D’après une enquête dont les résultats viennent d’être publiés, la majorité des écoles anglaises enregistrent les données sensibles concernant leurs élèves, telles que leur adresse et les informations de nature médicale, dans des systèmes informatiques non sécurisés.

Les résultats de l’enquête de RM School Management ont été rendus publics après que les écoles privées aient vigoureusement protesté contre le projet du gouvernement de constituer une base de données nationale regroupant les informations concernant tous les enfants : 330 000 personnes auraient alors accès à ces informations, et le système ne serait pas sécurisé.

Dans plus d’un tiers des écoles, le responsable effectue la sauvegarde des données sur des disques durs ou sur des clés USB qu’il emmène chez lui le soir. Pour Ian Watson, un ancien conseiller du gouvernement, spécialiste en matière de données de l’éducation, ces résultats ont de quoi inquiéter : « la sûreté et le stockage des données scolaires et des informations personnelles concernant les enfants sont extrêmement importants et il est primordial de prendre des mesures permettant d’en assurer la sécurité » a-t-il déclaré. L’enquête a étudié un échantillon de 505 écoles : seuls 34 % des directeurs placent les sauvegardes dans un coffre-fort pour la nuit ; 38 % des directeurs emportent chez eux des copies des fichiers, 11 % les mettent dans un tiroir fermé à clé, et 4 % les laissent sur leur bureau.

Pour Paul Grubb, de RM School Management, « l’enquête montre que les données sensibles des enfants ne sont tout simplement pas assez sécurisées, ce qui est évidemment inquiétant. » Il ajoute : « si nous considérons la nature des données concernées - le nom, le domicile, la personne à contacter, les informations médicales - il est clair que les conclusions concernant leur sauvegarde et leur stockage mettent en évidence un risque significatif. Les écoles doivent répondre à ce risque. »

La semaine dernière, le Conseil des écoles indépendantes (ISC) a déclaré qu’à son avis la base de données ne répond pas aux normes internationalement admises pour la sécurité des données. «  Tout le monde reconnaît que des bases de données peuvent être piratées, et leurs informations achetées et vendues. Les risques d’intrusion et de détournement des données sont graves » a déclaré le Conseil. Pour Jonathan Shephard, secrétaire général d’ISC, «  il est indéniable qu’une base de données, sécurisée et fonctionnant correctement, peut être justifiée dans le cas d’enfants repérés comme étant "à risque" [2]. Mais rien ne peut justifier une base de données universelle, non sécurisée, contenant des informations personnelles pour chaque enfant. Le projet des autorités aurait sans doute des répercussions positives pour certains enfants, mais il mettrait en danger beaucoup plus d’enfants. »

Le point de vue de LDH-Toulon sur la situation en France

Il semble bien que le système prévu par l’administration de l’Education nationale ne ressemble pas à ce qui a été décrit ci-dessus. Et le ministère, s’il répond un jour à nos inquiétudes, ne manquera pas d’insister sur ce point.

Mais le passé récent nous a appris trois points importants :

• en informatique, tout système de protection finit un jour ou l’autre par être "brisé" ; il est donc quelque peu présomptueux d’évoquer une protection infaillible ;

• plus grave est la facilité avec laquelle les autorités françaises ont pu modifier en catimini les règles qui avaient présidé à la conception de certains fichiers, et procéder à de véritables détournements de fichiers (en toute légalité !) – l’exemple du STIC est là pour rappeler que nous ne pouvons pas faire confiance aux promesses et aux intentions initialement affichées ;

• constatons enfin que, dans le domaine occulte des fichiers, le respect des libertés ne dépend malheureusement que du bon vouloir des autorités – là encore, un exemple, celui de la CNIL, a de quoi nous inquiéter pour l’avenir.

L’évolution spectaculaire du STIC [3]

Le fichier STIC regroupe des informations sur les 24 à 25 millions de personnes qui, un jour ou l’autre, ont eu affaire à la police (comme témoins, victimes, suspects ...) [4].

• Il a longtemps été clandestin : il existait et était utilisé par la police judiciaire avant 1996.
• Il a fallu attendre 2001, pour qu’un décret du gouvernement Jospin le régularise comme fichier de police.
• La loi de sécurité intérieure (Sarkozy) a autorisé en 2003 sa consultation dans le cadre d’enquêtes administratives (recrutement ...).
• Un décret de septembre 2005 a considérablement étendu la possibilité pour l’autorité administrative de consulter le STIC (il joue maintenant le rôle d’un casier judiciaire officieux) [5].

... et le STIC n’a sans doute pas fini d’évoluer ...

La CNIL [6]

Conçue à l’origine pour défendre les libertés individuelles contre le pouvoir étatique, elle a peu à peu perdu une part importante de ses attributions.

• En 2004, la CNIL perd son pouvoir de contrôle des fichiers publics, et son avis lors de la création de fichiers de sécurité (police, gendarmerie, renseignements généraux, etc.) devient uniquement consultatif.
• Dernière avanie : au cours de l’été 2006, Nicolas Machiavel-Sarkozy crée par décret le fichier ELOI (conçu pour recenser les étrangers en situation irrégulière ainsi que leurs amis [7]) sans que la CNIL ait pu donner son avis (il suffisait pour cela de limiter les ressources de la CNIL).

... et les pouvoirs de la CNIL n’ont sans doute pas fini de fondre ...