« Base élèves premier degré »

Une entreprise irrégulière de fichage, d’envergure nationale

Vincent Fristot, conseiller municipal de Grenoble, parent d’élèves du premier degré, représentant la Ville de Grenoble aux conseils des écoles maternelle et élémentaire Nicolas Chorier à Grenoble.

Le ministère de l’Education nationale (MEN) a décidé de mettre en place une nouvelle base de données nationale « Base élèves premier degré » concernant nos enfants des écoles maternelles et primaires. Ce large fichier informatique pose des problèmes majeurs pour les libertés fondamentales, avec un risque d’atteinte aux fondements démocratiques par un fichage généralisé des enfants, des parents et des citoyens.
Il faut d’abord souligner qu’aucun texte législatif ou réglementaire, aucun arrêté ministériel, aucun décret, n’a mis en place ce traitement informatique « base élèves premier degré » qui concerne de nombreuses données personnelles confidentielles. Le seul acte administratif concernant ce fichage « base élèves » est une simple déclaration du ministère de l’Education nationale à la Commission nationale de l’informatique et des libertés (CNIL) en date du 24 décembre 2004.

Afin de connaître et analyser les risques liés à ce nouveau fichier national, il a été demandé au ministre de l’Education nationale de fournir l’ensemble des échanges de courriers avec la CNIL, relatifs au dossier « base élèves premier degré », ces documents étant des documents administratifs communicables à tout citoyen qui en fait la demande. Dans un premier temps, le ministre a refusé de communiquer ces documents.
C’est seulement après saisine de la Commission d’accès aux documents administratif, que le ministre a transmis à l’auteur, courant janvier 2008, les documents demandés.

Chronologie des faits

1. Le Ministre de l’Education Nationale et la Commission nationale Informatique et Libertés

Année 2004

24 décembre 2004 [1] : courrier de déclaration du MEN à la CNIL, concernant la mise en œuvre d’une « Base élèves 1er degré », relative à la gestion administrative et pédagogique des élèves du premier degré.
La direction de l’enseignement scolaire du ministère envisage une « expérimentation » dans quelques départements dès le début 2005 avant sa « généralisation à la rentrée scolaire 2005 ».

La déclaration du 24 décembre 2004 porte sur un fichier ainsi décrit :
 6.500.000 élèves du premier degré, données susceptibles d’être stockées pendant 15 ans ;
 les « destinataires du fichier » déclarés sont les suivants : parents, mairie, directeur d’école,
autre école, collège, circonscription d’IEN, inspection académique, rectorat, administration
centrale ;
 aucune interconnexion de fichiers, mise en relation, rapprochement n’est déclarée ;
 l’annexe du point 11 énonce les « catégories d’informations traitées, destinataires et durée de conservation des données » : 59 champs de données sont détaillés dont un identifiant national élève (INE), la nationalité, l’année d’arrivée en France, identification des « personnes chez qui réside l’enfant, téléphone, lien avec l’enfant », identification des deux parents ou personne à qui l’enfant est confié, adresses, téléphones domicile et travail des 2 parents, profession des parents, situation familiale, les « besoins éducatifs particuliers » suivi RASED, PAI, « déficiences ou atteintes », suivi d’un enseignement de langue et culture d’origine (ELCO) ...

Rappel : Les Réseaux d’Aides Spécialisées aux Elèves en Difficulté (RASED) ont pour mission de fournir des aides spécialisées à des élèves en difficulté dans les classes ordinaires, en coopération avec les enseignants.
Les projets d’accueil individualisés (PAI) permettent l’accueil en collectivité des enfants et des adolescents atteints de troubles de la santé.

L’annexe du point 5 indique que le « texte qui constitue le fondement juridique du traitement » est le décret 66-104 du 18 février 1966 relatif au contrôle de la fréquentation et de l’assiduité scolaire et aux sanctions que comportent, au regard du versement des prestations familiales et en matière pénale, les manquements à l’obligation scolaire.

Année 2005

16 février 2005 [2]
 : accusé de réception de la CNIL au MEN.
La CNIL accuse réception de la déclaration du 24 décembre 2004 et affecte le numéro CNIL n°1063224 au dossier « base élève ».
La CNIL :

• prend acte qu’elle sera saisie d’une déclaration relative à l’identifiant national élève (INE) dès l’inscription en maternelle, et que le traitement ne prévoit plus la transmission aux maires des données de nationalité, coordonnées de l’employeur et date d’arrivée en France des parents ;
• demande des informations sur les dispositions prises pour assurer la sécurité des traitements et des données. Les règles de sécurité et d’identification pour les accès à la base via internet devront être décrites ;
• demande de références réglementaires, législatives sur l’enregistrement de données « très précises » concernant le père et la mère.

17 mai 2005 [3]
 : réponse du MEN à la CNIL.
A propos du 3ème point, il est indiqué les références réglementaires faisant « état du dialogue et des échanges entre les personnes responsables de l’enfant » « lien entre l’école et les parents » articles L.111-1 à 4 et L112-1 L.113-1 du code de l’éducation.
Une note jointe à ce courrier « Base élèves premier degré - sécurité des traitements et données », apporte un complément à la déclaration du 24 décembre 2004 auprès de la CNIL.
Il est indiqué que le réseau de transmission est sécurisé par un passeport électronique qui garantit l’identité de l’utilisateur. « Ces passeports sont, dans le cadre de l’expérimentation, fonctionnels. » Ils sont remis à un représentant de l’entité concernée (mairie, école).
Le document comporte des photos d’une clé USB RSA de marque « ClearTrust ».

Année 2006

1er mars 2006 [4]
 : récepissé de déclaration de la CNIL au MEN.
D’après la CNIL, le dossier est formellement complet. La CNIL « croit toutefois attirer expressément [l’] attention [du ministère] sur les points suivants » :

• « aucune précision n’a été apportée sur les règles de sécurité et d’identification des utilisateurs garantissant la confidentialité des informations dans le cas de la mise en ligne sur internet de la fiche de renseignements et du dossier de l’élève proposé aux familles » ;
• elle demande le bilan de la phase d’expérimentation avant que ne lui soit soumise la déclaration portant généralisation du système.

21 juin 2006 [5]
 : réponse du MEN à la CNIL.
L’identifiant de la base nationale des identifiants élèves a fait l’objet d’une déclaration en date du 15 février 2006 – dossier CNIL n° 1151647.
Un document, joint à ce courrier, relatif au dispositif de sécurité prévu pour la gestion et l’identification des utilisateurs de la base élève, évoque le bilan de la phase d’expérimentation. Un compte rendu du comité de pilotage « système d’information du 1er degré » du 7 février 2006 est joint : le système de clés USB pose « des problèmes de gestion des clés (distribution, perte, absence...) et d’usage nomade par les directeurs d’école ». L’objectif est de généraliser « Base élève » pour la rentrée de septembre 2007. L’expérimentation des clés USB sur 350 unités n’a vu que 20% de réussite par l’utilisateur final, la « technologie associée au support cryptographique n’est pas assez mature pour envisager un déploiement essentiellement à la charge de l’utilisateur final ». Il a été décidé de travailler à une nouvelle orientation : le mot de passe jetable ou « One Time Password ».

10 novembre 2006 : nouveau récépissé de déclaration de la Base Elève premier degré dont la finalité principale est :
« Gestion locale des élèves aide au pilotage pédagogique alimentation des statistiques académiques et nationales ».
Seul un duplicata du récépissé de déclaration du 10/11/06, fait le 27/11/07, a été transmis à l’auteur.

Année 2007

23 mai 2007 : courrier de la CNIL au MEN.
Des requérants auprès de la CNIL posent le problème de la pertinence du recueil des nationalités des élèves. En outre, la nomenclature de la base élèves propose une case « autres nationalités de l’Union Européenne » pour un élève allemand, anglais ou suédois, tandis que certaines nationalités doivent être spécifiquement précisées pour, notamment, les enfants du Portugal, de l’Espagne, de l’Italie, de la Turquie, du Maroc, de l’Algérie ou de la Tunisie.
Il semble que l’information de nationalité soit susceptible d’être utilisée dans le cadre de l’attribution des moyens d’enseignement langue et culture d’origine.
La CNIL demande au MEN la nomenclature des nationalités utilisée et l’indication des motifs pour lesquels il y a regroupement et d’apporter une réponse dans un délai d’un mois.

6 juin 2007 [6]
 : des personnes extérieures à l’expérience « BE1d » montrent qu’elles ont accès librement aux informations de la « base élève » par internet dans le département de l’Ille et Vilaine.

15 juin 2007 [7] : publication d’un appel d’offres ouvert (procédure de marché public) du ministère de l’Education nationale au bulletin officiel BOAMP pour une prestation « d’intégration d’une solution d’authentification forte à base de composant à mot de passe à usage unique », date limite de réception des offres fixée au 3 septembre 2007, marché de 36 mois, montants prévisionnels publiés de 1,1 à 4 M€.

22 juin 2007 [8]
 : la CNIL diffuse sur son site une information « Que contiennent les fichiers d’élèves des écoles maternelles et élémentaires et qui peut y accéder ? ».

26 juin 2007 : courrier de la CNIL au MEN.
La CNIL fait état de nombreux plaignants : l’ensemble de la base aurait été rendue accessible via internet au début du mois de juin 2007. Elle indique que « L’accès à la base doit être protégé par un dispositif d’identification fort », reposant sur l’emploi d’un passeport électronique qui n’aurait pas été implanté.
La CNIL demande :

• un bilan précis des risques de sécurité suite à ces intrusions et les mesures correctives prises en conséquence ;
• les raisons du délai d’implantation des dispositifs d’authentification ;
• les mesures prises pour assurer l’information des enseignants et des parents d’élèves.

Les plaintes reçues à la CNIL « posant la question du caractère nécessaire de la centralisation des données, sous forme nominative, dans une base nationale », la CNIL souhaite en outre :

• des précisions sur les mesures de sécurité prises pour préserver la nécessaire confidentialité des
  informations couvertes par le secret professionnel.

27 juin 2007 : réponse du MEN à la CNIL (au courrier du 23 mai 2007).
La nomenclature des nationalités en vigueur dans « Base élèves 1er degré » est identique à la nomenclature retenue dans le cadre de l’enquête 19, mise en œuvre depuis 1964.

23 juillet 2007 : réponse du MEN à la CNIL :
Le MEN indique que le fichier ne contient « aucune information de type médical », la suppression de la base des champs « déficits ou atteintes » prévus à l’origine a été décidée, suite à la mise en place des commissions des droits et de l’autonomie.
Le résultat d’audit de sécurité : entre janvier 2005 et février 2006 le certificat électronique par clé USB a nécessité l’intervention d’un informaticien sur chaque poste. Le ministère expérimente le dispositif « OTP », mot de passe jetable, dans 4 départements depuis novembre 2006. Une décision a été prise de généraliser ce dispositif pour tous les utilisateurs à la rentrée de septembre 2008.
« Les failles de sécurité n’étaient pas liées à l’application elle-même mais à l’absence de respect des consignes qui avaient été données aux utilisateurs en la matière ».
L’« information des parents au sujet de la mise en œuvre de l’application Base élève 1er degré dans l’école [...] est actuellement assurée par un affichage par le directeur de l’école ainsi que par une mention relative à l’exercice du droit d’accès sur une fiche de recueil des informations ».

2 août 2007 : courrier du Ministre de l’Education Nationale au Président de la CNIL, réponse sur la sécurisation :
« dès que le ministère a eu connaissance de la probable utilisation frauduleuse d’un identifiant dans la base, il a réagi dans les meilleurs délais : l’ensemble des mots de passe et des URL ont été changés dans la journée. »

20 août 2007 : courrier de M. le Président de la CNIL à M. le Ministre de l’Education Nationale La CNIL prend acte des termes du courrier du 23/7/07 annexé à celui du ministre du 2/8/07.
La CNIL liste les points à évoquer lors d’une réunion le 18 septembre 2007, elle souhaite notamment avoir communication :
 de la copie du rapport d’audit de sécurité, du plan d’action, des nouvelles consignes de sécurité données aux utilisateurs ;
 d’une fiche de recueil des informations et tout document de nature à donner des directives aux directeurs d’école quant à l’information des parents d’élèves.

26 septembre 2007 : courrier du MEN à la CNIL.
L’information des parents au sujet de la mise en œuvre de l’application « Base élève » dans l’école est assurée par un document qui doit être affiché à l’entrée de l’école ainsi que par la remise d’une notice individuelle de recueil d’informations comportant la mention relative à l’exercice de leur droit d’accès.
Le MEN évoque les mesures de sécurité prises, un document préparé par le service des technologies et des systèmes d’information (STSI) du ministère concerne la sécurité de l’application. Ce document n’est pas joint, sa communication pourrait « porter atteinte à la sécurité de l’application ».

4 octobre 2007 : courrier du MEN à la CNIL qui l’informe de la suppression du traitement « Base Elève » des données relatives à la nationalité, à l’année d’entrée en France, à la langue et culture d’origine.
Base élèves premier degré : une entreprise irrégulière de fichage d’envergure nationale.

2. et la Ville de Grenoble ?

25 juin 2007 : vœu du conseil municipal de Grenoble adopté à l’unanimité :
« Le conseil municipal de Grenoble demande l’abandon par l’Education Nationale du fichier informatique centralisé « Base élèves ». (... ) Il demande au Maire de Grenoble de se faire l’interprète de cette exigence et de relayer ce refus de contribuer au fichage des enfants ».

Pour ce qui concerne la Ville de Grenoble, l’auteur a demandé au Maire de Grenoble la copie des échanges de courriers relatifs à la mise en place du système « Base Elèves premier degré ».

5 juillet 2007 : lettre circulaire de l’inspecteur d’Académie aux maires de l’Isère.
L’objet du logiciel « base élève » est de permettre la gestion courante des élèves par le directeur d’école. Le partage des données concernant les mairies respectera le champ de compétences du maire : identité de l’élève, nom et adresse des responsables légaux, niveau d’enseignement et enfin renseignements relatifs au périscolaire.
Dans l’Isère, la phase d’expérimentation du logiciel « base élève » vient de se terminer et la mise en place se généralisera dans le département, par tiers, en 3 ans.

30 juillet 2007 : réponse du Maire de Grenoble à l’Inspecteur d’Académie :
Le conseil municipal s’est prononcé sur le dispositif « Base élèves » en adoptant, à l’unanimité, un vœu demandant son abandon.
La Ville de Grenoble ne procédera pas aux inscriptions des élèves dans le fichier « Base élèves » et continuera à utiliser le logiciel qu’elle a acquis pour gérer les inscriptions.

Conclusion

Le registre « papier » traditionnel des écoles ne consigne que 8 informations sur les élèves scolarisés : nom, prénom de l’élève, date de naissance, noms et domicile des responsables, école fréquentée précédemment, date du certificat de radiation, date d’inscription et date de radiation.
Le traitement informatisé « base élèves premier degré » réalise donc un saut quantitatif en cumulant les risques liés à la centralisation nationale d’un fichier et le caractère personnel et confidentiel des informations du fichier à propos des élèves et de leurs proches.

Après examen des éléments communiqués à ce jour, il apparaît que :

1. La sécurité des données personnelles et confidentielles n’est pas assurée dans « Base élèves »
Dès le début de la procédure entamée fin 2004, la CNIL pointe le problème de l’absence de sécurité des transmissions d’informations par le réseau internet et le souligne dans ses correspondances successives. Ce n’est qu’en juin 2007 que la CNIL constate que l’« identification forte » permettant d’accéder aux données de la « base élèves », pourtant déclarée par le MEN début 2005, n’est pas effective ; la CNIL n’engage pourtant pas une demande de suspension de l’expérience de la « Base élèves ».
Le MEN déclare en outre dans une note du 21 juin 2006 à propos de la mise en place des clés USB RSA : « L’inconvénient de la solution était que l’installation du support était intrusive par rapport à des postes de travail hétérogènes et non maîtrisées dans le cadre d’une politique globale d’équipement (les équipements des écoles sont financés par les mairies) ».
Ainsi, le ministère reconnaît lui-même un fonctionnement irrégulier du logiciel « Base élève » sur des postes de travail « non maîtrisés » par lui. Cette non maîtrise des logiciels connectés à internet, exécutés sur les postes informatiques non gérés par le ministère, rend impossible une garantie de la sécurité des données personnelles présentes dans la base élèves premier degré, ce qui constitue une irrégularité grave qui se poursuit sur un temps long.

Il sera noté que le MEN n’avait pas prévu à l’origine de procédure spécifique d’identification forte auprès de la CNIL. Il n’avait pas prévu de déclarer à la CNIL la procédure relative à l’affectation d’un numéro d’identifiant unique des élèves (INE) dès le premier degré pour toute la scolarité.

2. L’opacité et la désinformation autour du traitement « Base élèves premier degré » est manifeste.
Contrairement à ce qui est indiqué par le MEN à la CNIL à propos de l’information des parents d’élèves, il n’y a pas d’affichage spécifique lors de la mise en place du traitement informatisé « Base élèves » dans les écoles.
L’inspecteur d’Académie de l’Isère déclare, dans une lettre du 5 juillet 2007 adressée aux maires, à propos du fichier base élèves :
« Ce fichier départemental destiné à recueillir des informations sur les élèves des écoles (...) »
puis en conclusion : « Je reste bien sûr à votre écoute pour la mise en place de ce fichier départemental d’informations partagées. »
Le retrait de certains champs de la base (nationalité, date d’entrée sur le territoire national, suivi de la langue et culture d’origine), obtenu grâce à plusieurs mobilisations, n’est qu’un recul apparent du ministère. En effet, le champ « lieu de naissance » exige le renseignement du pays de naissance, le cas échéant.

3. Le traitement « base élèves » risque d’être utilisé d’autres fins que la gestion des écoles.
La mise en place du traitement « Base élèves premier degré » s’inscrit dans le cadre des dispositifs de contrôle social mis en place par l’actuel gouvernement.
La loi n°2007-297 du 5 mars 2007 sur la prévention de la délinquance prévoit, à son article 12, que les établissements scolaires « participent à la prévention de la délinquance ». Pour améliorer le suivi de l’obligation d’assiduité scolaire, les maires sont autorisés à mettre en place des fichiers de données personnelles, « qui lui sont transmises par les organismes chargés du versement des prestations familiales ainsi que par l’inspecteur d’académie (...) et par le directeur ou la directrice de l’établissement d’enseignement » [9].

* * *

Les irrégularités relevées dans la mise en place, l’expérimentation, la mise en œuvre du fichier « base élèves » sont les suivantes :

Ce fichier méconnaît :
 La Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (Rome, 4 novembre 1950), ratifiée par la France le 1er novembre 1988, inscrit à son article 8 le droit au respect de la vie privée et familiale.
 La Convention internationale des droits de l’enfant, adoptée par l’Assemblée Générale des Nations Unies le 20 novembre 1989, prévoit à son article 16 que « Nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation ».
 L’avis n°98 du 26 avril 2007 relatif à la « Biométrie, données identifiantes et droits de l’homme » exprimé par le Conseil Consultatif National d’Ethique (CCNE) qui recommande :

 « un contrôle étroit, sous la responsabilité des autorités judiciaires et de la CNIL, de tout recours systématique à des identifiants communs, et une interdiction de l’interconnexion des fichiers présentant des identifiants communs mais destinés à des finalités différentes (..), d’assurer un strict respect des finalités liées au recueil de chaque type de données, en définissant clairement les organismes ou les autorités habilitées à y procéder ; sans méconnaître les difficultés que rencontre la mise en oeuvre effective d’une telle interdiction pour les fichiers détenus par des organismes privés, son respect n’en doit pas moins être rappelé, et son exécution doit au moins être imposée pour tous les fichiers détenus par des organismes publics ;
 une stricte application des dispositions relatives au consentement préalable au recueil des données, ainsi qu’une limitation effective de tout recueil effectué à l’insu des intéressés... »

Ce fichier méconnaît également des règles imposées par la loi n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés.

Pour l’ensemble de ces motifs, il est demandé l’abandon définitif du traitement informatisé « Base élèves premier degré.

Il est proposé en outre :
 aux parents d’élèves d’invoquer l’article 38 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui prévoit que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. ». Le traitement « Base élèves premier degré » n’a fait l’objet d’aucune loi, et ne dispose pas d’une autorisation administrative.
 aux directeurs d’école d’invoquer les mêmes irrégularités pour faire usage de leur « droit de retrait » inscrit dans la loi n°83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires.
Article 28 : « Tout fonctionnaire, quel que soit son rang dans la hiérarchie, est responsable de l’exécution des tâches qui lui sont confiées. Il doit se conformer aux instructions de son supérieur hiérarchique, sauf dans le cas où l’ordre donné est manifestement illégal et de nature à compromettre gravement un intérêt public. »

Vincent Fristot,
Courriel : vincent.fristot@ouvaton.org

Rappel d’éléments de la loi n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés :
 Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée.
 Toute personne justifiant de son identité a le droit d’interroger le responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication.
 Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
 Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Pièce jointe

Catégories d’informations de la Base élèves premier degré et durées de conservation

(Déclaration du MEN à la CNIL en date du 24 décembre 2004)

Un courrier du MEN du 4 octobre 2007 déclare à la CNIL la suppression des données relatives à la nationalité, à l’année d’entrée en France, à la langue et culture d’origine dans le traitement « Base Elève premier degré ».