Pour simplifier l’écriture, nous utiliserons les abréviations suivantes :

• Be1d pour Base élèves 1er degré,
• Cnil pour Commission nationale informatique et liberté [4] - présidée par Alex Türk,
• Men pour Ministère de l’éducation nationale - le ministre de l’Education nationale étant aujourd’hui Xavier Darcos.

Les rapports difficiles entre le ministère et la Cnil

Dans sa lettre accompagnant le dossier de déclaration de Be1d à la Cnil le 24 décembre 2004, le ministre de l’EN avait pris des engagements forts [5] :

Extrait de la lettre.

Ces engagements figuraient dans le dossier remis à la Cnil ce jour-là :

Les discussions se sont poursuivies par la suite, entre la Cnil et le Men, pour évoquer les modalités de mise en oeuvre de Be1d, et notamment de « l’attribution de l’identifiant national élève » [6].

Le 16 février 2005, la Cnil écrivait au Men qu’« il conviendrait que la déclaration comporte [...] des informations sur les dispositions prises pour assurer la sécurité des traitements et des données », avant de conclure : « par conséquent, je vous serais gré de bien vouloir nous faire parvenir un document décrivant les sécurités mises en oeuvre ... ».

Il a fallu attendre plus d’un an pour que la Cnil établisse, le 1er mars 2006, le récépissé de la déclaration du 24 décembre 2004 (depuis la loi du 15 juillet 2004, la Cnil n’a plus les moyens de s’opposer à la mise en place de fichiers administratifs ou destinés à la « sécurité » nationale — elle n’a désormais plus qu’un avis consultatif à délivrer). Nous reproduisons in extenso la lettre d’accompagnement dans laquelle la Cnil manifestait à nouveau son souci :

Paris, le 1 mars 2006

Déclaration n°1063224

Monsieur le Directeur,

Vous avez adressé à la Commission nationale de l’informatique et des libertés une déclaration relative à la création du système d’information destiné à la gestion administrative et pédagogique des élèves du premier degré.

Constatant que le dossier de déclaration que vous avez déposé auprès de la CNIL était formellement complet et tenue par les dispositions de l’article 23 L de la loi du 6 janvier 1978 modifiée en août 2004, vous trouverez sous pli séparé le récépissé de déclaration [6bis].

La Commission croit toutefois devoir attirer expressément votre attention sur les points suivants :

Concernant les mesures prises pour assurer la sécurité des traitements et des données, je relève qu’aucune précision n’a été apportée sur les règles de sécurité et d’identification des utilisateurs garantissant la confidentialité des informations dans le cas de la mise en ligne sur internet de la fiche de renseignements et du dossier de l’élève proposée aux familles.

Par aillleurs, concernant les statistiques à partir de données anonymisées, il vous appartient de veiller à ce que toutes les précautions soient prises (notamment en terme de seuil de réponse) pour éviter une ré-identification a posteriori.

Je vous saurais donc gré d’apporter des précisions complémentaires sur ces deux points.

Enfin, vous voudrez bien transmettre à la Commission le bilan de la phase d’expérimentation qui fait l’objet de la présente déclaration avant que ne lui soit soumise la déclaration portant généralisation du système.

Je vous prie ...

La sécurité des accès à base élèves

Alors que l’administration de l’Education nationale nous répétait à l’envi depuis des mois que Be1d ne posait aucun problème de confidentialité des données et qu’elle était conforme aux préconisations de la CNIL, la non-conformité de Be1d a été mise en évidence le mercredi 6 juin dans le département d’Ille-et-Vilaine lorsque des personnes extérieures à l’expérimentation ont constaté qu’elles pouvaient avoir librement accès par Internet aux fichiers de Be1d.

Par un courrier en date du 11 juin 2007 l’intersyndicale d’Ille-et-Vilaine a informé le Président de la Cnil de ces graves dysfonctionnements de Be1d, demandant à la Cnil de se prononcer sur la conformité de Be1d [7].

Pensant ainsi mettre fin au scandale, le ministère publiait le 15 juin la déclaration rappelée plus haut [1].

En fait, le ministère n’avait pas oublié la sécurisation de l’accès à Be1d. Un appel d’offres a été lancé ... le 15 juin dernier [8].
La fin des notifications est fixée au 15 octobre, les fameuses clés électroniques seront disponibles au cours du premier semestre 2008 — au plus tôt, en janvier prochain ...

Les rapports entre le ministère et la Cnil ne s’améliorent pas

Le 22 juin, la Cnil, « régulièrement interrogée sur les fichiers des élèves du 1er degré dits “base élèves” mis en œuvre par le Ministère de l’Education nationale » est revenue sur « les grandes lignes du dispositif » [9] — un moyen de rappeler publiquement les engagements du Men.

Mais le Men ne semble pas pressé de répondre. Dans un chat avec des lecteurs du Monde, le 11 juillet, le président de la Cnil, Alex Türk, a déclaré : « J’ai d’abord envoyé une lettre le 23 mai au ministère, puis une autre le 26 juin dernier, dans laquelle j’énumère une série de questions posées par ce fichier en lui demandant, compte tenu de l’inquiétude des intéressés, de nous apporter des réponses le plus rapidement possible. Et je puis vous indiquer que je vois le ministre compétent, M. Darcos, mardi soir, le 17 juillet. » Nous savons que les deux hommes se sont rencontrés, Alex Türk a dit qu’il attendait une réponse écrite pour la fin de la semaine ... Nous attendons ...

Cette situation était prévisible. Certes, la loi du 15 juillet 2004 a accru les missions de la Cnil, mais elle a limité son pouvoir de contrôle sur les fichiers de l’Etat [10].

D’autre part, la progression de ses moyens d’action n’a pas suivi le développement considérable des systèmes informatiques [11]. La disproportion est devenue trop grande entre un méga-ministère (le Men) et une autorité administrative (la Cnil) aux pouvoirs restreints en ce qui concerne les fichiers publics et aux moyens insuffisants pour pouvoir « répondre efficacement à ses missions » [12].

Transparence et information des citoyens

La bouffonnerie du printemps ne se serait pas produite si le Men avait tenu à informer clairement de la situation les parents d’élèves et les enseignants.

A cet égard, comme le signale l’article du Monde.fr, l’absence de tout débat autour d’un bilan de « l’expérimentation » semble de mauvais augure pour la suite du déploiement national de Be1d.

On peut craindre que le Men n’ait pas encore compris que les citoyens demandent à être informés et que l’information doit être claire, précise et exacte [13].

Il faut signaler un effort d’information et d’explication fait sur le site Internet de l’académie de Rennes [14]. On y trouve notamment trois points qu’il nous semble important de faire connaître et de faire respecter [15] :

• Les données “non indispensables” (année d’arrivée en France, absentéisme, données relatives aux Réseaux d’Aide Scolaire aux Elèves en Difficulté — RASED) sont facultatives.

• Les droits des parents (droit à l’information, droit d’opposition, droit d’accès et droit de rectification [16]) seront respectés.

• Il existe une possibilité de contourner la saisie, actuellement obligatoire (donc bloquant l’enregistrement de la fiche élève en cas de non-saisie), de la donnée
  "nationalité" : il suffit pour cela de renseigner ce champ avec la valeur “inconnue”.

Bien entendu, pour éviter tout retour en arrière, il faut obtenir la disparition effective du champ "nationalité".

En guise de conclusion — provisoire

Nous sommes très loin d’avoir fait le tour des problèmes concernant Be1d !

 Nous n’avons abordé qu’un aspect de la sécurité : la sécurisation des accès à Be1d.
Il resterait à aborder la sécurité des communications par Internet, la protection des serveurs (au niveau de l’académie)...

Sans oublier les utilisations illégales du fichier par des agents mal intentionnés [17], et surtout le détournement par une loi ultérieure de la finalité et du fonctionnement du système.

 Un problème important ressort de ce qui précède : le rapport de force très inégal entre le Men et la Cnil [18].

• Il faut que les administrations acceptent de se plier aux demandes de la Cnil.
• Il faut assurer l’indépendance de la commission et renforcer ses moyens « pour quelle puisse répondre efficacement à ses missions, ce qui n’est pas le cas aujourd’hui » [19].

 Et il reste à aborder le fond du problème : la légitimité et la pertinence de la mise en place d’un système comme base élèves 1er degré.

Jusqu’où, jusqu’à quand, notre société acceptera-t-elle que ses gouvernants la fichent au nom de la sécurité, pour une bonne gestion ou pour des raisons économiques ?