La Cnil dispense à la légère l’école

Le 24 juillet 2012

L'autorité chargée de veiller à la bonne application de la loi Informatiques et Libertés de 1978 vient de dispenser de déclaration les fichiers scolaires locaux. Une décision rationnelle de bon sens selon elle. Pourtant, les fuites récentes de données nominatives et les quelques contrôles qu'elle a effectués devraient l'inciter au contraire à plus de vigilance.

Le 13 juillet dernier, la Cnil a publié au Journal officiel une délibération dispensant de déclaration les fichiers locaux des établissements scolaires du secondaire du public et du privé. Il s’agit de la 17ème dispense délivrée par l’autorité administrative chargé de veiller à l’application de la loi Informatique et Libertés de 1978. Ces fichiers, aux jolis noms de SACOCHE, PRONOTE, OTM ou CERISE, contiennent un certain nombre de données personnelles sensibles :

nom, prénoms, sexe, date et lieu de naissance, adresse, adresse électronique de l’élève fournie par l’établissement, nombre de frères et sÅ“urs scolarisés, et, à titre facultatif et uniquement si l’intéressé y consent : la nationalité (uniquement en vue de l’établissement par le ministère de traitements statistiques anonymes), l’adresse électronique personnelle de l’élève, le numéro de téléphone portable de l’élève. [...]

Scolarité de l’élève : établissement d’origine, classe, groupe, division fréquentés et options suivies pendant l’année scolaire en cours et l’année scolaire antérieure, année d’entrée dans l’établissement, diplômes obtenus, position (non-redoublant, redoublant, triplant), décision d’orientation et décision d’affectation, notes, acquis au sens du décret n° 2007-860 du 14 mai 2007 relatif au livret personnel de compétences, noms des enseignants, absences, sanctions disciplinaires, vÅ“ux d’orientation ;

“Une consultation rapide des autres dispenses fait apparaître le contraste entre le champ couvert par la 17ème dispense par rapport aux autres, note un membre du Collectif national de résistance à Base élèves (CNRB), qui s’oppose au fichage des élèves : le fichier électoral des communes, les listes de fournisseurs d’une entreprise, liste des abonnés à une revue, liste des chambre d’hôtes, etc. Tout ceci me semble anodin quant aux contenus donc aux atteintes possibles à la vie privée et aux libertés. Certes, tout ceci ne doit servir qu’en interne aux établissements mais quand même.”

Toutes ces données iront ensuite alimenter des fichiers nationaux dont le très polémique BE1D (base élèves premier degré). Interrogée par Owni, la Cnil a répondu qu’elle n’y voyait pas de problème :

Jusqu’à l’adoption de cette dispense, les établissements scolaires devaient adresser une déclaration à la CNIL qui donnait lieu à l’envoi d’un récépissé après vérification du caractère complet du dossier. Cela générait un flux important pour la CNIL sur des traitements connus par elle et soulevant peu de problématiques juridiques.
Dès lors, la CNIL a souhaité adopter une dispense actualisée et pédagogique, qui responsabilise davantage le responsable de traitement en cas de contrôle, pousse les chefs d’établissements à vérifier avec plus d’acuité s’ils entrent ou non dans le cadre de ladite dispense, que ce soit en termes de données traitées, de destinataires ou de sécurité.

5 contrôles sur 11 300 établissements

Pourtant, la sécurité des fichiers scolaires a récemment été remise sur en cause. On avait pu voir trainer sur Internet des données nominatives sensibles tirées des dossiers AFFELNET d’affectation dans les collèges et les lycées, extraits de SCONET et BE1D :

Une fuite qui devrait inciter la Cnil à une vigilance renforcée. Interrogée à ce sujet, elle réaffirme la responsabilité des chefs d’établissement :

Être dispensé de déclaration n’exonère les établissements d’aucune de leurs obligations au titre de la loi informatique et libertés. En particulier, ils sont tenus de garantir la sécurité des données. Une série de contrôles a été effectuée en début d’année 2012 auprès de 5 collèges et lycées en ce sens.

Une responsabilisation qui amuse bien le membre du CNRBE :

C’est peu de dire que la loi “Informatique et Libertés” est peu connue des directions d’établissement (et même des rectorats). Jusqu’à cette dispense, je serais curieux de savoir combien de déclarations ont été faites par des établissements ou des rectorats, elles doivent être très rares. Dans ce contexte, la lecture rapide de la 17 va les confirmer dans l’idée qu’ils peuvent faire ce qu’ils veulent. Par exemple, communiquer des listes d’élèves selon leur adresse et leur établissement et leur classe au Conseil général pour organiser le transport scolaire. Ce n’est qu’implicitement que la 17 dit qu’elle ne s’applique pas à une telle fourniture : qui va le voir ?

Nous avons demandé à la Cnil le résultat du contrôle des 5 établissements, sur les quelque 11 300 que compte la France dans le secondaire, et sa réponse semble corroborer ces craintes :

Les contrôles menés en début d’année auprès de plusieurs collèges et lycées ont conduit la Commission à constater certaines insuffisances concernant :

- les formalités préalables que ces établissements doivent accomplir auprès de la CNIL ;
- l’information des élèves et de leur représentant légaux sur le traitement de leurs données et les droits dont ils disposent ;
- les mesures mises en œuvre par ces établissements pour assurer la sécurité des données traitées.

Il est vrai que les fichiers scolaires ne semblent pas la priorité de la Cnil. Ainsi, Base élève premier degré avait fonctionné plus d’un an sans attendre la délivrance du récépissé de la déclaration auprès de la Cnil, de 2004 à 2006, comme l’avait détaillé le Conseil d’État dans sa décision du 19 juillet 2010, suite à sa saisine par le CNRBE. Et le conseil des sages avait jugé excessive la durée de conservation de 35 ans des données dans Base Nationale des Identifiants Elèves (BNIE), un base nationale qui rassemble les immatriculations uniques de chaque élève depuis son entrée dans le système scolaire. Initialement, le ministère de l’Éducation nationale (MEN) souhaitait qu’elle soit de 40 ans, la Cnil avait tiqué, le MEN avait donc proposé 35 ans. Cette fois-ci, la Cnil n’avait plus tiqué.


Photo par ubiquity-zh (CC-BY-NC)

Laisser un commentaire

Derniers articles publiés