Décision rare. La CNIL a mis en demeure le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation pour le traitement APB ou Admission Post-Bac. Le gendarme des données personnelles y dévoile plusieurs défaillances – très lourdes – dans ce système de préinscription.
APB, créé en 2011, va devoir être sévèrement réformé après cette mise en demeure adressée par la Commission nationale informatique et des libertés. Saisie d’une plainte en novembre 2016, celle-ci s’est penchée sur les rouages de ce traitement, sous l’angle des dispositions de la loi de 1978.
Après notamment une mission de contrôle sur place à l’Institut national polytechnique de Toulouse, chargé de la maitrise d’œuvre d’APB, elle est revenue avec une brouette de critiques à l’encontre de ce traitement algorithmique, censé être un fleuron français.
Des algorithmes, pas d'intervention humaine (article 10)
L’article 10 de la loi de 1978 prévoit qu’ « aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
Un examen humain doit donc toujours être organisé afin d’éviter une « algorithmocratie » ou dictature des machines. Or, la CNIL relève qu’avec APB, « les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle ».
Et puisqu'on est bien ici en présence d’une décision produisant des effets juridiques où APB « détermine les formations post-baccalauréat auxquelles [les futurs étudiants] peuvent s’inscrire », la disposition est violée.
Manque d'information (article 32)
L’article 32-I de la même loi impose une obligation d’information des personnes auprès desquelles sont recueillies des données personnelles. Elles doivent par exemple connaître l’identité du responsable du traitement, le destinataire des données, etc.
Avec APB, note la mise en demeure de la CNIL, « les candidats sont amenés à fournir un nombre important de données à caractère personnel telles que leurs nom, prénom, date de naissance, pays de naissance, nationalité, situation de famille (marié, pacsé, nombre de personnes à charge), adresse, numéro de téléphone, noms et catégorie socio-professionnelle des responsables légaux, revenu brut global, nombre de frères et sœurs à charge de la famille, ou encore le nombre de frères et sœurs scolarisés dans l’enseignement supérieur ».
Souci : sur le formulaire de saisie, on ne connaît ni l’identité du responsable du traitement, ni la finalité poursuivie, ni les droits reconnus par la loi (accès, rectification, etc.) ni les destinataires (les établissements d’enseignement).
Pas de détails sur les rouages des algorithmes (article 39)
L’article 39 I. 5) du texte indique que toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement en vue d’obtenir notamment « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».
Lorsque des candidats veulent connaître les raisons d’un refus d’affectation dans tel établissement, le ministère se contente de leur dire que les capacités d’accueil sont insuffisantes, outre de les informer des critères utilisés pour la sélection selon le Code de l’éducation.
Cependant, critique la CNIL, « aucune information relative à l’utilisation d’un algorithme et au fonctionnement de celui-ci pour procéder au classement et à l’affectation des personnes au sein des établissements de l’enseignement supérieur (notamment la méthode ayant permis de développer l’algorithme, les contraintes ou les besoins définis par l’administration, le taux d’erreur de l’algorithme ou encore le score obtenu par le candidat, les seuils de scoring et leur signification) n’est fournie aux candidats ».
Un beau témoignage d'opacité qui nous replonge dans la demande CADA visant le code source d'APB. Ces éléments avaient été produits par le ministère au format papier...
Pas de clause de sécurité chez le sous-traitant (article 35)
Si le ministère de l’Éducation nationale a confié les clefs du portail APB à l’Institut national polytechnique de Toulouse, le contrat signé « ne prévoit pas de clauses relatives aux obligations du sous-traitant en matière de sécurité et de confidentialité des données à caractère personnel, précisant notamment que le sous-traitant ne peut agir que sur instruction du responsable de traitement ».
L’article 35 prévient notamment qu’un sous-traitant « doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité ». Le même oblige le contrat liant le sous-traitant au responsable du traitement à indiquer « les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données » tout en précisant « que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».
Et maintenant ?
Cette mise en demeure a été notifiée fin août au ministère qui a trois mois pour corriger le tir. Spécialement, il devra « cesser de prendre des décisions produisant des effets juridiques à l’égard des personnes sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé » et « en particulier, prévoir une intervention humaine permettant de tenir compte des observations des personnes ».
Hier, on apprenait via l’AFP que 3 729 bacheliers étaient sans affectation, alors que les candidats avaient jusqu’au 25 septembre pour postuler dans un établissement par APB.
Le 3 septembre dernier, la ministre de l’Enseignement supérieur Frédérique Vidal vantait les charmes d’APB au Journal du Dimanche : « Avant, c'était la règle du "premier arrivé, premier servi". Il n'est pas question d'en revenir là ! Une gestion informatisée est nécessaire ». Elle promettait néanmoins une refonte d’un « système à bout de souffle » qui aurait du mal à encaisser le surplus de 40 000 étudiants cette année.
De fait, ce système est peut-être à bout de souffle, mais il a surtout été sèchement épinglé par la CNIL quatre jours avant cette interview. On notera aussi que la diffusion de la mise en demeure a été faite le 28 septembre, alors que le terme d'APB était fixé trois jours plus tôt. Il n'est pas certain que les étudiants tombés dans l'estomac de cet algorithme sans intervention humaine apprécient un tel calendrier.
