La mise en ligne le 1er aout du rapport de l’Inspection générale sur la protection des données personnelles est importante. Le simple fait qu’il ait tardé à être rendu publique pose question. Daté de février 2018, le rapport est mis à disposition bien après la date du 25 mai 2018, date de mise en action de la loi européenne sur le RGPD et son adaptation au droit français. Ce problème de calendrier met en évidence une carence, celle de l’ancienne Direction pour le Numérique Educatif qui n’a pas du tout anticipé cette question des données numériques des élèves. D’ailleurs plusieurs éléments dans le rapport confortent cette analyse qui montre l’impréparation générale sur cette question. On peut s’interroger par exemple sur l’absence (à ce jour) de Délégué à la Protection des Données (DPD) au ministère de l’Education. On peut aussi s’interroger sur la légèreté des acteurs et des responsables de différents niveaux par rapport aux problèmes soulevés dans ce rapport.
Il est une question vive posée, à la page 35 du rapport, sur une entreprise privée qui fournit des logiciels de vie scolaire à 80% (d’après le rapport) des établissements publics et qui agit de manière presque totalement incontrôlée : « Une des sociétés occupe une part de marché nettement supérieure aux autres (voisine de 80 %) ce qui lui donne une position de quasi-monopole. » L’entreprise n’est pas citée en tant que telle, mais chacun aura reconnu le logiciel Pronote de la société Index Education qui a d’ailleurs été auditionnée par les IG. L’ensemble du passage qui analyse ce fait est intéressant à lire et il commence ainsi : « Il ne s’agit pas d’une externalisation ordinaire d’un service, mais d’une véritable délégation de service public qui ne dit pas son nom, sans aucune interaction avec l’administration centrale du ministère, chaque établissement contractualisant directement avec ces sociétés, conséquence de trente ans d’histoire qu’il sera maintenant difficile de faire évoluer. » S’ensuit un long paragraphe sur la manière dont se passent des marchés qui concernent des données sans que le ministère ait un réel contrôle sur leur utilisation.
Mais le rapport c’est aussi un ensemble de propositions fondées sur une analyse assez approfondie de la question des données numériques des élèves et leur gestion. Parmi les propositions nous mettrons en avant quelques-unes qui nous paraissent significatives.
« Préconisation n° 1 : Former rapidement les enseignants et les chefs d’encadrement sur l’utilisation des données scolaires numériques dans des situations pédagogiques et administratives avec une attention particulière aux traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques dans le sens de l’article 9 du RGPD. » Constat de carence généralisée ? Absence de repères aussi bien légaux qu’éthiques. On constate là l’insouciance générale de chacun de nous face à ce que nous laissons, diffusons, partageons sur le net, mais plus largement sur l’ensemble des informations privées dont nous laissons aux autres le soin de les gérer : le monde scolaire et ses multiples « traces ». Cela n’échappe pas à cette insouciance voire ignorance, parfois entretenues par des responsables informatiques qui ne font pas leur travail d’information auprès des responsables des activités, en particulier dans les établissements.
« Préconisation n° 5 : Éditer au niveau national des documents précisant la nature des données collectées et des traitements effectués, qui seraient distribués aux publics concernés : professeurs, parents, élèves. Ces documents devront être rédigés dans un langage adapté à leur public et facilement modifiables par les responsables de traitement locaux. » L’absence d’informations claires est une carence qui renforce l’idée parfois émises que l’on n’a pas à savoir on a simplement à faire, les autres (qui ?) savent ce qui est bon pour nous
« Préconisation n° 7 : Faire spécifier dans les contrats passés entre les établissements scolaires et les éditeurs de logiciels de vie scolaire, d’emploi du temps ou d’ENT, que les données doivent être stockées par les hébergeurs sous forme cryptée, les responsables de traitement étant seules habilités à posséder la clef de décryptage. » « Préconisation n° 8 : Établir une cartographie détaillée de l’ensemble des flux de données scolaires circulant dans l’éducation nationale, dans les collectivités territoriales, les entreprises privées et les associations en précisant leurs relations, la nature des données transmises et leur cryptage éventuel. Il s’agira en particulier de veiller à ce que les données personnelles issues de bases de données gérées par le ministère transmises à des tiers soient systématiquement cryptées. »
Cela renvoie à la remarque de la page 35 du rapport. On s’étonne de la légèreté contractuelle des liens entre éditeurs privés et acteurs de l’éducation. La notion des responsables de traitement (le chef d’établissement dans un EPLE) est bien sûr essentielle. Qu’un chef d’établissement puisse être prisonnier d’un acteur interne ou externe en termes de gestion des données est quelque chose que nous avons dénoncé il y a longtemps mais qui reste ignoré… l’insouciance face aux données… et à leur exploitation.
« Préconisation n° 12 : Inclure une clause d’explicitation des principes sur lesquels reposent les algorithmes utilisés dans les traitements de données à caractère personnel dans les contrats passés avec les développeurs privés. » Que ce soit pour l’orientation (Parcoursup, Affelnet) mais aussi pour ce qui advient avec le traitement des données d’apprentissage (learning analytics), l’obligation de transparence va devoir se développer. On voit déjà arriver des promesses magiques mais aussi des critiques apocalyptiques qui peuvent laisser croire tout et n’importe quoi. Le développement de l’intelligence artificielle va probablement poser un problème important, surtout quand il y a des traitements difficilement explicables (deep learning – cf. la conférence de Yann le Cun au collège de France)
« Préconisation n° 16 : Faire en sorte que l’État se repositionne vis-à-vis des prestataires de certains services numériques clés, administratifs et pédagogiques, afin de pouvoir exercer sa souveraineté en matière d’éducation. » La lecture de cette préconisation à elle seule est très inquiétante. Est-ce à dire que l’Etat a perdu la main sur certains domaines ? Est-ce à dire que l’Etat à laisser faire des pratiques variées sans effectuer les vérifications de fond qui s’imposaient ?
La conclusion du rapport est bien sûr dans la même ligne et elle rappelle que la définition du rôle de l’Etat et donc la mise en œuvre du rôle qu’il entend jouer est une nécessité absolue au vu d’une analyse des carences observées et des urgences qui se présentent, en particulier dans le domaine du traitement massif de toutes sortes de données.
Et l’élève, là-dedans ? On le retrouve indirectement dans la préconisation n°4 : « compléter par amendement à la loi informatique et liberté en révision l’article 38 de la loi d’orientation et de refondation de l’École (formation à l’utilisation des outils numériques) par former « aux dimensions éthiques, sociales et économiques de l’utilisation des données numériques, en particulier celles à caractère personnel ». » On pourra rapprocher cette préconisation des deux articles complémentaires de la loi sur la place du téléphone portable dans les établissements scolaires : l’article L121.1 et l’article L312.9
Pour information, l’un des auteurs du rapport (Jean Marc Merriaux) est désormais Directeur du Numérique pour l’Education. On peut penser que les autres auteurs auront aussi un rôle à tenir dans les temps prochains dans le domaine de la protection des données en éducation.
Bruno Devauchelle