Un badge Bluetooth impératif au ceinturon de chaque élève. Voilà l’annonce faite par le collège-lycée Rocroy Saint-Vincent de Paul, un établissement catholique parisien. L’initiative est jugée inacceptable par certains des principaux concernés qui rappellent qu’ils ne sont « pas des objets ».
La mise à jour du règlement intérieur de Rocroy Saint-Vincent de Paul, un établissement privé sous contrat d’association avec l’État, n’a pas laissé indifférents certains de ses collégiens et lycéens. Au côté des règles habituelles, une nouveauté est prévue pour la rentrée 2018-2019.
« Les élèves reçoivent en début d’année un porte-clefs connecté (Bluetooth) qu’ils doivent avoir en permanence sur eux » annonce ce document que le Code de l’Éducation rend impératif en, son article L 511-1. Ce porte-clefs est décrit comme « une aide afin de s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties, mais aussi au cours des exercices de sécurité ».
De fait, l’objet connecté est taillé pour s’assurer de la présence des collégiens et lycéens en cours, et déduire leur éventuelle absence, sachant que la perte ou l’oubli du « badge » entrainera « une sanction appropriée », sa perte une prune de 10 euros.
Face à cette intrusion technologique, une pétition a été lancée sur Avaaz.org. Elle réunit 3 500 signatures, jugeant « tout bonnement inacceptable » ce système de surveillance. « Les élèves n’étant pas des objets appartenant à Rocroy » rappellent ses organisateurs.
Une solution développée par NewSchool, start-up française
Selon nos informations, le prestataire choisi pour déployer cette armada dans les affaires des collégiens et lycéens est NewSchool, une startup française qui avait notamment eu les honneurs d’un plateau BFM. Le principe, résumé par nos confrères ? « Chaque élève accroche à son porte-clefs une sorte de capsule connectée. L'application NewSchool, un cahier d'appel électronique installé sur le téléphone du professeur, entre en contact avec ces petits boîtiers ». Une application bourrée de ressources, pouvant par exemple alerter automatiquement les parents en cas d’absence.
Toujours selon nos sources, les données des élèves ne sont pas stockées dans l’établissement, mais auprès de ce sous-traitant, lequel fait appel depuis les Yvelines aux bons services d’OVH. Les charmes de cette solution résideraient dans l’économie des nombreuses heures lors des appels traditionnels ou en cas d’alerte incendie afin de transmettre les informations utiles aux autorités le plus rapidement possible.
Un badge présenté comme ultra-sécurisé, une portée jusqu'à 75 mètres
À en croire ses développeurs, cette clef serait en outre ultra-sécurisée. Personne, autre que les enseignants dans le périmètre de leur salle et agenda, ne pourrait l’utiliser, avec un contrôle d’accès via leur adresse académique. Elle dispose d’une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l’extérieur.
L’association entre numéro d’identification et nom des élèves est assurée par une API gérée par Statim, l’éditeur d’École Directe, un logiciel de gestion d'établissement scolaire. Le tout aurait été vérifié par la Cnil. De ce fait, il ne serait pas possible pour le quidam de remonter aux données nominatives, malgré de multiples permissions dénoncées sur Exodus-Privacy, en particulier sur les liaisons Bluetooth.
Nous avons tenté de joindre l'établissement du 10e arrondissement, en vain. Nous savons cependant qu’une communication est programmée en fin de journée ou demain, alors que plusieurs questions restent en suspens.
La surveillance électronique des mineurs et le RGPD
Le règlement intérieur, que doivent accepter en bloc les parents, n’est pas très loquace sur l’information des personnes au regard du traitement des données. Il est même silencieux.
Le RGPD exige pourtant tout un lot d’informations : la base juridique du traitement, les destinataires de ces fichiers, la durée de conservation, les droits d’accès et de rectification, l’existence d’une prise de décision automatisée, dans l’hypothèse par exemple d’une sanction automatisée consécutive à plusieurs absences.
Enfin, le public concerné est constitué de mineurs. Le considérant 38 du RGPD exige dès lors « une protection spécifique » concernant leurs données, épaulée par une information adaptée.
Un impératif qui fait ici cruellement défaut d’autant que dans les cartons de NewSchool, plusieurs projets de développement sont sur la rampe. Dans quelques mois, les collèges et lycées intéressés pourront utiliser ce porte-clefs connecté pour payer la cantine, emprunter des ouvrages en bibliothèque voire assurer l’identification aux grilles des établissements.
