pu nous procurer la Charte de confiance des services numériques pour l’éducation. Du moins, un document de travail en cours de discussion avec les différents partenaires. Fait notable, ce texte concerne également l’accord noué entre Microsoft et l’Éducation nationale en novembre 2015.

Voilà quelques semaines, nous révélions qu’un collectif a sollicité la CNIL pour que celle-ci mette son nez dans l’accord de partenariat entre le ministère, l’Association française des industriels du numérique éducatif (AFINEF) et l’éditeur américain. Edunathon a en effet quelques craintes sur le sort des données personnelles des élèves, mais aussi des enseignants avec toutes les problématiques de stockage, de traitement et d’exploitation commerciale de ces données.

Cet accord passé en novembre 2015 promet depuis ses origines un « engagement dans une démarche visant à l’adhésion à une charte de confiance en cours de rédaction pour assurer la protection et la vie privée des données personnelles des élèves et des enseignants ». Seulement, un an plus tard, une telle charte n’a toujours pas été signée. D’où l’agacement d’Edunathon qui demande à la Commission nationale informatique et libertés d’intervenir.

De fait, cette fameuse charte existe déjà, mais à l’état de brouillon. Mieux, elle n’est pas à proprement parler un texte peaufiné pour ce rapprochement Éducation nationale-Microsoft, mais est bien plus vaste. En outre, nous avons appris que la CNIL scrutait de près ce sujet depuis de longs mois, bien avant la lettre d’Edunathon.

Annoncé en mars 2016 par Najat Vallaud-Belkacem, ce document est coélaboré par le ministère, la Chambre syndicale des sociétés d’études et de conseils numériques (SYNTEC numérique), l’Association française des industriels du numérique éducatif (AFINEF) et le syndicat national de l'édition.

Informatique de confiance, protection de la vie privée et des données personnelles

D’une durée de trois ans, reconductible, il est destiné à être signé par les différents fournisseurs de services numériques pour l’éducation afin de permettre « à tous les acteurs de l’éducation (enseignants, personnels, élèves et parents) de recourir en confiance à des services numériques, souvent nouveaux, tout en garantissant la protection de leur vie privée et de leurs données personnelles ».

Dans la version en notre possession, plusieurs verrous sont envisagés. Par exemple, « les données à caractère personnel concernant les élèves ne [seront] pas traitées pour des finalités autres que celles du service, objet du contrat liant le prestataire de services au client ». En particulier, celles « concernant les élèves ne [seront] pas utilisées à des fins commerciales ».

Analyse comportementale et profilage des élèves pour améliorer le service

Toujours dans cette version intermédiaire, l’accord n’interdit pas des analyses comportementales voire le profilage des élèves, mais le traitement devra être limité d’une part, au suivi pédagogique de l’élève par les équipes enseignantes ou par les responsables légaux, ou d’autre part « à l’amélioration du service dans un cadre explicité à l’utilisateur et sans lien avec des services tiers ».

Enfin, les données personnelles concernant aussi bien les élèves que les enseignants ne pourront être diffusées à d’autres tiers, sauf « ceux éventuellement prévus par le contrat et par la finalité du traitement ».

Cette version interdit aussi de diffuser de la publicité aux élèves « dans les services » fréquentés. Une interdiction qui cible donc les jeunes, mais pas nécessairement les autres personnes présentes dans les établissements. Pour les enseignants, les cadres et les agents, justement, la protection interdit là encore un traitement commercial, sauf cette fois consentement explicite de l’utilisateur qui devra donc bien lire les clauses du contrat de licence. Analyses comportementales ou profilages éventuels seront là encore limités au suivi pédagogique et à l’amélioration du service.

Les académies, établissements et collectivités « disposeront de l’information sur le cadre dans lequel des données à caractère personnel seront collectées et traitées (nature des données recueillies et nature de leur utilisation) pour informer les utilisateurs ». Des moyens seront déployés pour archiver les données, ou les effacer après une période de conservation décrite dans le contrat.

Des données stockées en France, UE ou dans le monde

Quid du stockage de ces données ? « Les données à caractère personnel sont hébergées en France, en Europe ou en dehors de l’Union européenne dans le respect des textes en vigueur comme précisé dans le contrat ». Ce projet de charte est donc géographiquement très généreux. 

Curieusement, la charte en l'état s'intéresse aussi aux questions commerciales, sujet qui relève généralement de la politique contractuelle de chacun et des marchés publics. Une porte est ainsi prévue pour modifier le modèle économique des licences déployées dans les établissements. Ainsi « le passage de gratuit à payant, ou de gratuit à partiellement gratuit devra faire l’objet d’un préavis de 12 mois ». Et encore, « toute modification de l’offre » devra « faire l’objet d’un préavis de 3 mois avant la fin de l’année scolaire en cours ». Les clients auront la possibilité de continuer sur l’ancienne formule, sans donc de modification tarifaire, pendant l’année scolaire suivante, mais pas au-delà. Heureusement, chaque établissement, etc. pourra se dégager du contrat en cause avant ce couperet économique.

La charte garantit aussi « la récupération aisée par l’utilisateur des données qu’il a créées dans un format structuré couramment utilisé et lisible par machine, pendant la durée du contrat et une période de 3 mois à la fin dudit contrat ». Pour assurer un service propre et net, elle s’engage à « disposer d’un moyen simple de signaler les contenus illicites ou inappropriés pour les services de communication publique en ligne, et retirer les contenus avérés illicites dans les meilleurs délais ».

Attendu de longue date, ce document n'est toujours pas finalisé. Un retard qui pourrait s'expliquer par les discussions ouvertes avec la CNIL quant au sort de ces données personnelles sensibles, mais aussi avec les acteurs (dont Google, Apple,  etc.). Dans les coulisses, des interlocuteurs nous font en effet état de pierres d'achoppement entre différents acteurs privés impliqués. Aucun agenda n'est encore fixé pour sa version finalisée.