Au cours des dernières années, l'éducation a vu apparaître des problématiques nouvelles, liées au numérique. Orientation via les algorithmes, utilisation des données personnelles... Depuis combien de temps la CNIL (Commission nationale informatique et libertés) s'intéresse-t-elle à ce secteur ?

L'éducation est un objectif stratégique et prioritaire de la CNIL depuis plusieurs années. Et cela, pour deux raisons. Tout d'abord, les données scolaires sont particulièrement sensibles, qui disent énormément des enfants et qui peuvent les suivre longtemps. De ce fait, ces informations peuvent intéresser énormément d'acteurs et il faut faire preuve de vigilance.

Ensuite, nous sommes convaincus que la transition numérique qui est en cours est un changement de mode de vie, de rapport entre les individus, qui nécessite l'apprentissage d'une nouvelle culture générale. Et l'institution scolaire est bien placée pour délivrer en priorité une éducation de ce type, dont l'objectif est de voir émerger une culture citoyenne nouvelle, au cœur d'un 21e siècle profondément numérique.

Récemment, plusieurs dossiers ont animé la communauté éducative. Parmi eux, le partenariat signé entre Microsoft et le ministère de l'Éducation nationale, pour lequel le collectif EduNathon vous a saisi. Avez-vous de plus en plus de cas de ce genre à traiter ?

Nous sommes de plus en plus saisis par des structures scolaires et des observateurs, au sujet des partenariats public-privé, qui lient entreprises et acteurs éducatifs. La question qui revient est la suivante : "Les entreprises privées font des offres très intéressantes, voire gratuites, dans des conditions extrêmement imprécises sur la protection des données, qu'en pensez-vous ?"

Il faut bien voir que le secteur de l'éducation est extrêmement sollicité par des acteurs économiques, très intéressés par ces données scolaires. C'est d'ailleurs ce qui a poussé le ministère de l'Éducation nationale à conclure une charte de confiance avec les entreprises du secteur.

Annoncée en mars 2016, cette charte tarde à être publiée. Quelle est la position de la CNIL sur le sujet ?

Le ministère nous a sollicités pour que nous rendions un avis. Sans en déflorer la teneur, nous partageons l'idée qu'il est temps de mettre un cadre à toutes ces offres économiques faites auprès de l'institution scolaire. Que ces entreprises souhaitent s'engager en faveur de la protection des données est une bonne chose.

Il est temps de mettre un cadre à toutes ces offres économiques faites auprès de l'institution scolaire.

Pour autant, il manque encore un certain nombre d'éléments qui donnent lieu à des échanges avec le ministère. Cela reste une charte d'autorégulation des acteurs qui ne définit pas un cadre juridique précis que l'éducation nationale devra respecter, si elle contracte avec l'un ou avec l'autre des acteurs. Nous insistons sur le fait que ce document doit être un outil contraignant (circulaire ou autre), robuste. Sur ce point-là, nous n'avons aucun élément de réponse à ce stade.

Le ministère insistait sur le fait que la charte ne faisait que "rappeler la réglementation en cours". Ce qui peut paraître léger, au vu des nouveaux enjeux...

Que le ministère ait encouragé et favorisé la conclusion d'une telle charte témoigne d'une réelle prise de conscience sur le sujet. Mais il n'existe pas de cadre juridique, à ce jour. Il faut donc le construire.

Les acteurs de l'Éducation nationale sont dans une situation inconfortable, vis-à-vis de ces grands acteurs économiques. Ils sont fortement sollicités, n'ont pas d'instructions extrêmement précises de la part de leur hiérarchie et sont donc largement laissés seuls face à leurs propres décisions. Le tout dans une situation de pénurie budgétaire très forte. Ce qui pousse certains enseignants à utiliser de façon spontanée certaines applications, certains outils, dans un vide juridique total...

Les grands groupes sont observés de près quant à leur politique de gestion des données personnelles. Qu'en est-il des start-up, qui s'emparent également du marché éducatif ?

Les problématiques sont identiques : ces start-up n'ont pas nécessairement la culture "protection des données". Nous réfléchissons actuellement à des initiatives pour les accompagner et les conseiller sur le sujet.

Le discours que nous leur tenons est le suivant : la protection des données ne handicapera pas vos projets. En réalité vous allez même construire une innovation plus robuste. Le privacy by design [qui consiste à prendre en compte la protection des données dès la conception du produit], est au cœur du règlement européen. Si vous le pratiquez, vous aurez un argument compétitif à faire valoir face à vos concurrents. Il faut montrer aux acteurs que la prise en compte de cette problématique n'est pas seulement une contrainte juridique mais une opportunité économique.

Le discours que nous tenons aux start-up est le suivant : la protection des données ne handicapera pas vos projets.

Ce discours était très peu audible il y a encore quatre ou cinq ans. Aujourd'hui, il commence à être entendu. Lors de la dernière édition du CES, qui s'est tenue en janvier 2017 à Las Vegas, les sociétés mettaient en avant cet argument. C'est la preuve que le sujet commence à faire mouche.

Tout ce débat autour du numérique éducatif soulève la question de la formation des enseignants. Comment les accompagner dans ces transformations qui ont des incidences sur leur métier ?

L'irruption de l'outil technique dans leur environnement déconcerte, voire désempare plus d'un enseignant... Je pense qu'il y a une réelle souffrance de la part de certains qui perdent leurs réflexes, en se disant que les élèves sont plus compétents qu'eux. Mon discours est clair à leur encontre : "Vous avez dans vos classes des élèves qui jouent beaucoup mieux au foot que vous..." Là n'est donc pas la question.

Le rôle de l'enseignant est de faire passer un certain nombre de principes et de valeurs à ses élèves. Il doit donner aux jeunes des clés pour comprendre la société dans laquelle ils vivent. Une société éminemment numérique. Il faut donc leur donner les bons outils pour appréhender de façon sereine la question.

Nous avons élaboré, avec les CNIL du monde entier, un référentiel mondial des apprentissages numériques. Il liste de façon très concrète les compétences de base à maîtriser. Nous voulons que cela se traduise par un enseignement au sein de l'école, du collège et du lycée. Le ministère est prêt à mettre de l'argent sur la table pour transformer ce référentiel en programme d'éducation scolaire.

Cela passe également par la formation continue. Nous allons ainsi travailler avec le ministère sur l'élaboration d'un module dédié à la protection des données personnelles. C'est une première réponse, modeste, qui n'est pas au niveau de ce qui doit être fait. Je ne suis pas sûre que la formation continue des enseignants soit aujourd'hui assez charpentée sur cette question-là.

De nombreuses initiatives gouvernementales ont vu le jour, afin d'accélérer la transformation numérique des établissements, via notamment des appels à projet. La CNIL est-elle consultée sur ces sujets ?

Nous ne sommes pas associés aux démarches opérationnelles de l'Éducation nationale. Mais ce dernier a bel et bien pris la mesure de l'enjeu de la protection des données personnelles. Une relation de confiance s'est nouée avec le ministère et nous allons en particulier travailler ensemble sur le développement de l'IA (intelligence artificielle) dans le secteur éducatif.

Derrière la transparence de l'algorithme, se cache un pacte social implicite.

En quoi est-ce un sujet important aujourd'hui ?

L'intelligence artificielle et l'analyse des données [learning analytics] permettent notamment d'améliorer les enseignements. Mais la France doit garder la souveraineté de ses données scolaires. Nous savons que des acteurs européens sous-traitent à des sociétés d'intelligence artificielle américaines l'analyse des données émanant de Mooc, par exemple. C'est donc tout un pan de données qui est transféré aux États-Unis...

Certains recruteurs américains commencent à s'appuyer sur les données des Mooc pour sélectionner des étudiants, les assureurs analysent les profils à partir de ces données... Le dossier scolaire n'est pas un dossier médical, mais il révèle énormément de choses sur les personnes et sur leur tempérament...

Admission postbac est un autre sujet qui anime la communauté. La mission Etalab a rendu le 21 avril 2017 un rapport, recommandant d'ouvrir le code source de la plate-forme. Quelle est la position de la CNIL sur ce sujet ?

Notre position est fidèle à la loi informatique et libertés de 1978, qui a permis la création de la CNIL : il faut prôner la transparence. Toute décision automatisée doit mettre en lumière les critères et la logique du traitement algorithmique. Cette obligation de transparence a d'ailleurs été accrue avec la loi pour une République numérique.

La CNIL a lancé un débat autour des algorithmes. Ce qui ressort d'un sondage que nous avons commandé, c'est que la population a bien identifié l'objet algorithme. Mais c'est un objet opaque, qui nourrit les fantasmes. La transparence est donc le meilleur moyen d'aborder le sujet. Nous avons conscience que cette transparence technique va être parlante pour un petit nombre d'initiés seulement. Ce n'est pas grave, le message peut se diffuser.

Au-delà de l'aspect technique, l'algorithme pose la question des critères définis, des choix effectués pour faire "tourner" la machine...

C'est, en effet, l'autre sujet crucial. Derrière la transparence de l'algorithme, se cache un pacte social implicite. Des critères sont établis, des pondérations sont choisies. Par qui ? Comment ? Dans quel but ?

Prenons l'exemple de la santé. Je suis à l'hôpital, j'ai 90 ans. Les propositions de thérapie qui me seront faites dépendront de bon nombre de critères : âge, espérance de vie, etc. La pondération de ces critères est un pacte social implicite : traitons-nous une personne de 90 ans ou réservons-nous les soins à une personne de 35 ans ?

Finalement, le code source est la traduction informatique de ce pacte social, qui implique des choix de société. Il ne faut pas que ces derniers soient cachés dans l'outil technique, soit effectués par on ne sait qui, des développeurs ou des sociétés sur un coin de table...

Sur un certain nombre de sujets, il doit y avoir un débat public. Nous devons nous demander sur quels critères nous souhaitons bâtir nos choix de société.