Comment protéger les données scolaires personnelles à l'heure du RGPD ? Certaines des mesures préconisées par un rapport d’inspecteurs généraux de l’Éducation nationale vont servir à une longue remise à niveau du ministère à partir de la rentrée 2018.

Le froid, lors d’un sombre inventaire s'agissant de la connaissance des lieux de stockage, des règles de sécurisation, des conditions générales d’utilisation, de l’impact des données… Par exemple, les délégations académiques au numérique pour l'éducation (Dane) et les directeurs des systèmes d'information (DSI) ont été « nombreux à rapporter une grande ignorance de ce que recouvre ce texte pour une large majorité des professeurs, des chefs d’établissement et des pilotes à l’échelle académique ».

Le chaud, en considérant que l’exploitation des données scolaires présente de sérieux avantages : rêve d’un parcours pédagogique mieux adapté, de nouvelles solutions pour les enseignants ou d’une meilleure connaissance des situations d’apprentissage, sans compter les charmes du « big data » pour améliorer encore la collecte et l'usage de ces informations.

Ce rapport, remis en février, mais pointé que récemment par le site du ministère, souffle le chaud et le froid.

C’est peu de le dire, ce large état des lieux est précieux puisque depuis le 25 mai, le Règlement général sur la protection des données (RGPD) est entré en application . Le texte s’applique de plein fouet à ce secteur qui concerne des millions de mineurs, sans compter les enseignants et le personnel administratif.

Dans ce flot, regrettent les auteurs, « la question des données personnelles est souvent envisagée de façon partielle ou sans tenir compte des trois types de données qu’elle recouvre : des données personnelles saisies par la personne (personnel administratif, professeur, élèves, parent) ; des traces d’activités scolaires : navigation, téléchargements effectués, productions... ; des calculs effectués par un logiciel utilisé dans le cadre scolaire (temps et fréquence d’utilisation, corrélation…) ».

Les données des élèves, population profitant d’une protection RGPDienne spécifique, drainent en outre dans leur sillage des informations jugées sensibles comme celles relatives au carnet de santé (dont les dispenses d’activités sportives) ou l’appartenance religieuse d’une famille, facilement déduite d’absences coïncidant avec certaines fêtes religieuses.

Des règles parfois « largement ignorées » , les services grand public déconseillés

Pour le rapport, c’est bien simple, les règles du RGPD sont « largement ignorées », s’agissant de l’inévitable étude d’impact à mener dès que des traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Comment répondre à ces risques ? Les pistes passent par une formation rapide des enseignants et chefs d’encadrement. Un travail pour le moins titanesque puisqu’il y aurait 11 400 responsables de traitement, essentiellement des chefs d’établissement. Chacun se voit ainsi chargé de déterminer les finalités et les modalités de traitement dont ils peuvent ignorer les détails.

Pour les épauler, le rapport suggère déjà d’éviter d’utiliser des services destinés au grand public, en raison du risque d’un usage à d’autres fins que celles pédagogiques ou administratives. « Pour accéder à certains de ces outils, dont des réseaux sociaux, les élèves peuvent être amenés à s’inscrire individuellement et à livrer certaines données personnelles », notent les rapporteurs, sans difficulté.

La licéité du traitement pour des motifs d’intérêt public

Avec l’article 6 du règlement, un traitement peut être licite sans consentement s’il est nécessaire par exemple à une mission d'intérêt public ou relève de l'exercice de l'autorité publique dont est investi le responsable. « Tous les services numériques éducatifs relèvent-ils d’une mission d’intérêt public ? » s’interrogent faussement ces mêmes inspecteurs qui se posent en outre la question de la liberté pédagogique de l’enseignant « quant au choix des ressources numériques qu’il entend utiliser dans le cadre de son enseignement ».

Selon eux, avec cette liberté, « il existe un risque de tensions au sein des établissements autour de ces sujets » avec le chef d’établissement, responsables de traitements.

Ce n’est pas tout. Le texte européen demande à ce que les traitements de données soient présentés de manière compréhensible lorsqu’il concerne des mineurs. Là encore, est exigé un fort travail pédagogique des responsables.

Le 25 mai bouleverse également le cadre actuel, en particulier la charte de confiance promise de longue date, mais jamais signée. Un tel document « apparait déjà dépassé », considère le rapport qui prône l’adoption d’un nouveau schéma « compréhensible par les usagers (et pas seulement par les spécialistes) » et appliqué par l’ensemble des acteurs, « en particulier les GAFAM », histoire d’éviter de torpiller davantage encore les éditeurs de taille plus modeste.

Des données qui circulent en clair

Les difficultés gagnent plusieurs étages lorsqu’on sait que les flux de données scolaires arrosent de nombreuses organisations, pas seulement les établissements ou les mairies. Parfois, ces transmissions se font tout simplement en clair. « L’un des interlocuteurs de la mission a fait part de son étonnement et regrette que le projet initié par l’éducation nationale et ayant pour objectif de crypter [sic] de façon sécurisée toutes les données issues des bases élèves n’ait jamais pu être mené à bien. »

Cette faiblesse est aggravée lorsque des données inutiles sont transmises aux tiers, réduisant à peu de choses le principe de minimisation. « Ainsi, la présence des photos des élèves ou des informations sur la profession de leurs parents n’ont guère de justification pour mettre en œuvre des logiciels de vie scolaire (absences, notes, etc.) ».

Pour faire un point global, les inspecteurs militent avant tout pour une cartographie détaillée des flux « en précisant leurs relations, la nature des données transmises et leur cryptage éventuel ». Le chiffrement devrait enfin être systématique s’agissant des données personnelles issues de bases gérées par le ministère puis transmises à des tiers.

Un besoin d’audit, de délégué à la protection des données personnelles

Toujours sur le périmètre des relations avec les acteurs privés, le rapport constate que le ministère lui-même est loin de pouvoir s’assurer que les outils proposés sont conformes avec la législation.

Bilan là encore morose : « Ces entreprises qui proposent des ressources ou services numériques déclarent quand ils répondent à des appels d’offres ou des appels à projets qu’ils sont conformes à législation. Comme il n’existe pas d’audit de ces structures, l’institution n’a aucune visibilité quant à ce qui est réellement fait par ces partenaires de l’école dans le domaine des données personnelles ».

Une solution serait qu’un audit soit justement lancé dès lors qu’une entreprise « souhaite pénétrer le marché scolaire numérique ».

Le rapport tire d’autres conclusions s’agissant par exemple de l’obligation de nommer un délégué à la protection des données personnelles (DPD ou DPO, data protection officer). « Il semble que le ministère n’a pas encore pris la pleine mesure de ces enjeux organisationnels en particulier dans les services déconcentrés » peut-on lire sans nuance dans ce rapport de février 2018.

S’armer face aux futurs contentieux

Sur la sécurisation des données, le ministère est chaleureusement invité à « prendre la pleine mesure de cette responsabilité ». Le 25 mai doit être l’occasion rêvée pour une « remise en ordre », afin de définir précisément les responsabilités respectives. « En l’état, mieux vaut s'armer pour affronter de futurs contentieux et accompagner dans un sens protecteur élèves familles et enseignants, plutôt que de prétendre au risque zéro ».

En guise de rampe, le rapport juge par exemple utile la création d’un comité d’éthique et d’expertise, compétent « sur l’intérêt public de l’utilisation de données scolaires » et composé de « membres de la communauté éducative d’horizons très divers ». Autre préconisation (n°14), instaurer une obligation de certification Anssi pour tous les contractants appelés à héberger des données scolaires personnelles.

Un objectif de souveraineté

Pour impliquer plus profondément l’État, l’une des solutions serait d’« intégrer l’éducation nationale dans le domaine des secteurs d'activité industriels stratégiques soumis à une autorisation préalable du gouvernement français en cas d'investissements étrangers ».

Dans cet objectif de souveraineté, l’État pourrait entrer dans le capital des sociétés du moins celles « qui présenteraient un caractère hautement sensible pour la protection des données personnelles des enseignants, des élèves, et de leurs familles ». Le contrôle s’en trouverait par contrecoup renforcé.

Faut-il pour autant imposer l'usage d'un cloud souverain ? La mission ne partage pas cette idée, en considérant que le RGPD et la coopération entre les autorités de contrôle devraient suffir « à garantir la sécurité du stockage des données sur l’ensemble du territoire européen ». Selon eux, « les traitements de données s’effectuent aujourd’hui en flux, l’hébergement peut apparaitre comme une question moins prégnante ». Remarquons qu'en juillet dernier, l'Etat a revu sa stratégie cloud, en esquissant plusieurs offres dont un cloud interne pour les applications sensibles ou encore un cloud dédié pour les besoins moins sensibles.

Dans les 53 pages du rapport, d’autres préconisations à relever, comme celle invitant à faire signer par les sociétés privées (éditeurs, hébergeurs, etc.) un contrat-cadre national avec l’Éducation nationale qui dresserait un inventaire d’obligations de sécurité. Pour respecter les règles de la commande publique, des cahiers des charges communs pourraient jouer un rôle similaire.

Ces inspecteurs plaident en faveur de l’élaboration de codes de conduite juridiquement contraignants et prévus à l’article 40 du RGPD. Leur rôle ? « Contribuer à la bonne application du présent règlement, prenant en compte la spécificité des différents secteurs de traitement ». De tels documents seraient parfaitement adaptés au monde de l’éducation pour réguler les décisions prises par les responsables de traitements ou formaliser les relations avec les sous-traitants.

Quelle prise en compte de ces recommandations par le ministère ?

Le ministre de l’Éducation nationale a présenté hier sa stratégie en matière de numérique Dans le chapitre de la protection des données personnelles, on retrouve certaines de ces préconisations, mais non l’ensemble des 17 identifiées par les inspecteurs généraux.

Ainsi, un délégué à la protection des données sera désigné pour la rentrée 2018. Avec les DPO académiques, il sera chargé « de sensibiliser, d'informer et de conseiller les responsables des traitements, notamment les chefs d'établissements et les directeurs académique des services de l'Éducation nationale, mais aussi et plus largement de veiller au respect du cadre légal relatif aux données personnelles ».

Le code de conduite dédié à l’Éducation nationale est lui programmé pour la fin de l’année, et encore… Il sera alors soumis à la CNIL, ce qui peut faire craindre une finalisation qu’en 2019. « Ce code rassemblera tous les éléments qui s'imposent aux acteurs proposant des services et des ressources numériques aux écoles et établissements scolaires. »

Le ministère va encore créer le comité d'éthique et d'expertise en matière de données numériques, toujours au dernier trimestre 2018. « Cette instance, composée de membres qualifiés, émettra des avis sur l'intérêt public de l'utilisation des données récoltées et traitées dans le cadre scolaire. »

Enfin, il promet « un accent particulier » sur la formation des chefs d’établissement et des enseignants sur les enjeux de l'utilisation des données scolaires numériques.