Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministère de l'éducation nationale, d'un projet d'arrêté modifiant l'arrêté du 30 novembre 2006 susvisé, relatif aux espaces numériques de travail (ENT).
Les ENT permettent notamment aux usagers concernés de renseigner des informations administratives, de prendre des rendez-vous avec le personnel de l'établissement ou de l'école, de signaler des absences prévisionnelles ou encore de s'inscrire à des cours. Dans la mesure où les ENT permettent ainsi aux usagers du service public de l'éducation d'effectuer une démarche ou une formalité administrative, ils constituent des téléservices de l'administration électronique, au sens de l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée.
Le ministère a en outre créé un acte réglementaire unique, au sens de l'article 27-III de la loi du 6 janvier 1978 dont les modifications doivent dès lors être autorisées par arrêté ministériel, pris après avis motivé et publié de la commission.
Sur le périmètre et les finalités des ENT :
Les ENT sont actuellement des outils destinés à offrir à tous les acteurs la communauté éducative des informations administratives, des contenus et de la documentation pédagogiques.
Le projet d'arrêté étend le champ d'application des ENT, aujourd'hui déployés dans les seuls écoles, établissements publics locaux d'enseignement (EPLE) et établissement d'enseignement supérieur, aux établissements d'enseignement privés sous contrat ainsi qu'aux centres de formation d'apprentis de l'éducation nationale. Cette modification n'appelle pas d'observation particulière de la commission.
L'article 1er du projet d'arrêté prévoit une nouvelle définition des ENT plus précise qui mentionne expressément que la qualification d'ENT implique le respect du schéma directeur des ENT (SDET), élaboré par le ministère, ce qui permet ainsi d'appréhender plus clairement le périmètre de l'acte réglementaire unique.
Par ailleurs, l'arrêté du 30 novembre 2006 désigne les responsables de traitement par les termes « responsable de l'ENT » ou « responsables des écoles, des EPLE et des établissements d'enseignement supérieur ». Ces expressions sont inchangées par le projet d'arrêté modificatif alors qu'elles sont fréquemment sources d'interrogations pour les acteurs du terrain.
Interrogé sur ce point, le ministère a précisé que les responsables de l'ENT sont, pour le premier degré, le directeur académique des services de l'éducation nationale (DASEN), pour le second degré, le chef d'établissement, pour l'enseignement supérieur, le président de l'établissement. La commission estime qu'il serait utile de mentionner expressément ces personnes dans le projet d'arrêté afin de lever toute ambiguïté sur ce point. Elle prend acte de l'engagement du ministère de modifier le projet d'arrêté en ce sens.
Par ailleurs, le projet d'arrêté prévoit trois nouvelles finalités.
La première est relative aux « échanges et […] collaborations entre écoles et établissements d'un même ENT ainsi qu'avec des écoles et des établissements utilisant des ENT différents ». A ce titre, les ENT peuvent par exemple permettre de partager des documents de travail dans un espace de stockage commun, un calendrier commun ou des informations sur un projet éducatif commun. La mise en place d'espaces de collaboration entre les utilisateurs d'un même ENT ou de différents ENT est destinée à favoriser les échanges entre différentes écoles, différents établissements et différents degrés.
Le projet d'arrêté prévoit en outre que les ENT ont pour objet « de permettre, dans le respect des dispositions de la loi du 6 janvier 1978 susvisée, un accès à des services tiers ». Ces dispositions consacrent ainsi la possibilité, déjà offerte par le SDET, pour un responsable de traitement de mettre à disposition de ses usagers, via l'ENT, des services numériques externes à celui-ci et assurent dès lors une meilleure compréhension des liens entre les ENT et des services tiers.
Le projet d'arrêté prévoit enfin que les ENT poursuivent une finalité statistique « en vue de permettre la mesure des accès aux différents services proposés ».
Au regard de ces éléments, la commission considère que les finalités prévues par le projet d'arrêté sont déterminées, légitimes et explicites, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données :
L'article 2 du projet d'arrêté prévoit l'ajout de données traitées dans le cadre des ENT et notamment l'Identifiant National Elève (INE).
Le ministère a indiqué que l'ajout de l'INE était nécessaire afin de permettre à un élève de conserver ses données et informations dans un ENT en cas de changement d'académie dans le premier et le second degré d'enseignement ou de changement d'établissement dans l'enseignement supérieur. En effet, l'identifiant des élèves dans le cadre des ENT est actuellement un identifiant académique qui conduit à la création d'un nouveau compte et à la perte des données en cas de changement d'académie. Dans l'enseignement supérieur, tout changement d'établissement implique la création d'un nouveau compte sans pouvoir conserver les données et informations attachées au précédent.
Il a également précisé que, lorsque les ENT proposent des services de gestion des compétences, des notes et des absences, l'INE est nécessaire pour permettre la mise en relation de l'ENT avec les applications nationales telles que Admission Post Bac (APB), livret scolaire unique numérique (LSUN) ou diplôme national du brevet (DNB), vers lesquelles ces données doivent être transférées.
Au regard de ces éléments, la commission estime que l'enregistrement de l'INE dans les ENT n'est pas contraire à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Elle s'interroge toutefois sur la nécessité de continuer à enregistrer, dans les ENT, le lieu de naissance des élèves (ville et pays de naissance) dès lors que l'ajout de l'INE, identifiant non signifiant, interne au système éducatif et unique pour un élève durant toute sa scolarité, doit permettre d'identifier de façon fiable un élève.
En l'absence d'éléments justifiant la collecte de ces données, elle considère que le projet d'arrêté devrait en premier lieu prévoir que, lorsque l'INE est enregistré, les« lieu de naissance, ville et pays de naissance » ne doivent pas l'être sauf si un cas d'absence d'INE ou de conflit avec un autre est constaté. Elle prend acte de l'engagement du ministère de modifier le projet d'arrêté sur ce point.
En second lieu, la commission estime que le projet d'arrêté devrait permettre aux ENT de continuer à traiter les données actuellement prévues par l'arrêté du 30 novembre 2006 (le nom, les prénoms, les date et lieu de naissance qui comprend la ville et le pays de naissance) à l'exclusion de l'INE ou de ne traiter que l'INE, le nom, les prénoms et la date de naissance. Une période transitoire d'un an pourrait à cet égard être accordée aux ENT déjà en fonction qui souhaiteraient traiter l'INE à la place du lieu de naissance.
Le projet d'arrêté ajoute en outre à la liste des données concernant les élèves ou les étudiants, la scolarité, qui recouvre des données purement administratives telles que l'établissement de rattachement ou la classe, et leurs productions scolaires ou universitaires. Ces données n'appellent pas d'observation particulière de la part de la commission.
En ce qui concerne les responsables légaux des élèves mineurs, il est prévu que soient enregistrés, au titre de l'identité, outre le nom et le prénom, la date de naissance du responsable afin de régler les cas d'homonymie. Compte tenu du fait que chaque utilisateur ne doit pouvoir accéder qu'aux seules données et informations qu'il est habilité à connaître selon son profil, la Commission estime que cette donnée n'est pas excessive au regard des finalités des ENT.
Elle relève toutefois que les données précisément concernées par la mention, dans le projet d'arrêté, de l'« identité » ne sont pas identiques pour chaque catégorie de personnes concernées par le traitement. Elle estime dès lors que le projet d'arrêté devrait être clarifié sur ce point.
En ce qui concerne les enseignants, le projet d'arrêté ne mentionne pas leurs productions. La Commission rappelle dès lors que, si les productions des enseignants sont concernées, le projet d'arrêté devrait être modifié afin de le mentionner expressément.
L'article 3 du projet d'arrêté prévoit enfin que les données enregistrées dans les ENT autres que « les productions scolaires et universitaires » sont stockées dans un annuaire. Cette disposition conduit ainsi à considérer que tout élément concernant la vie scolaire d'un élève devrait être stocké dans l'annuaire.
La Commission estime qu'une telle pratique ne serait pas conforme aux principes régissant la protection des données à caractère personnel, et notamment au principe de confidentialité de celles-ci, dans la mesure où l'administrateur des droits, qui a accès à l'ensemble des données stockées dans l'annuaire, aurait aisément accès à l'ensemble des données relatives à la vie scolaire de l'élève ou à la vie universitaire de l'étudiant. Elle prend acte de l'engagement du ministère de modifier cette disposition afin d'exclure des annuaires toutes les données relatives à la vie scolaire des personnes concernées.
Sur les durées de conservation :
L'article 6 du projet d'arrêté prévoit que « dans l'enseignement secondaire [les données personnelles] sont supprimées de l'ENT dans un délai de trois mois dès lors que la personne concernée n'a plus vocation à détenir un compte ». Ces dispositions, qui reprennent la durée de conservation prévue par l'arrêté du 30 novembre 2006, n'appellent pas d'observation particulière.
L'article 6 du projet d'arrêté prévoit en revanche que, dans l'enseignement supérieur, les données sont conservées jusqu'à ce que l'intéressé demande leur suppression. A cet égard, le ministère a indiqué que cette durée se justifiait par le fait que la plupart des étudiants continuent d'accéder à leur ENT après leur formation et que de nouvelles formations dans un établissement d'enseignement supérieur peuvent être suivies à plusieurs reprises au cours de la vie professionnelle. L'étudiant ou ancien étudiant peut ainsi trouver utile de conserver les données et informations contenues dans son ENT. La commission considère que la conservation des données jusqu'à ce que l'intéressé demande leur suppression n'est pas excessive au regard des finalités poursuivies dans la mesure où elle repose sur l'accord des personnes concernées. Elle estime toutefois que, pour s'assurer de l'effectivité de cet accord, il convient, d'une part, d'en solliciter régulièrement le renouvellement et, d'autre part, de prévoir la possibilité pour la personne concernée de supprimer ses données à tout moment, ce dont elle doit être régulièrement informée.
En outre, la commission estime qu'une durée maximale de conservation doit être prévue dans l'hypothèse où la personne concernée ne répondrait pas à la demande de renouvellement de son accord à la conservation de ses données.
A cet égard, elle relève que, à sa demande, le ministère a prévu de modifier le projet d'arrêté pour indiquer, d'une part, qu'une demande explicite d'accord à la conservation de ses données sera adressée une fois par an à chaque personne concernée qui n'est plus inscrite dans un établissement d'enseignement supérieur et, d'autre part, que, en l'absence de réponse, les données seront définitivement supprimées dans un délai maximal d'un an à compter de l'envoi de ladite demande.
Sur les destinataires :
A titre liminaire, la commission relève qu'aux termes des deux premiers alinéas de l'article 4 de l'arrêté du 30 novembre 2006, qui n'est pas modifié par le projet d'arrêté, les destinataires des ENT semblent n'être que les utilisateurs habilités des ENT. Toutefois, l'article 4 du projet d'arrêté, qui ajoute certaines catégories de destinataires, vise des personnes qui ne sont pas des utilisateurs des ENT. La commission estime dès lors que le projet d'arrêté devrait être clarifié sur ce point en distinguant les personnes accédant directement au traitement des destinataires qui reçoivent communication de certaines données.
Outre quelques ajustements rédactionnels qui n'appellent pas d'observation particulière, l'article 4 du projet d'arrêté prévoit que les associations de parents d'élèves peuvent accéder aux informations de l'ENT « en ce qui concerne leur mandat ». Les associations de parents d'élève ont en effet une mission de représentation de membres de la communauté éducative. Dans la mesure où les finalités des ENT sont, entres autres, de saisir et mettre à disposition « de tous les membres de la communauté éducative de l'enseignement scolaire » « des informations administratives, relatives à la vie scolaire, aux enseignements et au fonctionnement de l'école ou de l'établissement », la commission estime que ces personnes ont un intérêt légitime, au regard des finalités poursuivies, à disposer d'un accès à l'ENT et à connaître certaines des données et informations qui y sont enregistrées, dès lors qu'elles sont en lien avec leurs missions.
Le projet d'arrêté prévoit en outre que le ministère est destinataire des ENT pour les seules données nécessaires à la mise en œuvre du traitement de données à caractère personnel dénommé « gestionnaire d'accès aux ressources », qui a pour objet de permettre l'accès à des ressources ou services numériques fournis par des tiers tout en garantissant que seules les données strictement nécessaires à cette ressource ou ce service sont transmises au fournisseur.
Le projet d'arrêté prévoit également que sont « indirectement » destinataires de certaines des données enregistrées dans les ENT les destinataires des données du gestionnaire d'accès aux ressources (GAR) afin d'assurer une meilleure transparence sur la « circulation » des données provenant des ENT.
Le projet d'arrêté prévoit que, dans l'enseignement supérieur, « les usagers des formations proposées par l'établissement » sont, tout comme les étudiants, utilisateurs des ENT. Ces destinataires n'appellent pas d'observation particulière de la part de la commission.
Le projet d'arrêté prévoit enfin que« les fournisseurs proposant des services tiers via l'ENT en dehors du cadre du GAR et dans le respect des conditions strictement définies dans le SDET peuvent également être destinataires des seules données nécessaires au fonctionnement de ces services dans le respect des dispositions de la loi du 6 janvier 1978 ». Dès lors que les ENT ont notamment pour objet de permettre un accès à des services tiers, ces destinataires ont intérêt au regard des finalités poursuivies à connaître certaines données.
Sur les mesures de sécurité :
Le ministère a indiqué que les spécificités de l'enseignement scolaire et celles de l'enseignement supérieur ont conduit à prévoir deux SDET différents. La Commission rappelle que, une fois finalisé, le SDET spécifique à l'enseignement supérieur devra lui être transmis.
Concernant le SDET applicable à l'enseignement scolaire, la commission relève que le respect de ce schéma exige le respect du Référentiel général de sécurité (RGS).
Le SDET exige en outre qu'une politique de sécurité soit définie et appliquée et que celle-ci comprenne des éléments relatifs à la gestion des moyens d'accès et des autorisations, à la prévention et à la lutte contre les actes malveillants et à la sécurité et l'intégrité des échanges de donnés avec l'extérieur.
Le SDET prévoit également que tout utilisateur de l'ENT doit posséder un identifiant personnel unique et un moyen d'authentification adapté à la criticité des données et services auquel il accède.
De façon compatible avec les recommandations de la commission en la matière, il est prévu que les données d'authentification ne doivent pas être stockées en clair. Une gestion du cycle de vie des identités et des autorisations doit par ailleurs être mise en œuvre de l'inscription à la suppression de l'utilisateur.
La commission relève que le SDET prend en compte les bonnes pratiques en matière de sécurité. Bien que son objet principal ne soit pas la protection de la vie privée, le respect effectif de ce schéma directeur devrait en principe impliquer le respect des mesures exigées au titre de l'article 34 de la loi du 6 janvier 1978 modifiée.
Concernant la composition des mots de passe, le ministère a rappelé que la politique de configuration des mots de passe est définie soit au niveau du projet ENT, dans l'enseignement scolaire, soit au niveau de chaque établissement, dans l'enseignement supérieur.
La commission rappelle que les mots de passe doivent être composés de douze caractères comprenant des majuscules, des minuscules, des chiffres et des symboles ou, s'ils sont plus courts, que des mesures complémentaires doivent être mises en œuvre. Dans le cadre des ENT, cette dernière option permet notamment d'adapter la politique de mot de passe à l'âge des utilisateurs.
En ce qui concerne les extractions de données, le ministère a indiqué que, afin de faciliter l'alimentation des solutions de gestion des équipements fixes et mobiles et de gestion de classe en données à caractère personnel qui leur sont nécessaires pour leur fonctionnement et pour l'attribution des droits, peuvent être extraites des annuaires des ENT des données relatives à l'identité, à la structure de rattachement des personnes concernées et à la scolarité pour les élèves ou à la discipline enseignée pour les enseignants.
Le ministère a en outre précisé que cette alimentation est subordonnée, d'une part, à l'existence d'un partenariat entre l'Etat et une collectivité territoriale et, d'autre part, à la réalisation d'un engagement de conformité à l'acte réglementaire unique, créé par l'arrêté du 30 novembre 2006, par le responsable de l'ENT. En outre, cette alimentation doit s'effectuer selon le cadre défini dans le référentiel « Cadre de référence pour l'accès aux ressources pédagogiques via un équipement mobile » (CARMO), version 2.0.
Cette transmission des ENT vers les solutions de gestion des équipements fixes et mobiles ne pose pas de difficulté particulière dès lors qu'elles sont limitées aux seules données nécessaires auxdites solution de gestion.