Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche, d'une demande d'avis portant sur un projet d'arrêté relatif au traitement automatisé de données à caractère personnel dénommé « Trouver mon master ».
« Trouver mon master » est actuellement un portail d'information des étudiants sur l'offre nationale de formations menant au diplôme de master n'impliquant pas le traitement de données personnelles.
Dans un second temps, le portail « Trouver mon master » devra permettre aux étudiants de licence n'ayant pas reçu de réponse positive à leurs candidatures en première année de master de saisir, par voie électronique, le recteur afin de se voir présenter des propositions d'admission dans une telle formation. Dans la mesure où il permettra aux usagers du service public de l'éducation d'effectuer une démarche administrative, le traitement « Trouver mon master » mettra à disposition des usagers un téléservice de l'administration électronique, au sens de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, et doit dès lors être autorisé par arrêté ministériel, pris après avis motivé et publié de la commission.
Sur la finalité du traitement :
Conformément à l'article L. 612-6 du code de l'éducation, les titulaires du diplôme national de licence qui ne sont pas admis en première année d'une formation de leur choix conduisant au diplôme national de master se voient proposer, s'ils en font la demande, l'inscription dans une formation du deuxième cycle en tenant compte de leur projet professionnel et de l'établissement dans lequel ils ont obtenu leur licence.
En effet, tout titulaire du diplôme national de licence doit, s'il le souhaite, pouvoir poursuivre ses études dans un cursus conduisant à un diplôme national de master. Dès lors, en cas de difficulté pour un étudiant titulaire d'une licence à trouver un master, ledit article prévoit qu'il peut, à l'issue des campagnes de recrutement, saisir les services rectoraux pour obtenir des propositions d'inscription au sein d'un master.
L'article R. 612-36-3 du code de l'éducation précise en outre que le recteur de la région académique dans laquelle l'étudiant a obtenu son diplôme national de licence formule, après accord des chefs d'établissement concernés, au moins trois propositions d'admission dans une formation conduisant au diplôme national de master qui tiennent compte de l'offre de formation existante, des capacités d'accueil, du projet professionnel de l'étudiant et de la compatibilité de la mention du diplôme national de licence qu'il a obtenu avec les mentions de master existantes. Ledit article prévoit que, pour saisir le recteur, l'étudiant doit utiliser un « téléservice national créé à cet effet par arrêté du ministre chargé de l'enseignement supérieur ».
Le teléservice créé par le présent projet d'arrêté permet ainsi, conformément à ces dispositions, de saisir le recteur et de recevoir ses propositions d'admission par voie électronique. Il n'a en revanche pas pour objet de déposer une candidature auprès d'un établissement proposant une formation de master. Il poursuit également une finalité statistique.
Au regard de ces éléments, la commission estime que les finalités du traitement « Trouver mon master » sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
Les personnes concernées par le traitement « Trouver mon master » sont les étudiants, les personnels des rectorats des régions académiques, des rectorats d'académie, des établissements d'enseignement supérieur et de la direction générale de l'enseignement supérieur et de l'insertion professionnelle (DGESIP) du ministère.
Concernant les différents personnels chargés de la mise en œuvre du traitement, les données enregistrées sont le nom, le prénom, l'identifiant et le mot de passe. Ces données n'appellent pas d'observations particulières de la part de la commission.
Concernant les étudiants, outre des données relatives à leur identité (noms, prénoms, date et lieu de naissance, identifiant national étudiant), à leurs coordonnées (adresses postale et électronique, numéro de téléphone) et à leurs identifiants de connexion au téléservice, sont enregistrées des données relatives à leur diplôme de licence et des données relatives à leur demande de master.
Sont ainsi collectées l'intitulé et la mention du diplôme de licence, sa date d'obtention et, à titre facultatif, le relevé des notes obtenues durant la préparation de la licence, le curriculum vitae de l'étudiant, une lettre de présentation de son projet professionnel et les documents justifiant du rejet de ses candidatures à une formation de master.
La commission relève que, alors même que le candidat doit répondre, dans les quinze jours, aux propositions formulées par le recteur, par l'intermédiaire du téléservice, les réponses de l'étudiant ne sont pas prévues parmi les données et informations enregistrées dans mon « Trouver mon master ». Elle rappelle dès lors que, si ces données ont vocation à être traitées dans le cadre du présent téléservice, le projet d'arrêté devrait être complété sur ce point, conformément aux dispositions de l'article 29 de la loi du 6 janvier 1978 modifiée.
La commission estime que la liste de ces données, qui permettent, conformément aux dispositions de l'article R. 612-36-3 du code de l'éducation, au recteur de la région académique de formuler des propositions cohérentes avec le projet professionnel du candidat et le diplôme de licence obtenu, est conforme à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 4 du projet d'arrêté prévoit que les données et informations relatives aux étudiants enregistrées dans « Trouver mon master » sont conservées pendant une durée maximale de trois ans puis versées en base d'archives intermédiaires pour une durée d'un an supplémentaire.
Le ministère a indiqué que la durée de trois ans en base active se justifie au regard du fait que, conformément à l'article R. 612-36-3 du code de l'éducation, les étudiants concernés peuvent formuler une demande auprès du recteur durant les trois années universitaires qui suivent l'obtention de la licence et que, dès lors, le recteur doit pouvoir s'assurer qu'un étudiant ne l'a pas déjà saisi d'une telle demande.
La commission rappelle que cette durée de conservation en base active doit constituer une durée maximale, dans la mesure où un étudiant ne saisit pas nécessairement le recteur dès l'obtention de la licence. Dès lors, elle considère que cette durée de conservation doit être modulée au regard de la date d'obtention de ce diplôme, les données ne devant pas être conservées en base active au-delà de la troisième année suivant cette date.
S'agissant de la durée de conservation en base d'archives intermédiaires, qui doit permettre de répondre à d'éventuels recours administratifs ou contentieux, le ministère s'est engagé, à la demande de la commission, à la réduire à six mois. A l'issue de cette durée, les données devront être supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public, sauf en cas de recours effectif, auquel cas les données seront conservées jusqu'à l'issue de la procédure.
Sous réserve de ces observations, la commission considère que les durées de conservation sont conformes aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
Le projet d'arrêté prévoit que sont destinataires des données et informations enregistrées dans le traitement, dans les limites du besoin d'en connaître, des personnes habilitées au sein de la DGESIP du ministère, dans les rectorats des régions académiques et les rectorats d'académie (recteurs, personnes au sein des services académiques chargés de l'enseignement supérieur, de l'orientation et des services statistiques académiques) et dans les établissements d'enseignement supérieur (chefs d'établissement, personnes des services chargés de traiter les dossiers des étudiants).
Ces destinataires n'appellent pas d'observation particulière de la part de la commission.
Sur les droits des personnes :
Concernant l'information des personnes concernées, le ministère a précisé qu'elle serait effectuée par des mentions figurant sur le site internet. La commission recommande à cet égard que les mentions informatives soient portées à la connaissance de la personne concernée, au moins lors de sa première connexion au téléservice, de façon claire, compréhensible et visible grâce, par exemple, à l'aide une fenêtre pop-up.
En ce qui concerne les droits prévus aux articles 39 à 40-1 de la loi « Informatique et Libertés », ils s'exerceront auprès du département des formations des cycles master et doctorat de la DGESIP du ministère, par courrier électronique. Les modalités d'exercice de ces droits n'appellent pas d'observations particulières de la commission.
Concernant le droit d'opposition, le projet d'arrêté prévoit qu'il ne s'applique pas au présent traitement. Dans la mesure où l'article R. 612-36-3 du code de l'éducation prévoit que la demande auprès du recteur s'effectue « par l'intermédiaire d'un téléservice national créé à cet effet », la commission considère que cette exclusion est conforme à l'article 38 de la loi « Informatique et Libertés ».
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle que le traitement « Trouver mon master », qui constitue un téléservice de l'administration électronique au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 et qu'il incombe au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur le site du téléservice.
L'accès des candidats à la plateforme est sécurisé au moyen du protocole HTTPS. La commission souligne l'importance de se conformer à l'état de l'art, notamment en préférant la ou les versions de « Transport Layer Security » (TLS) les plus à jour possible.
Le ministère a indiqué que les identifiants de connexion à l'application (identifiant et mot de passe) sont constitués de huit caractères minimum (comprenant majuscules, minuscules chiffres et caractères spéciaux). Il est en outre prévu un blocage après trois tentatives infructueuses et une durée de validité du mot de passe limitée dans le temps. La commission rappelle que les mots de passe doivent en outre être définis ou modifiés dès la première connexion, par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair. A cet égard, elle recommande d'appliquer une fonction de hachage à clé ou à sel, comme les fonctions bcrypt ou scrypt, pour hacher les mots de passe.
Concernant la gestion des habilitations, le ministère a prévu des profils d'habilitation, afin de gérer les accès aux données en tant que de besoin.
Une traçabilité des accès est mise en œuvre : la date et l'heure de connexion à la plateforme « Trouver mon master » ainsi que l'identifiant de chaque utilisateur font l'objet d'une journalisation et sont conservés pour une durée de six mois. La commission recommande à cet égard de mener des analyses des traces de connexions afin que les accès suspects puissent être rapidement identifiés.
Elle préconise également la mise en œuvre des recommandations techniques relatives à la sécurité des sites internet publiées par l'ANSSI dans une note technique « recommandations pour la sécurisation des sites web ».
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.