Accueil > L’actualité vue par le CRAP > Freiner la fuite des données


Les portraits du jeudi, par Monique Royer

Freiner la fuite des données

Xavier Pichetti

23 avril 2020

En 2018, un nouveau sigle s’est imposé dans les secteurs public et privé : le RGPD pour le Règlement général de protection des données, application du cadre européen de référence pour le traitement des données à caractère personnel. Le développement des usages pédagogiques du numérique, et singulièrement pendant la période de confinement, soulève de multiples questions sur la balance entre les contraintes de ce règlement et les garde-fous qu’il instaure sur l’exploitation des données des élèves et des personnels. Rencontre avec Xavier Pichetti, Délégué régional à la protection des données pour la région académique Bourgogne Franche-Comté, pour mieux comprendre les risques et les enjeux.


Le RGPD instaure l’obligation de nommer un délégué à la protection des données dans un certain nombre d’organismes, dont les rectorats. Les missions dévolues se définissent autour d’une fonction de conseil et d’accompagnement des dirigeants et des équipes, et d’un rôle de relais sur le terrain avec la CNIL (Commission nationale de l’informatique et des libertés).

Dans le secteur de l’éducation, la notion de protection des données à caractère personnel des usagers et des personnels s’applique à la fois aux bases de données et logiciels administratifs et aux outils numériques utilisés en pédagogie. Viser la conformité au règlement est alors synonyme de veiller à la non divulgation de données à caractère personnel qui permettraient d’identifier une personne à partir de données simples ou croisées (nom, prénom, adresse…) et fournissent éventuellement des indications sur ses habitudes, ses goûts directement ou indirectement. Une simple entrée dans une base de données, une adresse IP, une géolocalisation, l’historique de navigation : les sources d’information sont multiples. « Un enseignant qui saisit une note pour un élève en indiquant uniquement son prénom et sa classe dans un établissement scolaire favorise l’identification par croisement des données » explique Xavier Pichetti.

Dans quels cas les données sont protégées, quels sont les outils conformes au RGPD, quels sont les éléments de protection ? Les questions sont multiples et trouver les réponses n’est pas simple. Le rôle du délégué se joue principalement là, entre alerte sur la non-conformité d’un outil et conseil pour faire des choix dans le respect du RGPD. Un registre de traitement de données à caractère personnel doit être mis en place dans toutes les organisations (rectorats, directions académiques des services de l’Éducation nationale et établissements), composé de fiches pour chaque traitement, qu’il soit fait sur un simple tableur ou par un logiciel plus sophistiqué, sur support numérique ou papier.

JPEG - 451.6 ko

Cliquez pour agrandir

Fonctionnement en réseau

Les moyens sont limités, l’organisation se met progressivement en place. « Je suis sur deux académies avec pour chacune des responsables de traitement à accompagner, deux recteurs, huit DASEN, 370 chefs d’établissement. » Des référents devraient être progressivement nommés et formés pour mailler le territoire. Un réseau des délégués académiques à la protection des données s’est constitué au niveau national, permettant les échanges d’informations selon les compétences de chacun.

La fonction allie juridique, informatique et connaissance de l’institution, les profils sont donc variés. « Un collègue est allé vérifier l’utilisation des données collectées par l’utilisation d’une application privée qui revendique la communication entre parents et enseignants à l’école primaire. Il a retrouvé des données à l’autre bout du monde hors de l’Europe. Or, le RGPD stipule que les données doivent être traitées au sein de l’Union européenne et si ce n’est pas le cas, que les usagers soient informés. » Plusieurs autres outils adoptés massivement pour assurer la continuité pédagogique sont ainsi concernés par l’alerte, notamment des outils de visioconférence utilisés dans le cadre du confinement pour animer des cours en ligne sans qu’un éclairage des familles soient effectués.

« C’est compliqué pour les collègues, enseignants et chef d’établissement. Il faudrait mener le travail éducatif, la réflexion pédagogique et l’accompagnement des élèves tout en comprenant la mise en application du RGPD. » La continuité pédagogique s’est mise en place dans l’urgence et n’a pas laissé le temps au monde enseignant de décrypter les outils pour déterminer s’ils étaient compatibles avec les règles de la protection des données, compatibles ou non avec le cadre légal. D’autant que les applications officielles mises à disposition ne semblaient pas aussi aisées à s’approprier. « Nous sommes dans des injonctions paradoxales entre la volonté de développer le numérique et la nécessité de protéger les données. »

La balade des données

Outre la protection des systèmes informatiques, le devenir des données collectées est en jeu. « Tous ces outils gratuits et à priori simples d’utilisation sont une aubaine pour les profs. Mais s’ils sont gratuits, c’est parce que ce sont les données à caractère personnel qui sont la monnaie d’échange. » Les données de l’application privée retrouvées à l’autre bout du monde regroupent des informations basiques sur l’identité mais aussi sur les compétences de chaque élève. Le danger réside dans leur exploitation sous forme de profilage, dans un contexte où les capacités d’analyse et de compréhension des comportements humains par l’intelligence artificielle sont en forte progression. Certes, l’éditeur du logiciel dit s’engager à veiller à la non exploitation des données collectées, mais cela reste à confirmer.

L’utilisation des réseaux sociaux pose aussi question. Les vidéos, photos partagées sur WhatsApp sont récupérées par Facebook sur des serveurs situés aux États-Unis. « Chaque individu doit être maître de ses données et les protéger. » Là encore, l’inquiétude est sur leur exploitation par l’intelligence artificielle, le traçage qu’elle pourrait faciliter et son impact à l’heure où les élèves d’aujourd’hui rentreront dans le monde du travail. Les logiciels officiels demandent également une attention particulière sur les données saisies. « Lors d’une formation académique avec les personnels infirmiers, nous avons vu la difficulté pour assurer la confidentialité sur les situations de handicap ou les pathologies des élèves. Cela signifie qu’un GEVASCO (Guide d’évaluation scolaire) ou un PAI (Projets d’accueil individualisé) ne pouvaient être communiqués dans leur intégralité sur un logiciel de vie scolaire comme Pronote. »

Sensibilisation, information, réflexion

Le sujet du RGPD est complexe et souvent appréhendé comme une contrainte supplémentaire. Xavier Pichetti, qualiticien de formation, ex-enseignant spécialisé et directeur d’institution spécialisée puis chef d’établissement en collège et lycée, met en avant la protection des données à caractère personnel des élèves et des personnels. Ce souci l’a motivé pour postuler à cette fonction toute neuve. « J’ai toujours eu comme préoccupation principale de travailler au service des élèves. Mon rôle peut parfois passer pour celui d’un empêcheur de tourner en rond dans un monde qui veut aller vite. » La bonne solution n’est pas toujours la meilleure et les alertes lancées à tous les échelons de l’Éducation nationale ne sont pas toujours bien accueillies. L’hypercommunication amène des dérives sans que cela soit conscient par manque de sensibilisation.

L’enjeu est sans doute là, dans la généralisation de temps d’information en direction des néo-enseignants, futurs chefs d’établissement et équipes pédagogiques en poste. Des temps où sont présentés les obligations mais aussi les droits de chacun, personnels, élèves, parents et en tant que citoyens. La CNIL a déjà été saisie par des familles suite à l’installation de caméras de vidéosurveillance dans des établissements scolaires. Les caméras ont été retirées, car elles filmaient des lieux de travail et de repos alors qu’elles ne sont autorisées que dans des lieux de passage qui en nécessitent. « Des parents commencent à demander le respect de leurs droits dans le cadre du RGPD, en particulier pour le droit d’accès aux informations concernant le traitement des données à caractère personnel de leurs enfants au sein de l’établissement scolaire. »

Le RGPD définit une majorité numérique. La loi précise qu’à partir de 15 ans, un mineur peut consentir seul à un traitement de données à caractère personnel, c’est donc le moment où le jeune est propriétaire de ses données à caractère personnel. Avant cet âge, l’accès aux données personnelles de l’enfant est soumis au double consentement de ce dernier et de ses parents.

Le risque des plaintes ne devrait pas masquer les apports possibles du souci de protection des données dans le quotidien professionnel. Le règlement, voté par l’Union européenne en 2016,et promulgué en France le 20 juin 2018, invite chaque professionnel à se questionner sur les droits et les devoirs de chacun dans la gestion des données. « Un changement de paradigme doit s’opérer dans toutes les structures professionnelles au niveau organisation, procédure. »

La mise en œuvre du RGPD interroge la qualité de vie au travail et doit conduire à des améliorations. « Au rectorat de Besançon, le service de la formation professionnelle initiale et continue a fait le choix d’associer la démarche qualité et le RGPD et ainsi rendre les professionnels acteurs. » Pourquoi avons-nous besoin des données des personnels et des élèves, quelles sont leurs utilisations actuelle et future, qui y a accès et pourquoi ? Les questions sont diverses et invitent à prendre du recul sur nos pratiques numériques individuelles et collectives. L’époque est à l’urgence et lorsque le temps de l’analyse sera venu, nul doute que le prisme de la légalité permettra de rendre performants des outils conformes, évitant ainsi les travers des injonctions paradoxales.

Monique Royer


`
Pour aller plus loin :

La présentation du RGPD sur le site de la CNIL

Documentaire Democracy la ruée vers les datas

Documentaire Nothing to Hide