Comment protéger les données scolaires personnelles à l'heure du RGPD ? Certaines des mesures préconisées par un rapport d’inspecteurs généraux de l’Éducation nationale vont servir à une longue remise à niveau du ministère à partir de la rentrée 2018.
C’est peu de le dire, ce large état des lieux est précieux puisque depuis le 25 mai, le Règlement général sur la protection des données (RGPD) est entré en application. Le texte s’applique de plein fouet à ce secteur qui concerne des millions de mineurs, sans compter les enseignants et le personnel administratif.
Ce rapport, remis en février, mais pointé que récemment par le site du ministère, souffle le chaud et le froid.
Le chaud, en considérant que l’exploitation des données scolaires présente de sérieux avantages : rêve d’un parcours pédagogique mieux adapté, de nouvelles solutions pour les enseignants ou d’une meilleure connaissance des situations d’apprentissage, sans compter les charmes du « big data » pour améliorer encore la collecte et l'usage de ces informations.
Le froid, lors d’un sombre inventaire s'agissant de la connaissance des lieux de stockage, des règles de sécurisation, des conditions générales d’utilisation, de l’impact des données… Par exemple, les délégations académiques au numérique pour l'éducation (Dane) et les directeurs des systèmes d'information (DSI) ont été « nombreux à rapporter une grande ignorance de ce que recouvre ce texte pour une large majorité des professeurs, des chefs d’établissement et des pilotes à l’échelle académique ».
Des données de mineurs, des données sensibles
Dans ce flot, regrettent les auteurs, « la question des données personnelles est souvent envisagée de façon partielle ou sans tenir compte des trois types de données qu’elle recouvre : des données personnelles saisies par la personne (personnel administratif, professeur, élèves, parent) ; des traces d’activités scolaires : navigation, téléchargements effectués, productions... ; des calculs effectués par un logiciel utilisé dans le cadre scolaire (temps et fréquence d’utilisation, corrélation…) ».
Les données des élèves, population profitant d’une protection RGPDienne spécifique, drainent en outre dans leur sillage des informations jugées sensibles comme celles relatives au carnet de santé (dont les dispenses d’activités sportives) ou l’appartenance religieuse d’une famille, facilement déduite d’absences coïncidant avec certaines fêtes religieuses.
Des règles parfois « largement ignorées »
Pour le rapport, c’est bien simple, les règles du RGPD sont « largement ignorées », s’agissant de l’inévitable étude d’impact à mener dès que des traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Comment répondre à ces risques ? Les pistes passent par une formation rapide des enseignants et chefs d’encadrement. Un travail pour le moins titanesque puisqu’il y aurait 11 400 responsables de traitement, essentiellement des chefs d’établissement. Chacun se voit ainsi chargé de déterminer les finalités et les modalités de traitement dont ils peuvent ignorer les détails.
Pour les épauler, le rapport suggère déjà d’éviter d’utiliser des services destinés au grand public, en raison du risque d’un usage à d’autres fins que celles pédagogiques ou administratives. « Pour accéder à certains de ces outils, dont des réseaux sociaux, les élèves peuvent être amenés à s’inscrire individuellement et à livrer certaines données personnelles », notent les rapporteurs, sans difficulté.
La licéité du traitement pour des motifs d’intérêt public
Avec l’article 6 du règlement, un traitement peut être licite sans consentement s’il est nécessaire par exemple à une mission d'intérêt public ou relève de l'exercice de l'autorité publique dont est investi le responsable. « Tous les services numériques éducatifs relèvent-ils d’une mission d’intérêt public ? » s’interrogent faussement ces mêmes inspecteurs qui se posent en outre la question de la liberté pédagogique de l’enseignant « quant au choix des ressources numériques qu’il entend utiliser dans le cadre de son enseignement ».
Selon eux, avec cette liberté, « il existe un risque de tensions au sein des établissements autour de ces sujets » avec le chef d’établissement, responsables de traitements.
Ce n’est pas tout. Le texte européen demande à ce que les traitements de données soient présentés de manière compréhensible lorsqu’il concerne des mineurs. Là encore, est exigé un fort travail pédagogique des responsables.
Le 25 mai bouleverse également le cadre actuel, en particulier la charte de confiance promise de longue date, mais jamais signée. Un tel document « apparait déjà dépassé », considère le rapport qui prône l’adoption d’un nouveau schéma « compréhensible par les usagers (et pas seulement par les spécialistes) » et appliqué par l’ensemble des acteurs, « en particulier les GAFAM », histoire d’éviter de torpiller davantage encore les éditeurs de taille plus modeste.
Des données qui circulent en clair
Les difficultés gagnent plusieurs étages lorsqu’on sait que les flux de données scolaires arrosent de nombreuses organisations, pas seulement les établissements ou les mairies. Parfois, ces transmissions se font tout simplement en clair. « L’un des interlocuteurs de la mission a fait part de son étonnement et regrette que le projet initié par l’éducation nationale et ayant pour objectif de crypter [sic] de façon sécurisée toutes les données issues des bases élèves n’ait jamais pu être mené à bien. »
Cette faiblesse est aggravée lorsque des données inutiles sont transmises aux tiers, réduisant à peu de choses le principe de minimisation. « Ainsi, la présence des photos des élèves ou des informations sur la profession de leurs parents n’ont guère de justification pour mettre en œuvre des logiciels de vie scolaire (absences, notes, etc.) ».
Pour faire un point global, les inspecteurs militent avant tout pour une cartographie détaillée des flux « en précisant leurs relations, la nature des données transmises et leur cryptage éventuel ». Le chiffrement devrait enfin être systématique s’agissant des données personnelles issues de bases gérées par le ministère puis transmises à des tiers.
Un besoin d’audit, de délégué à la protection des données personnelles
Toujours sur le périmètre des relations avec les acteurs privés, le rapport constate que le ministère lui-même est loin de pouvoir s’assurer que les outils proposés sont conformes avec la législation.
Bilan là encore morose : « Ces entreprises qui proposent des ressources ou services numériques déclarent quand ils répondent à des appels d’offres ou des appels à projets qu’ils sont conformes à législation. Comme il n’existe pas d’audit de ces structures, l’institution n’a aucune visibilité quant à ce qui est réellement fait par ces partenaires de l’école dans le domaine des données personnelles ».
Une solution serait qu’un audit soit justement lancé dès lors qu’une entreprise « souhaite pénétrer le marché scolaire numérique ».
Le rapport tire d’autres conclusions s’agissant par exemple de l’obligation de nommer un délégué à la protection des données personnelles (DPD ou DPO, data protection officer). « Il semble que le ministère n’a pas encore pris la pleine mesure de ces enjeux organisationnels en particulier dans les services déconcentrés » peut-on lire sans nuance dans ce rapport de février 2018.
S’armer face aux futurs contentieux
Sur la sécurisation des données, le ministère est chaleureusement invité à « prendre la pleine mesure de cette responsabilité ». Le 25 mai doit être l’occasion rêvée pour une « remise en ordre », afin de définir précisément les responsabilités respectives. « En l’état, mieux vaut s'armer pour affronter de futurs contentieux et accompagner dans un sens protecteur élèves familles et enseignants, plutôt que de prétendre au risque zéro ».
En guise de rampe, le rapport juge par exemple utile la création d’un comité d’éthique et d’expertise, compétent « sur l’intérêt public de l’utilisation de données scolaires » et composé de « membres de la communauté éducative d’horizons très divers ». Autre préconisation (n°14), instaurer une obligation de certification Anssi pour tous les contractants appelés à héberger des données scolaires personnelles.
Un objectif de souveraineté
Pour impliquer plus profondément l’État, l’une des solutions serait d’« intégrer l’éducation nationale dans le domaine des secteurs d'activité industriels stratégiques soumis à une autorisation préalable du gouvernement français en cas d'investissements étrangers ».
Dans cet objectif de souveraineté, l’État pourrait entrer dans le capital des sociétés du moins celles « qui présenteraient un caractère hautement sensible pour la protection des données personnelles des enseignants, des élèves, et de leurs familles ». Le contrôle s’en trouverait par contrecoup renforcé.
Faut-il pour autant imposer l'usage d'un cloud souverain ? La mission ne partage pas cette idée, en considérant que le RGPD et la coopération entre les autorités de contrôle devraient suffir « à garantir la sécurité du stockage des données sur l’ensemble du territoire européen ». Selon eux, « les traitements de données s’effectuent aujourd’hui en flux, l’hébergement peut apparaitre comme une question moins prégnante ». Remarquons qu'en juillet dernier, l'Etat a revu sa stratégie cloud, en esquissant plusieurs offres dont un cloud interne pour les applications sensibles ou encore un cloud dédié pour les besoins moins sensibles.
Dans les 53 pages du rapport, d’autres préconisations à relever, comme celle invitant à faire signer par les sociétés privées (éditeurs, hébergeurs, etc.) un contrat-cadre national avec l’Éducation nationale qui dresserait un inventaire d’obligations de sécurité. Pour respecter les règles de la commande publique, des cahiers des charges communs pourraient jouer un rôle similaire.
Ces inspecteurs plaident en faveur de l’élaboration de codes de conduite juridiquement contraignants et prévus à l’article 40 du RGPD. Leur rôle ? « Contribuer à la bonne application du présent règlement, prenant en compte la spécificité des différents secteurs de traitement ». De tels documents seraient parfaitement adaptés au monde de l’éducation pour réguler les décisions prises par les responsables de traitements ou formaliser les relations avec les sous-traitants.
Quelle prise en compte de ces recommandations par le ministère ?
Le ministre de l’Éducation nationale a présenté hier sa stratégie en matière de numérique Dans le chapitre de la protection des données personnelles, on retrouve certaines de ces préconisations, mais non l’ensemble des 17 identifiées par les inspecteurs généraux.
Ainsi, un délégué à la protection des données sera désigné pour la rentrée 2018. Avec les DPO académiques, il sera chargé « de sensibiliser, d'informer et de conseiller les responsables des traitements, notamment les chefs d'établissements et les directeurs académique des services de l'Éducation nationale, mais aussi et plus largement de veiller au respect du cadre légal relatif aux données personnelles ».
Le code de conduite dédié à l’Éducation nationale est lui programmé pour la fin de l’année, et encore… Il sera alors soumis à la CNIL, ce qui peut faire craindre une finalisation qu’en 2019. « Ce code rassemblera tous les éléments qui s'imposent aux acteurs proposant des services et des ressources numériques aux écoles et établissements scolaires. »
Le ministère va encore créer le comité d'éthique et d'expertise en matière de données numériques, toujours au dernier trimestre 2018. « Cette instance, composée de membres qualifiés, émettra des avis sur l'intérêt public de l'utilisation des données récoltées et traitées dans le cadre scolaire. »
Enfin, il promet « un accent particulier » sur la formation des chefs d’établissement et des enseignants sur les enjeux de l'utilisation des données scolaires numériques.
Commentaires (23)
#1
Comme j’aime les explications concrètes, je vais exposer ici deux choses que j’ai été amené à faire lorsque j’étais assistant du directeur d’une école élémentaire (pour l’année 2016-2017).
Je devine la réponse, mais j’imagine qu’aucune de ces deux situations ne serait vue d’un bon œil par le RGPD, maintenant. Je me trompe ?
#2
Il y a effectivement des habitudes à perdre rapidement. J’ai aussi connu un directeur qui utilisait gmail pour envoyer les gevasco des élèves (dossier pour traitement d’un handicap). J’ai essayé de lui expliquer le problème; il m’a juste prit de haut…
#3
La profession des parents est clairement une information demandée depuis des décennies et clairement discriminatoire. Sa suppression sera la bienvenue.
#4
Dans les entreprises, la pression a été (est) très forte pour mettre en place la RGPD. Pour l’état, ils n’en sont qu’à faire des évaluations… Pourtant la RGPD a été annoncée de longue date.
#5
Je ne vois pas où est le problème, il faudrait être un peu plus pédagogique pour le coup.
#6
#7
Non seulement l’EN ne crypte pas certaines données sensibles mais de surcroît le ministère interdit le chiffrement des courriels via les messageries profesionnelles… En effet, les courriels chiffrés sont directs filtrés avec le message suivant :
Ceci est une notification automatique ; merci de ne pas répondre…
L’antivirus a détecté un message potentiellement dangereux ; il a été placé en quarantaine.
[…]
Motif: Message is encrypted.
Cela fait deux ans que j’écris au DSI de mon académie pour lui expliquer que c’est idiot… En effet, des données très sensibles des élèves/parents/personnels sont envoyées en clair par courriel. Or l’EN permet la redirection des messages sur les mails perso. Donc ces données sont souvent diffusées en clair à google, yahoo & co…
Voilà comment ça se passe dans l’EN… Donc, sans surprise, on peut se donner rendez-vous dans dix ans pour constater que l’EN ne respectera pas le RGPD.
#8
#9
Au dernière nouvel, l’état n’a pas de tendance SM envers lui-même mais contre la population, je pense qu’elle aime bien.
" />
#10
#11
aussi. Mais c’est pour le bien du peuple bien sûr 
" />
#12
#13
#14
#15
Autant demander le niveau d’étude des parents, si ils ont la fibre, si ils bossent et combien ils ont de M² chez eux…
" />
Je ne pense pas que ce soit utile pour l’école/collège/lycée d’avoir ce genre d’infos. Le dossier scolaire qui suit l’élève pointe déjà les problèmes si ils existent (INpactiens profs/instits, vous confirmez ?). de là à les anticiper… je doute que les enseignants aient du temps pour ça, malheureusement.
L’information n’est pas discriminatoire en elle même je suis bien d’accord, mais demander des infos qui ne sont pas utiles dans le contexte c’est la porte ouverte à un traitement de masse dangereux et discriminatoire.
Quand à ta discrimination sur les métiers de la pêche, je ne la comprends pas
#16
#17
Le problème de la pluspart des établissements scolaire, c’est que le parc informatique est juste donné a un prof qui se débrouille plus ou moins pour mettre en réseau deux PC, du coup non seulement il ne connais pas les loi en vigeur, ni les technologie de protection a leur disposition (quand ont voit que même certain informatitien ne le savent pas (exemple un pro qui m’a expliqué que TLS, faisait le même boulot que DNSSEC)), du coup on en arrive a des parc énorme sans aucune sécurité (quand on voit que dans mon ancienne unif, certaine machine était accessible juste en mettant “admin” “admin”), alors que c’est une école qui propose un cursus informatique.
#18
#19
La question de l’emploi permet d’avoir une idée sans trop en demander non plus de base. C’est une question d’équilibre entre information utile et pas trop envahissante et surveillance généralisé. J’ai du mal à pensé que les gens veulent caché leurs métiers aux corps éducatifs et de l’autre publié leur photo de leur repas sur instagram à la vue de tous.
Maintenant si cette informations venait à être utilisé en croisement d’autre donnée issue de base en dehors de l’éducation nationales. Où dans un cadre qui n’est pas à des fins statistique et anonymisé. Oui il faudrait y mettre un veto.
Que celle-ci soit supprimé à la sortie de la scolarité de l’éléve me semble également justifié.
Quand au dossiers scolaire contient bien souvent que ce les enseignants précédent ont bien voulu remplir. Donc tout dépends de la qualité de travail de tes prédécesseurs. (en dehors des informations saisi automatiquement).
J’aurais pu viser le corps hospitalier (infimier(e),…) aérien (pilote), commercial, … Tu as plein de métier où tu sais que la disponibilité du parent ne sera peut être pas simple.
#20
Concrètement: ça te plairait que google et ses nombreux prestataires connaissent dans le détail les troubles mentaux / physiques de ton gamin, les “soins” qui lui sont apportés et comment l’école s’y prend pour aménager le retard?
#21
On vire des fonctionnaires depuis 15 ans et on s’étonne que le travail est de moins en moins fait. Il va arriver un moment où on va vraiment être fatigué de ce sous entendu fonction publique = fainéant.
#22
Tu peux déjà l’être (fatigué). Il y a pleins de fainéant indélogeables dans le privé aussi. Pas plus, pas moins que dans le public.
Et pas besoin d’être dans le public pour constater que pas mal de personnels du public triment comme des damnés pour un salaire bas de gamme.
Il faudrait être bien aveugle pour ne pas voir ce qui se passe par exemple dans les hôpitaux publiques.
Quand on critique le public, cela ne vise pas les opérationnels qui font ce qui peuvent mais tous les gros salaires qui enchaînent les réunions sans rien produire de concret. Des chefs qui n’ont souvent aucun pouvoir réel: ni budget, ni pouvoir de sanction/ récompenses, ni réel pouvoir de décision. Et parfois, ils ne comprennent rien au travail de leurs subordonnés.
Et on en trouve aussi dans le privé mais cela ne gène personne car les clients ne sont pas captifs dans ce cas-là.
#23