Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche, d'une demande d'avis portant sur un projet d'arrêté relatif au traitement automatisé de données à caractère personnel dénommé « Livret scolaire unique numérique » (LSUN).
L'article D. 311-6 du code de l'éducation dispose qu'« un livret scolaire est établi pour chaque élève soumis à l'obligation scolaire » et qu'il « est créé lors de la première inscription dans une école ou un collège publics ou dans un établissement d'enseignement privé lié à l'Etat par contrat ». Sont ainsi concernés par le livret scolaire les élèves entre 6 et 16 ans, généralement scolarisés dans les classes du cours préparatoire (CP) à la troisième.
Afin d'assurer à tous les élèves concernés un suivi efficace, le ministère a décidé de fusionner les livrets scolaires des premier et second degrés d'enseignement en une application nationale de suivi de la scolarité, dans les écoles élémentaires et les établissements du second degré, publics et privés sous contrat, dénommée « Livret scolaire unique numérique » (LSUN). Pour simplifier l'accès des familles au livret scolaire, le ministère souhaite désormais permettre aux élèves et à leurs responsables légaux de consulter à distance le livret scolaire de leur enfant ainsi que de télécharger certains documents contenus dans ledit livret.
Dans la mesure où le traitement automatisé de données à caractère personnel relatif à la dématérialisation du livret scolaire, mis en œuvre pour le compte de l'Etat, a notamment pour objet le téléchargement des bilans et des attestations obligatoires, prévus aux articles D. 311-7 du code de l'éducation et 7 de l'arrêté du 31 décembre 2015, il permet aux usagers du service public de l'éducation d'effectuer une démarche administrative. Ainsi, le traitement LSUN met à disposition des usagers un téléservice de l'administration électronique, au sens de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, et doit dès lors être autorisé par arrêté ministériel, pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
Conformément à l'article D. 311-6 du code de l'éducation, le livret scolaire permet de rendre compte de l'évolution des acquis scolaires de l'élève et sert d'instrument de liaison entre les enseignants et les parents ou le responsable légal de l'élève.
A cet effet et conformément à l'article D. 311-7 du code de l'éducation et aux dispositions de l'arrêté du 31 décembre 2015 susvisé, le livret scolaire contient les bilans périodiques de l'évolution des acquis scolaires, les bilans de fin de cycle et, le cas échéant, les attestations relatives à la prévention des risques et aux missions des services de secours, à la sécurité routière et à la pratique de la nage.
L'article 8 de l'arrêté du 31 décembre 2015 précité prévoit que « les éléments constitutifs du livret scolaire […] sont numérisés dans une application informatique nationale, dénommée livret scolaire unique numérique. En cas de changement d'école ou d'établissement scolaire, y compris à l'occasion du passage entre l'école élémentaire et le collège, le livret scolaire est transmis à la nouvelle école ou au nouvel établissement par le biais de cette application ».
Ainsi, conformément à cette disposition, l'article 1er du projet d'arrêté prévoit que le traitement automatisé de données à caractère personnel LSUN a pour finalité « l'enregistrement, dans un livret scolaire unique tout au long de la scolarité obligatoire, des résultats des élèves, de leur parcours scolaire et de leur niveau d'acquisition du socle commun de connaissances, de compétences et de culture ainsi que des appréciations des enseignants ».
La commission rappelle dès lors que les données personnelles enregistrées dans le traitement LSUN ne doivent en aucun cas être utilisées à d'autres fins que celles poursuivies par le livret scolaire et définies par les dispositions de l'article D. 311-6 du code de l'éducation.
Le ministère a en outre précisé que le fait de disposer d'un livret numérique unique sur tout le territoire national doit permettre d'assurer une continuité dans le suivi de l'élève, lors de ses changements d'établissement ou de degré d'enseignement.
L'article 3 du projet d'arrêté prévoit en outre que le traitement LSUN comporte un téléservice ayant pour finalités de permettre aux élèves et à leurs responsables légaux de consulter et de télécharger différents bilans et attestations.
La commission considère que la simplification des démarches administratives et l'amélioration des relations entre les administrés et l'administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés.
Au regard de ces éléments, la commission considère que les finalités du traitement LSUN sont déterminées explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données enregistrées :
Les personnes concernées par le traitement sont les élèves, leurs responsables légaux et les personnels de l'éducation nationale chargés de la mise en œuvre de LSUN (directeurs d'école, chefs d'établissement, enseignants, conseillers principaux d'éducation - CPE).
Concernant les élèves, sont, en premier lieu, enregistrées des données et informations relatives à l'identité (nom, prénoms, date de naissance et numéro identifiant national élève - INE -, numéro attribué à chaque élève lors de son entrée dans le système éducatif).
Dans la mesure où le livret scolaire de l'élève est unique et constitue un document administratif impératif devant suivre l'élève durant toute sa scolarité obligatoire, quel que soit l'établissement scolaire fréquenté, la commission estime que l'utilisation de l'INE est justifiée par la nécessité de se prémunir contre les risques d'homonymie.
En second lieu, sont enregistrées dans LSUN des données relatives à la scolarité et la vie scolaire de l'élève correspondant au contenu du livret scolaire prévu par les articles D. 311-6 et D. 311-7 du code del'éducation, ainsi que par l'arrêté précité du 31 décembre 2015 et ses annexes.
La commission prend acte que, pour les zones de champs libres (appréciations relatives à la vie scolaire ou appréciations des enseignants sur les acquis scolaires), le ministère a intégré dans l'application une mention rappelant que seules les informations pertinentes doivent être saisies et que celles-ci ne doivent pas comporter de données sensibles, au sens de l'article 8 de la loi « Informatique et Libertés ».
En ce qui concerne les responsables légaux des élèves, seuls le nom, les prénoms et l'adresse sont renseignés. S'agissant des personnels de l'éducation nationale chargés de la mise en œuvre du traitement, seules des données relatives à leur identité et leurs fonctions au sein de l'école ou l'établissement sont enregistrées. L'ensemble de ces données n'appelle pas d'observation particulière de la part de la commission.
Sur les accédants et les destinataires :
Accèdent directement à l'application LSUN, afin de renseigner le livret scolaire, les directeurs d'école, les chefs d'établissement, les enseignants et les CPE. Ces derniers doivent en effet saisir des informations relatives à la vie scolaire ainsi que sur les parcours éducatifs et les enseignements pratiques interdisciplinaires, mis en œuvre au sein de l'établissement.
Si LSUN ne concerne en principe que les élèves du CP à la troisième, il est néanmoins prévu l'accès à l'application des chefs d'établissement des lycées, à la seule fin de création du « bilan de fin de scolarité obligatoire » pour les élèves qui sont encore, en raison de leur âge, dans le cadre de la scolarité obligatoire et qui n'auraient pas atteint tous les objectifs du socle commun de connaissances, de compétences et de culture en fin de troisième.
Outre les usagers du téléservice, sont destinataires des données, dans les collèges, les conseillers psychologues d'orientation (COP), afin de connaître le parcours scolaire de l'élève et de pouvoir ainsi l'accompagner de manière efficiente dans son projet d'orientation, et, dans les lycées, les enseignants des classes de seconde pour la consultation des informations concernant les synthèses et bilans de leurs élèves au cours du cycle précédent.
La commission relève que les accédants et destinataires de l'application LSUN sont nombreux. Elle rappelle que ces personnels ne doivent pas accéder librement au livret scolaire d'un élève après la durée nécessaire à l'exercice de leurs missions. Sous cette réserve, elle estime que les accédants et destinataires, qui sont ceux prévus par l'article D. 311-6 du code de l'éducation, sont légitimes à connaître des données et informations traitées.
L'article 5 du projet d'arrêté prévoit enfin que les agents habilités des services statistiques académiques et ministériels sont également destinataires des données, après « anonymisation » de ces dernières. A cet égard, la commission rappelle que l'anonymisation des données implique qu'il n'existe aucune possibilité d'identification, directe ou indirecte, des personnes concernées. Dès lors, compte tenu du fait que les données transmises aux services statistiques ministériels et académiques sont susceptibles de permettre une identification indirecte des personnes concernées, elle estime que le terme « anonymisation » devrait être supprimé du projet d'arrêté, d'autant plus que l'anonymisation n'est pas nécessaire à cette finalité statistique.
Sur les durées de conservation :
L'article 6 du projet d'arrêté prévoit que les données sont conservées, en base active, pendant la durée de présence de l'élève dans un cycle augmentée d'un an. Cette durée, qui correspond à celle prévue par l'article D. 311-6 du code de l'éducation, doit permettre aux enseignants de la première année du cycle suivant d'avoir accès aux informations concernant les acquis de leurs élèves durant le cycle précédent.
Selon le ministère, cette durée de conservation doit en outre permettre aux élèves et à leurs responsables légaux de bénéficier d'un délai supplémentaire pour télécharger l'ensemble des documents et attestations d'un cycle. A cet égard, le ministère a indiqué que les usagers du téléservice seront avertis durant la dernière année de conservation des données en base active du temps dont ils disposent encore pour consulter ou télécharger les documents contenus dans LSUN. La commission observe qu'il existe un risque que cette information ne soit pas efficacement transmise et recommande dès lors d'automatiser cette alerte, soit en configurant l'application LSUN pour qu'elle génère un courrier postal à envoyer, par les directeurs d'école et chefs d'établissement, aux personnes concernées, soit en intégrant une alerte, au sein de l'application, à un moment pertinent tel que, par exemple, la remise des bulletins périodiques du dernier trimestre d'un cycle.
Sous cette réserve, la commission considère que cette durée de conservation est proportionnée au regard des finalités précitées du livret scolaire.
Le projet d'arrêté prévoit en outre que, à l'issue de cette durée de conservation en base active, les données sont versées en base d'archives intermédiaires et conservées jusqu'à l'expiration d'une durée de dix ans à compter de la fin de l'année de troisième pour les données pédagogiques du livret scolaire et d'une durée de cinquante ans pour les attestations prévues à l'article 7 de l'arrêté du 31 décembre 2015 précité. La commission estime que le projet d'arrêté, qui ne précise pas le point de départ de cette durée de conservation en base d'archives intermédiaires de cinquante ans, pourrait être utilement modifié sur ce point.
Ces durées de conservation en base d'archives intermédiaires sont conformes à l'instruction du 22 février 2005 relative au tri et à la conservation des archives reçues et produites par les services et établissements concourant à l'éducation nationale, selon laquelle la conservation en base d'archives intermédiaire pendant dix ou cinquante ans est justifiée par la nécessité de pouvoir répondre aux éventuels besoins des élèves concernés, notamment afin de justifier de leur parcours scolaire.
Par ailleurs, la commission recommande que soient notamment prévus des processus de gestion des archives distinguant les processus de versement, de stockage, de gestion des données descriptives, de consultation, de communication et d'administration, des modalités d'accès spécifiques aux données archivées, telles qu'un accès restreint à certains personnels ainsi qu'une traçabilité des accès.
La commission rappelle enfin que les données devront être, à l'expiration de ces durées de conservation en base d'archives intermédiaires, supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
Sur les droits des personnes :
La commission prend acte que l'utilisation du téléservice LSUN est facultative et que le compte de l'utilisateur pourra être fermé à tout moment par le responsable légal de l'élève concerné.
Elle rappelle que, pour que le consentement reste libre, les établissements devront continuer de mettre à disposition des élèves et de leurs responsables légaux qui ne seraient pas en capacité d'accéder au téléservice proposé, ou qui ne souhaiteraient pas l'utiliser, un autre moyen d'accès aux données traitées dans le téléservice. En outre, il importe de ne pas permettre l'activation d'un compte élève mineur avant celui d'au moins l'un de ses représentants légaux.
A cet égard, la commission prend acte que les personnes qui ne souhaiteront pas utiliser le téléservice LSUN recevront une information régulière sur les résultats de leurs enfants, par édition papier des différentes composantes du livret scolaire (bilans périodiques, bilans de fin de cycle et attestations). En revanche, lorsque le téléservice aura été activé et tant que le compte utilisateur restera ouvert, aucune édition papier ne sera remise par l'école ou l'établissement scolaire.
L'article 6 de l'arrêté du 31 décembre 2015 précité prévoit une signature des bilans périodiques et des bilans de fin de cycle par les parents ou le responsable légal de l'élève. Actuellement, l'application LSUN n'offre toutefois pas de mode de signature électronique du livret scolaire de l'élève et il est prévu que les écoles et établissements doivent s'assurer eux-mêmes que les utilisateurs du téléservice en ont pris connaissance.
A cet égard, la commission estime que l'objectif de simplification poursuivi par la mise en œuvre du téléservice LSUN ne devrait pas conduire à faire peser sur les usagers du téléservice et les personnels de l'éducation nationale une procédure de visa plus contraignante que la signature manuscrite du livret scolaire. Elle recommande ainsi que des mesures, telles qu'une case à cocher dans l'interface élève/parent soient prévues par le ministère, responsable de traitement, afin de garantir que les parents ont bien pris connaissance du livret scolaire.
S'agissant de l'information des personnes concernées, la commission rappelle tout d'abord que, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, celle-ci doit être fournie à toutes les personnes concernées par l'application LSUN et porter sur l'ensemble des conditions du traitement des données relatives au livret scolaire.
En outre, il appartient au ministère, responsable de traitement, de fournir tout support utile à ces personnels pour procéder à l'information des personnes concernées par la mise en œuvre du livret scolaire. Sur ce point, le ministère a indiqué qu'il a été rappelé aux personnels chargés de la mise en œuvre du traitement que « chaque école et chaque collège doit informer les familles » et que des modèles d'information des responsables légaux ont été rédigés.
En ce qui concerne les droits d'opposition, d'accès et de rectification, le projet d'arrêté prévoit qu'ils s'exercent, dans le premier degré, auprès du directeur académique des services de l'éducation nationale (DASEN) et, dans le second degré, auprès du chef d'établissement. La commission appelle néanmoins l'attention du ministère sur la nécessité d'harmoniser les modalités exactes d'exercice de ces droits dans le projet d'arrêté et le modèle d'information des personnes concernées.
Sur la sécurité :
La commission rappelle que le traitement, constituant un téléservice de l'administration électronique au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 et qu'il incombe au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur le site du téléservice.
Elle relève que le ministère met en place un processus de sécurisation des données personnelles avec des démarches telles que le développement d'une Politique de sécurité des systèmes d'information de l'Etat (PSSIE) ou de chartes administrateur au sein du ministère et des rectorats.
Concernant la gestion des habilitations, le ministère a prévu des profils d'habilitation, afin de gérer les accès aux données en tant que de besoin.
L'accès des responsables légaux et des élèves au téléservice se fait, dans le premier degré, via le nouveau portail d'authentification EduConnect et, dans le second degré, via le portail d'authentification ATEN. En ce qui concerne le portail EduConnect, qui a pour objectif d'unifier, à terme, les systèmes d'identification et d'authentification du ministère de l'éducation nationale et de permettre l'utilisation de systèmes d'identification et d'authentification extérieurs, la commission rappelle que doivent être pris en considération, comme pour tout système de fédération d'identité, les éventuels besoins différenciés en matière d'attributs d'identité, selon les services qui utilisent ledit système.
La commission rappelle qu'elle a adopté de nouvelles recommandations en matière de mots de passe (délibération n° 2017-012 du 19 janvier 2017) qui précisent notamment qu'un mot de passe seul devrait être composé de 12 caractères appartenant à l'ensemble des 4 types possibles. Dans le cas d'un mot de passe plus court ou moins complexe, une mesure supplémentaire de restriction de l'accès au compte devrait être mise en œuvre. Ainsi, la politique de mots de passe élaborée par le ministère pourrait nécessiter une mise à jour afin de maintenir sa conformité aux recommandations de la commission.
Concernant la sécurisation du téléservice, l'accès à LSUN est sécurisé au moyen du protocole TLS. La commission recommande que soit utilisée la version de ce protocole la plus à jour possible.
Un processus d'identification et de réduction des risques liés aux vulnérabilités les plus graves du téléservice a été mis en œuvre. Une surveillance en temps réel du réseau local est réalisée et les principaux points critiques du système seront redondés afin d'en assurer la résilience.
Des sauvegardes régulières sont réalisées. La commission rappelle que celles-ci doivent être testées régulièrement afin de vérifier leur intégrité. Une journalisation des opérations est en outre réalisée, les journaux étant conservés six mois. La commission rappelle la nécessité de journaliser à la fois les consultations, modifications et suppressions de données du traitement et de procéder périodiquement à l'analyse des informations journalisées, voire de mettre en place un système de détection automatique de signaux faibles.
Enfin, une procédure spécifique de gestion des violations de données anticipant celle imposée, à compter du 1er mai 2018, par le règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données personnelles est prévue.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.