Promise depuis 2015, la charte de confiance devant encadrer le déploiement des outils informatiques dans les établissements scolaires a suscité une lettre de la CNIL au ministère de l’Éducation. Next INpact diffuse le document obtenu.

Dans un courrier adressé à Najat Vallaud Belkacem le 12 avril 2017, la CNIL adresse plusieurs critiques à une version intermédiaire de ce document. Pour mémoire, un accord passé entre le ministère de l’Éducation et Microsoft Irlande le 30 novembre 2015 a prévu des mesures d’accompagnement, de formation des élèves et des enseignants, initiation au code informatique, etc. avec un focus sur les solutions maison. Si le cœur de l'accord est rapidement rentré en vigueur, l'une de ses promesses est restée lettre morte. 

Pour limiter les risques d'abus dans le traitement des données personnelles des élèves et des enseignants, elle vise à l’édiction d’une « charte de confiance » destinée à « assurer la protection et la vie privée des données personnelles des élèves et des enseignants ».

Ce document n'a toujours pas été finalisé mais la CNIL a déjà ausculté une version de travail. Si elle salue des « garanties importantes » telle l’interdiction d’utiliser les données des élèves à des fins commerciales ou de leur diffusion de la publicité, outre une application anticipée du RGPD, elle pointe plusieurs points noirs.

Quand la CNIL déniche une série de problèmes dans la charte

Elle considère par exemple que la version qui lui a été soumise à examen n’écarte pas la possibilité de mettre en place « des modèles prédictifs de comportement » des élèves.

Autre chose, le projet de charte ne protège plus les données personnelles des enseignants. Le sujet n’est tout simplement « plus abordé » par ce document, contrairement à sa version antérieure.   

Toujours dans le fil de ses reproches, la CNIL répète ce qu’elle a dénoncé, via un bruyant communiqué : une telle charte n’est pas « un instrument juridique contraignant ». C’est un simple engagement moral, pas davantage. Elle en demande donc plus, tout comme elle recommande au ministère de l’Éducation lui-même de « s’engager à appliquer les stipulations de la charte aux traitements automatisés de données à caractère personnel qu’il met lui-même en œuvre ».

Ce même ministère serait d'ailleurs bien inspiré de solliciter de l’ensemble des responsables de traitement concernés par les services de l’Éducation de « n’utiliser que les services numériques développés par des fournisseurs ayant adhéré à la charte de confiance ».

Dans l’annexe de ce courrier, elle imagine d'ailleurs plusieurs pistes d’évolution inspirées de la loi CNIL comme « limiter les traitements aux seules données pertinentes et proportionnées » afin de réduire l’appétit des géants tels Microsoft et Google. Autre plaidoyer : les mentions relatives à l’information des personnes prévues par la loi de 1978 devraient être intégralement rappelées notamment s’agissant de la durée de conservation des données, de l’existence d’un transfert hors de l’Union européenne.

Pourquoi stocker aux Etats-Unis les données des élèves français ?

Sur ce point, justement, elle s’interroge pour savoir si l’hébergement hors UE des données des élèves, qui reste toujours possible, est finalement « opportun », s’agissant de « données de mineurs traitées par une administration dans le cadre de ses missions de service public ».

Last but not least, la CNIL demande à ce que de vraies sanctions soient prévues par la charte à l’encontre des fournisseurs qui viendraient ne pas respecter ses engagements. Pour l’heure, cette sanction se limité à « une simple dénonciation de l’adhésion » à la charte.

Au final, alors que la prise de photo dans les écoles est soumise chaque année à l’autorisation des parents, on est surpris, s’agissant des données personnelles de millions d’élèves, du choix du ministère de se contenter d’un simple engagement non contraignant. 

• Télécharger le courrier de la CNIL adressé à la ministre de l'Éducation 
• Télécharger l'annexe