LES ARTICLES DE LA RUBRIQUE
• fichage des élèves : les chefs d’établissement en première ligne
• fichiers scolaires : attention danger !
• création du RNIE – répertoire de la jeunesse
• fichage des élèves : ne confondons pas les statisticiens et les gestionnaires
• appel du CNRBE au boycott du Livret personnel de compétences
• base élèves doit être mis en conformité avec les arrêts du Conseil d’Etat
• BNIE / RNIE – répertoire national des élèves – pour quoi faire ?
• l’école et le repérage des familles voyageuses
• LPC : nouvelle application numérique et vieilles questions
• base élèves : levée des sanctions, sécurisation des données personnelles
• la BNIE cède la place au RNIE – répertoire national des identifiants élèves et étudiants
• inquiétude à la Cour des comptes devant le “devenir incertain” de Base élèves et de la BNIE
• les bonnes questions du Cnis
• l’éducation nationale sous l’oeil du Cnis
• au programme du MEN pour 2010 : l’extension de la BNIE
• « je tiens à vous rassurer pour ce qui concerne les informations ... »
• un traitement pour géolocaliser le “retard scolaire”
• la “fiche parcours élèves” : une fiche qu’il faut avoir à l’oeil
• base élèves : le point de vue de Meryem Marzouki
• les recherches d’enfants et ... “base élèves”
• l’avenir radieux : BNIE, répertoire de la jeunesse
• le Cnis soutient l’INE, la BNIE et Base élèves
• le décret du 14 février 2008 organisant “le suivi de l’absentéisme”
• l’identifiant national élève (INE)
• la loi de prévention de la délinquance et l’absentéisme scolaire
• l’arrêté du 22 septembre 1995 créant le système SCOLARITé
• les délibérations de la Cnil concernant le système SCOLARITé
• les ENT – espaces numériques de travail
• les normes de la Cnil pour les fichiers de données personnelles d’élèves
LA SECTION
article de la rubrique Big Brother > le ministère de l’EN et les fichiers
date de publication : mercredi 26 septembre 2012
version imprimable :
Le ministère de l’Éducation nationale (MEN) vient d’adresser aux chefs d’établissement scolaire, par le biais des recteurs, une note d’alerte datée du 3 septembre, pour leur rappeler leurs responsabilités qui découlent de la loi informatique et libertés du 6 janvier 1978.
Après avoir opéré plusieurs contrôles au sein de différents collèges et lycées, la Commission nationale informatique et libertés (CNIL) a en effet demandé au secrétaire général du MEN de rappeler les obligations juridiques liées à l’utilisation de certaines applications. Il convient effectivement de distinguer les applications nationales déclarées par le MEN des autres traitements : les établissements peuvent utiliser les premières (SCONET/SIECLE, SCONETSDO, LPC2D...) sans avoir à effectuer la moindre démarche auprès de la CNIL dans la mesure où ils se cantonnent à l’utilisation prévue par le ministère, alors que pour les autres, et notamment celles qui sont proposées par des éditeurs privés (Pronote, Nota Bene, Molière etc.), il y a plusieurs régimes juridiques possibles – déclaration “normale”, déclaration de conformité, dispense.
Nous reprenons ci-dessous dans son intégralité la note d’alerte du 3 septembre 2012 émanant de la Sous-direction des affaires juridiques de l’enseignement scolaire [1]. On remarquera qu’elle ne contient pas la moindre allusion à la dispense n° 17 que la CNIL a publiée au début de l’été... Souhaitons bonne chance aux directeurs d’établissement scolaire pour s’orienter dans cet épais capharnaüm – ils pourront prendre un peu de recul en consultant cet autre article.
Paris le 3 septembre 2012
Le ministre de l’éducation nationale à
Mesdames et Messieurs les recteurs d’académie
Objet : note d’alerte à diffuser auprès des chefs d’établissements du second degré et des directeurs académiques de l’éducation nationale, relative à la responsabilité des traitements de données à caractère personnel mis en oeuvre dans les établissements scolaires
La Commission nationale de l’informatique et des libertés (CNIL) m’a plusieurs fois saisi de plaintes relatives à la constitution de fichiers au sein d’établissements scolaires.
Dans ce contexte, et en application des pouvoirs qu’elle tire des articles 44 et suivants de la loi du 6 janvier 1978, la CNIL a opéré récemment des contrôles au sein de plusieurs collèges et lycées, à la suite desquels elle me demande de rappeler expressément à l’ensemble des établissements que des traitements tels que « PRONOTE », « NOTA BENE », ou encore « MOLIERE » sont soumis au régime de la déclaration, que les espaces numériques de travail (ENT) sont soumis au régime de l’engagement de conformité à l’arrêté du 30 novembre 2006 pris par le ministère (acte réglementaire unique n° 003) et que les traitements permettant une inscription administrative des élèves en ligne (communément nommés « téléservices ») sont soumis au régime de la demande d’avis en vertu de l’article 27 II.4° de la loi du 6 janvier 1978.
Outre l’insuffisance des mesures de sécurité (fichiers en libre accès sur les serveurs, dossiers papier stockés dans des armoires non sécurisées, mot de passe ne présentant pas de réelles garanties de sécurité, absence de mesure de sauvegarde etc.), la CNIL a également constaté des carences dans les mentions d’information obligatoires à destination des personnes dont les données à caractère personnel font l’objet de tels traitements.
Dans le souci de garantir au mieux la protection de la vie privée des intéressés, qui peuvent être aussi bien des élèves que des parents d’élèves, ou encore des personnels affectés dans l’établissement, et afin de prévenir une éventuelle mise en cause de la responsabilité des proviseurs de lycées, principaux de collèges et directeurs académiques des services de l’éducation nationale responsables de ces traitements, je vous remercie de bien vouloir diffuser à ces derniers cette note d’alerte, accompagnée du document ci-joint destiné à les sensibiliser à la nécessité de respecter la loi informatique et libertés dont la méconnaissance expose aux peines prévues par le code pénal.
Pour le Ministre et par délégation,
Le Secrétaire général
Jean Marimbert
Le chef d’établissement et l’application de la loi N°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
I. – Le responsable de traitement de données à caractère personnel
Aux termes de l’article 3 de la loi du 6 janvier 1978 :
« Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens [...] ».
Dans le premier degré, le directeur d’école ne pouvant être considéré comme responsable de traitement au sens de l’article 3 de la loi du 6 janvier 1978, la responsabilité d’un traitement mis en oeuvre par celui-ci est en principe endossée par le directeur académique des services de l’éducation nationale.
Les écoles ne bénéficiant pas de la personnalité juridique, le directeur d’école ne dispose pas, en effet, des prérogatives d’un chef d’établissement du second degré.
Toutefois, si les obligations du responsable de traitement sont conférées au directeur académique des services de l’éducation nationale, le directeur d’école n’en demeure pas moins astreint au respect des dispositions de la loi informatique et libertés.
Dans le second degré, en application de l’article L. 421-3 du code de l’éducation, le chef d’établissement, autorité exécutive de l’EPLE, détient la responsabilité de décider de la création d’un traitement de données à caractère personnel mis en oeuvre par l’EPLE.
Dans ce cadre, il devient responsable du traitement au sens des dispositions précitées et doit procéder aux formalités préalables auprès de la Commission nationale de l’informatique et des libertés (CNIL), telles qu’elles sont définies par la loi du 6 janvier 1978 modifiée, avant toute mise en oeuvre de ce traitement, fût-ce à titre expérimental.
Ces formalités préalables, qui diffèrent en fonction des finalités du traitement envisagé, sont clairement explicitées sur le site de la CNIL qui propose en outre un « Guide informatique et libertés pour l’enseignement du second degré [2] ». Les services juridiques des rectorats sont, par ailleurs, en mesure d’apporter leur concours lors de l’établissement des dossiers de saisine de la CNIL.
Le non-respect des dispositions de la loi du 6 janvier 1978 par le responsable du traitement constitue un délit prévu et réprimé par le code pénal.
De façon générale, quelles que soient les formalités requises, dès lors qu’un traitement de données à caractère personnel est mis en oeuvre au sein d’un établissement scolaire, le responsable du traitement est tenu de se conformer aux obligations qui lui incombent et de respecter les droits des personnes à l’égard de ces traitements - droits d’information, d’accès, d’opposition et de rectification — prévus aux articles 32 à 40 de la loi du 6 janvier 1978. Il doit également assurer la sécurité et la confidentialité des données.
La loi du 6 janvier 1978 s’applique aux applications de suivi pédagogique mises en œuvre dans les établissements scolaires. En effet, dès lors que celles-ci enregistrent des informations relatives aux élèves, à leurs responsables légaux et, le cas échéant, aux enseignants ou au personnel administratif de l’établissement, elles constituent des « traitements de données à caractère personnel ». A ce titre, elles doivent faire l’objet de formalités préalables à leur mise en oeuvre auprès de la CNIL.
Il. - Les applications nationales et académiques
Des applications nationales, mises à disposition des établissements scolaires, sont déclarées par le ministère de l’éducation nationale. Il s’agit principalement des applications de l’environnement SCONET, aujourd’hui dénommé SIECLE, (déclinées en BEA, au niveau académique et BEE, au niveau des établissements) et SCONETSDO, LPC2D, ainsi que des téléservices notes, absences, LPC2D et, prochainement, téléservice-inscription.
A l’égard de ces traitements, le ministre est le responsable mentionné à l’article 3 de la loi du 6 janvier 1978.
Il n’est donc pas nécessaire, pour ces traitements, d’effectuer d’autres démarches auprès de la CNIL.
De la même façon, les formalités requises ont été effectuées par les recteurs pour les applications mises à disposition des établissements scolaires par les académies, à l’égard desquels les recteurs sont responsables de traitement.
III. - Les applications proposées par les éditeurs privées
Contrairement aux applications nationales ou académiques, les applications proposées par des éditeurs privés (PRONOTE, NOTA BENE, MOLIERE, etc.) ne sont pas couvertes par une déclaration nationale ou académique. Dès lors qu’elles enregistrent des données à caractère personnel, elles doivent faire l’objet de formalités préalables à leur mise en oeuvre, formalités préalables dont la nature dépend, notamment, des données qui y sont enregistrées et des fonctionnalités prévues, mais aussi du fait qu’elles sont ou non intégrées à un espace numérique de travail (ENT).
A ce titre, et en application de l’article R. 421-8 du code de l’éducation, il appartient au chef d’établissement du second degré ou au directeur académique des services de l’éducation nationale pour le premier degré, en leur qualité de responsable de ces applications, d’effectuer toutes les formalités préalables auprès de la CNIL. Enfin, il est rappelé que pour toute application déclarée à la CNIL le responsable du traitement s’engage à ne créer d’interface qu’avec des applications elles-mêmes en conformité avec les dispositions de la loi informatique et libertés.
Le responsable du traitement, doit donc :
- procéder à l’accomplissement des formalités préalables à la mise en oeuvre de ce traitement auprès de la CNIL ;
- informer tes personnes concernées : dès lors que la création et la mise en oeuvre d’un traitement est décidée, le chef d’établissement est tenu à un devoir d’information de l’ensemble des personnes intéressées par le traitement des droits qu’ils tiennent de la loi du 6 janvier 1978. Il s’agit, pour l’essentiel, du droit d’accès des personnes aux données qui les concernent (article 39), du droit de rectification de ces données lorsqu’elles sont, notamment, inexactes, incomplètes, équivoques ou périmées (article 40) et enfin du droit d’opposition, pour des motifs légitimes, à ce que les données en question fassent l’objet d’un traitement (article 38). Cette information peut être réalisée par voie d’affichage, de diffusion d’une note d’information accessible aux intéressés ou d’insertion d’une mention sur un site institutionnel ;
- veiller à la sécurité et à la confidentialité des données enregistrées dans le traitement : en application de l’article 34 de la loi du 6 janvier 1978 modifiée, le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Il est enfin rappelé que la collecte des données énumérées à l’article 8 de la loi du 6 janvier 1978 est interdite. Il s’agit des « [...] données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicales des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. »
Rappel des principales dispositions du code pénal relatives aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques
- Article 226-16 : Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende (...).
- Article 226-16-1 : Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
- Article 226-17 : Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 7817 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
- Article 226-18 : Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
- Article 226-18-1 : Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
- Article 226-19 : Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation ou identité sexuelle de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.- Article 226-20 : Le fait de conserver des données à caractère personnel au-delà de la durée prévue par fa loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (...)
- Article 226-21 : Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
- Article 226-22 : Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
La divulgation prévue à l’alinéa précédent est punie de trois ans d’emprisonnement et de 100 000 Euros d’amende lorsqu’elle a été commise par imprudence ou négligence (...)- Article 226-23 : Les dispositions de l’article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l’exercice d’activités exclusivement personnelles.
Notes
[1] Cette note est téléchargeable au format PDF sur le site du SNES : http://www.snes.edu/IMG/pdf/NoteDAl....