Depuis le début de la crise sanitaire, l’explosion du numérique à l’école a mis le doigt sur les nombreuses failles en matière de respect des données personnelles. Les opérations de sensibilisation, indispensables, se multiplient. Le point, à l’occasion du lancement d’In-FINE, forum international du numérique pour l’éducation.
La protection des données personnelles dans le cadre scolaire ? Sophie (le prénom a été modifié), prof d’histoire-géographie dans un lycée du 93, n’en avait qu’une vague idée, lorsque l’annonce du confinement l’a obligée, il y a un an, à basculer ses cours en distanciel. Pris d’assaut, les outils collaboratifs mis à disposition par les établissements ou par l’éducation nationale ont vite saturé.
Et les premiers temps, pour récupérer ses élèves perdus dans la nature « en l’absence de consignes », Sophie s’est « débrouillée » : Gmail d’abord, puis Google Drive pour poster ses cours en audio et un groupe WhatsApp pour échanger au quotidien. Beaucoup de ses collègues ont aussi utilisé Zoom ou Discord. La plupart ignoraient alors qu’en recourant à ces solutions américaines, qui ne respectent pas le règlement européen pour la protection des données (RGPD), « ils risquaient de voir leurs données personnelles stockées à l’étranger, analysées et exploitées à des fins commerciales », alerte Nathalie Sonnac, présidente du comité d’éthique pour les données de l’éducation.
Une manne pour les géants du numérique
En montrant les limites de la mise en œuvre du RGPD dans l’éducation, le début du confinement, présenté par certains comme un « immense crash test », a contribué à remettre sur le devant de la scène l’enjeu crucial de la protection des données personnelles, largement ignoré. Gilles Braun, ancien délégué à la protection des données des ministères de l’éducation nationale et de l’enseignement supérieur, fraîchement retraité, s’en félicite.
De la vie scolaire aux évaluations et notes des élèves, le déploiement du numérique au sein de l’école implique la collecte de millions d’informations personnelles. Celles-ci, à moins d’être relatives aux origines ethniques ou raciales, à la vie sexuelle, à l’appartenance syndicale, aux opinions politiques et religieuses, à la santé ou aux dimensions biométriques et génétiques, ne sont pas considérées comme des éléments sensibles,dont le traitement est interdit.« Cependant, il suffirait de rapprocher deux fichiers classiques pour en déduire des informations dites sensibles », prévient Gilles Braun, citant en exemple « les absences d’un élève en fonction des fêtes religieuses ».
Une manne potentielle pour les acteurs privés, en particulier pour les géants du numérique qui tirent leurs revenus de l’extraction et de l’analyse de données personnelles de leurs utilisateurs, à qui ils proposent ensuite de nouveaux produits. Sans compter « les risques de déstabilisation politique, si elles tombaient entre de mauvaises mains », poursuit-il.
Le difficile remplacement des Gafam
D’où l’importance de les protéger. Conformément à la réglementation, elles sont collectées puis stockées, de manière très encadrée, dans des systèmes d’information du ministère, des environnements numériques de travail (ENT) ou des logiciels de vie scolaire, détenus par des acteurs pour la plupart français, qui doivent respecter le RGPD, affirme le ministère. Elles ne sont jamais reliées aux outils d’éducation déployés par les Gafam dans les établissements, lorsqu’il y en a. Les failles viennent davantage de l’utilisation que les élèves pourraient faire de ces outils à la maison, explique-t-on rue de Grenelle, ou du recours par les enseignants à des solutions qui ne respectent pas le RGPD.
Or, la pandémie a montré combien il était difficile pour l’éducation nationale de faire respecter ces règles. En cause ? « Un manque d’anticipation de l’institution, de culture numérique, mais aussi d’investissement à tous les niveaux dans des outils adaptés pour remplacer les Gafam », énumère un fin connaisseur du dossier.
Conformément au règlement européen, un chef d’établissement de collège ou de lycée est censé, chaque fois qu’un professeur utilise une application qui s’appuie sur des données personnelles, vérifier qu’elle respecte bien le RGPD, l’inscrire sur un registre et en informer les parents. « Souvent, c’est compliqué à respecter car nous n’avons pas l’info », note Joël Lamoise, secrétaire national du SNPDEN-Unsa et proviseur de la cité scolaire Ernest-Bichat de Lunéville (Meurthe-et-Moselle). Mais, à l’aune de la crise, les choses bougent. « Epaulés au début un peu durement par les services du rectorat, qui nous rappelaient systématiquement qu’il ne fallait utiliser que les outils RGPD, on a essayé de mettre en place des bonnes pratiques. Désormais, la classe virtuelle du CNED fait l’unanimité et des outils comme Discord ont été abandonnés », assure-t-il.
Une sensibilisation indispensable
Les enseignants ont également fait l’objet d’une campagne d’information. Pour Jean-François Clair, responsable du groupe numérique du Snes-FSU, la formation reste très insuffisante. « Dans quelques académies, des modules de sensibilisation ont été proposés. Mais ils sont fondés sur le volontariat et touchent un nombre assez réduit de personnes, alors que tout le monde devrait être concerné ! »
Hélène Josso-Bouchard, déléguée à la protection des données dans l’académie d’Aix-Marseille, s’ingénie également à sensibiliser les collectivités qui équipent les établissements. « Certaines poussent pour utiliser des solutions issues des Gafam, qui ne présentent pas toutes les garanties en matière de protection des informations personnelles », assure-t-elle.
Joël Lamoise approuve : cette crise doit reposer la question de l’omniprésence dans les établissements de solutions proposées par les géants du numérique. « Même s’ils s’engagent à respecter le RGPD, ils gèrent de telles masses de données qu’en croisant deux bases, ils n’auraient aucun mal à retrouver l’identité d’une personne, décrypte Thierry de Vulpillières, ancien directeur des partenariats sur l’éducation de Microsoft, désormais à la tête de la start-up EvidenceB. La réglementation européenne l’interdit, mais ce n’est pas le cas partout et rien ne l’empêcherait techniquement. C’est pour cela qu’il vaut mieux être prudent. »
Code de bonne conduite
Face à ces géants, la percée du logiciel libre, vers lequel le ministère conseille de se tourner en priorité, reste timide. « On n’entend pas beaucoup parler de certains logiciels qui marchent bien, comme ceux proposés par Framasoft », regrette Joël Lamoise. « Fondé sur la culture du partage et de la transparence, le logiciel libre présente davantage de garanties en matière de protection des données », analyse Alexis Kauffmann, enseignant et fondateur de Framasoft. L’association, forte de sa réputation d’alternative du libre à Google, a connu une montée en flèche de ses utilisateurs depuis un an.
Les acteurs du numérique pour l’éducation et la formation, réunis sous la bannière de l’Afinef, comptent sur leur code de (bonne) conduite en cours de rédaction pour montrer patte blanche. Des organismes, labellisés par la Commission nationale de l’informatique et des libertés (CNIL), certifieront les solutions qui respectent la réglementation. Avec à la clef, pour « le chef d’établissement, la certitude que les données sont vraiment sécurisées », assure Hervé Borredon, vice-président de l’Afinef. Sortie prévue pour fin 2021.
lemonde.fr