Le nouveau projet de charte de confiance des services numériques pour l'Éducation

Arrivée de la CNIL comme observateur 8
Accès libre
image dediée
Crédits : PeopleImages/iStock
Loi
Marc Rees

Next Inpact diffuse les grandes lignes de la nouvelle version du projet de charte annoncé lors d'un accord entre Microsoft et l'Éducation nationale. L'objectif ? Encadrer l’usage des données personnelles glanées dans l'usage des outils informatiques mis à disposition des élèves. Elle consacre aussi l'arrivée de la CNIL en tant qu'observateur.

En novembre 2015, l’accord passé entre le ministère de l’Éducation et Microsoft Irlande avait dès l’origine prévu un encadrement par une « charte de confiance » destinée à « assurer la protection et la vie privée des données personnelles des élèves et des enseignants ».

Le document, qui a pour objet de protéger au mieux les données personnes de ce public sensible, s'appuie sur une série d'engagements pris par les fournisseurs de services numériques pour l’éducation, que ce soient des éditeurs français ou les géants américains.

Une série d'engagements pour les trois années à venir

Depuis plusieurs mois, une partie de ping-pong a été initiée entre tous les acteurs intéressés par cet accord. Next INpact avait déjà diffusé les grandes lignes du document préparatoire, mais une nouvelle version est sur la rampe pour tenir compte des récentes remarques internes de la CNIL.

Obtenue auprès d'un industriel susceptible de s'y engager, le projet continue donc à être discuté, affiné entre le ministère, l’Association française des industriels du numérique éducatif (AFINEF), les Éditeurs d’Éducation du Syndicat national de l’Édition (SNE), le syndicat professionnel des entreprises de service du numérique des éditeurs de logiciels et des sociétés de conseil en technologies (Syntec Numérique). Finalisé, il engagera le prestataire (Microsoft, Apple, Google, ou n'importe quel autre acteur) pour une durée de 3 ans, reconduit par tacite reconduction cette fois année après année. 

Analytique de l'apprentissage

Au fil de l’usage des solutions informatiques, la charte n’interdit pas « les analyses des données en lien avec les usages et les productions des élèves permettant de caractériser leur activité ». Seulement, ces analyses éventuellement prédictives seront « limitées au suivi pédagogique de l’élève par les équipes pédagogiques ou par les responsables légaux », si du moins une telle finalité a été mise en œuvre par le responsable du traitement.

Toujours dans ce cadre, suivant un principe de proportionnalité, « seules les données pertinentes et proportionnées à la finalité du traitement [seront] collectées et traitées ».

Une charte concentrée sur l'élève, moins sur l'enseignant

On remarquera en outre que toutes les parties relatives aux données personnelles des enseignants ont disparu du document, contrairement à une version antérieure. Le projet de charte se concentre donc surtout sur les élèves.

Pour ces derniers, les entreprises signataires s’engagent à fournir « les informations sur le cadre dans lequel des données à caractère personnel seront collectées et traitées (nature des données recueillies et nature de leur utilisation, catégories de destinataires, durée de conservation des données, existence de transferts hors de l’Union Européenne) pour en informer les utilisateurs ». Une disposition guidée par l’article 32 de la loi CNIL.

Les entreprises s’engagent en outre à ne pas diffuser de la publicité aux élèves dans les services proposés. L'enseignant dernier rempart avant l'élève, pourra donc être visé puisque cette interdiction n’existe pas à son égard.

Des données hébergées préférentiellement en France ou en Europe

Il est spécifié par ailleurs que les données à caractère personnel seront « préférentiellement hébergées en France ou en Europe ». Néanmoins, ce n’est qu’une recommandation puisqu’elles pourront « également être hébergées en dehors de l’Union européenne dans le respect des textes en vigueur comme précisé dans les conditions contractuelles ».

Commercialement, les services seront parfois fournis gratuitement, parfois non. Les changements de politique tarifaire resteront évidemment autorisés. Seulement, s’agissant des services initialement gratuits, cette modification devra être repoussée d’un an à compter de la divulgation du changement. Pour les services qui étaient déjà payants, la logique est la même, mais le délai est abaissé à 3 mois.

Tous les utilisateurs pourront récupérer de façon « aisée » les données qu’ils ont créées « dans un format couramment utilisé et lisible par machine, pendant la durée des dispositions contractuelles et assortie d’une période supplémentaire de 3 mois à la fin de ces dispositions ».

Une Commission de suivi

Fait notable, une « Commission de suivi de la charte de confiance des services numériques pour l’éducation » chapeautera la charte. L’instance est composée de 12 membres, six du public, six du privé. Dans le premier groupe, on trouve des représentants du ministère de l’Éducation, de l’Enseignement supérieur et de la Recherche, dont deux représentants de la Direction du numérique pour l’éducation. Un représentant de Bercy, deux autres des académies. L’autre groupe est consacré aux professionnels du secteur : deux représentants du Syntec, deux de l’Afinef et deux autres du Syndicat national de l’édition.

Point important : un rôle d’observateur est attribué à un membre de la Commission nationale Informatique et libertés qui pourra jouer le rôle de vigie. On remarque enfin l’absence de représentants de parents d’élèves, mais « la liste des membres de la commission de suivi n’est pas définitive : la commission a toute latitude pour élargir sa composition à des représentants d’autres organismes ».

La fonction de cette commission sera notamment de suivre les évolutions de la charte pour se conformer d’une part à la mise à jour des règles en vigueur en matière de données personnelles, d’autre part « à la nécessité de contribuer activement à la lutte contre les contenus illicites ou inappropriés pour les élèves et d’adapter les offres aux spécificités de l’éducation en privilégiant la continuité du service ».

Quand la CNIL milite pour un texte plus contraignant

Un autre de ses rôles sera avant tout d’ « informer dans les mêmes termes » les fournisseurs de services numériques, le ministère, et les présidents de l'AFINEF, du SNE et du SYNTEC (mais non les éventuels nouveaux membres) «  des recommandations faites aux signataires de la charte dans la mesure où ceux-ci ne respecteraient pas leurs engagements après signalement ».

Explication : en cas de manquement aux différents engagements en effet, une notification pourra être adressée au signataire défaillant qui aura trois mois pour se mettre en conformité ou pour contester les griefs. « Dans ce dernier cas, la Commission de suivi sera saisie par les promoteurs de la Charte, elle fera part de son avis motivé dans les trois mois suivant la saisine ». En guise de sanction, le nom du signataire défaillant pourra être supprimé du site web servant de support à la charte.

Saisie notamment par le collectif Edunathon, la CNIL avait néanmoins rappelé que ce véhicule n'est que volontariste, basé sur le seul engagement des acteurs des services informatiques dédié à l'univers éducatif. Elle a suggéré au ministère d'opter aussi pour un cadre plus adapté, plus contraint telle une circulaire.


chargement
Chargement des commentaires...