Évaluations nationales, sécurité des données et RGPD où en sommes-nous ?

Panique et complot

Un tweet montrant que la plateforme de saisie des évaluations nationales de CP et CE1 est hébergée sur un serveur Amazon à Dublin a déclenché une vague d’indignation et d’interrogations aussitôt suivie de discours alarmistes et complotistes. Alors, est-ce exact que l’Éducation Nationale cède les données des élèves à un “GAFAM” pour alimenter le ciblage publicitaire du plus grand magasin US du Web ?

En fait, si se poser des questions est parfaitement légitime, il ne faut pas non plus TOUT mélanger !

Ce qu’il en est

L’information la plus complète et précise à ce jour est donnée par l’article de Reflets.info : Education Nationale : des évaluations chez Amazon ? Oui, mais non” qui nous explique qu’en fait l’Éducation nationale a fait appel pour les plateformes des évaluations nationales CP, CE1, 6ème et 2nde à un prestataire luxembourgeois “Open Assessment Technologies” (OAT), prestataire qui utilise la filiale d’hébergement Amazon Web Services (AWS). Amazon, ce n’est pas seulement la plateforme de vente en ligne que nous connaissons tous, mais aussi, notamment, un service de cloud qui permet l’hébergement de contenus sur des serveurs répartis à travers le monde. Certains de ces serveurs sont à Dublin et hébergent la plateforme des évaluations CP et CE1, d’autres à Seattle hébergent la plateforme des évaluations 6ème et 2nde.

Que les données soient hébergées hors de la France, et même hors UE n’est pas illégal au regard du RGPD si le ministère peut démontrer que toutes les précautions de confidentialité et de sécurité ont bien été prises, et c’est plutôt là que se situe le problème…  

Les questions qui se posent

On peut bien évidemment regretter éthiquement parlant qu’il soit fait appel à une solution d’hébergement appartenant à un “GAFAM”. Ceci dit, vu les gros problèmes de surcharge rencontrées ces derniers jours par les collègues qui saisissent les résultats des CP et CE1, nous n’osons imaginer ce que cela aurait donné s’il avait fallu compter sur nos serveurs académiques déjà très sous-dimensionnés !  

La vraie question est de savoir comment avoir la garantie que les données des élèves (et celles des enseignants qui font les saisies) sont bien utilisées aux fins ainsi définies par le ministère sur Eduscol :

Les évaluations des acquis des élèves répondent à trois objectifs :

  • fournir aux enseignants des repères des acquis de leurs élèves, compléter leurs constats et leur permettre d’enrichir leurs pratiques pédagogiques
  • doter les « pilotes de proximité » – recteurs, DASEN, IA-IPR, IEN, chefs d’établissement – d’indicateurs leur permettant de mieux connaître les résultats et d’adapter leur action éducative
  • disposer d’indicateurs permettant de mesurer, au niveau national, les performances du système éducatif (évolutions temporelles et comparaisons internationales)

…et à rien d’autre ! 

Ça tombe bien! Nous disposons depuis le 25 mai dernier d’un nouveau cadre légal pour cela, le Règlement Général sur la Protection des Données, le fameux RGPD qui impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD et elle devrait ici être donnée aux parents des élèves et aux enseignants concernés. Or… il n’en est rien !

Communication désastreuse du ministère

En effet, le ministère a communiqué dans la presse en affirmant que puisque les données des élèves sont “anonymisées” avant le traitement puis “ré-identifiées” après, il n’y avait pas de données personnelles en jeu et donc pas d’obligation de respecter l’obligation de transparence du RGPD ! Circulez, il n’y a rien à voir… et il jure que les données ne sont en aucun cas accessibles par le prestataire.

Sauf que quand on peut ré-identifier des données, elles ne sont pas “anonymisées” mais “pseudonymisées” et donc au regard de la loi ce sont bien des DCP (Données à Caractère Personnel) soumises au RGPD. C’est expliqué clairement ici sur le site de la CNIL.

De plus le Ministère, qui pourtant promet que le prestataire n’a pas accès aux données nominatives des élèves, oublie de préciser que c’est le même prestataire OAT qui est chargé de l’”anonymisation” (qui est en fait une pseudonymisation) et de la “ré-identification”. Il suffit d’un clic pour voir que les listes des élèves sont bien présentes d’une manière ou d’une autre sur AWS comme le montre clairement cette capture d’écran :

Screenshot 2018-09-27 at 104722 - Edited (1)

Au lieu de ne pas dire la vérité sur au moins ces deux points, le ministère devrait respecter le RGPD et informer clairement sur les processus de traitement des données, leur finalité, leur durée de conservation, leurs destinataires et les précautions prises pour leur sécurité.

Le SE-Unsa pose les bonnes questions

C’est pour cela que le SE-Unsa a adressé le 26 septembre dernier un courrier au Ministre avec des questions très précises pour que les informations soient données en toute transparence… Nous attendons les réponses qui ne devraient plus tarder !

Nous nous sommes adressés directement au ministre puisque depuis l’entrée en vigueur du RGPD, il n’y a plus nécessité d’un agrément préalable de la CNIL, celle-ci n’intervenant que pour contrôler et traiter les éventuelles plaintes qu’elle reçoit pour non respect du RGPD.

L’Éducation nationale très en retard concernant le RGPD

Alors que le RGPD est entré en vigueur le 25 mai dernier, et que le texte est connu depuis 2 ans, le ministère de l’Éducation nationale est très en retard: il n’a même pas nommé tous les DPD (Délégués à la Protection des Données) académiques, il en manque encore 8 au jour de publication de cet article dans cette liste !

Sur le terrain, les enseignants et même les chefs d’établissement sont très peu informés de comment le RGPD impacte l’École, sauf bien sûr pour servir de justification plus ou moins fantaisiste à des interdictions de logiciels ou d’applications (qui peuvent varier d’une académie à une autre, voire dans le primaire, d’une circonscription à une autre).

Le guide RGPD spécial Éducation nationale sera disponible pour la fin de l’année 2018, ce qui ne fera que 7 mois de retard !

Seul élément de formation disponible, un parcours M@gistère “Les données à caractère personnel au coeur des établissements” (pour que le lien fonctionne il faut être connecté à M@gistère) qui est en accès ouvert à tous les enseignants. Il est une excellente introduction aux enjeux du RGPD. En revanche, il n’est guère opérationnel pour les modalités pratiques car confus et anxiogène.

En conclusion

Sans tomber dans les dérives complotistes, la sécurité des données des élèves et des personnels est une question essentielle que le SE-Unsa ne considère pas à la légère. Nous attendons les réponses du ministère à notre courrier et regarderons de près si les conditions exigées par la loi sont bien respectées.

Concernant le RGPD et ses incidences sur l’exercice de nos métiers, nous sommes vigilants et ne manquerons pas de vous tenir informés le plus précisément possible au fur et à mesure de sa mise en oeuvre.

Une réponse à “Évaluations nationales, sécurité des données et RGPD où en sommes-nous ?

  1. Pingback: I - L'« école de la confiance » : entrée du big data, de la 5G et de l’intelligence artificielle à l’école - Valérie Chénard·

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s