La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de l'éducation nationale, de l'enseignement supérieur et de la recherche d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel intitulé « diplôme de compétence en langue »,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'éducation, notamment ses articles D. 338-33 à D. 338-42 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu le décret n0 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 modifié pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'arrêté du 7 mai 2010 relatif au diplôme de compétence en langue étrangère professionnelle ;
Vu l'arrêté du 12 juillet 2013 fixant les conditions d'agrément des centres d'examen ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Nicolas COLIN, commissaire, et après avoir entendu les observations de M. Jean-Alexandre S1LVY, commissaire du Gouvernement,
Emet l'avis suivant :
Le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche a saisi la commission d'un projet d'arrêté portant création du traitement « diplôme de compétence en langue » (DCL), destiné à permettre l'inscription des candidats à l'examen du diplôme national professionnel DCL et la communication de leurs résultats, de façon dématérialisée.
Ce traitement constituant un téléservice de l'administration électronique, au sens de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, il doit être autorisé par arrêté du ministre compétent pris après avis motivé et publié de la commission.
Sur les finalités :
Aux termes de l'article D. 338-33 du code de l'éducation, le diplôme de compétence en langue constitue « un diplôme national professionnel qui atteste de compétences acquises par des adultes en langue de communication usuelle et professionnelle, communes à l'ensemble des secteurs d'activité économique ». Ce diplôme, adapté aux besoins du monde professionnel, permet d'attester d'un niveau de compétence au regard de ceux définis par le cadre européen commun de référence pour les langues (CECRL). Le jury de cet examen est composé d'inspecteurs, d'universitaires et d'examinateurs. Les sessions de l'examen national sont organisées par les rectorats d'académie et se déroulent dans des centres d'examens locaux agréés, conformément à l'arrêté du 12 juillet 2013 susvisé.
Le traitement DCL a pour objet, d'une part, de dématérialiser l'inscription des candidats au diplôme de compétence en langue et, d'autre part, de permettre la communication de leurs résultats à l'examen.
Ainsi, grâce à la plate-forme dédiée au DCL, la demande de préinscription s'effectue par internet. Sur le portail DCL, le candidat sélectionne la session à laquelle il souhaite s'inscrire, en choisissant la langue et l'académie dans laquelle il souhaite passer l'examen, et renseigne les données le concernant, nécessaires à l'inscription à l'examen. Dès lors que les préinscriptions à l'examen sont clôturées, les candidats reçoivent un courrier de demande de confirmation d'inscription. Cette confirmation doit être renvoyée, accompagnée du règlement des frais d'inscription, afin de recevoir la convocation à l'examen indiquant le lieu et l'heure de l'épreuve.
Outre la réalisation dématérialisée des formalités nécessaires à son inscription au diplôme, le candidat peut, à l'issue de l'examen, se connecter à la plate-forme grâce à un triplet d'identification (numéro d'inscription généré lors de sa préinscription, nom, date de naissance) et accéder, en ligne, au niveau de langue obtenu à l'examen. Il peut également consulter une fiche présentant le profil détaillé de ses compétences en fonction du niveau obtenu.
Le candidat se voit en toute hypothèse délivrer un diplôme officiel signé par le recteur d'académie portant mention du niveau obtenu et du descriptif des compétences validées ainsi que le profil détaillé.
DCL a enfin une finalité statistique, permettant notamment, pour chaque langue, de publier les taux de réussite, par niveau, à l'examen.
La commission rappelle qu'elle a toujours considéré que la simplification des démarches administratives et l'amélioration des relations entre les administrés et l'administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés.
A cet égard, le ministère a précisé que les candidats au DCL conservent une possibilité de s'inscrire ou de recevoir communication des résultats de manière non dématérialisée, en s'adressant au centre national du DCL. Dès lors, en choisissant d'utiliser le téléservice plutôt que ces alternatives à la dématérialisation, le candidat consent, implicitement mais nécessairement, à ce traitement, conformément à l'article 7 de la loi du 6 janvier 1978 modifiée.
Au regard de l'ensemble de ces éléments, la commission estime que les finalités de DCL sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données traitées :
DCL enregistre des données relatives aux candidats s'inscrivant à l'examen, aux présidents et membres des jurys, aux examinateurs ainsi qu'aux responsables des centres d'examens.
En ce qui concerne les candidats, sont enregistrées des données relatives à son identité (nom, prénom, date de naissance, ville de naissance, pays de naissance), à ses coordonnées (adresse postale personnelle, adresse électronique, téléphone personnel, téléphone professionnel, téléphone portable), à sa vie professionnelle (niveau de formation, situation professionnelle, références de l'employeur) ainsi que son numéro d'inscription.
Les références de l'employeur, qui sont renseignées pour les seuls candidats dont la prise en charge des frais d'examen incombe à l'employeur, recouvrent la dénomination de l'entreprise dans laquelle le candidat travaille, l'adresse postale et le numéro de téléphone de cette entreprise ainsi que le nom de son responsable.
Sont également enregistrées des données relatives aux résultats de l'examen (niveau de compétence langagière et profil détaillé des compétences).
Enfin, le projet d'arrêté prévoit qu'il peut être mentionné si le candidat présente un handicap, sans que soit indiquée la nature de celui-ci, afin de pourvoir à des besoins d'aménagement spécifiques. La commission rappelle qu'il ne s'agit donc pas de données relatives à la santé du candidat au sens de l'article 8 de la loi du 6 janvier 1978 modifiée. Elle recommande que les aménagements spécifiques nécessités par un handicap ne soient pas librement renseignés, mais choisis dans un menu déroulant afin de garantir qu'aucune donnée relative à la santé ne puisse être contenue dans le traitement.
Concernant les membres du jury de l'examen, seules des données relatives à leur identité sont traitées. En ce qui concerne les présidents de jury, les examinateurs et les responsables de centre d'examen, sont enregistrées des données relatives à leur identité (nom, prénom, statut, diplôme ou grade, uniquement pour les présidents et examinateurs) et leurs coordonnées personnelles et/ou professionnelles.
Enfin, pour les responsables de centre d'examen et les présidents de jury, sont également enregistrés leurs identifiants de connexion (login et mot de passe) à l'application qui leur permet, pour les premiers, de procéder à l'organisation de la session, pour les seconds, de renseigner les résultats des candidats examinés.
Ces données sont nécessaires à l'inscription du candidat à l'examen, à la communication de ses résultats à l'épreuve ainsi qu'à la bonne organisation des sessions d'examen. Dès lors, la commission estime que les données et informations traitées sont conformes à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur les durées de conservation :
Le projet d'arrêté prévoit que les données et informations relatives aux candidats du DCL sont conservées pendant dix ans dans les conditions suivantes : deux ans en base active puis, à l'issue de ce délai, les résultats d'examens sont versés en base d'archivage intermédiaire sur un support distinct, avec un accès restreint au seul centre national du DCL, à des seules fins de délivrance d'une attestation de réussite.
La commission observe que seules les informations relatives aux résultats d'examen du candidat au DCL (niveau de compétence et profil détaillé des compétences), nécessaires à la délivrance desdites attestations, peuvent être conservées, en base intermédiaire, au-delà de deux ans et pour une durée totale maximale de dix ans. Elle rappelle que les autres données relatives aux candidats doivent être supprimées de manière définitive et sécurisée deux ans après que le candidat a passé l'examen.
En ce qui concerne les présidents et membres des jurys, les responsables des centres d'examen et les examinateurs, les données qui les concernent sont conservées pendant la durée de leur mandat (un an renouvelable), pour les premiers, et pendant la durée de l'agrément du centre d'examen auquel ils sont rattachés, pour les seconds (trois ans renouvelables).
La commission rappelle qu'en cas de changement en cours de mandat (mutation d'un membre du jury) ou pendant la durée de l'agrément du centre les données concernant ces personnels doivent être supprimées sans délai.
Au regard de ces éléments, la commission estime que les durées de conservation n'excèdent pas celles nécessaires aux finalités poursuivies, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les personnes accédant aux données et informations et les destinataires :
Accèdent aux données et informations enregistrées dans DCL les présidents et membres du jury ainsi que les examinateurs pour l'accomplissement de leur mission d'évaluation des candidats. Ces personnels sont en effet chargés d'enregistrer les résultats et les valider dans l'application afin de permettre ensuite l'édition des diplômes par les services des examens et concours.
Les candidats à l'examen accèdent naturellement aux données et informations qui les concernent, dès lors qu'il s'agit de l'un des objets du traitement.
Par ailleurs, sont destinataires des données et informations enregistrées dans DCL, dans les limites du besoin d'en connaître, le responsable et les gestionnaires du Centre national du diplôme de compétence en langue de la direction générale de l'enseignement solaire (DGESCO). En effet, le centre national du DCL, qui relève de la DGESCO, est en charge de la supervision nationale du diplôme, de la conception et de la mise à disposition des sujets d'examens. Il assure également la réponse aux demandes d'aides des permanences le jour des sessions d'examen.
Sont également destinataires des données et informations, dans les limites du besoin d'en connaître, les responsables et les gestionnaires des divisions des examens et concours des rectorats d'académie qui sont chargés de veiller à la bonne organisation des sessions au sein des centres agréés du ressort de leur académie.
Ces personnes sont légitimes à connaître des données et informations traitées et n'appellent dès lors pas d'observation particulière de la commission.
Sur les droits des personnes concernées :
En ce qui concerne le droit d'information, le ministère a précisé que toutes les personnes concernées sont informées par l'intermédiaire du site interne education.gouv.fr en pied de page à la rubrique « Mentions légales ». Si la commission prend acte de cette information générale, elle rappelle qu'une information spécifique à l'inscription au DCL doit être mise en place. Elle recommande ainsi qu'une information soit portée de façon plus visible à la connaissance du futur candidat, en insérant des mentions conformes à l'article 32 de la loi du 6 janvier 1978 modifiée, sur la première page du site web dédié au téléservice DCL. Elle estime que des mentions informatives devraient également figurer sur la convocation des candidats à l'examen. Les membres du jury sont, eux, informés via leur fiche de candidature.
La commission constate par ailleurs que le fonctionnement actuel du site education.gouv.fr implique le dépôt de cookies ne pouvant bénéficier de l'exemption du consentement de l'internaute et que la page d'information relative aux cookies n'est pas accessible sans dépôt de ceux-ci. Elle rappelle que, conformément à l'article 32-II de la loi du 6 janvier 1978 modifiée, le consentement de l'utilisateur doit être obtenu avant le dépôt de cookies liés aux opérations relatives à la publicité, aux réseaux sociaux ainsi que dans le cas de certains cookies de mesure. Tant que la personne n'a pas donné son consentement, ces traceurs ne doivent pas être déposés ou lus sur son terminal. La page accessible via le lien « En savoir plus et paramétrer les cookies » inclus dans le bandeau d'information des internautes doit en outre être accessible sans dépôt de cookies.
Les droits d'accès et de rectification s'exercent auprès du Centre national du diplôme de compétence en langue de la direction générale de l'enseignement scolaire. Le droit d'opposition peut s'exercer dans les conditions prévues à l'article 38 de la loi du 6 janvier 1978 modifiée. Ces modalités d'exercice des droits des personnes n'appellent pas d'observations particulières de la commission.
Sur la sécurité :
En ce qui concerne les mécanismes d'authentification, chaque personnel dispose d'un identifiant et d'un mot de passe, attribués par le centre national du DCL. Si le mot de passe est renouvelé à la première connexion, le format de celui-ci n'est pas imposé. Seul un minimum de six caractères est prévu. La commission rappelle qu'une politique satisfaisante de mot de passe implique que ceux-ci soient composés de huit caractères minimum, comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. Ils doivent en outre être régulièrement renouvelés et ne doivent pas être stockés en clair. La commission prend acte de l'engagement du ministère de mettre en conformité le format et le stockage des mots de passe fin 2015.
Les personnels de l'académie et des centres d'examen ainsi que le président du jury accèdent à l'application via le réseau privé virtuel de l'éducation nationale (RACINE) qui permet de réduire les risques d'atteinte à la confidentialité des données tout en renforçant l'authentification des personnels concernés. En ce qui concerne l'accès des candidats à l'espace dédié pour consulter leur résultat, ils doivent se connecter via un identifiant d'examen généré aléatoirement (numéro d'inscription), leur nom et leur date de naissance. La commission souligne que la confidentialité des résultats est donc limitée par la confidentialité de l'identifiant d'examen.
DCL étant un téléservice de l'administration au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, il est soumis au respect du référentiel général de sécurité (RGS). Le ministère de l'éducation nationale, responsable de traitement, doit attester de cette conformité au RGS et le mentionner sur le site dédié au DCL.
L'accès des candidats au téléservice est sécurisé au moyen du protocole HTTPS. La commission souligne l'importance de se conformer à l'état de l'art, notamment en ne supportant plus les versions de « Secure Sockets Layer » (SSL), et en préférant la ou les versions de « Transport Layer Security » (TLS) les plus à jour possible. Elle recommande également de mettre en œuvre les recommandations techniques relatives à la sécurité des sites internet publiées par l'ANSSI dans une note technique « Recommandations pour la sécurisation des sites web ».
Elle relève enfin que la sécurité physique des locaux et équipements hébergeant le traitement suit les bonnes pratiques actuelles.
Sous réserve de l'application des précédentes recommandations et d'une vigilance particulière concernant la disponibilité du service et la confidentialité des identifiants d'examen, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 8 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.