Alors que la Cnil vient d’interdire la reconnaissance faciale dans les établissements scolaires, il est clair que l’Ecole ne peut pas faire l’économie d’une réflexion sur l’usage de ses données. Désormais le monde scolaire, mais il n’est pas le seul, est confronté à une responsabilité multiple : d’une part assurer de la légalité de ses pratiques, d’autre part permettre à chaque acteur de l’institution de se situer et d’agir en accord avec la loi, et enfin développer une éducation à la protection des données.
La CNIL et le suivi personnalisé
Au début des années 2000 la CNIL rend un avis négatif à l’utilisation des empreintes digitales dans les cantines de deux établissements scolaires d’Angers. Il y a plus de dix ans, une spécialiste de l’informatique professionnelle évoquait la montée en puissance de la géolocalisation dans notre société et ses conséquences sur l’organisation de nos vies. Très récemment un père et sa fille se co-géolocalisaient en permanence afin de mieux rester en lien : au moins je sais où est l’autre ! Le 28 octobre 2019, la CNIL rendait un avis sur l’installation de portails biométriques dans deux lycées. Cela ne « saurait être légalement mis en œuvre », est la formule employée par la CNIL.
De la création de la CNIL en janvier 1978 dans un texte célèbre « la loi informatique et libertés » à l’adoption, quarante années plus tard, de la loi sur la protection des données personnelles en application d’un texte européen de 2016, les moyens de capter des données personnelles et de les utiliser se sont multipliés. Les fascinants films de science-fiction sont désormais de bien étonnantes réalités. Demandez au livreur de votre colis ce qu’il en est. Lui qui dès qu’il a déposé le paquet non seulement vous permet d’en être informé, mais aussi informe son employeur de là où il en est : on vous informe que votre livreur arrive près de chez vous et vous pouvez le suivre en direct ou presque sur une carte en ligne…. On peut multiplier les exemples qui mettent en évidence le développement de ce suivi personnalisé.
Une adaptation tardive à la protection des données
La mise en place, au ministère de l’éducation d’un Délégué à la Protection des Données, puis celle d’un administrateur des données, et enfin la création d’un comité d’éthique pour les données d’éducation, tout cela concoure à révéler l’urgence, l’importance du problème posé par ces capacités nouvelles permises par l’informatique et le développement des capacités de calcul et donc de traitement des données. Dans l’établissement scolaire, savoir où sont les élèves en temps réel est désormais possible (on n’a pas encore implanté de puce RFID, mais cela pourrait arriver…). Transmettre aux responsables légaux des informations de présence mais aussi bien d’autres en temps réel, faire l’appel en numérique ou même identifier les élèves à l’entrée dans la salle de cours, voilà des possibles désormais facilités par les moyens numériques. Tapez « mSpy » dans un magasin d’application et vous trouverez des réponses étonnantes à ces questions.
Le questionnement sur la présence des élèves en classe n’est pas nouveau et les feuilles de présence remplies laborieusement il y a quarante années sont désormais automatisées. Ces lycées qui veulent installer de la surveillance biométrique à base de reconnaissance faciale sont dans la suite logique de ceux qui dès le début des années 2000 tentaient d’utiliser d’autres moyens biométriques. Mais toutes ces expériences techniques s’inscrivent dans la droite ligne du développement d’une société de surveillance qui dans un premier temps se présente comme rassurante, mais qui dans un deuxième temps pose des questions essentielles qui vont au-delà même du travail d’un comité d’éthique….
Ce qui pose problème c’est ce qui transforme une information technique (entrée autorisée ou non par exemple) en donnée personnelle. Une donnée personnelle étant une donnée qui concerne un individu, une personne, un citoyen. La CNIL (à l’instar des textes français et européens) rappelle que le consentement de la personne est une base au départ mais que la maîtrise de ces données concerne toute la durée de vie de ces données, d’où le droit à l’effacement des données personnelles… On peut s’étonner que la question de la protection des données apparaisse si tardivement dans un ministère de l’éducation. On peut aussi faire l’hypothèse que le ministère de l’éducation souhaite développer justement la captation le traitement et l’utilisation de ces données et qu’il sait bien qu’il ne peut le faire sans mettre des « garde fous ».
Le danger de vouloir savoir
La mise en place de ce qui ressemble à un arsenal bureaucratique au sein du ministère et plus largement dans le monde de l’enseignement scolaire accompagne aussi de la multiplication des moyens numériques de suivi des élèves par le ministère lui-même : livrets scolaires, évaluations, orientation etc. A l’instar des GAFAM, jadis naïvement présentées par un ancien directeur du numérique pour l’éducation désormais employé par l’une de ces sociétés, l’Etat a toujours eu, dans un rêve jacobin très ancien, la tentation totalitaire de suivi individuel de la population. Malheureusement la montée en puissance de certains régimes politiques ne laisse aucun doute sur l’hypothèse totalitariste du regard sur les personnes. Les scandales comme ceux des écoutes numériques de la NSA aux états unis, ne laissent pas d’interroger.
A plusieurs reprises nous avons signalé dans différentes chroniques le danger qu’il y a dans l’établissement scolaire, dans la classe, dans le conseil de classe à vouloir savoir pour pouvoir expliquer. Lors d’une réunion avec les parents, on assiste, sans moyens techniques particuliers, à la mise en scène de ce qu’est la gestion des données personnelles des élèves par l’enseignant. C’est à ce niveau là que se situe d’abord le problème : l’enseignant a besoin de rassembler des informations sur l’élève (ou plutôt sur son travail, mais parfois cela va au-delà) pour pouvoir en témoigner auprès de ses responsables légaux mais aussi auprès de sa hiérarchie auquel il rend compte. Les moyens numériques mis à la disposition de chaque enseignant au sein de l’établissement ou ceux qu’il se procure lui-même peuvent amener à des dérives dont la portée peut être très importante. De même dans ses pratiques pédagogiques, il peut être amené à utiliser des moyens externes à l’établissement sans pouvoir s’assurer du respect de la loi sur la protection des données personnelles.
Bien évidemment, la première année de mise en place de la RGPD n’a pas révélé de vrai problème d’importance. Il est vrai aussi que certains lieux ont pris un réel retard, ne serait-ce que dans la déclaration à la CNIL de ces DPD (ou DPO) dont on peut trouver la liste sur le site produit par la CNIL.
Un comité Théodule ?
On s’étonnera de certains manques, on s’étonnera aussi de ce qui peut être considéré comme une entorse au regard des textes. Bref cette première année de mise en place doit faire écho à des préoccupations pour lesquelles il va falloir répondre bien avant que cela ne pose problème sur le fond. La biométrie se généralise, le développement des outils de tracking, de suivi et d’analyse des traces s’accélère. Désormais le monde scolaire, mais il n’est pas le seul bien sûr, est confronté à une responsabilité multiple : d’une part assurer de la légalité de ses pratiques, d’autre part permettre à chaque acteur de l’institution de se situer et d’agir en accord avec la loi, et enfin développer une éducation à la protection des données qui fait partie aussi bien de l’EMI que de l’EMC, mais qui, plus généralement, doit être partagée par tous au sein de l’établissement. Reste la question de l’éthique. Attendons de voir si le fameux comité d’éthique n’est pas un comité Théodule de plus et si les questions dont il s’emparera sont véritablement au cœur de la problématique éducative ou non.
Bruno Devauchelle
Le site open data produit par la CNIL
Texte de la CNIL sur la fonction de DPD/DPO
A Angers, c’est biométrie tous les jours à la cantine -septembre 2003
Avis de la CNIL à propos de la reconnaissance faciale
Le droit à l’effacement sur le site de la CNIL
Mise en place du comité d’éthique pour les données d’éducation
