A quoi sert un répertoire des élèves ?

Le MEN a mis en place une Base Nationale des Identifiants Elèves (BNIE) dont le coeur est constitué d’un « répertoire » destiné à associer aux données habituelles relatives à l’état civil (nom, prénoms, date et lieu de naissance) un numéro identifant la personne au niveau du territoire national, l’Identifant National Elèves (INE) [1].

Les « répertoires » jouent en matière de gestion des grands fichiers informatiques un rôle spécifique et fondamental. Il sont d’autant plus méconnus des citoyens que leur rôle reste strictement interne aux services de gestion et que ceux-ci n’ont jamais directement affaire à eux.

En France, le premier d’entre eux a été mis en place dans les années 40. Conservé à la Libération, sa gestion en a été confiée à l’Institut National de la Statistique (Insee). Utilisant un support de cartes perforées et réparti dans une quinzaine de « directions régionales », l’Insee entreprit au début des années 70 de le centraliser et de le mettre sur un support informatique (des bandes magnétiques à l’époque). C’est à cette occasion que les informaticiens, grands amateurs d’acronymes imagés, le baptisèrent SAFARI pour Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus.

L’idée du créateur du numéro d’identification, René Carmille [2] était la suivante : pour peu que ce numéro à 13 chiffres devienne l‘identifiant de l’individu dans ses rapports avec l’Administration, les banques, les assurances, etc. il serait facile d’« interclasser » les fichiers et de constituer ainsi rapidement, économiquement et sans besoins d’enquêtes des « gisement de données » dont l’exploitation permettrait une meilleure connaissance de la situation économique et sociale. Il en découlerait, pensait-il, une gestion plus rationnelle.

On sait ce qu’il advint du projet SAFARI : dès qu’il fut connu du public, un large débat s’est ouvert au sein de la population, une nouvelle loi en 1978 a été chargée de veiller à une utilisation de l’informatique qui soit respectueuse des libertés, la CNIL fut créée pour veiller à son application. On sait moins que le coeur du projet SAFARI a été maintenu : son nom a été changé, il est devenu « Répertoire National des Personnes Physique » (RNIPP), l’identifiant a été confirmé, et, plutôt que ce soit un « Numéro National d’Identité » (NNI) c’est devenu, à la demande de la CNIL, un « Numéro d’Inscription au Répertoire » (NIR) [3].

Par contre et c’est évidemment essentiel, le projet a été amputé de son programme de diffusion de l’identifiant dans un maximum de fichiers et donc des possibilités d’interclassement (ou d’appariement ou d’interconnexion, ou de rapprochement : divers termes désignant le même mécanisme d’enrichissement d’un fichier par un autre grâce à un identifiant qui leur est commun). Comme il n’était pas question de se priver des apports des technologies informatiques (et des investissements déjà réalisés à l’époque), l’utilisation du NIR fut cantonnée à une partie de la sphère sociale, essentiellement la Sécurité Sociale. C’est la raison pour laquelle le NIR n’est généralement connu que sous l’appellation de « Numéro de Sécurité Sociale ».

Ce cantonnement est (jusqu’ici) réel. Si un service gestionnaire demande à pouvoir inclure le NIR dans son fichier il ne lui faut rien moins qu’une décision du Conseil d’Etat pris sur avis conforme de la CNIL. Bien des Administrations en ont fait la demande, entre autres, le fisc, l’éducation nationale, la santé... Ceci, finalement a été refusé, la CNIL s’étant forgée une doctrine prônant des identifiants spécialisés par secteur : le SPI (Simplification des Procédures d’Imposition) pour le secteur des impôts ; l’INE (Identifiant National Elèves) pour le secteur scolaire ; l’INS (Identifiant National de Santé), etc.
Cette loi de 1978, le décret encadrant l’usage du NIR et l’action de la CNIL montrent que de le législateur a tout à fait reconnu l’importance particulière du répertoire et des identifiants qu’il génère.

A quoi sert un « répertoire » de personnes ?

Sa nécessité est liée au besoin d’une identification parfaitement fiable des individus. Il serait difficilement tolérable que les cotisations de retraite soient affectées à une personne différente de celles qui les a versées, qu’un impôt soit réclamé à un homonyme, qu’un décès soit enregistré pour une personne bien vivante, etc.

Cette fiabilité élémentaire est pourtant difficile à atteindre. Et ceci pour de très nombreuses raisons. Il y a plus de 200.000 personnes ayant « Martin » comme patronyme [4], quelques dizaines de milliers dont le nom est aussi un prénom, certaines personnes sont nées dans des pays ou des communes qui n’existent plus, d’autres ont changé de nom, de date de naissance, de genre, .. Pour toutes, la transcription des noms et prénoms est une source fréquente d’erreurs matérielles qu’elle se fasse sur des formulaires papier ou sur écran [5]. La meilleure façon qu’ont trouvé les informaticiens gestionnaires des grands fichiers est de disposer, en amont, d’une application informatique spécifique destinée à établir et à maintenir la correspondance entre un certain nombre d’éléments d’état civil et un seul et unique numéro identifiant. Cet identifiant, est plus court, numérique, facile à transcrire. Il est doté d’une « clef de contrôle » qui permet, par programme, de vérifier automatiquement que l’identifiant a été correctement transcrit.

Cette application, en amont des programmes de gestion a reçu le nom de « répertoire ».

Il n’est pas question d’entrer dans la technique interne des répertoires des personnes mais il faut savoir que cela mobilise en permanence plusieurs dizaines de personnes ce qui implique une dépense qui, en période d’économies budgétaires, n’est concevable que si l’utilité est incontestable et l’opération finalement « rentable ».

Le répertoire : une “machine” à identifier

Le répertoire doit être capable, à partir d’informations d’état civil plus ou moins complètes ou approximatives, de retourner un identifiant. S’il n’y parvient pas il va retourner plusieurs « échos » avec des informations permettant à un opérateur (humain) de choisir ou, si c’est impossible, de déclencher une enquête.

Ces identifications peuvent s’effectuer au coup par coup, dans des transactions à l’écran ou en masse, à partir de fichiers contenant les informations d’état civil de milliers ou dizaines de milliers de personnes.

Cette fonctionnalité des répertoires signifie que ceux-ci sont capables de prendre n’importe quel fichier de personnes qui, pourvu qu’il contienne un minimum de données d’état civil, pourra être complété de l’identifiant recherché.

Autrement dit, les répertoires sont non seulement des « machines à fiabiliser » l’identification mais encore des « machines à identifier ». Grâce à ces « machines » il est techniquement possible et rapide, par exemple, de mettre un NIR dans un fichier contenant l’INE (ou l’inverse), un NIR dans un fichier des bénéficiaires du RSA (ou l’inverse), dans un fichier des “clients” d’une grande entreprise, etc.

On comprend alors pourquoi la loi Informatique et libertés, en son article 27 soumet l’utilisation du NIR ou même la simple consultation du RNIPP à un décret en Conseil d’État, pris après avis motivé et publié de la CNIL, et soumet les appariements de fichiers à une surveillance particulière. Elle y met des barrières réglementaires strictes.

Certes ce n’est pas rien d’avoir une réglementation telle que celle qui encadre l’utilisation du NIR, ce n’est pas rien que l’accès au RNIPP soit particulièrement sécurisé mais il ne faut pas perdre de vue que les avantages pratiques qu’il procure – ils sont considérables – se paient par l’existence d’un outil qui, mal utilisé, serait redoutable pour nos libertés. La CNIL ne s’y est pas trompée qui exige, outre l’encadrement réglementaire, que l’Insee soit capable de détruire physiquement son répertoire en cas d’invasion par une puissance étrangère ou une prise du pouvoir non démocratique.

Pourquoi un « répertoire » des élèves au ministère de l’éducation nationale ?

D’après les déclarations des responsables de la DEPP, le projet est né chez les statisticiens du MEN (en l’occurrence, originaires de l’Insee) dès l’année 2003. L’argument avancé était de permettre un suivi des parcours scolaires : pour chaque INE, année après année, on enregistrera l’établissement, la classe, l’option… En soi certaines de ces informations sont déjà sensibles [6] mais, pour une meilleure interprétation, il faut en savoir plus sur l’élève, ses parents, son établissement, ses professeurs... C’est pourquoi, il était envisagé d’aller chercher tout cela dans les fichiers d’élèves :

« Les collèges et les lycées possèdent des fichiers d’élèves, qui sont transmis au niveau national. Il est donc possible de construire divers types de tableaux en croisant les variables.... Ce procédé est techniquement très intéressant. Le numéro d’élève unique permettra en effet de tracer des trajectoires précises dans tous les secteurs de l’enseignement. L’analyse s’en trouvera ainsi enrichie » [7].

On voit ici revenir l’idée chère à René Carmille et aux « ingénieurs sociaux », celle-là même que voulait poursuivre SAFARI fut-elle cantonnée ici à la sphère scolaire.

Il semble bien que la contestation qui s’est exprimée chez les enseignants, les parents d’élèves, les syndicats et certaines associations aient conduit les statisticiens du ministère à réprimer leurs ambitions. Ils ont certes besoin d’un INE pour réaliser les appariements mais, une fois ceux-ci réalisés, l’INE et a fortiori le nom, n’ont aucune utilité pour la statistique. Ils ont annoncé qu’ils allaient crypter l’INE de façon « irréversible » c’est à dire rendant impossible de « remonter » du numéro crypté à l’état civil de l’élève. Ceci est important puisque les chercheurs pourront disposer de données d’études sans qu’il y ait risque d’autres utilisations.

Mais, en même temps que les statisticiens sont prêts à faire marche arrière, la direction de la gestion du ministère (DEGESCO) multiplie les applications informatiques sur les élèves. Certaines contiennent explicitement l’INE mais on a vu que la seule mention de l’état civil permet facilement d’introduire un INE en cas de besoin, et de permettre alors l’appariement avec les autres fichiers.

Y-a-t-il des motifs d’inquiétude ?

Que le MEN se dote d’instrument fiables pour faciliter sa gestion, faire ses prévisions, évaluer ses politiques et ses expériences n’a évidemment rien de répréhensible. Pourtant les outillages disponibles permettent aussi des utilisations qui peuvent constituer des atteintes graves aux libertés individuelles, celles des jeunes, de leurs parents, des enseignants et directeurs d’établissements.

• Risques de dissémination des informations : par exemple, les bases élèves (BEE, BEA, …) et leurs dérivées constituent des réservoirs particulièrement attractifs pour des prospections commerciales. Certes les bases sont « sécurisées » [8] mais leur permanence, le nombre de personnes ayant des droits d’accès, le nombre de machines, … et les évolutions de personnel, de logiciel et de machines qui se produiront au fil des ans rendraient une sécurité (presque) totale hors de prix. Il y aura donc, inévitablement, des incidents.

• Risques de détournement de finalités. Certes la lecture des déclarations de ces fichiers à la CNIL (quand on parvient à les obtenir) ne fait pas apparaître de finalités constituant directement des atteintes aux libertés mais, à partir du moment où des informations sont disponibles, il est particulièrement tentant de s’en servir. C’est en particulier le cas pour les informations donnant la nationalité
   [9], le lieu de naissance, la date d’entrée en France, … associées au nom de l’élève et à l’adresse de la personne qui en est responsable. Le MEN reconnaît que Base élève peut servir à identifier des enfants recherchés et, indépendamment des dérapages locaux qui se sont produits, nul ne peut garantir qu’un texte voté par le Parlement ne viendra pas un jour autoriser ou ordonner ce type de recherche. On peut même se demander si d’ores et déjà, les textes sur la prévention de la délinquance ou sur l’immigration ne permettent pas ce type d’utilisation.

• Risques de rémanence. La loi Informatique et Libertés a eu le mérite de créer un « droit à l’oubli ». Dans la version 2004 de cette loi, il s’exprime comme ceci : Article 6 alinéa 5 :
  « Elles [les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

  Pour calculer les effectifs, constituer les classes, répondre à des questions sur les différents régimes, les différentes options, … les données de l’année en cours, voire celles de l’année précédente sont suffisantes. Pourtant, dans le cas de BE1D, le MEN parle d’une conservation pendant 15 ans, la BEA contient des données sur l’année en cours et l’année précédente mais elle est conservée 10 ans. Enfin, le MEN demandait que les données d’identification contenues dans la BNIE soient conservées 40 ans, la CNIL a fait ramener cette durée à 35 et l’arrêt du Conseil d’Etat de juin 2010 demande de réduire encore cette durée. Avec de tels délais, que devient le droit à l’oubli ? Si de tels délais de conservation sont demandés n’est-ce pas parce que l’on veut retracer le plus complètement possible le parcours des élèves sur d’aussi longues périodes ?

  Lors de l’audience du Conseil d’Etat sur Base élèves et la BNIE, il a été demandé au Ministère les raisons pour lesquelles il fallait disposer de l’identité des élèves dans les bases académiques alors même qu’elle figurait déjà dans les bases « établissements ». Le MEN a répondu que les Académies en avaient besoin pour prévenir les élèves en cas d’épidémie ! Il faut espérer (ou craindre ?) qu’il y ait quelques autres raisons…

Face à ces risques, l’attitude du MEN envers les fédérations de parents d’élèves, les organisations syndicales et les associations est peu ouverte. Les applications informatiques arrivent dans les établissements sans informations, a fortiori sans consultation. Certaines, dont la BNIE ont été lancées dans la plus grande discrétion. Quand les opposants à Base élèves ont demandé au ministère une copie de la déclaration à la CNIL, celui-ci a d’abord refusé. Il a fallu faire appel à la « Commission d’Accès aux Documents Administratifs » (CADA) pour l’obtenir. Ce document était d’autant plus nécessaire qu’aucun texte n’a été publié au Journal Officiel qui aurait donné le contenu, les finalités et les conditions d’emploi de ce répertoire.

Une autre pratique ne pouvant que susciter l’inquiétude consiste pour le MEN à présenter les applications nouvelles comme des « expérimentations ». Annoncées comme expérimentales, provisoires et locales, il n’y aurait pas lieu de s’inquiéter, voire même, au contraire, on pourrait se réjouir de ces recherches de nouvelles solutions… jusqu’à ce qu’on apprenne que les expérimentations ont été jugées positives et qu’elles sont donc généralisées [10] !

Face à ces risques, on pouvait s’attendre à ce que la CNIL soit un acteur privilégié de la protection des libertés. Pourtant, là aussi, des inquiétudes sont apparues.

La première concerne précisément la BNIE. Connaissant le rôle joué naguère par la CNIL sur des projets comme SAFARI ou GAMIN, on pouvait s’attendre à ce qu’elle s’intéresse de plus près à un répertoire d’identification qui, à terme et si la durée de conservation reste à 35 ans, va référencer plus de 40 millions de personnes.

Il est surprenant qu’une application potentiellement aussi dangereuse fasse l’objet d’une simple déclaration plutôt que d’une demande d’autorisation explicite auprès de la CNIL. La loi Informatique et Libertés définit les cas où le traitement prévu doit faire l’objet d’une autorisation spécifique de la CNIL. Dans l’article 25 alinéa 5, elle stipule :

« les traitements automatisés ayant pour objet … l’interconnexion de fichiers relevant d’une ou plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents [doivent faire l’objet d’une autorisation de la CNIL] ».

Dans le cas de la BNIE, il y a interconnexion. Plusieurs personnes morales (le MEN, l’Agriculture, …) concourent à gérer le service public de l’éducation. Reste la troisième condition : l’intérêt public des finalités. Ici, la CNIL considère qu’elles correspondent au même intérêt public, la gestion de la scolarité des élèves. Selon elle, l’article 25 ne s’applique plus et une simple déclaration est suffisante.

Avec cette interprétation, on ne voit pas bien quelles limites il y aurait à la multiplication des appariements en tous sens. Comme disait le statisticien cité plus haut : « L’analyse s’en trouvera ainsi enrichie ».

Par ailleurs, la notice sur « Base élèves 1er degré » que la CNIL publie sur son site est contestable sur plusieurs points.

Sur la possibilité d’identifier des élèves dont les parents étrangers pourraient être sans papiers, elle se contente de dire :

« Contrairement à ce qui est parfois affirmé, la « Base élèves » ne comporte plus aucune information sur la nationalité, la date d’arrivée en France de l’élève ainsi que la langue parlée à la maison ».

Certes mais il reste le lieu de naissance et elle ne peut ignorer que l’association de « Base élèves » à la BNIE permet d’identifier des élèves récemment entrés sur le territoire national. Ceci a été maintes fois démontré. Par ailleurs, elle omet de dire que jusqu’en 2008, nationalité, date d’entrée en France et langue parlée à la maison figuraient dans le fichier sans qu’elle n’y trouve à redire.

Sur le droit d’opposition des parents à ce que leurs enfants soient dans « Base élèves », la CNIL reprend l’argument du MEN : puisque la scolarité est obligatoire, « Base élèves » l’est aussi. L’arrêt du Conseil d’Etat du 19 juin 2010 sur « Base élèves » vient précisément de rétablir le droit d’opposition en refusant explicitement cet argument.

Sur l’existence d’une base de données nationales, la CNIL avance des arguments techniques que l’on peut qualifier de façade :

«  On entend souvent que la "Base élèves" serait un fichier national des élèves des écoles maternelles et primaires. Ce n’est pas le cas : la "Base élèves" est une architecture informatique développée par le ministère de l’Éducation nationale organisée à trois niveaux :
 un premier fichier au niveau de l’école,
 un second au niveau de l’inspection académique,
 le troisième, exclusivement statistique, donc anonyme, au niveau du ministère de l’Éducation nationale ».

Certes les bases sont réparties dans 26 académies mais il ne s’agit là que d’une répartition techniquement plus pratique par rapport à une base physiquement unique. Grace à la BNIE qui, elle, est centrale, on est bien en face d’une base unique sur un plan fonctionnel.

* * *

Les inquiétudes suscitées par l’identification nationale des élèves dans des fichiers arrivant en rafale, sans informations, sans consultations, évidemment sans débats, jusqu’ici sans droit d’opposition se trouvent renforcées par l’absence de communication du MEN voire par sa réticence à livrer des informations légalement exigibles par le public. La CNIL, par fonction protectrice des libertés devant le fichage, sans doute sensible à des finalités pour une fois étrangères au commerce ou à l’ordre public, a manifesté ce que les associations et syndicats prennent pour de la complaisance. On en arrive aujourd’hui aux actions en Justice, plaintes des parents d’élèves, recours devant le Conseil d’Etat et ce n’est probablement pas fini. En interne au MEN, les procédures disciplinaires se multiplient devant les directeurs refusant « Base élèves » et, à coté des directeurs refusant frontalement, d’autres sabotent, plus ou moins complètement…

Il semble qu’une information complète sur les fichiers existants, sur les expérimentations et, plus encore, les projets soit nécessaire. La question n’intéresse pas seulement les enseignants et les parents d’élèves mais aussi l’ensemble des citoyens. Les données observables tout au long de la scolarité contiennent des informations particulièrement sensibles. Certaines ne doivent pas être collectées ni a fortiori enregistrées, d’autres doivent être « oubliées » le plus rapidement possible, celles qu’il faut conserver pour la recherche doivent être strictement anonymes…

Août 2010