Protection des données personnelles des élèves : zéro de conduite !
L’Assemblée nationale vient d’adopter une mesure qui va obliger les établissements scolaires à tenir un registre de traitement des données personnelles des élèves. Registre qui sera mis à disposition des parents. Certains tomberont sans doute des nues en découvrant que, jusqu’ici, ni les chefs d’établissement ni les profs ne se sont préoccupés de protéger les centaines de millions de données que laissent derrière eux leurs progénitures, à chaque fois qu’ils entrent en classe.
Le 10 avril, la question de la protection des données personnelles est au coeur de l’actualité. De l’autre côté de l’Atlantique, le Congrès américain s’apprête à auditionner Mark Zuckerberg, le président fondateur de Facebook. Celui-ci doit s’expliquer sur l’affaire Cambridge Analytica, du nom de cette société qui a littéralement siphonné des millions de données personnelles d’utilisateurs dans le but de les profiler et d’influencer leur opinion politique. Au même moment, les parlementaires français sont justement en train de plancher sur la transposition, dans notre pays, du Règlement général sur la protection des données personnelles (RGPD) européen. Alors bien entendu, lorsque le ministre de l’Éducation nationale, Jean-Michel Blanquer, se pointe ce mardi 10 avril au Sénat pour répondre aux questions d’actualité posées au gouvernement, il est mis sur le gril : « Nous sommes nombreux au Sénat à nous préoccuper de la perméabilité de l’Éducation nationale à l’influence des géants américains du numérique », l’interpelle vertement la sénatrice Catherine Morin-Desailly ( Union centriste) avant de poursuivre : « Une série de contrats conclus avec Google et Microsoft sans même d’appels d’offres du temps de votre prédécesseur fait craindre une mainmise progressive de ces acteurs sur la vie de millions d’enfants et d’enseignants. » L’attaque est violente, frontale, et Jean-Michel Blanquer va répliquer par un aveu : « Concernant les Gafa – Google, Apple, Facebook et Amazon –, vous avez soulevé un véritable problème. Nous le savons bien, les données sont aujourd’hui considérées comme le nouvel or, un nouveau trésor. Oui, vous avez raison, bien évidemment, l’école, le collège et le lycée ne sauraient être considérés comme des lieux d’entrée et de sortie en la matière, avec la possibilité de puiser dans les données ; je serai extrêmement vigilant sur ce point. Il est possible que des situations de fragilité aient été causées dans le passé… »
Au moment où il prononce ces phrases, le ministre sait pertinemment que cette « situation de fragilité » qu’il évoque n’appartient pas au « passé » , mais bel et bien au présent. Voilà des mois qu’il a sur son bureau un rapport signé par les inspecteurs de l’Éducation nationale. Un rapport qui traite, justement, de la protection des données personnelles des élèves. Pendant plusieurs semaines, les inspecteurs ont questionné des professeurs, des chefs d’établissement, des spécialistes du numérique, ainsi que des prestataires privés. Ils ont fait le tour de toutes les personnes qui utilisent, gèrent ou contrôlent ces données pédagogiques et scolaires. Si le rapport n’est pas encore sorti, et malgré les promesses répétées du ministère de le rendre public au plus vite – à croire que c’est secret-défense ! –, nous pouvons déjà nous faire une idée des problèmes qu’il soulève. Car les personnels, tout comme les cadres de l’Éducation
“Si un enfant a été rebelle pendant son adolescence, cela doit-il handicaper sa carrière future ? Ou doit-on considérer qu’il a un droit à l’oubli ?”
Chercheur, spécialiste du numérique
nationale que nous avons rencontrés, ne s’en sont pas cachés : ils ne savent pas comment contrôler le flux de ces informations qui leur échappent. Ils n’ont ni les compétences, ni les moyens, ni parfois même l’envie, de s’en soucier.
Une question d’“éthique”
Alors de quoi parle-t-on exactement ? Qu’est-ce que recouvre cette notion finalement assez floue de données personnelles dans le milieu scolaire ? Typiquement, les devoirs en ligne, les notes, les appréciations, la participation d’un élève à une activité, son inscription à la cantine, son adresse, son nom de famille, les sanctions disciplinaires dont il a fait l’objet. En octobre 2017, un chercheur en informatique faisait partie des spécialistes auditionnés par les inspecteurs de l’Éducation nationale. Pour lui, « la question du traitement de ces données est une question éthique, car elle concerne des millions de mineurs en construction. Par exemple, si un enfant a été rebelle pendant son adolescence, cela doitil handicaper sa carrière future ? Ou doit-on considérer qu’il a un droit à l’oubli ? Il est essentiel que le ministère de l’Éducation nationale soit en position de contrôler ces données et que ce soit lui qui les stocke. » Pourquoi ? Car lorsque des entreprises investissent le marché, en proposant, par exemple, des applications gratuites, parfois conseillées par les profs eux-mêmes, de soutien scolaire, des cours en ligne pour bachoter, la façon dont elles vont se rémunérer peut poser problème. Au début des années 2010, aux États-Unis, en Californie, des anciens de Stanford avaient mis en place des formations en ligne, ouvertes à tous, y compris aux étudiants étrangers. Le modèle économique reposait sur la sélection des meilleurs élèves et la communication de leurs notes à des chasseurs de têtes, qui achetaient leurs coordonnées et les contactaient directement. On s’imagine très bien le risque que ce type de modèle pourrait engendrer à grande échelle. Un élève s’inscrit pour suivre un cours et se perfectionner. Pour une raison ou une autre, il échoue et, par conséquent, il n’a plus la possibilité de trouver un job, car les postes sont réservés à ceux sélectionnés par la boîte.
En France, l’hébergement des données scolaires est déjà, en partie, confié au privé. Certes, l’État, via un logiciel national, garde la main sur des données sensibles et purement administratives, comme les passages en infirmerie d’une élève, l’inscription à la cantine d’un môme qui ne mange pas de porc, ou encore le numéro de compte bancaire des parents. Des informations qui, quoi qu’il en soit, seront détruites une fois la scolarité de l’enfant terminée.
En revanche, les notes, les absences, les évaluations, les emplois du temps sont, la plupart du temps, hébergés par des entreprises privées qui ont passé un contrat en direct avec le chef d’établissement. Et il peut y avoir autant de contrats que d’établissements ! Le chef d’établissement est
“Il est essentiel que le ministère de l’Éducation nationale soit en position de contrôler les données [des élèves] et que ce soit lui qui les stocke” Chercheur, spécialiste du numérique
alors responsable du traitement de ces données et il est censé pouvoir apporter des garanties de suivi. Mais si demain, des parents demandent à l’un d’eux dans quel data center ont atterri la mauvaise note en maths de leur enfant ou l’appréciation sévère de son prof, et si ces infos peuvent être revendues, les chefs d’établissement auront du mal à leur répondre. « Ils ne se posent pas la question, résume Vincent Philippe, du syndicat national des personnels de direction de l’Éducation nationale. La conservation et la diffusion de ces données sont aujourd’hui hors du champ de leurs préoccupations. Il faut dire qu’on n’a pas de consignes. Moi-même, je n’ai pas le souvenir d’une réunion départementale ou académique où ces sujets-là ont été abordés. »
Nous avons contacté le leader en France de logiciels de vie scolaire, Pronote, pour lui poser les mêmes questions. Les réponses n’ont pas tardé, et précises avec ça : « Sept mille établissements utilisent notre environnement Pronote, parmi eux quatre mille ont choisi l’hébergement sur notre data center qui se trouve en France. […] Notre contrat interdit tout accès et toute communication sous quelque forme que ce soit à un tiers des données que nous hébergeons. Les données saisies par les établissements sont conservées conformément à la législation en vigueur, le temps que l’élève est dans l’établissement à l’exception de tout ce qui concerne les absences et les événements de la vie scolaire qui ne sont plus accessibles au-delà de l’année courante. »
Tout porte à croire que cette société est dans les clous, le souci, c’est que les chefs d’établissement n’en savent rien : « Les chefs d’établissement ne sont pas formés pour faire les bons choix !, s’inquiète Mahalia Galié-Blanzé, juriste à la Commission nationale de
l’informatique et des libertés (Cnil). Il leur faudrait éplucher les contrats, comprendre comment fonctionnent les logiciels, savoir précisément ce qui est légal et ce qui ne l’est pas. » Cependant, la commission se veut rassurante sur un point : en principe, les données personnelles collectées dans le cadre d’une mission de service public ne peuvent être revendues. Et en pratique ? La Cnil est-elle en mesure de contrôler tout ce petit monde ? « Nous n’avons pas les ressources nécessaires pour examiner un par un tous les services numériques pédagogiques et pour dire “celui-là, il est conforme”, “celui-ci ne l’est pas” », concède Mahalia Galié-Blanzé.
Former élèves et enseignants
Les parlementaires qui travaillent sur la nouvelle loi informatique et libertés promettent qu’ils vont augmenter les budgets de la Cnil. « C’est prévu », nous dit-on du côté de la majorité. Au sujet des formations, les députés viennent d’adopter un amendement qui préconise la formation des élèves et du corps enseignant « aux problématiques liées à la protection de ces données ». Mieux vaut tard que jamais. Car voilà belle lurette que les profs créent des groupes Facebook avec leurs élèves, s’échangent des documents sur Dropbox, surfent sur Google, sans s’inquiéter que l’intégralité de ces données peut, à tout moment, être aspirée par les géants du Web. Et là, aucun contrat ne les lie aux établissements. Une fois ces données personnelles sorties d’Europe, bien malin celui ou celle qui parviendra à fourrer son nez dans leur data center pour savoir s’ils ont ou non gardé, par mégarde, des informations ayant trait aux élèves.
En 2017, l’Éducation nationale accueillait plus de douze millions d’élèves. Se préoccuper du traitement de leurs données personnelles est un enjeu de taille. Il s’agit de protéger leur avenir, ainsi que leur passé, déjà regardé à la loupe : « On fait des remontées complètes de fichiers scolaires vers Parcoursup [plateforme d’inscription à l’enseignement supérieur, ndlr] », confie Vincent Philippe, du syndicat national des personnels de direction de l’Éducation nationale. « Les données sont-elles protégées ou pas ? J’en sais rien. » Reste à croiser les doigts pour que ce soit le cas.