Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Après un sombre état des lieux, l’Éducation nationale veut rattraper le train du RGPD

Les colles, c'est fini
Droit 9 min
Après un sombre état des lieux, l’Éducation nationale veut rattraper le train du RGPD
Crédits : 3D_generator/iStock

Comment protéger les données scolaires personnelles à l'heure du RGPD ? Certaines des mesures préconisées par un rapport d’inspecteurs généraux de l’Éducation nationale vont servir à une longue remise à niveau du ministère à partir de la rentrée 2018.

C’est peu de le dire, ce large état des lieux est précieux puisque depuis le 25 mai, le Règlement général sur la protection des données (RGPD) est entré en application. Le texte s’applique de plein fouet à ce secteur qui concerne des millions de mineurs, sans compter les enseignants et le personnel administratif.

Ce rapport, remis en février, mais pointé que récemment par le site du ministère, souffle le chaud et le froid.

Le chaud, en considérant que l’exploitation des données scolaires présente de sérieux avantages : rêve d’un parcours pédagogique mieux adapté, de nouvelles solutions pour les enseignants ou d’une meilleure connaissance des situations d’apprentissage, sans compter les charmes du « big data » pour améliorer encore la collecte et l'usage de ces informations.

Le froid, lors d’un sombre inventaire s'agissant de la connaissance des lieux de stockage, des règles de sécurisation,  des conditions générales d’utilisation, de l’impact des données… Par exemple, les délégations académiques au numérique pour l'éducation (Dane) et les directeurs des systèmes d'information (DSI) ont été « nombreux à rapporter une grande ignorance de ce que recouvre ce texte pour une large majorité des professeurs, des chefs d’établissement et des pilotes à l’échelle académique ».

Des données de mineurs, des données sensibles

Dans ce flot, regrettent les auteurs, « la question des données personnelles est souvent envisagée de façon partielle ou sans tenir compte des trois types de données qu’elle recouvre : des données personnelles saisies par la personne (personnel administratif, professeur, élèves, parent) ; des traces d’activités scolaires : navigation, téléchargements effectués, productions... ; des calculs effectués par un logiciel utilisé dans le cadre scolaire (temps et fréquence d’utilisation, corrélation…) ».

Les données des élèves, population profitant d’une protection RGPDienne spécifique, drainent en outre dans leur sillage des informations jugées sensibles comme celles relatives au carnet de santé (dont les dispenses d’activités sportives) ou l’appartenance religieuse d’une famille, facilement déduite d’absences coïncidant avec certaines fêtes religieuses.

Des règles parfois « largement ignorées », les services grand public déconseillés

Pour le rapport, c’est bien simple, les règles du RGPD sont « largement ignorées », s’agissant de l’inévitable étude d’impact à mener dès que des traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Comment répondre à ces risques ? Les pistes passent par une formation rapide des enseignants et chefs d’encadrement. Un travail pour le moins titanesque puisqu’il y aurait 11 400 responsables de traitement, essentiellement des chefs d’établissement. Chacun se voit ainsi chargé de déterminer les finalités et les modalités de traitement dont ils peuvent ignorer les détails.

Pour les épauler, le rapport suggère déjà d’éviter d’utiliser des services destinés au grand public, en raison du risque d’un usage à d’autres fins que celles pédagogiques ou administratives. « Pour accéder à certains de ces outils, dont des réseaux sociaux, les élèves peuvent être amenés à s’inscrire individuellement et à livrer certaines données personnelles », notent les rapporteurs, sans difficulté.

La licéité du traitement pour des motifs d’intérêt public

Avec l’article 6 du règlement, un traitement peut être licite sans consentement s’il est nécessaire par exemple à une mission d'intérêt public ou relève de l'exercice de l'autorité publique dont est investi le responsable. « Tous les services numériques éducatifs relèvent-ils d’une mission d’intérêt public ? » s’interrogent faussement ces mêmes inspecteurs qui se posent en outre la question de la liberté pédagogique de l’enseignant « quant au choix des ressources numériques qu’il entend utiliser dans le cadre de son enseignement ».

Selon eux, avec cette liberté, « il existe un risque de tensions au sein des établissements autour de ces sujets » avec le chef d’établissement, responsables de traitements.

Ce n’est pas tout. Le texte européen demande à ce que les traitements de données soient présentés de manière compréhensible lorsqu’il concerne des mineurs. Là encore, est exigé un fort travail pédagogique des responsables.

Le 25 mai bouleverse également le cadre actuel, en particulier la charte de confiance promise de longue date, mais jamais signée. Un tel document « apparait déjà dépassé », considère le rapport qui prône l’adoption d’un nouveau schéma « compréhensible par les usagers (et pas seulement par les spécialistes) » et appliqué par l’ensemble des acteurs, « en particulier les GAFAM », histoire d’éviter de torpiller davantage encore les éditeurs de taille plus modeste.

Des données qui circulent en clair

Les difficultés gagnent plusieurs étages lorsqu’on sait que les flux de données scolaires arrosent de nombreuses organisations, pas seulement les établissements ou les mairies. Parfois, ces transmissions se font tout simplement en clair.  « L’un des interlocuteurs de la mission a fait part de son étonnement et regrette que le projet initié par l’éducation nationale et ayant pour objectif de crypter [sic] de façon sécurisée toutes les données issues des bases élèves n’ait jamais pu être mené à bien. »

Cette faiblesse est aggravée lorsque des données inutiles sont transmises aux tiers, réduisant à peu de choses le principe de minimisation. « Ainsi, la présence des photos des élèves ou des informations sur la profession de leurs parents n’ont guère de justification pour mettre en œuvre des logiciels de vie scolaire (absences, notes, etc.) ».

Pour faire un point global, les inspecteurs militent avant tout pour une cartographie détaillée des flux « en précisant leurs relations, la nature des données transmises et leur cryptage éventuel ». Le chiffrement devrait enfin être systématique s’agissant des données personnelles issues de bases gérées par le ministère puis transmises à des tiers.

education nationale RGPD
Crédits : Ministère de l'Education nationale

Un besoin d’audit, de délégué à la protection des données personnelles

Toujours sur le périmètre des relations avec les acteurs privés, le rapport constate que le ministère lui-même est loin de pouvoir s’assurer que les outils proposés sont conformes avec la législation.

Bilan là encore morose : « Ces entreprises qui proposent des ressources ou services numériques déclarent quand ils répondent à des appels d’offres ou des appels à projets qu’ils sont conformes à législation. Comme il n’existe pas d’audit de ces structures, l’institution n’a aucune visibilité quant à ce qui est réellement fait par ces partenaires de l’école dans le domaine des données personnelles ».

Une solution serait qu’un audit soit justement lancé dès lors qu’une entreprise « souhaite pénétrer le marché scolaire numérique ».

Le rapport tire d’autres conclusions s’agissant par exemple de l’obligation de nommer un délégué à la protection des données personnelles (DPD ou DPO, data protection officer). « Il semble que le ministère n’a pas encore pris la pleine mesure de ces enjeux organisationnels en particulier dans les services déconcentrés » peut-on lire sans nuance dans ce rapport de février 2018.

S’armer face aux futurs contentieux

Sur la sécurisation des données, le ministère est chaleureusement invité à « prendre la pleine mesure de cette responsabilité ». Le 25 mai doit être l’occasion rêvée pour une « remise en ordre », afin de définir précisément  les responsabilités respectives. « En l’état, mieux vaut s'armer pour affronter de futurs contentieux et accompagner dans un sens protecteur élèves familles et enseignants, plutôt que de prétendre au risque zéro ».

En guise de rampe, le rapport juge par exemple utile la création d’un comité d’éthique et d’expertise, compétent « sur l’intérêt public de l’utilisation de données scolaires » et composé de « membres de la communauté éducative d’horizons très divers ». Autre préconisation (n°14), instaurer une obligation de certification Anssi pour tous les contractants appelés à héberger des données scolaires personnelles.

Un objectif de souveraineté

Pour impliquer plus profondément l’État, l’une des solutions serait d’« intégrer l’éducation nationale dans le domaine des secteurs d'activité industriels stratégiques soumis à une autorisation préalable du gouvernement français en cas d'investissements étrangers ».

Dans cet objectif de souveraineté, l’État pourrait entrer dans le capital des sociétés du moins celles « qui présenteraient un caractère hautement sensible pour la protection des données personnelles des enseignants, des élèves, et de leurs familles ». Le contrôle s’en trouverait par contrecoup renforcé.

Faut-il pour autant imposer l'usage d'un cloud souverain ? La mission ne partage pas cette idée, en considérant que le RGPD et la coopération entre les autorités de contrôle devraient suffir « à garantir la sécurité du stockage des données sur l’ensemble du territoire européen ». Selon eux, « les traitements de données s’effectuent aujourd’hui en flux, l’hébergement peut apparaitre comme une question moins prégnante ». Remarquons qu'en juillet dernier, l'Etat a revu sa stratégie cloud, en esquissant plusieurs offres dont un cloud interne pour les applications sensibles ou encore un cloud dédié pour les besoins moins sensibles. 

Dans les 53 pages du rapport, d’autres préconisations à relever, comme celle invitant à faire signer par les sociétés privées (éditeurs, hébergeurs, etc.) un contrat-cadre national avec l’Éducation nationale qui dresserait un inventaire d’obligations de sécurité. Pour respecter les règles de la commande publique, des cahiers des charges communs pourraient jouer un rôle similaire.

Ces inspecteurs plaident en faveur de l’élaboration de codes de conduite juridiquement contraignants et prévus à l’article 40 du RGPD. Leur rôle ? « Contribuer à la bonne application du présent règlement, prenant en compte la spécificité des différents secteurs de traitement ». De tels documents seraient parfaitement adaptés au monde de l’éducation pour réguler les décisions prises par les responsables de traitements ou formaliser les relations avec les sous-traitants.

Quelle prise en compte de ces recommandations par le ministère ?

Le ministre de l’Éducation nationale a présenté hier sa stratégie en matière de numérique Dans le chapitre de la protection des données personnelles, on retrouve certaines de ces préconisations, mais non l’ensemble des 17 identifiées par les inspecteurs généraux. 

Ainsi, un délégué à la protection des données sera désigné pour la rentrée 2018. Avec les DPO académiques, il sera chargé « de sensibiliser, d'informer et de conseiller les responsables des traitements, notamment les chefs d'établissements et les directeurs académique des services de l'Éducation nationale, mais aussi et plus largement de veiller au respect du cadre légal relatif aux données personnelles ».

Le code de conduite dédié à l’Éducation nationale est lui programmé pour la fin de l’année, et encore… Il sera alors soumis à la CNIL, ce qui peut faire craindre une finalisation qu’en 2019. « Ce code rassemblera tous les éléments qui s'imposent aux acteurs proposant des services et des ressources numériques aux écoles et établissements scolaires. »

Le ministère va encore créer le comité d'éthique et d'expertise en matière de données numériques, toujours au dernier trimestre 2018. « Cette instance, composée de membres qualifiés, émettra des avis sur l'intérêt public de l'utilisation des données récoltées et traitées dans le cadre scolaire. »

Enfin, il promet « un accent particulier » sur la formation des chefs d’établissement et des enseignants sur les  enjeux de l'utilisation des données scolaires numériques.

23 commentaires
Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 22/08/18 à 15:22:08

Comme j’aime les explications concrètes, je vais exposer ici deux choses que j’ai été amené à faire lorsque j’étais assistant du directeur d’une école élémentaire (pour l’année 2016-2017).

  1. À la demande du directeur, j’ai tenu un tableau LibO Calc (le PC tournait sous Windows, mais on utilisait autant que possible des logiciels libres : Firefox, Thunderbird, LibreOffice…) où je comptabilisais le nombre d’absences dans le mois de chaque élève de l’école. Il semble que mon dirlo l’ait très rapidement oublié, puisque j’étais le seul à consulter ce fichier et à l’actualiser, sauf lorsqu’une éducatrice pour certains élèves en grande difficulté (bon, autant le dire : des gitans complètement analphabètes et incapables de suivre un cursus normal… et pourtant, tout était fait pour au moins les motiver, mais les familles ne les envoyaient clairement à l’école que pour éviter d’avoir des ennuis), extérieure à l’école, a voulu voir combien d'absences ces élèves-là cumulaient.

  2. J’étais aussi chargé de noter les numéros, références (nom des comptes émetteurs et des banques) et montants des chèques pour la coopérative de l’école (pour financer les voyages et autres sorties scolaires). Je les notais dans un tableau… Google Sheet, directement rattaché au compte GDrive personnel du directeur (sur lequel étaient aussi synchronisés tous les fichiers et dossiers du PC de son bureau).

    Je devine la réponse, mais j’imagine qu’aucune de ces deux situations ne serait vue d’un bon œil par le RGPD, maintenant. Je me trompe ?

Édité par Trit’ le 22/08/2018 à 15:24
Avatar de propositionjoe Abonné
Avatar de propositionjoepropositionjoe- 22/08/18 à 15:49:05

Il y a effectivement des habitudes à perdre rapidement. J'ai aussi connu un directeur qui utilisait gmail pour envoyer les gevasco des élèves (dossier pour traitement d'un handicap). J'ai essayé de lui expliquer le problème; il m'a juste prit de haut...

Avatar de wanou Abonné
Avatar de wanouwanou- 22/08/18 à 16:30:26

La profession des parents est clairement une information demandée depuis des décennies et clairement discriminatoire. Sa suppression sera la bienvenue.

Avatar de Steph37550 Abonné
Avatar de Steph37550Steph37550- 22/08/18 à 17:41:57

Dans les entreprises, la pression a été (est) très forte pour mettre en place la RGPD. Pour l'état, ils n'en sont qu'à faire des évaluations... Pourtant la RGPD a été annoncée de longue date. 

Avatar de parker58 INpactien
Avatar de parker58parker58- 22/08/18 à 19:09:59

Je ne vois pas où est le problème, il faudrait être un peu plus pédagogique pour le coup.

Avatar de anagrys Abonné
Avatar de anagrysanagrys- 22/08/18 à 19:43:40

Steph37550 a écrit :

Dans les entreprises, la pression a été (est) très forte pour mettre en place la RGPD. Pour l'état, ils n'en sont qu'à faire des évaluations... Pourtant la RGPD a été annoncée de longue date. 

c'est pas pareil :  les entreprises, c'est le privé. L’État, c'est le public, par définition Il est bienveillant :mad2:

Avatar de JD Abonné
Avatar de JDJD- 22/08/18 à 20:59:53

Non seulement l'EN ne crypte pas certaines données sensibles mais de surcroît le ministère interdit le chiffrement des courriels via les messageries profesionnelles... En effet, les courriels chiffrés sont directs filtrés avec le message suivant :

Ceci est une notification automatique ; merci de ne pas répondre...
L'antivirus a détecté un message potentiellement dangereux ; il a été placé en quarantaine.
[...]
Motif: Message is encrypted.

Cela fait deux ans que j'écris au DSI de mon académie pour lui expliquer que c'est idiot... En effet, des données très sensibles des élèves/parents/personnels sont envoyées en clair par courriel. Or l'EN permet la redirection des messages sur les mails perso. Donc ces données sont souvent diffusées en clair à google, yahoo & co...

Voilà comment ça se passe dans l'EN... Donc, sans surprise, on peut se donner rendez-vous dans dix ans pour constater que l'EN ne respectera pas le RGPD.

Avatar de Patch INpactien
Avatar de PatchPatch- 23/08/18 à 07:26:21

anagrys a écrit :

c'est pas pareil :  les entreprises, c'est le privé. L’État, c'est le public, par définition Il est bienveillant :mad2: s'asseoit sur les lois qu'il a lui-même voté

:cap:

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 23/08/18 à 08:28:44

Au dernière nouvel, l'état n'a pas de tendance SM envers lui-même mais contre la population, je pense qu'elle aime bien.:transpi:

Avatar de Patch INpactien
Avatar de PatchPatch- 23/08/18 à 09:29:03

Ami-Kuns a écrit :

Au dernière nouvel, l'état n'a pas de tendance SM envers lui-même mais contre la population, je pense qu'elle aime bien.:transpi:

Ce qui ne l'empêche pas de s'asseoir sur les lois votées, et strictement contrôlées dans le privé :D

Il n'est plus possible de commenter cette actualité.
Page 1 / 3