Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La CNIL épingle Admission Post-Bac pour de multiples violations à la loi de 1978

Redoublement conseillé
Droit 5 min
La CNIL épingle Admission Post-Bac pour de multiples violations à la loi de 1978
Crédits : Marc Rees (licence CC-BY-SA 3.0)

Décision rare. La CNIL a  mis en demeure le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation pour le traitement APB ou Admission Post-Bac. Le gendarme des données personnelles y dévoile plusieurs défaillances – très lourdes – dans ce système de préinscription.

APB, créé en 2011, va devoir être sévèrement réformé après cette mise en demeure adressée par la Commission nationale informatique et des libertés. Saisie d’une plainte en novembre 2016, celle-ci s’est penchée sur les rouages de ce traitement, sous l’angle des dispositions de la loi de 1978.

Après notamment une mission de contrôle sur place à l’Institut national polytechnique de Toulouse, chargé de la maitrise d’œuvre d’APB, elle est revenue avec une brouette de critiques à l’encontre de ce traitement algorithmique, censé être un fleuron français.

Des algorithmes, pas d'intervention humaine (article 10)

L’article 10 de la loi de 1978 prévoit qu’ « aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».

Un examen humain doit donc toujours être organisé afin d’éviter une « algorithmocratie » ou dictature des machines. Or, la CNIL relève qu’avec APB, « les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle ».

Et puisqu'on est bien ici en présence d’une décision produisant des effets juridiques où APB « détermine les formations post-baccalauréat auxquelles [les futurs étudiants] peuvent s’inscrire », la disposition est violée.

Manque d'information (article 32)

L’article 32-I de la même loi impose une obligation d’information des personnes auprès desquelles sont recueillies des données personnelles. Elles doivent par exemple connaître l’identité du responsable du traitement, le destinataire des données, etc.

Avec APB, note la mise en demeure de la CNIL, « les candidats sont amenés à fournir un nombre important de données à caractère personnel telles que leurs nom, prénom, date de naissance, pays de naissance, nationalité, situation de famille (marié, pacsé, nombre de personnes à charge), adresse, numéro de téléphone, noms et catégorie socio-professionnelle des responsables légaux, revenu brut global, nombre de frères et sœurs à charge de la famille, ou encore le nombre de frères et sœurs scolarisés dans l’enseignement supérieur ».

Souci : sur le formulaire de saisie, on ne connaît ni l’identité du responsable du traitement, ni la finalité poursuivie, ni les droits reconnus par la loi (accès, rectification, etc.) ni les destinataires (les établissements d’enseignement).

Pas de détails sur les rouages des algorithmes (article 39)

L’article 39 I. 5) du texte indique que toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement en vue d’obtenir notamment « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

Lorsque des candidats veulent connaître les raisons d’un refus d’affectation dans tel établissement, le ministère se contente de leur dire que les capacités d’accueil sont insuffisantes, outre de les informer des critères utilisés pour la sélection selon le Code de l’éducation.

Cependant, critique la CNIL, « aucune information relative à l’utilisation d’un algorithme et au fonctionnement de celui-ci pour procéder au classement et à l’affectation des personnes au sein des établissements de l’enseignement supérieur (notamment la méthode ayant permis de développer l’algorithme, les contraintes ou les besoins définis par l’administration, le taux d’erreur de l’algorithme ou encore le score obtenu par le candidat, les seuils de scoring et leur signification) n’est fournie aux candidats ».

Un beau témoignage d'opacité qui nous replonge dans la demande CADA visant le code source d'APB. Ces éléments avaient été produits par le ministère au format papier...

Pas de clause de sécurité chez le sous-traitant (article 35)

Si le ministère de l’Éducation nationale a confié les clefs du portail APB à l’Institut national polytechnique de Toulouse, le contrat signé « ne prévoit pas de clauses relatives aux obligations du sous-traitant en matière de sécurité et de confidentialité des données à caractère personnel, précisant notamment que le sous-traitant ne peut agir que sur instruction du responsable de traitement ».

L’article 35 prévient notamment qu’un sous-traitant « doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité ». Le même oblige le contrat liant le sous-traitant au responsable du traitement à indiquer « les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données » tout en précisant « que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».

Et maintenant ?

Cette mise en demeure a été notifiée fin août au ministère qui a trois mois pour corriger le tir. Spécialement, il devra « cesser de prendre des décisions produisant des effets juridiques à l’égard des personnes sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé » et « en particulier, prévoir une intervention humaine permettant de tenir compte des observations des personnes ».

Hier, on apprenait via l’AFP que 3 729 bacheliers étaient sans affectation, alors que les candidats avaient jusqu’au 25 septembre pour postuler dans un établissement par APB.  

Le 3 septembre dernier, la ministre de l’Enseignement supérieur Frédérique Vidal vantait les charmes d’APB au Journal du Dimanche : « Avant, c'était la règle du "premier arrivé, premier servi". Il n'est pas question d'en revenir là ! Une gestion informatisée est nécessaire ». Elle promettait néanmoins une refonte d’un « système à bout de souffle » qui aurait du mal à encaisser le surplus de 40 000 étudiants cette année.

De fait, ce système est peut-être à bout de souffle, mais il a surtout été sèchement épinglé par la CNIL quatre jours avant cette interview. On notera aussi que la diffusion de la mise en demeure a été faite le 28 septembre, alors que le terme d'APB était fixé trois jours plus tôt. Il n'est pas certain que les étudiants tombés dans l'estomac de cet algorithme sans intervention humaine apprécient un tel calendrier.   

28 commentaires
Avatar de FrancoisA INpactien
Avatar de FrancoisAFrancoisA- 28/09/17 à 08:40:49

  Ça sent la V2.

Édité par FrancoisA le 28/09/2017 à 08:41
Avatar de fred42 INpactien
Avatar de fred42fred42- 28/09/17 à 08:50:39

Ça va être lourd d'introduire une intervention humaine pour tous ceux qui n'ont pas une des affectations demandées...

Mais quoi de plus normal que de prendre en compte les personnes ?

En tout cas, ça fait partie des fessées les plus magistrales infligées par la CNIL !

Et cela doit pouvoir ouvrir une voie de recours administratif à chaque décision qui ne conviendrait pas à l'intéressé.

Avatar de vince120 Abonné
Avatar de vince120vince120- 28/09/17 à 08:53:31

La décision de la CNIL permet elle une voie de recours pour les candidats éconduits ?

Avatar de cyrano2 Abonné
Avatar de cyrano2cyrano2- 28/09/17 à 08:56:57

Le vrai scandale est surtout qu'il n'y a pas assez de place à l'université.

Ensuite, concernant APB, au lieu de lui demander une réponse simple, il faut qu'il sorte le "raisonnement" qui a conduit à la décision (détail du scoring, rang de scoring, classement, etc...), et que celui-ci soit contestable en appel.

Avatar de PtiDidi Abonné
Avatar de PtiDidiPtiDidi- 28/09/17 à 09:13:01

Créé en 2011, à bout de souffle en 2017? Le cahier des charges était pourri de base?
Qui avait pondu ce système et à quel prix?

Avatar de ike INpactien
Avatar de ikeike- 28/09/17 à 09:54:36

Sur les quatre point remonté par la CNIL, deux sont juste de la forme (article 35 et 32). Un manquement sur une page et un manquement dans un contrat sur la confidentialité des informations (à vérifier si d'ailleurs la demande de confidentialité n'était pas implicite dans l'ensemble des documents du sous traitant).

Le deux autre point (article 10 et 39) sont surement les plus intéressant et les plus polémique. Car cela englobe une très large partie des services aujourd'hui utilisé.

Je suis d'ailleurs curieux de voir pourquoi la CNIL ne cible pas tout les système de notations qui existe par ailleurs avec l'article 39. L'algo des notations étant rarement décrit.

Avatar de laurader INpactien
Avatar de lauraderlaurader- 28/09/17 à 10:05:14

cyrano2 a écrit :

Le vrai scandale est surtout qu'il n'y a pas assez de place à l'université.

Ensuite, concernant APB, au lieu de lui demander une réponse simple, il faut qu'il sorte le "raisonnement" qui a conduit à la décision (détail du scoring, rang de scoring, classement, etc...), et que celui-ci soit contestable en appel.

le vrai scandale reste la sanctification de l'université depuis des lustres alors que ça ne donne pas un CV, comme le voudraient certains, ni des connaissances, comme le voudraient d'autres et encore moins une autonomie.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 28/09/17 à 10:19:24

Et dire qu'il aurait suffi que le soft soit géré par Microsoft, dans le cadre de son accord avec l'EducNat, pour éviter ces erreurs sur la gestion des données personnelles... :fumer:

Avatar de ArchangeBlandin Abonné
Avatar de ArchangeBlandinArchangeBlandin- 28/09/17 à 10:23:36

Ca dépend du domaine, de l'université du niveau d'études que tu vises.
Donc, oui, il y a plein de choses dans l'université qui n'amènent à presque aucune compétence valorisée par les entreprises. On devrait fortement filtrer les admissions dans ces branches là, elles ne sont pas totalement inutiles, mais les emplois étant peu nombreux, il ne faut pas laisser trop de monde y aller.
Il y en a d'autres qui sont irremplaçables.
Si l'on pousse un peu plus loin, pour ceux qui font une thèse, il y a des sujets de thèse qui valent de l'or pour les entreprises (ou labos de recherche) et d'autres qui ne valent pas un clou.

La fac donne une autonomie au moins sur un sujet : se jeter dans une voie sans issue ou dans un domaine avec des débouchés.

Avatar de levhieu INpactien
Avatar de levhieulevhieu- 28/09/17 à 10:32:27

Moi le créé en 2011 m'étonne.
Peut-être qu'il manque juste un «dans sa forme actuelle», j'aimerais bien en savoir plus sur l'historique du programme

Il n'est plus possible de commenter cette actualité.
Page 1 / 3