Quand internet relie l’école aux parents

par Nathalie Jay, Ouest-France, 9 mars 2007

À Ploërmel, les parents de Yoann ont dû mettre la main à la souris pour consulter les notes de leur fils. Les enseignants encouragent l’utilisation de l’ordinateur.

Devoirs, leçons, notes, agenda, mots pour les parents, tout cela se trouve désormais sur leur PC. « Nous, on n’avait jamais fait d’informatique. On avait envisagé d’avoir un ordinateur, mais on n’avait pas les moyens. Et on ne savait pas où chercher, ni comment faire », confient Denis et Valérie Lucas.

Lui est ouvrier, elle, femme au foyer. Avec leurs trois enfants, ils habitent à Campénéac, près de Ploërmel. Alors, quand ils ont su que la classe de leur fils Yoann, à l’école Saint-Louis, allait faire partie d’une expérimentation informatique, ils ont accueilli la nouvelle avec appréhension, mais enthousiasme.

"Yoann est fier de nous"

Trois écoles du secteur de Ploërmel testent un “espace numérique de travail”, sur Internet, qui permet la communication entre l’école et la maison. La communauté de communes finance le dispositif. Le directeur de l’école de Yoann, également élu, a fait des nouvelles technologies son cheval de bataille. Des ordinateurs ont été prêtés aux familles qui n’en ont pas. Là aussi, il a parfois fallu convaincre.

Denis et Valérie sont allés se former à la cyberbase de la commune et ont suivi les réunions à l’école. Puis l’ordinateur a pris place dans la salle de séjour. « C’était la fête. Avec mon fils, j’ai installé l’accès à Internet, raconte Denis. Yoann connaît déjà plus de choses que nous. Il est heureux de montrer ce qu’il sait. C’est son avenir. » La famille peut accéder à des sites pédagogiques présélectionnés. L’accès est sécurisé.

Valérie et Denis consultent déjà les notes mises en ligne. Plus possible pour les "étourdis" d’oublier qu’il y a une leçon à apprendre ou une mauvaise note à faire signer. L’informatique permet un lien direct entre les parents et l’enseignant. « Des fois, on n’osait pas déranger. Là, on peut mettre un message. »

Pendant le futur voyage scolaire de Yoann en Auvergne, Denis et Valérie savent qu’il y aura, chaque jour, des nouvelles et des photos sur l’ordinateur. « Là, on est comme tout le monde. Yoann est fier de nous. Et cela met tous les enfants à égalité. »

Un questionnaire a permis d’établir que 71% des familles interrogées dans les trois écoles concernées étaient dotées d’un ordinateur (moyenne nationale : 57%) et 63% sont équipées d’Internet (moyenne nationale : 43%).

Le cahier de textes en ligne. Des collèges et lycées de la Manche ont mis en ligne le cahier de textes des élèves consultable par la famille grâce à un code secret individuel. « Rien de nominatif dans un cahier de textes, ni de très confidentiel. C’est une étape, la consultation des notes suivra, forcément … », admet le principal adjoint du lycée Grignard à Cherbourg.

La documentation aussi. Dans le Calvados, certains lycées ont déjà mis en ligne le contenu de leur centre de documentation.

Et même la cantine !A Plouzané, près de Brest, pour avoir accès à la cantine ou à la garderie, il faut avoir un compte alimenté par pré-paiement. Jusqu’à présent, les parents étaient avertis d’un solde négatif par une lettre fermée, remise par « la dame de la cantine », le matin, à l’école. Depuis un mois, un nouveau système d’alerte est possible : par e-mail ou par SMS. Pour l’instant, 200 des 600 familles l’ont adopté.

A qui le mot de passe ?Les collèges et lycées publics du Calvados disposent d’« espaces numériques de travail » (notes, planning, devoirs), mais ils sont libres de les utiliser ou non. Professeurs et élèves y accèdent grâce à un identifiant.

Nathalie Jay

Prudence dans les collèges de la Manche

Les collèges et lycées de la Manche sont presque tous équipés d’un système informatique intégrant les notes scolaires des élèves, mais en Intranet. Comprendre : en interne. Le plus souvent, principaux et proviseurs utilisent le logiciel Pronote. Il est jugé pratique pour traiter les données liées à la vie de l’établissement. Inconvénient, en cas d’ouverture sur Internet : la crainte des virus et autres intrusions...

« Un collègue, passionné d’informatique, a voulu tester, histoire de vérifier, raconte Philippe Peter, professeur de sciences physiques et détaché en informatique auprès des collèges. Il a pu pénétrer le système d’un collège et avoir accès à ses données. ». D’où le bémol mis par les équipes pédagogiques et leur hiérarchie. « Ils voudraient avoir la garantie que tout est sécurisé et que leur serveur est inaccessible depuis l’extérieur, sauf pour les détenteurs de codes personnels. Et que l’opération est sans risque pour les données qui touchent à l’organisation de leur établissement. »

Yann Halopeau, Ouest-France, le 9 mars 2007

Délibération 2006-104, du 27 avril 2006 de la CNIL, portant avis sur le projet d’arrêté créant un traitement de données à caractère personnel relatif aux espaces numériques de travail “ENT” [2].

La Commission nationale de l’informatique et des libertés,

Saisie le 20 janvier 2006 par le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche d’une demande d’avis portant sur un projet d’arrêté créant un traitement de données à caractère personnel relatif aux espaces numériques de travail “ENT” ;

Après avoir entendu M. Francis Delattre, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du gouvernement, en ses observations ;

Emet l’avis suivant :

Le Ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche a saisi la CNIL d’une demande d’avis, portant sur un projet d’arrêté créant un traitement de données à caractère personnel relatif aux espaces numériques de travail (ENT), conformément aux dispositions de l’article 27-II, 4° de la loi du 6 janvier 1978 modifiée.

Destinés aux élèves et à leurs parents, aux étudiants, aux enseignants, aux personnels administratifs et plus généralement à tous les membres de la communauté éducative de l’établissement scolaire et à l’ensemble de la communauté des établissements d’enseignement supérieur, les ENT sont des sites web portail permettant d’accéder, via un point d’entrée unique et sécurisé, à un bouquet de services numériques.

Le Ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche indique que le déploiement des ENT est prioritaire dans la mesure où ils participent à l’apprentissage et à la maîtrise des nouvelles technologies de l’information et de la communication. La Commission considère à cet égard que la mise en oeuvre des ENT doit contribuer à la sensibilisation des enseignants, des élèves et de leurs parents aux principes de la protection des données à caractère personnel.

Afin de promouvoir l’implantation d’ENT, le Ministère a établi un schéma directeur appelé “Schéma Directeur des Espaces Numériques de Travail (SDET)” qui a pour objectif de fournir aux écoles, établissements scolaires, établissements d’enseignement supérieurs, inspections académiques, rectorats, aux collectivités territoriales, éditeurs de solutions ENT, éditeurs de services en ligne et de contenus et prestataires de services :

• des éléments de choix d’un espace numérique de travail,
• un guide méthodologique pour leur mise en oeuvre,
• un ensemble de préconisations fonctionnelles organisationnelles, techniques pour les guider dans la réalisation ou l’adaptation de produits et de services.

La Commission relève que ce document fera l’objet d’une mise à jour annuelle dans une perspective d’adaptation aux évolutions des réglementations, des technologies et des usages.

La Commission souligne que si cette mise à jour a pour conséquence de modifier les dispositions de l’arrêté portant autorisation du traitement, un nouveau projet d’arrêté devra lui être soumis. Dans tous les cas, elle demande au ministère à être consultée sur les nouvelles versions du Schéma Directeur des Espaces Numériques de Travail.

Sur le champ d’application du dispositif ENT

Les ENT peuvent être implantés dans les écoles, les établissements publics locaux d’enseignement et dans les établissements d’enseignement supérieur.
Un projet ENT étant au carrefour des compétences éducatives de plusieurs institutions publiques qui sont a minima une autorité académique (services déconcentrés de l’Etat), l’établissement scolaire et une collectivité locale (commune, structure intercommunale, département, région), la Commission recommande qu’une convention soit élaborée entre le responsable de traitement, à savoir le chef de l’établissement scolaire ou universitaire et les différents partenaires du projet ENT afin de définir leurs rôles respectifs au sein du projet.
Les ENT s’adressent à l’ensemble des personnes exerçant une activité au sein d’un établissement scolaire, à savoir les élèves, les parents d’élèves, les étudiants, les enseignants, les personnels administratifs, techniques et d’encadrement des établissements d’enseignement.

Sur la procédure de formalités applicable

Le projet présenté par le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche porte sur la mise en oeuvre d’un téléservice mis à disposition des usagers de la communauté éducative de l’enseignement scolaire et de l’enseignement supérieur préalablement dotés d’un identifiant propre au système. Ce téléservice relève de la procédure d’autorisation par arrêté pris après avis de la CNIL conformément à l’article 27-II-4° de la loi du 6 janvier 1978 modifiée.

La Commission prend acte que l’article 7 du projet d’arrêté fait référence à un acte réglementaire unique, conformément aux dispositions de l’article 27-III. Dès lors, chaque établissement de l’enseignement scolaire ou supérieur décidant de l’implantation d’un ENT devra procéder auprès de la CNIL à un engagement de conformité. Cette déclaration faite par le responsable de l’établissement l’engagera à respecter les dispositions prévues dans l’arrêté et notamment le Schéma Directeur des Espaces Numériques de Travail et ses annexes, les finalités, les droits des personnes et les mesures de sécurité nécessaires à la protection de données à caractère personnel.

Sur les finalités du traitement

Les ENT ont pour objet de proposer à la communauté éducative des contenus à vocation pédagogique et éducative ainsi que de diffuser des informations administratives ou relatives à la vie scolaire et au fonctionnement de l’établissement. Les finalités poursuivies par ce traitement sont légitimes dès lors que toutes les garanties sont prises afin que chaque catégorie d’utilisateur ne puisse accéder qu’aux seules informations le concernant.

Sur les données à caractère personnel traitées

La Commission prend acte de ce que les données à caractère personnel traitées par l’application ENT sont d’une part, les données nécessaires à la création d’un compte ENT issues de systèmes d’information mis en oeuvre dans le cadre de la gestion administrative des élèves, des étudiants, des personnels et des apprentis et d’autre part, les données à caractère pédagogique, administrative et éducative diffusées et produites dans le cadre de l’utilisation d’un compte ENT.

Sur les destinataires des données à caractère personnel et la gestion des accès aux comptes ENT

La Commission prend acte de que les destinataires des données à caractère personnel sont exclusivement les utilisateurs habilités des ENT.
La Commission relève que l’alinéa 2 de l’article 5 du projet d’arrêté prévoit que chaque utilisateur ne peut accéder qu’aux seules informations concernant son environnement, son rôle et ses fonctions. Elle estime que cette disposition trop large devrait être ainsi rédigée “Chaque utilisateur ne peut accéder qu’aux seules informations le concernant”.

Sur l’information des personnes

La Commission relève que l’article 5 du projet d’acte réglementaire prévoit que le droit d’accès et de rectification aux données s’exerce sur simple demande, par voie postale ou électronique, des intéressés auprès des chefs d’établissements, des présidents ou directeurs d’établissements d’enseignement supérieur, à savoir les responsables des traitements mis en oeuvre dans le cadre d’un ENT. L’article 8 précise également que les dispositions de l’arrêté doivent être accessibles à chaque utilisateur à partir de la page d’accueil de l’ENT.
La Commission rappelle toutefois que chaque responsable de traitement devra s’assurer que les mentions d’information prescrites à l’article 32 de la loi du 6 janvier 1978 modifiée en août 2004 ont été précisées sur la page d’accueil du portail ENT et qu’elles ont été communiquées lors de la phase de création d’un compte ENT.
La Commission demande à cet égard au Ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche que des modèles de mentions d’information soient prévus dans son Schéma Directeur des Espaces Numériques de Travail.
Il appartient également à chaque responsable de traitement d’informer les personnes concernées de la transmission de leurs données à caractère personnel dans l’annuaire ENT et de leur offrir la possibilité de s’opposer à bénéficier des services numériques prévus dans le cadre de l’utilisation d’un ENT.
Enfin, la Commission appelle l’attention de chaque responsable de traitement sur la nécessité d’encadrer les conditions d’utilisation de la messagerie électronique afin d’éviter que celle-ci ne soit utilisée à des fins étrangères à celles auxquelles elle est destinée.

Sur la durée de conservation des données

L’article 6 du projet d’arrêté dispose que les données à caractère personnel traitées dans le cadre d’un compte ENT sont mises à jour au début de chaque année scolaire ou universitaire et, en tout état de cause, sont supprimées dans les trois mois suivant la fermeture du compte ENT. Il précise également que les contributions présentant un caractère pédagogique, scientifique ou informatif peuvent être conservées sauf opposition de la personne concernée.
Ces dispositions n’appellent pas d’observations particulières de la Commission.

Sur les mesures prises pour assurer la sécurité du dispositif

La Commission relève que les mesures prises pour assurer la sécurité du dispositif sont définies dans différentes annexes du Schéma Directeur des Espaces Numériques de Travail.
Elle prend également acte de ce que le projet d’acte réglementaire précise que la déclaration de conformité engage le responsable d’un établissement scolaire ou universitaire à assurer les mesures de sécurité nécessaires à la protection des données à caractère personnel.
A cet égard, la CNIL demande au ministère de prendre toute mesure de nature à vérifier que les établissements concernés respectent les exigences de sécurité qu’il a définies et qu’il en tienne informé la Commission.

La Commission appelle également l’attention des responsables de traitement sur la nécessité de sensibiliser les utilisateurs des ENT aux mesures élémentaires de sécurité telles que la nondivulgation de leurs identifiants de connexion à leur compte ENT.

Concernant les mesures d’authentification, la Commission considère qu’une authentification forte doit être prévue si la mise à jour et la consultation des notes par les enseignants et les utilisateurs sont entièrement dématérialisées.

Concernant la confidentialité des échanges de données, la Commission estime que les échanges de données doivent être intégralement chiffrés.

Par ailleurs, la Commission relève que la sécurisation des Web Services n’est pas envisagée à court terme compte tenu de la complexité de leur mise en oeuvre.

Cependant, considérant que la sécurité des Web Services est un élément important qui vise à renforcer la sécurité globale d’un portail ENT, la Commission estime que le ministère devrait prévoir un délai pour la mise en oeuvre des dispositifs de sécurisation des Web Services.

Enfin, la Commission demande que le ministère lui transmette, dans les meilleurs délais, l’annexe relative à la stratégie d’exploitation qui doit définir une politique d’exploitation des traces et préciser les profils d’habilitation des personnels chargés de l’administration du système informatique et le cadre dans lequel les actions de maintenance logicielle et matérielle sont accomplies.

Le président Alex TURK.

____________________________________

Arrêté du 30 novembre 2006 portant création, au sein du ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche, d’un traitement de données à caractère personnel relatif aux espaces numériques de travail (ENT)
 [3]

Le ministre de l’éducation nationale, de l’enseignement supérieur et de la recherche,

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le code de l’éducation ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée notamment par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 27 (II, 4°) ;
Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu la délibération n° 2006-104 de la Commission nationale de l’informatique et des libertés en date du 27 avril 2006 relative à la demande d’avis n° 1064992, portant sur le projet d’arrêté relatif à la création par le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche des espaces numériques de travail (ENT),

Arrête :

Article 1

Des traitements de données à caractère personnel relatifs aux « espaces numériques de travail » (ENT), qui sont des sites « web portail » permettant d’accéder, via un point d’entrée unique et sécurisé, à un bouquet de services numériques, peuvent être mis en oeuvre dans les écoles, les établissements publics locaux d’enseignement (EPLE) et les établissements d’enseignement supérieur visés par les dispositions des articles L. 711-1 à L. 722-16 du code de l’éducation.

Les ENT ont pour objet :

• de saisir et de mettre à la disposition des élèves et de leurs parents, des étudiants, des enseignants, des personnels administratifs et plus généralement de tous les membres de la communauté éducative de l’enseignement scolaire ou de l’enseignement supérieur, en fonction des habilitations de chaque usager, des contenus éducatifs et pédagogiques, des informations administratives, relatives à la vie scolaire, aux enseignements et au fonctionnement de l’établissement ainsi que de la documentation en ligne ;

• de permettre aux usagers de l’ENT de s’inscrire en ligne à des activités proposées par l’établissement, de s’inscrire à des listes de diffusion, de participer à des espaces communautaires (forums de discussion, espaces collaboratifs, blogs...).

Article 2

Indépendamment des données créées lors de l’ouverture d’un compte ENT (identifiant et mot de passe), les catégories de données à caractère personnel traitées par l’application ENT sont les suivantes :

a) Dans l’enseignement primaire et secondaire, ainsi que dans l’enseignement supérieur :

En ce qui concerne les élèves et les étudiants :

• civilité, identité, date et lieu de naissance, ville et pays de naissance, photographie et coordonnées personnelles (adresse postale, téléphones fixe et portable, télécopie, adresse électronique, tout élément concernant sa vie scolaire ou universitaire) ;

En ce qui concerne les parents d’élèves :

• civilité, identité, adresse postale, téléphones fixe et portable, télécopie, adresse électronique ;

En ce qui concerne les personnels enseignants et non enseignants :

• identité, situation professionnelle, structure de rattachement, coordonnées professionnelles, informations administratives les concernant, toute information concernant la scolarité des élèves ou des étudiants dont ils ont la charge ;

b) Dans le cadre du tutorat et de l’apprentissage, ainsi que pour les entreprises partenaires :

En ce qui concerne l’apprenti :

• civilité, identité, date et lieu de naissance, ville et pays de naissance, photographie et coordonnées personnelles (adresse, téléphones fixe et portable, télécopie, adresse électronique) ;

En ce qui concerne les tuteurs de stage et maîtres d’apprentissage :

• identité et situation professionnelle du tuteur de stage ou du maître d’apprentissage ;
• dénomination de l’entreprise partenaire et nom des élèves suivis en stage ou en apprentissage.

Article 3

Les données à caractère personnel utilisées dans les ENT dont la liste est annexée au « schéma directeur des espaces numériques de travail (SDET) » sont soit issues de systèmes d’information mis en oeuvre par le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche ou de systèmes d’information mis en oeuvre par les collectivités territoriales, soit fournies par les usagers des ENT.

Un transfert sécurisé des données à caractère personnel dans les ENT est réalisé par chaque responsable d’un ENT, à partir des systèmes d’information concernant les élèves, les apprentis, les étudiants et les différentes catégories de personnel relevant de l’école ou de l’établissement concerné.

Article 4

Les destinataires des données à caractère personnel sont exclusivement les catégories de personnes susceptibles de disposer, dans la limite de leurs attributions respectives, d’un accès à l’ENT.

Chaque catégorie d’utilisateur ne peut accéder qu’aux seules informations concernant ses fonctions au sein de l’établissement :

a) Dans l’enseignement primaire et secondaire :

• les élèves, en ce qui concerne leurs informations personnelles et la vie scolaire ;
• les délégués d’élèves, en ce qui concerne la vie lycéenne ;
• les parents d’élèves, en ce qui concerne la vie scolaire de leur(s) enfant(s) ;
   *les délégués de parents d’élèves, en ce qui concerne la vie de l’établissement ;
• les personnels enseignants, en ce qui concerne les informations relatives à la scolarité de leurs élèves ;
• les personnels autres que les personnels enseignants, en ce qui concerne leurs fonctions dans l’établissement ;
• les intervenants extérieurs, en ce qui concerne des activités scolaires ou périscolaires auxquelles ils participent et qui sont organisées en accord avec le responsable de l’établissement ;
• les services municipaux dans le cadre de la préinscription scolaire et des activités organisées par les communes ;
• les représentants des collectivités territoriales dans les instances délibératives de l’école ou de l’établissement, en ce qui concerne leur mandat ;

b) Dans l’enseignement supérieur :

• les étudiants, en ce qui concerne leurs informations personnelles ;
• les enseignants-chercheurs, les chercheurs et les enseignants (locaux ou extérieurs), en ce qui concerne la formation de leurs étudiants et leurs travaux de recherche ;
• les personnels autres que les personnels enseignants, en ce qui concerne leurs fonctions dans l’établissement ;
• les représentants des collectivités territoriales dans les instances délibératives de l’établissement, en ce qui concerne leur mandat.

Article 5

Préalablement à la mise en oeuvre du traitement mentionné à l’article 1er, le responsable de l’ENT informera, dans les conditions définies à l’article 32 de la loi du 6 janvier 1978 susvisée, les responsables légaux des élèves mineurs, les élèves majeurs et les étudiants, ainsi que tous les autres utilisateurs, de la collecte et de la destination des données à caractère personnel les concernant.

Les droits d’opposition et de rectification des personnes à l’égard des traitements des données à caractère personnel, prévus par les articles 38 à 40 de la loi du 6 janvier 1978 susvisée, s’exercent soit par voie postale, soit par voie électronique auprès du responsable de l’ENT pour les écoles et les établissements mentionnés à l’article 1er.

Article 6

Les données à caractère personnel traitées dans le cadre d’un compte ENT sont mises à jour au début de chaque année scolaire ou universitaire et, en tout état de cause, sont supprimées de l’ENT dans un délai de trois mois dès lors que la personne concernée n’a plus vocation à détenir un compte.

Les contributions personnelles laissées dans les espaces communautaires et espaces de stockage d’informations personnelles ou de publication ne pourront, sauf opposition du contributeur lors de la fermeture de son compte ENT, être conservées par l’établissement qu’à des fins informatives, pédagogiques ou scientifiques dans les conditions fixées à l’article 36 de la loi du 6 janvier 1978 susvisée.

Article 7

La mise en oeuvre du traitement mentionné à l’article 1er par chaque responsable des écoles, des EPLE et des établissements d’enseignement supérieur précités est subordonnée à l’envoi préalable à la Commission nationale de l’informatique et des libertés, en application du III de l’article 27 de la loi du 6 janvier 1978 susvisée, d’un engagement de conformité au présent arrêté.

Cette formalité l’engage à respecter les finalités et les modalités du droit d’accès prévues dans le cadre de l’ENT ainsi que le « schéma directeur des espaces numériques de travail » et ses annexes élaborés par le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche.

Article 8

Le présent arrêté, qui fait l’objet d’un affichage dans les établissements concernés, est consultable par chaque utilisateur à partir de la page d’accueil de l’ENT.

Article 9

Le secrétaire général est chargé de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

Fait à Paris, le 30 novembre 2006.

Pour le ministre et par délégation :
Le secrétaire général,
D. Antoine