Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de l'enseignement supérieur, de la recherche et de l'innovation d'une demande d'avis portant sur un projet d'arrêté autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé Parcoursup.
Dans la mesure où le traitement automatisé de données à caractère personnel a pour objet de formuler une demande de préinscription dans une formation de l'enseignement supérieur, il permet aux usagers du service public de l'éducation d'effectuer une démarche administrative et constitue un téléservice de l'administration électronique, au sens de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, qui doit dès lors être autorisé par arrêté ministériel, pris après avis motivé et publié de la commission.
A titre liminaire, la commission rappelle qu'elle avait été saisie, fin décembre 2017, d'une demande d'avis relative à un projet d'arrêté portant création d'un traitement temporaire éponyme destiné au seul recueil des vœux des candidats à une formation dans l'enseignement supérieur puisqu'il n'existait alors plus de téléservice permettant la préinscription dans l'enseignement supérieur et que la loi « orientation et réussite des étudiants » susvisée était en cours d'examen devant le Parlement.
Dans sa délibération n° 2018-011 du 18 janvier 2018 susvisée, la commission a considéré qu'afin de garantir la continuité du service public de l'enseignement supérieur, il était justifié de procéder à une collecte des vœux et des données qui pourraient ultérieurement être nécessaires à l'affectation des candidats, sous réserve que cette collecte revête un caractère temporaire, soit assortie de garanties et que la commission soit saisie du dispositif pérenne. La présente saisine concerne l'ensemble du dispositif Parcoursup permettant le recueil et le traitement des vœux des candidats à une formation du premier cycle de l'enseignement supérieur.
Sur les finalités :
L'article 1er du projet d'arrêté prévoit que le traitement dénommé Parcoursup a pour finalité « le recueil et le traitement des vœux dans le cadre de la gestion de la procédure nationale de préinscription dans une formation du premier cycle de l'enseignement supérieur ». En effet, l'article L. 612-3 du code de l'éducation dispose que « l'inscription dans une formation du premier cycle dispensée par un établissement public est précédée d'une procédure nationale de préinscription ».
Il ressort en outre des dispositions de l'article L. 612-3 dudit code que le traitement des vœux dans Parcoursup consiste en la gestion des avis formulés par les établissements d'enseignement supérieur sur les candidatures reçues et des réponses apportées par les candidats à ces propositions.
Le projet d'arrêté prévoit de plus que le traitement a une finalité statistique, ce qui n'appelle pas d'observation particulière de la commission.
Au regard de ces éléments, la commission considère que la finalité du traitement, qui est conforme aux dispositions du code de l'éducation relatives à la procédure nationale de préinscription, est déterminée, explicite et légitime, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur le fonctionnement du dispositif :
En pratique, le dispositif fonctionne en trois étapes : le recueil des vœux, leur classement et l'affectation des candidats dans les formations d'enseignement supérieur.
Dans un premier temps, les candidats se connectent à la plateforme Parcoursup afin de formuler leurs vœux. Les données et informations relatives aux candidats sont, d'une part, alimentées par des mises en relation avec d'autres traitements et, d'autre part, renseignées par les candidats eux-mêmes et les personnels de l'établissement du second degré d'enseignement dans lequel ils sont scolarisés.
L'article L. 612-3 du code de l'éducation prévoit que les établissements d'enseignement supérieur doivent définir les caractéristiques de chaque formation. Il s'agit des attendus. La plateforme Parcoursup permet ainsi aux candidats de prendre connaissance desdites caractéristiques afin d'éclairer la formulation de leurs vœux.
Dans un deuxième temps, les établissements d'enseignement supérieur accèdent aux données et informations relatives aux candidats formulant une demande dans l'une des formations qu'ils dispensent. Au regard de ces informations et des attendus qu'ils ont préalablement établis, les établissements d'enseignement supérieur renseignent sur la plateforme un avis sur chacune des candidatures reçues. Pour les formations non sélectives dont la capacité d'accueil est inférieure à la demande, lesdits établissements classent les candidatures en indiquant si elles bénéficient d'un avis favorable, d'un avis favorable sous condition de suivre un dispositif d'accompagnement mis en place par l'établissement ou d'une mise sur liste d'attente. S'agissant des filières sélectives, au sens des dispositions de l'article L. 612-3-V du code de l'éducation, les réponses peuvent être « avis favorable », « en attente », ou « refus ».
Dans un troisième temps, la plateforme Parcoursup permet, grâce à un algorithme, la gestion des réponses aux candidats selon les avis formulés par les établissements d'enseignement supérieur. L'ordre de classement peut être modifié dans le cas où le recteur d'académie, conformément aux dispositions de l'article L. 612-3 précité, introduit des quotas (pourcentage minimal de candidats boursiers, pourcentage maximal de candidats extérieurs à l'académie) ainsi que par la prise en compte du dispositif « meilleurs bacheliers », prévu à l'article L. 612-3-1 du même code.
La plateforme Parcoursup permet également aux établissements d'enseignement supérieur qui le souhaitent d'offrir aux candidats une possibilité de paiement en ligne des éventuels frais de dossier de candidature et des frais d'inscription. Pour ce faire, lesdits établissements peuvent recourir à différents prestataires de paiement en ligne tels que Paybox et PayPal. Le candidat connecté à son espace personnel sur Parcoursup est ainsi redirigé vers le site de la société de paiement en ligne sur lequel il effectue son paiement. Parcoursup reçoit une confirmation de paiement destinée au candidat, mais ne dispose d'aucune information sur ses coordonnées bancaires.
Par ailleurs, le ministère a indiqué qu'une application pour smartphone était également disponible pour les candidats qui le souhaiteraient. Celle-ci est destinée à faciliter l'accès à l'information en offrant notamment des alertes et une rubrique contact pour obtenir une assistance. En revanche, cette application ne permet pas au candidat de s'inscrire et de formuler ses vœux.
Sur la conformité à l'article 10 de la loi « Informatique et libertés » :
Parcoursup est un traitement automatisé de données à caractère personnel utilisant un algorithme pour déterminer l'affectation individuelle dans une formation en premier cycle de l'enseignement supérieur.
Dans sa rédaction actuelle, l'article 10 de la loi du 6 janvier 1978 modifiée précise qu'aucune « décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité ».
La conformité d'un traitement à cet article s'apprécie à partir d'un faisceau d'indices et implique le respect de certaines garanties telles que la transparence sur le processus de décision algorithmique ou le droit à une intervention humaine afin notamment de pouvoir le cas échéant exprimer son point de vue, d'obtenir une explication quant à la décision prise et de la contester. La commission rappelle que ces garanties ne doivent pas nécessairement être toutes mises en œuvre pour chaque traitement algorithmique. Il convient en effet de tenir compte de la nature de l'algorithme, de la portée de chaque décision et du dispositif dans son ensemble.
S'agissant des garanties apportées par Parcoursup au regard des dispositions de l'article 10 de la loi « Informatique et libertés », la commission relève divers éléments relatifs à la transparence et à l'intervention humaine.
En premier lieu, en ce qui concerne la transparence.
Le dispositif légal plus global dans lequel s'inscrit Parcoursup requiert, en amont, avant toute prise de décision, la publication des « attendus » pour chaque formation, permettant dès lors aux candidats de disposer d'éléments sur les critères qui seront pris en considération pour classer leurs candidatures. Ce dispositif prévoit en outre la communication de l'algorithme du traitement et, de manière synthétique, du cahier des charges, qui définit, à l'intention du maître d'œuvre de l'algorithme, l'ensemble des règles devant être prises en compte. Ces dispositions permettent de fournir à tout citoyen une information sur le traitement algorithmique plus accessible et intelligible que le seul code source.
Si une information préalable générale, tant sur les attendus que sur le traitement algorithmique est ainsi mise en place, ce qui constitue une avancée au regard du dispositif antérieur de préinscription, la commission regrette que le ministère n'ait pas prévu, au sein de la plateforme Parcoursup, une information préalable spécifique des personnes concernées sur le fait qu'un algorithme d'affectation est utilisé. Elle estime qu'une telle information serait de nature à renforcer les garanties mises en œuvre dans le cadre de l'utilisation d'un traitement algorithmique fondant une décision individuelle.
Pendant le processus de traitement des vœux, les candidats reçoivent les réponses à leurs vœux et, selon les choix qu'ils opèrent, libèrent des places pour d'autres candidats qui étaient sur liste d'attente. A cet égard, le ministère a indiqué qu'il est prévu de porter à la connaissance des candidats leur position sur la liste d'attente, ce dont la commission prend acte. Une telle information concourt également à la transparence nécessaire.
En aval du processus d'affectation des candidats, un comité éthique et scientifique est chargé de veiller « au respect des principes juridiques et éthiques » qui fondent tant la plateforme Parcoursup que les procédures d'examen des candidatures mises en place par les établissements d'enseignement supérieur. A cet effet, le comité formule toute proposition de nature à améliorer la transparence de ces procédures et leur bonne compréhension par les candidats.
En second lieu, en ce qui concerne l'intervention humaine.
La commission relève que le dispositif permet une forme d'intervention humaine à deux égards, dans la mesure où, d'une part, il est prévu la possibilité pour un candidat de faire valoir, sous certaines conditions, des circonstances exceptionnelles tenant à son état de santé, à son handicap, à son inscription en tant que sportif de haut niveau ou à ses charges de famille et pouvant conduire au réexamen de sa candidature et, d'autre part, d'engager un dialogue avec le recteur en cas d'absence de proposition d'affectation afin de se voir proposer une inscription dans une formation la plus proche possible des vœux formulés.
Au regard de ces éléments, la commission estime que le traitement mis en oeuvre par le ministère de l'enseignement supérieur est conforme à l'article 10 de la loi du 6 janvier 1978 modifiée dès lors qu'il s'inscrit dans un dispositif légal plus global qui, pris dans son ensemble, doit permettre que la décision d'affectation dans une formation de l'enseignement supérieur ne soit pas prise sur le seul fondement d'un traitement automatisé.
Sur la responsabilité des traitements d'examen des candidatures :
La commission constate que le dispositif global, prévu par la loi, conduit les établissements d'enseignement supérieur dont les capacités d'accueil sont inférieures aux demandes à examiner les candidatures « au regard de la cohérence entre, d'une part, le projet de formation du candidat, les acquis de sa formation antérieure et ses compétences et, d'autre part, les caractéristiques de la formation ». Or, il est vraisemblable que, pour examiner les candidatures qui leur sont soumises, en particulier lorsqu'elles sont très nombreuses, des établissements d'enseignement supérieur recourent à des traitements algorithmiques. A cet égard, la commission relève d'ailleurs qu'un outil d'aide à la décision est mis à la disposition des établissements d'enseignement supérieur.
Dans la mesure où les commissions d'examen des vœux des établissements d'enseignement supérieur définissent librement les modalités et les critères d'examen des candidatures qu'ils reçoivent ainsi que, le cas échéant, le paramétrage dudit outil en fonction de leurs besoins et des choix pédagogiques qu'elles ont faits, la commission estime que le ministère n'est pas responsable des traitements mis en œuvre dans les établissements d'enseignement supérieur, à des fins de classement des candidatures quand bien même ils choisiraient d'utiliser cet outil d'aide à la décision. Elle rappelle dès lors que les établissements d'enseignement supérieur, en tant que responsables de traitement, devront respecter les principes régissant la protection des données personnelles, ce sur quoi elle sera vigilante.
Sur les données :
L'article 2 du projet d'arrêté renvoie à une annexe listant les données enregistrées dans Parcoursup. Seules certaines données ou catégories de données appellent des observations particulières.
L'identifiant national élève (INE) permet d'assurer une mise en relation fiable de Parcoursup avec d'autres traitements tels que, par exemple, SIECLE, OCEAN-CYCLADE ou AGLAE. Interrogé sur la nécessité d'enregistrer le lieu de naissance des élèves alors que l'ajout de l'INE, identifiant non signifiant, interne au système éducatif et unique pour un élève durant toute sa scolarité, doit permettre d'identifier de façon fiable un élève, le ministère a précisé que ces données sont transmises à l'établissement d'enseignement supérieur dans lequel un candidat s'inscrit. En effet, Parcoursup permet d'alimenter les traitements de gestion administrative et pédagogique de ces établissements des données relatives aux candidats admis dans l'une des formations qu'ils dispensent, simplifiant ainsi les démarches administratives du candidat et le travail des personnels chargés de renseigner le dossier administratif de l'étudiant.
S'agissant du recueil de la nationalité, le ministère a précisé qu'il se justifiait par le fait que selon sa nationalité et son diplôme de fin d'études secondaires, un candidat peut être soumis, conformément aux dispositions des articles D. 612-11 à D. 612-18 du code de l'éducation, à une procédure spécifique, distincte de Parcoursup, dite « DAP » (demande d'admission préalable en vue d'une inscription en 1re année de licence en France). Ainsi, le recueil de la nationalité permet d'identifier ces candidats qui doivent être orientés vers la procédure DAP et non formuler des vœux dans Parcoursup. Le ministère a en outre indiqué que le recueil de la nationalité permet de déterminer les candidats qui devront produire des résultats de test de niveau de français.
En ce qui concerne la catégorie socioprofessionnelle des responsables légaux, le ministère a précisé qu'elle était enregistrée à des fins statistiques et qu'elle était facultative dans la mesure où le menu déroulant permet de sélectionner un item « non renseignée ».
En outre, sont enregistrées des données relatives à la scolarité des candidats, à leur curriculum vitae (CV), leur projet de formation qui doit décrire les raisons pour lesquelles ils souhaitent s'inscrire dans une formation donnée et leurs atouts pour y réussir, leurs activités sportives et artistiques pour les candidats qui se déclarent sportifs ou artistes de haut niveau, aux appréciations des professeurs principaux portant sur quatre éléments caractérisant le profil de l'élève (méthode de travail, autonomie, capacité à s'investir dans le travail et engagement/esprit d'initiative) et du chef d'établissement portant sur la capacité de l'élève à réussir dans la formation visée, contenues dans la fiche « AVENIR ».
L'article L. 612-3 du code de l'éducation prévoit qu'une inscription peut être subordonnée à l'acceptation d'un dispositif d'accompagnement pédagogique ou, lorsque le nombre de candidatures excède la capacité d'accueil, être prononcée au regard de la cohérence entre, d'une part, le projet de formation du candidat, les acquis de sa formation antérieure et ses compétences et, d'autre part, les caractéristiques de la formation. Ces dispositions impliquent dès lors que les établissements d'enseignement supérieur disposent d'informations telles que, notamment, la fiche « AVENIR » ou les résultats scolaires pour déterminer la nécessité de proposer un dispositif d'accompagnement ou apprécier la cohérence d'une candidature au regard des attendus requis pour une formation.
Des informations relatives au baccalauréat sont également renseignées dans Parcoursup afin d'identifier les candidats « meilleurs bacheliers » qui, conformément à l'article L. 612-3-1 du code de l'éducation, bénéficient d'un droit d'accès prioritaire. En outre, ces informations permettent la gestion des propositions faites aux candidats en identifiant ceux qui échouent au baccalauréat et qui ne peuvent dès lors accéder à la plupart des formations de l'enseignement supérieur.
Concernant les informations relatives aux vœux des candidats, la commission a constaté qu'il est demandé aux candidats de saisir, dans une rubrique dédiée, leurs préférences en termes de formation, ce que ne mentionnent pas le projet d'arrêté et son annexe. Interrogé sur ce point, le ministère a indiqué que ces informations ne sont pas accessibles aux établissements d'enseignement supérieur et ont pour unique objet d'éclairer le recteur qui peut, conformément à l'article L. 612-3 du code de l'éducation, être amené à faire des propositions d'inscription à un candidat qui n'aurait reçu aucune réponse favorable, en tenant compte notamment de son projet de formation. Au regard de ces éléments, la commission estime que la collecte de ces informations est justifiée. Elle prend acte de l'engagement du ministère de modifier l'annexe relative aux données afin de les mentionner expressément.
L'annexe relative aux données prévoit une catégorie dite « données de santé ». A ce titre est enregistrée l'indication, par une mention oui/non, de la réalisation de la visite médicale obligatoire, pour l'admission dans les lycées de la Défense, conformément à l'article R. 425-9 du code de l'éducation. De même, pour certaines formations organisant des épreuves préalables à l'admission, un candidat en situation de handicap peut demander un aménagement d'épreuve, au sein de la plateforme Parcoursup, sans toutefois qu'il soit fait mention de la pathologie et des dispositions particulières d'aménagement. La commission constate qu'il ne s'agit pas de données sensibles, au sens de l'article 8 de la loi du 6 janvier 1978 modifiée dès lors que seules des mentions générales relatives à l'aptitude, l'inaptitude ou le type d'aménagement nécessaire sont enregistrées sans référence à la nature de la pathologie ou du handicap de la personne concernée.
En revanche, elle relève que, conformément à l'article L. 612-3 du code de l'éducation, un candidat peut faire mention, dans Parcoursup, de son état de santé ou d'une situation de handicap pour permettre à l'établissement d'enseignement supérieur d'en tenir compte dans le cadre de la mise en place d'un dispositif d'accompagnement pédagogique ou d'un parcours de formation personnalisé ou pour faire état de circonstances exceptionnelles justifiant une inscription dans un établissement situé dans une zone géographique déterminée. Dans la mesure où cette mise à disposition d'information est prévue par le législateur, elle est conforme à l'article 8 de la loi « Informatique et Libertés ».
Au regard de ces éléments, la commission estime que les données et informations définies en annexe du projet d'arrêté sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (5°) de la loi « Informatique et Libertés ».
Sur les durées de conservation :
L'article 4 du projet d'arrêté prévoit que les données enregistrées dans Parcoursup sont conservées pendant une durée maximale de deux ans puis versées dans une base d'archives intermédiaires pour une durée de quatre ans supplémentaires.
S'agissant de la durée de deux ans, le ministère a indiqué qu'elle devait permettre à un candidat qui n'aurait pas pu s'inscrire dans une formation ou souhaitant se réorienter après une première année dans une formation de l'enseignement supérieur, de réutiliser les données déjà saisies.
S'agissant de la conservation en base d'archives intermédiaires, le projet d'arrêté précise qu'une telle conservation est prévue à des fins de pilotage, tant au niveau national qu'académique. A cet égard, le ministère a indiqué qu'une fois versées dans cette base d'archives, les données relatives à l'identité, l'adresse et aux différents numéros de dossiers des candidats étaient supprimées. Sous réserve de cette suppression effective, et compte tenu du caractère indirectement identifiant des données conservées, la commission considère que celles-ci sont pseudonymisées.
Au regard de ces éléments, la commission estime que les durées de conservation sont justifiées au regard des finalités poursuivies par le traitement, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que les données devront, à l'expiration de ces durées de conservation, être supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
Sur les destinataires :
Les destinataires de Parcoursup sont prévus à l'article 3 du projet d'arrêté. A titre liminaire, la commission relève que les accédants et destinataires de Parcoursup sont nombreux. Elle rappelle que ces personnels ne doivent pas accéder librement aux données et informations des candidats au-delà de la durée nécessaire à l'exercice de leurs missions.
Aux termes de l'article 3 précité, accèdent à Parcoursup les personnes habilitées de la direction de l'enseignement supérieur et de l'insertion professionnelle (DGESIP) et de la direction générale de l'enseignement scolaire du ministère de l'éducation nationale (DGESCO). Le ministère a indiqué que si la DGESIP assure la maîtrise d'ouvrage de Parcoursup, ce traitement concernant également les élèves scolarisés en classe de terminale dans les lycées ainsi que les étudiants des formations dispensées dans des lycées, la DGESCO est associée à certaines décisions de la maîtrise d'ouvrage, ce qui, selon lui, justifie qu'elle puisse accéder à certaines données globales afin de pouvoir constater la mise en œuvre de certaines décisions.
Parmi les accédants et destinataires de Parcoursup figurent en outre des personnels chargés d'apporter une aide individualisée aux candidats qui rencontreraient des difficultés pour saisir leurs vœux, notamment en cas de blocage de leur dossier ou lorsqu'ils utilisent la rubrique « contact ». Il s'agit des personnes habilitées de la DGESIP, des services en charge de l'enseignements supérieur, de l'information et de l'orientation des rectorats et vices-rectorats et des services déconcentrés relevant des ministères autres que les ministères chargés de l'éducation nationale et de l'enseignement supérieur exerçant une tutelle sur des établissements d'enseignement scolarisant des candidats. Dans la mesure où les candidats devant utiliser la procédure nationale de préinscription sont très nombreux, la commission considère qu'il n'est pas excessif que tant de personnels, de l'administration centrale et des services déconcentrés, accèdent aux données des candidats pour répondre à de telles sollicitations.
Accèdent également à Parcoursup les personnels des établissements où sont scolarisés les candidats et ceux des établissements d'enseignement supérieur dans lesquels les candidats ont formulé des voeux. Dans la mesure où ces personnes doivent respectivement renseigner des informations concernant le candidat telles que, par exemple, la fiche « AVENIR », et se prononcer sur les candidatures, après examen de celles-ci, la commission considère que ces accès sont justifiés.
Le projet d'arrêté prévoit en outre des accédants en charge des analyses statistiques : personnels du service statistique ministériel du ministère de l'enseignement supérieur et des services statistiques des rectorats et des vices-rectorats. La commission rappelle que de telles finalités ne justifient pas un accès à la base active, mais uniquement aux données pseudonymisées.
Aux termes de l'article 3 du projet d'arrêté, figurent parmi les destinataires, les sociétés de paiement en ligne. Parcoursup offrant une possibilité de paiement en ligne des éventuels frais de dossier de candidature et d'inscription, la transmission de données à ces sociétés est justifiée.
S'agissant des personnes habilitées des ministères exerçant une tutelle sur les établissements d'enseignement supérieur dispensant une formation de premier cycle de l'enseignement supérieur, le ministère a indiqué que l'accès de ces personnes aux données des candidats était justifié par le fait qu'elles doivent être en mesure de suivre ce que font les établissements sous leur tutelle. En l'absence d'éléments précis sur la nature et le degré de ce suivi, la commission estime que le seul fait d'exercer une tutelle sur un établissement d'enseignement supérieur auprès duquel un candidat sollicite une inscription n'est pas de nature à justifier un accès aux données directement identifiantes des candidats. Elle demande dès lors à ce que ces personnes soient destinataires des seules données pseudonymisées.
Sur l'information et les droits des personnes :
En ce qui concerne l'information des personnes concernées prévue à l'article 32 de la loi du 6 janvier 1978 modifiée, le ministère a précisé qu'elle figure dans la charte du candidat, dont celui-ci doit attester avoir pris connaissance avant la saisie de ses vœux.
S'agissant du droit d'opposition, l'article 5 du projet d'arrêté l'exclut. Cette exclusion est conforme à l'article 38 de la loi du 6 janvier 1978 modifiée, tel qu'interprété par le Conseil d'Etat, le traitement étant fondé sur l'article 27 de ladite loi. En outre, cette exclusion se comprend dans la mesure où la préinscription en ligne est obligatoire, conformément à l'article L. 612-3 du code de l'éducation qui prévoit que les candidats doivent solliciter une préinscription lui permettant de bénéficier du dispositif d'information et d'orientation.
Les droits des articles 39 et suivants de la loi « Informatique et Libertés » s'exercent auprès du ministère. S'agissant du droit d'accès, la commission rappelle que, dans la mesure où le présent traitement recourt à un algorithme d'affectation, ce droit implique, conformément à l'article 39-I (5°) de ladite loi, de fournir tous les éléments permettant de comprendre la logique qui sous-tend cet algorithme. Il s'agit notamment pour le ministère d'être à même de fournir l'explication de la situation d'un candidat, en détaillant son évolution au cours du processus d'affectation.
La commission rappelle que l'article L. 311-3-1 du code des relations entre le public et l'administration (CRPA) organise un droit de communication proche du droit d'accès de l'article 39-I (5°) précité en ce qu'il prévoit que les administrations prenant une décision individuelle sur le fondement d'un traitement algorithmique doivent en informer les personnes concernées et leur communiquer, sur demande, différents éléments relatifs aux règles définissant ledit traitement et aux principales caractéristiques de sa mise en œuvre. Or l'article L. 612-3 du code de l'éducation, dans sa rédaction en vigueur, introduit une limitation au droit de communication précité.
La commission rappelle que cet aménagement des droits issus de l'article L. 311-3-1 du CRPA est sans incidence sur le droit d'accès prévu par l'article 39 de la loi « Informatique et Libertés ».
Elle rappelle en outre que les établissements d'enseignement supérieur qui recourraient à un traitement algorithmique pour examiner les candidatures qui leur sont soumises devront également fournir l'ensemble des éléments permettant de comprendre la logique qui sous-tend cet algorithme.
Sur la sécurité des données et la traçabilité des actions :
En premier lieu, Parcoursup est un téléservice qui repose sur un site web, dont la commission relève qu'il fait l'objet d'un processus en cours d'homologation pour vérifier sa conformité au référentiel général de sécurité (RGS), conformément aux dispositions de l'article 5 du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. La commission recommande que les permissions d'accès soient attribuées pour une durée déterminée et limitée, le cas échéant après validation hiérarchique, qu'elles soient supprimées dès qu'un utilisateur n'est plus habilité et qu'une révision de l'ensemble des habilitations attribuées soit opérée régulièrement. Une politique de mots de passe conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe est mise en œuvre.
Le traitement Parcoursup repose sur une architecture client-serveur et de nombreux échanges de données ont lieu, par exemple pour la saisie par les candidats de leur dossier ou pour l'alimentation automatisée d'informations scolaires grâce à la mise en relation avec d'autres traitements automatisées du ministère. Ces échanges sont réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et du destinataire. Dans certains cas, des remontées d'informations peuvent être effectuées par courrier électronique. La commission recommande que le contenu et les pièces jointes des messages soient chiffrés en utilisant un algorithme à l'état de l'art.
Les accès au site Parcoursup se font via le protocole HTTPS (à l'exception des pages relatives à l'information auxquelles il peut être accédé via le protocole HTTP), qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
Des mesures sont prévues pour assurer le cloisonnement du traitement. Les transferts de données sont sécurisés par l'utilisation de réseaux isolés et compartimentés. Une journalisation des opérations de consultation, création et modification des données est mise en place. L'accès aux journaux est restreint aux seules personnes ayant le besoin d'en connaître et les journaux font l'objet d'une analyse régulière. La durée de conservation des journaux est d'une année, ce qui, compte tenu de l'impact que de telles actions peuvent avoir sur les personnes concernées, n'est pas excessif.
S'agissant de l'interfaçage avec des prestataires de paiement en ligne, les services de paiement proposés sont sécurisés et conformes à l'état de l'art et à la réglementation applicable. A cet égard, la commission rappelle que seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte de paiement au niveau européen ou international (par exemple le standard PCI-DSS) doivent être utilisés.
La commission observe que des mécanismes de contrôle sont mis en œuvre afin de s'assurer de l'intégrité des données traitées. Le réseau fait l'objet de mesures de filtrage ayant pour but de restreindre l'émission et la réception des flux réseau aux machines identifiées et autorisées. Les accès distants sont sécurisés via un VPN chiffré et une authentification forte des utilisateurs.
Les mises à jour des logiciels sont installées de manière régulière. Des mesures spécifiques sont prévues pour garantir la disponibilité des données et services. Un logiciel antivirus est installé et régulièrement mis à jour sur tous les postes.
Des sauvegardes quotidiennes sont réalisées. Elles sont testées régulièrement afin de vérifier leur intégrité. Le transfert des sauvegardes est sécurisé. Elles sont stockées dans un endroit garantissant leur sécurité et leur disponibilité.
La commission relève que l'accès aux locaux est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel. Des mesures de détection et de protection contre les risques d'incendie et de perte d'alimentation électrique sont prévues. La zone d'implantation n'est pas sujette à des sinistres environnementaux et ne contient pas de produits dangereux.
Concernant les mesures d'ordre organisationnel, la mise au point des logiciels s'effectue sur des données fictives et des tests sont systématiquement effectués avant mise en production. Les procédures de gestion des incidents et de gestion des violations de données sont toutes deux documentées. La continuité d'activité est testée régulièrement.
Enfin, le ministère a indiqué que, dans la perspective du règlement européen sur la protection des données, une analyse d'impact sur la vie privée était en cours de réalisation, démarche que la commission accueille favorablement. Elle invite le ministère à la lui transmettre une fois celle-ci finalisée.
La commission considère que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.