Les blogs des Cahiers prédagogiques
Les déchiffreurs de l’éducation

Information

Cet article a été écrit le 26/04/2016, dans la rubrique :
Questions d'évaluation.

Quelle sécurité des données personnelles dans le cadre du plan numérique de l’Education nationale ?

« Les Déchiffreurs de l’Education ont depuis leur création exercé leur vigilance sur les conditions de production et d’usages des fichiers statistiques et administratifs. Mais aujourd’hui, un nouveau domaine pose de sérieux domaine : il s’agit de la sécurité des données personnelles dans le cadre du plan numérique à l’école. On sait qu’un nouveau marché s’est constitué, celui de données individuelles de toutes sortes y compris dans des domaines sensibles. Ces bases de données sont vendues ou louées à prix d’or par les grands groupes dominant le marché, Google, Microsoft, Apple, Cisco, etc. Or, le Ministère de l’éducation nationale a passé et est en négociation pour passer des accords avec ces groupes pour leur déléguer le soin de développer le numérique à l’école. Il semble que le cadre juridique protecteur de ces accords soit pour le moins peu rigoureux.

————

« Un jour de novembre, un jeune Arnolphien de 9 ans rentre chez lui et explique à son père qu’il utilise de nouveaux ordinateurs à l’école. Jusque-là, rien d’anormal. « Mais au fil de la discussion, je me suis aperçu qu’il avait une adresse mail nominative et qu’il réalisait des documents qui étaient stockés par Google» confie son père, Denis Galienne. En effet, les élèves des deux écoles primaires de Saint-Arnoult utilisent 60 chromebook, des ordinateurs portables achetés par la mairie en 2014 à 250 euros pièce. Un système qui fonctionne uniquement avec Internet. « L’expérimentation  informatique, en lien avec le rectorat de Versailles, a commencé en début d’année scolaire, suite  à des travaux que la mairie avait  engagés l’été dernier pour rendre le débit Internet plus rapide dans les écoles. Mais il faut bien comprendre que tout cela est non conforme à la loi. Il s’agit d’un dysfonctionnement grave qui touche à la législation sur la protection des mineurs », martèle le père de famille. «Je ne souhaite pas que des informations sur mon fils ou des documents qu’il a réalisés soient diffusés sur la toile dans  cinq ou dix ans. Actuellement, les pouvoirs publics nous martèlent qu’il faut faire attention à ce que l’on publie sur les réseaux sociaux et sur Internet et dans le cas présent, on fait tout le contraire. » (…) »

Cet extrait est le début d’un article publié le 18/03/2016 dans Actu78. Il soulève les questions juridiques liées à l’utilisation à l’école de matériels connectés, de systèmes d’apprentissage personnalisé pour lesquels les données sont stockées dans le bien nommé « cloud », ce nuage qui disperse les données collectées sur des serveurs du monde entier.

Le ministère de l’Éducation nationale communique beaucoup sur le plan numérique, l’équipement individuel  mobile des élèves, les possibilités d’apprentissage personnalisé ouvert avec les learning analytics (analyse des traces de l’activité de l’élève), les possibilités d’apprendre partout et à tout moment. En clair, ce serait la liberté et l’individuation. Mais à quel prix ce paradis est-il atteint ?

L’inquiétude est grande car des questions lourdes restent sans réponses.

Qu’en est-il précisément du cadre juridique permettant de border le déploiement de tablettes ?

En effet, le plan numérique prévoit l’équipement en tablettes d’enfants de 7 à 13 ans avec en priorité les 5èmes. Ces déploiements nécessitent la gestion de parcs de terminaux, le déploiement des applications, la gestion des contenus.

Ces équipements utilisent presque tous des solutions de cloud computing. Quelles mesures le ministère a-t-il pris pour assurer la protection des données à caractère personnel et des données scolaires des élèves ? Sans parler de celles des enseignants ?

Le seul document public actuel est le Cadre de référence pour l’Accès aux Ressources pédagogiques via un équipement Mobile (CARMO) : mail il n’apporte aucune réponse à cette question.

Qu’en est-il de la confidentialité des données dans le cadre de l’utilisation d’applications du type microsoft office 365,  des services Google for education, ou autre solution du même type (Apple, CISCO…) ?

Les accords que le ministère vient de signer avec Microsoft et Ciscol’ont été avant que toute charte juridique ne soit mise en place. Le ministère a engagé des négociations avec d’autres majors Google, Apple…, toujours dans la même insécurité juridique.

Or, le devenir des données stockées par Microsoft ou n’importe lequel de ces majors est problématique, comme en témoigne la controverse autour du safe harbor, c’est-à-dire des règles qui autorisent les entreprises nord-américaines à transférer des données personnelles de l’UE vers les USA.

Rappelons que le 6 octobre 2015, la cour de justice européenne a invalidé l’accord Safe Harbor. Par ailleurs, les « CNIL » européennes, réunies le 13 avril dernier, ont déclaré le  privacy shield  qui devait  remplacer le safe harbor « non satisfaisant », notamment en matière de surveillance.

En réponse, les entreprises nord-américaines déclarent stocker leurs données…. en Europe. Mais plusieurs informations laissent un doute sur la sécurité des données ainsi offerte :

Aucune entreprise américaine ne peut refuser de livrer les données à la NSA même si les serveurs sont hors du territoire étasunien.

  1. C’est la raison pour laquelle l’Allemagne a opté pour une politique radicalement différente : Pour travailler en Allemagne, Microsoft doit stocker les données sur des serveurs appartenant à Deutsch Telekom. Même Microsoft se vante d’offrir ainsi une solution parfaitement sure pour les données sensibles allemandes : Microsoft Announces Plans to Offer Services from German Datacenters http://news.microsoft.com/europe/2015/11/11/45283/
    Pourquoi la France n’a-t-elle pas les mêmes exigences ?
  2. Même si le serveur principal de stockage des données est en Europe, les serveurs de backup (sauvegarde) sont localisés aux Etats-Unis ou n’importe où dans le monde.
  3. Les services Google sont totalement poreux : ainsi une plainte a été déposée par ELECTRONIC FRONTIER FOUNDATION contre Google car Google n’honorait pas les engagements qu’il avait pris en signant la student privacy pledge aux USA.

Ces points d’alerte questionnent sur le sérieux du ministère de l’Education nationale qui envisage des accords et met en place des « expérimentations » à grande échelle alors que la question juridique des données scolaires n’a pas été prévue en amont, dans un contexte aussi délicat.

Qu’en est-il précisément de la couverture juridique des prétendues « expérimentation » actuellement en cours dans ce domaine ?

Des « expérimentations » concernant le déploiement de tablettes sur des académies entières (Besançon et Grenoble) utilisent les solutions Apple, les services Google et la solution cloud Microsoft 365. Peut-on considérer des déploiements sur des académies entières comme des « expérimentations » ?

Quel document juridique encadre ces déploiements ?

Le seul déploiement de solutions en ligne disponible dans le cadre scolaire, pour lequel des documents publics garantissent leur sécurité juridique, est celui des ENT (espaces numériques de travail), or tous ces déploiements se font hors solution ENT.

Les collectivités territoriales vont-elles prendre la main sur le déploiement des appareils mobiles (tablettes), hors des conditions de sécurité les plus élémentaires ?

La création d’un comité d’experts pour suivre le déploiement du plan numérique a été annoncée le 27 janvier par la ministre : qui y sera associé ?

Alertée par quelques articles de presse, la ministre demande la création d’un comité d’experts indépendants du ministère.

Qu’en est-il de la mise en œuvre de cette annonce ? Quelle est la composition de ce « comité d’experts » qui doit répondre aux questions éthiques ?

______________________________________

Note :

Voici l’adresse à partir de laquelle on trouve tous les renseignements sur CARMO
http://eduscol.education.fr/cid90992/carmo-cadre-de-reference-pour-l-acces-aux-ressources-pedagogiques-via-un-equipement-mobile.html

Pour les ENT (espaces numériques de travail)
http://eduscol.education.fr/cid55726/qu-est-ent.html
et leur encadrement juridique :
https://www.cnil.fr/fr/declaration/ru-003-espaces-numeriques-de-travail

 

 



Laisser un commentaire