Où en est la charte sur les données personnelles dans les établissements scolaires ? Alors que l’outil informatique s’incruste au quotidien dans les salles de classe, le document prévu depuis 2015 n’est tout simplement pas finalisé à 46 jours de l'entrée en application du RGPD.
En mars 2016, Najat Vallaud-Belkacem annonçait l’arrivée d’une charte de confiance des services numériques pour l’Éducation, élaborée par le ministère, la Chambre syndicale des sociétés d’études et de conseils numériques (SYNTEC numérique), l’Association française des industriels du numérique éducatif (AFINEF) et le syndicat national de l'édition.
Un document promis de longue date
Son objet ? « Permettre d’assurer la protection des données personnelles des élèves, des équipes pédagogiques et des parents ». Autant dire, un élément important à l’heure de vastes accords-cadres avec des mastodontes du secteur de l’édition.
D’ailleurs, en novembre 2015, le partenariat passé entre le ministère et Microsoft avait déjà programmé une telle « charte de confiance » destinée à « assurer la protection et la vie privée des données personnelles des élèves et des enseignants ».
En décembre 2016, Next INpact mettait la main sur une version préparatoire. On y découvrait que la fameuse charte avait pour objet de « recourir en confiance à des services numériques, souvent nouveaux, tout en garantissant la protection de leur vie privée et de leurs données personnelles ». Ainsi, « les données à caractère personnel concernant les élèves ne [seront] pas traitées pour des finalités autres que celles du service, objet du contrat liant le prestataire de services au client ».
Amélioration du service, hébergement n'importe où dans le monde
Le texte autorise les analyses comportementales des élèves, à condition que le traitement soit limité au suivi pédagogique de l’élève par les équipes enseignantes ou les responsables légaux, ou « à l’amélioration du service dans un cadre explicité à l’utilisateur et sans lien avec des services tiers ». De même, si une interdiction de diffuser de la publicité « dans les services » est sacralisée à l’égard des élèves, elle ne l’est pas pour les autres personnes des établissements…
Les données à caractère personnel aspirées lors de l’usage de ces solutions devront enfin être « préférentiellement hébergées en France ou en Europe », exposait le même document, sachant qu’elles pourront « également être hébergées en dehors de l’Union européenne dans le respect des textes en vigueur comme précisé dans les conditions contractuelles ».
Les critiques de la CNIL
En mai 2017, la CNIL avait néanmoins exprimé de bruyantes critiques, considérant que « compte tenu de la sensibilité des données en jeu, cette charte devrait se traduire par un encadrement juridique contraignant tant en ce qui concerne la non-utilisation des données scolaires à des fins commerciales, l’hébergement de ces données en France ou en Europe ou encore l’obligation de prendre des mesures de sécurité conformes aux normes en vigueur ».
En clair, une charte – soit un simple engagement, main droite en l’air – est un processus un peu léger pour accompagner la protection des données personnelles aussi sensibles, s’agissant d'une population qui compte des mineurs dans ses rangs.
Un document toujours en préparation
Voilà quelques semaines, nous avons contacté la CNIL pour savoir où en était ce chantier. La Commission n’a pu nous fournir la moindre information, assurant que la balle était dans le camp du ministère de l’Éducation nationale. Celui-ci nous a soutenu que le dossier avait pris un peu plus de temps que prévu suite au renouvellement présidentiel de 2017, tout en nous promettant de revenir vers nous très rapidement. C’était il y a plus de dix jours.
Le fait notable est que la fameuse charte, annoncée lors de l’accord signé avec Microsoft en 2015, aura finalement pris plus de temps que l’implémentation du règlement général sur la protection des données personnelles dans l’ensemble des États membres. Adopté par le Parlement européen le 14 avril 2016, il entrera en application le 25 mai 2018 (notre dossier RGPD en trois volets).
Le RGPD s'appliquera à l'ensemble des traitements, exigeant pour ceux mettant en jeu des données de mineurs, un niveau de protection renforcée. À l’occasion des débats autour du projet de loi sur les données personnelles, les sénateurs ont à ce titre voulu que les établissements mettent à disposition du public « la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité ».
Détail piquant, il a aussi été prévu une sensibilisation obligatoire des élèves aux « règles applicables aux traitements des données à caractère personnel ».
