Sur le champ d'application du dispositif ENT :
Les ENT peuvent être implantés dans les écoles, les établissements publics locaux d'enseignement et dans les établissements d'enseignement supérieur.
Un projet ENT étant au carrefour des compétences éducatives de plusieurs institutions publiques qui sont a minima une autorité académique (services déconcentrés de l'Etat), l'établissement scolaire et une collectivité locale (commune, structure intercommunale, département, région), la commission recommande qu'une convention soit élaborée entre le responsable de traitement, à savoir le chef de l'établissement scolaire ou universitaire, et les différents partenaires du projet ENT afin de définir leurs rôles respectifs au sein du projet.
Les ENT s'adressent à l'ensemble des personnes exerçant une activité au sein d'un établissement scolaire, à savoir les élèves, les parents d'élèves, les étudiants, les enseignants, les personnels administratifs, techniques et d'encadrement des établissements d'enseignement.
Sur la procédure de formalités applicable :
Le projet présenté par le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche porte sur la mise en oeuvre d'un téléservice mis à disposition des usagers de la communauté éducative de l'enseignement scolaire et de l'enseignement supérieur préalablement dotés d'un identifiant propre au système. Ce téléservice relève de la procédure d'autorisation par arrêté pris après avis de la CNIL conformément à l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée.
La commission prend acte que l'article 7 du projet d'arrêté fait référence à un acte réglementaire unique, conformément aux dispositions de l'article 27-III. Dès lors, chaque établissement de l'enseignement scolaire ou supérieur décidant de l'implantation d'un ENT devra procéder auprès de la CNIL à un engagement de conformité. Cette déclaration faite par le responsable de l'établissement l'engagera à respecter les dispositions prévues dans l'arrêté et notamment le schéma directeur des espaces numériques de travail et ses annexes, les finalités, les droits des personnes et les mesures de sécurité nécessaires à la protection de données à caractère personnel.
Sur les finalités du traitement :
Les ENT ont pour objet de proposer à la communauté éducative des contenus à vocation pédagogique et éducative ainsi que de diffuser des informations administratives ou relatives à la vie scolaire et au fonctionnement de l'établissement. Les finalités poursuivies par ce traitement sont légitimes dès lors que toutes les garanties sont prises afin que chaque catégorie d'utilisateur ne puisse accéder qu'aux seules informations le concernant.
Sur les données à caractère personnel traitées :
La commission prend acte de ce que les données à caractère personnel traitées par l'application ENT sont, d'une part, les données nécessaires à la création d'un compte ENT issues de systèmes d'information mis en oeuvre dans le cadre de la gestion administrative des élèves, des étudiants, des personnels et des apprentis et, d'autre part, les données à caractère pédagogique, administrative et éducative diffusées et produites dans le cadre de l'utilisation d'un compte ENT.
Sur les destinataires des données à caractère personnel et la gestion des accès aux comptes ENT :
La commission prend acte de ce que les destinataires des données à caractère personnel sont exclusivement les utilisateurs habilités des ENT.
La commission relève que l'alinéa 2 de l'article 5 du projet d'arrêté prévoit que chaque utilisateur ne peut accéder qu'aux seules informations concernant son environnement, son rôle et ses fonctions. Elle estime que cette disposition trop large devrait être ainsi rédigée : « Chaque utilisateur ne peut accéder qu'aux seules informations le concernant ».
Sur l'information des personnes :
La commission relève que l'article 5 du projet d'acte réglementaire prévoit que le droit d'accès et de rectification aux données s'exerce sur simple demande, par voie postale ou électronique, des intéressés auprès des chefs d'établissements, des présidents ou directeurs d'établissements d'enseignement supérieur, à savoir les responsables des traitements mis en oeuvre dans le cadre d'un ENT. L'article 8 précise également que les dispositions de l'arrêté doivent être accessibles à chaque utilisateur à partir de la page d'accueil de l'ENT.
La commission rappelle toutefois que chaque responsable de traitement devra s'assurer que les mentions d'information prescrites à l'article 32 de la loi du 6 janvier 1978 modifiée en août 2004 ont été précisées sur la page d'accueil du portail ENT et qu'elles ont été communiquées lors de la phase de création d'un compte ENT.
La commission demande à cet égard au ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche que des modèles de mentions d'information soient prévus dans son schéma directeur des espaces numériques de travail.
Il appartient également à chaque responsable de traitement d'informer les personnes concernées de la transmission de leurs données à caractère personnel dans l'annuaire ENT et de leur offrir la possibilité de s'opposer à bénéficier des services numériques prévus dans le cadre de l'utilisation d'un ENT.
Enfin, la commission appelle l'attention de chaque responsable de traitement sur la nécessité d'encadrer les conditions d'utilisation de la messagerie électronique afin d'éviter que celle-ci ne soit utilisée à des fins étrangères à celles auxquelles elle est destinée.
Sur la durée de conservation des données :
L'article 6 du projet d'arrêté dispose que les données à caractère personnel traitées dans le cadre d'un compte ENT sont mises à jour au début de chaque année scolaire ou universitaire et, en tout état de cause, sont supprimées dans les trois mois suivant la fermeture du compte ENT. Il précise également que les contributions présentant un caractère pédagogique, scientifique ou informatif peuvent être conservées sauf opposition de la personne concernée.
Ces dispositions n'appellent pas d'observations particulières de la commission.
Sur les mesures prises pour assurer la sécurité du dispositif :
La commission relève que les mesures prises pour assurer la sécurité du dispositif sont définies dans différentes annexes du schéma directeur des espaces numériques de travail.
Elle prend également acte de ce que le projet d'acte réglementaire précise que la déclaration de conformité engage le responsable d'un établissement scolaire ou universitaire à assurer les mesures de sécurité nécessaires à la protection des données à caractère personnel.
A cet égard, la CNIL demande au ministère de prendre toute mesure de nature à vérifier que les établissements concernés respectent les exigences de sécurité qu'il a définies et qu'il en tienne informée la commission.
La commission appelle également l'attention des responsables de traitement sur la nécessité de sensibiliser les utilisateurs des ENT aux mesures élémentaires de sécurité telles que la non-divulgation de leurs identifiants de connexion à leur compte ENT.
Concernant les mesures d'authentification, la commission considère qu'une authentification forte doit être prévue si la mise à jour et la consultation des notes par les enseignants et les utilisateurs sont entièrement dématérialisées.
Concernant la confidentialité des échanges de données, la commission estime que les échanges de données doivent être intégralement chiffrés.
Par ailleurs, la commission relève que la sécurisation des web services n'est pas envisagée à court terme compte tenu de la complexité de leur mise en oeuvre. Cependant, considérant que la sécurité des web services est un élément important qui vise à renforcer la sécurité globale d'un portail ENT, la commission estime que le ministère devrait prévoir un délai pour la mise en oeuvre des dispositifs de sécurisation des web services.
Enfin, la commission demande que le ministère lui transmette, dans les meilleurs délais, l'annexe relative à la stratégie d'exploitation qui doit définir une politique d'exploitation des traces et préciser les profils d'habilitation des personnels chargés de l'administration du système informatique et le cadre dans lequel les actions de maintenance logicielle et matérielle sont accomplies.