Articles

Que fait l'Education nationale pour protéger les données des élèves?

Données sensibles en réseau

Par Jacques Dubois , le 26 février 2018 | Dernière mise à jour de l'article le 26 mars 2018

Nos Données Sont Personnelles, Comme Nos Effets !

Les données à caractère personnel (DCP) des élèves manipulées par un établissement scolaire sont très nombreuses : état civil, groupe classe, enseignants, notes, connexions internet, livret scolaire, parcours scolaire, …

Les Espaces Numériques de Travail (ENT) définissent un cadre de confiance pour collecter et traiter ces données. Le Gestionnaire d’Accès aux Ressources (GAR) propose de prolonger cet espace à des services tiers, qu’ils soient éditeurs de ressources ou de services en ligne. Voyons un peu l’articulation de ces services et la réponse qu’ils apportent aux questions liées aux données personnelles et à l’arrivée prochaine du Règlement Général européen de Protection des Données (RGPD).

Qu’est-ce qu’un ENT ?

Pour définir ce qu’est un ENT, autant s’appuyer sur le document qui fait référence : le Schéma Directeur des Espaces Numériques de Travail (SDET 6.0, datant de 2016) dont voici deux extraits :

Un Espace Numérique de Travail (ENT) désigne un ensemble intégré de services numériques choisis et mis à disposition de tous les acteurs de la communauté éducative d’une ou plusieurs écoles ou d’un ou plusieurs établissements scolaires dans un cadre de confiance [...]. Il constitue un point d’entrée unifié permettant à l’utilisateur d’accéder, selon son profil et son niveau d’habilitation, à ses services et contenus numériques. Il offre un lieu d’échange et de collaboration entre ses usagers, et avec d’autres communautés en relation avec l’école ou l’établissement. (p. 16/192)

Du point de vue de l’utilisateur, évoluer dans un cadre de confiance signifie que celui-ci peut accéder de manière simple à l’ensemble des services Utilisateur auxquels il a droit, de façon sécurisée, dans le respect des la vie privée et avec une protection de ses données à caractère personnel. (p. 23/192)

L’usage d’un ENT respectant les exigences légales listées dans le SDET est très facilitant pour un établissement : cela permet d’avoir une déclaration simplifiée unique à la CNIL pour l’ensemble des services proposés (jusqu’au 25 mai 2018), qui se traduira par une entrée unique dans le registre du délégué à la protection des données (à partir du 25 mai 2018).

Qu’est-ce que le GAR ?

Le GAR (Gestionnaire d’accès au Ressources) est un filtre de sécurité qui permet aux utilisateurs d’ENT autorisés à accéder à des ressources complémentaires en transmettant les données «strictement nécessaires» (la liste de ces données est définie dans l’arrêté ministériel du 18 décembre 2017). Cette interface propose donc d’étendre le cadre de confiance de l’ENT à des services et ressources tiers, par une authentification unique sur l’ENT et en respectant au mieux les données à caractère personnel des utilisateurs.

Dans un premier temps, seulement utilisable via une interface web d’un ENT, il est prévu qu’une version mobile soit développée par la suite. Par contre, il n’est pour l’instant pas prévu de pouvoir utiliser ce GAR sans accès préalable à un ENT. Cela «permettrait aux écoles et établissements qui ne bénéficient pas d’ENT et dont les élèves ne seraient pas dotés de tablettes numériques d’utiliser (…) ce traitement (...)»

Y a-t-il un lien avec le RGPD ?

Le Règlement Général européen des Données Personnelles (RGPD) est une réglementation européenne qui fait suite à la loi informatique et liberté qui sera effective à partir du 25 mai 2018. Ses grands principes sont les suivants :

  1. Les responsables de traitement de données (IA-DASEN pour les établissements du 1er degré, chef d’établissement pour les établissements du 2nd degré) sont responsabilisés : ils doivent documenter tous les traitement de données à caractère personnel dans le registre du délégué à la protection des données.

  2. Les services doivent être conçus dans une logique de protection des données à caractère personnel : c’est la logique du SDET.

  3. Les données doivent être protégées par défaut : seules les données utiles doivent être enregistrées, traitées et accessibles. On retrouve la logique du GAR qui prévoit un contrôle a priori de la pertinence des données.

De plus, le GAR impose – quand le SDET (cf. version 6.1 en consultation) propose – une portabilité des données, fonctionnalité particulièrement utile en cas de changement d’établissement ou de changement de fournisseur de service. Cette portabilité n’est pas imposée dans le RGPD.

Tous ces éléments montrent que le ministère de l’Éducation nationale fait évoluer les éléments qu’il maîtrise en conformité avec la nouvelle réglementation. Cela ne suffit pas pour que tout soit rose et simple. Il faut encore que :

  • Les fournisseurs de services appliquent cette nouvelle réglementation. A ce titre, on peut noter l’effort de ITSlearning (fournisseur d’ENT) qui présente le calendrier de sa mise en conformité avec le RGPD.

  • Les instances locales de l’Éducation nationale désignent le(s) Délégué(s) à la Protection des Données qui aura pour mission de tenir à jour la documentation des traitements des données dans son registre, de veiller à l’intégrité des données de son institution et d’accompagner les équipes sur les enjeux métiers et la mise en place de nouveaux services ou outils.

En conclusion

Cette rapide présentation met en lumière les évolutions légales et techniques liées à l’utilisation massive des services en ligne. On peut constater que l’enjeu des données à caractère personnel des acteurs est un souci central dans cette démarche afin de dynamiser et fluidifier les usages dans un cadre de confiance sécurisant.

Il paraît essentiel d’expliquer à tous les utilisateurs (élèves, parents, enseignants, …) les enjeux liés aux données à caractère personnel et l’opportunité offerte par le cadre de confiance de l’ENT – étendu par le GAR – qui est une garantie du respect des contraintes légales et un réel confort quand la portabilité des données sera généralisée.

Références

Délibération n°2017-253 du 21 septembre 2017 de la CNIL, consulté le 14 février 2018 :

https://gar.education.fr/medias/fichier/deliberation-cnil-n-2017-253-du-21-septembre-2017-sur-saisine-article-11_1515684636890-pdf?ID_FICHE=1209&INLINE=FALSE

ITS Learning et RGPD, consulté le 14 février 2018 : https://itslearning.com/fr/gdpr/

FAQ sur le RGPD - dane Lyon, consulté le 14 février 2018 : https://dane.ac-lyon.fr/spip/FAQ-RGPD-Reglement-General-pour-la

Site de présentation du GAR, consulté le 14 février 2018 : https://gar.education.fr/

Le SDET version 6.0, consulté le 14 février 2018 : http://eduscol.education.fr/cid56994/sdet.html

Le SDET version 6.1, consulté le 14 février 2018 : http://eduscol.education.fr/cid60308/appel-commentaires-sdet.html

Qu’apportent les ENT, , consulté le 14 février 2018 : http://cache.media.eduscol.education.fr/file/ENT/30/3/ApportsENT_879303.pdf

Registre du délégué à la protection des données, , consulté le 14 février 2018 : https://ec.europa.eu/info/about-european-commission/service-standards-and-principles/transparency/data-processing-register_fr

Arrêté ministériel du 18 décembre 2017 relatif à la mise en œuvre du GAR https://www.legifrance.gouv.fr/eli/arrete/2017/12/18/MENN1729109A/jo/texte/fr

Avez-vous apprécié cette page?

Voir plus d'articles de cet auteur

Accédez à des services exclusifs gratuitement

Inscrivez-vous et recevez des infolettres sur :

De plus, indexez vos ressources préférées dans vos propres dossiers et retrouvez votre historique de consultation.

M’abonner
Je suis déja abonné