Accord Microsoft-Éducation nationale : la CNIL veut plus qu’une simple charte de confiance

La fameuse charte de confiance qui devait encadrer l’accord entre Microsoft et l’Éducation nationale ne satisfait pas la CNIL. L’autorité réclame des données juridiques plus solides pour garantir la protection des données personnelles des élèves et enseignants.

En novembre 2016, le collectif EduNathon avait adressé une lettre à la Commission nationale de l’informatique et des libertés. Elle concerne l’accord passé entre le ministère de l’Éducation et Microsoft Irlande le 30 novembre 2015. Un accord riche de plusieurs initiatives, mesures d’accompagnement, formation des élèves et des enseignants, initiation au code informatique, etc. avec une part belle faite à Office 365, Windows Azure, et les autres produits de la maison Redmond.

Seulement, afin d’encadrer tout risque de traitements malencontreux, elle promettait l’édiction d’une « charte de confiance » visant à « assurer la protection et la vie privée des données personnelles des élèves et des enseignants ».

Un an plus tard et ne voyant rien venir, le collectif avait contacté la CNIL pour lui demander si elle avait été saisie ou avait connaissance de son existence et son contenu. Et EduNathon de se demander si les parents avaient été ou non informés de cet accord, de l’éventuelle exploitation des données dans les collèges, etc.

Un cadre de régulation, plus qu'une simple charte de confiance

Pour l'heure en effet, seule l'ébauche d'un projet de charte a été éventée dans nos colonnes. En avril dernier, chez nos confrères de l’Étudiant, Isabelle Falque-Pierrotin a révélé avoir été saisie par la ministre de l'Education :  « Le ministère nous a sollicités pour que nous rendions un avis. Sans en déflorer la teneur, nous partageons l'idée qu'il est temps de mettre un cadre à toutes ces offres économiques faites auprès de l'institution scolaire ».

Et voilà quelques jours, la CNIL est revenue à la charge à l’aide d’un communiqué pour indiquer qu’elle avait adressé au même moment une lettre à la ministre de l’Éducation nationale, juste avant donc le renouvellement présidentiel. Et l’autorité de regretter de ne pas avoir encore reçu de réponse.

Dans son communiqué elle indique qu’avec le déferlement du numérique dans les établissements, « il est plus que jamais nécessaire de fixer un cadre de régulation adapté qui protège de façon effective les données personnelles des élèves et des enseignants ». En clair, elle réclame un encadrement plus solide qu’une simple charte volontariste qui ne s’appliquera qu’aux acteurs volontaires.

La sensibilité des données en jeu

Si elle juge « intéressante » l’idée d’accompagner cette vague par une charte de confiance, la CNIL « considère toutefois que, compte tenu de la sensibilité des données en jeu, cette charte devrait se traduire par un encadrement juridique contraignant tant en ce qui concerne la non-utilisation des données scolaires à des fins commerciales, l’hébergement de ces données en France ou en Europe ou encore l’obligation de prendre des mesures de sécurité conformes aux normes en vigueur ». Ce n’est pas tout : « une attention particulière devrait en outre être portée aux droits des personnes ».

La CNIL appelle aussi les responsables éducatifs, les enseignants, mais aussi les collectivités territoriales à la vigilance et surtout « à ne recourir qu’à des services numériques respectant ces règles et principes ».

« Les acteurs de l'Éducation nationale sont dans une situation inconfortable, vis-à-vis de ces grands acteurs économiques, a considéré la présidente de la Commission dans l’interview précitée. Ils sont fortement sollicités, n'ont pas d'instructions extrêmement précises de la part de leur hiérarchie et sont donc largement laissés seuls face à leurs propres décisions  ». La pénurie budgétaire étant ce qu'elle est, des enseignants en arrivent « à utiliser de façon spontanée certaines applications, certains outils, dans un vide juridique total... »