Communiqué du CNRBE

suite à la décision qui vient d’être rendue par le Procureur de Paris, sur les 2103 plaintes contre X déposées par les parents contre la mise en oeuvre de " Base-Elèves " :

Le CNRBE bien décidé à poursuivre la procédure malgré le classement des plaintes

Le Parquet de Paris vient de classer sans suite les plaintes des 2103 parents concernant le fichier Base élèves 1er degré... tout en adressant un rappel à la loi à la Directrice des Affaires Juridiques du Ministère de l’Éducation Nationale, ce qui est quelque peu contradictoire, mais c’est son choix selon le principe de l’"opportunité des poursuites" et c’est clairement ici un choix politique compte tenu des enjeux en cours.

• Violation des formalités préalables prescrites par la loi du 6 janvier 1978 :
  Le Parquet prétend qu’une simple déclaration du fichier auprès de la CNIL était suffisante car il n’y aurait pas d’interconnexion avec un autre traitement poursuivant un intérêt public différent dans la mesure où selon les contrôles qu’il a fait effectuer, les informations transmises aux maires reposent sur des réponses formulées par courrier sur demande des mairies. Alors qu’il a été démontré qu’il y avait bien interconnexion entre la Base élèves et la Base nationale des identifiants élèves (BNIE) d’une part, et d’autre part avec les fichiers des mairies, mais pas seulement (Ministère de l’Agriculture notamment) de sorte que ces formalités étaient bien soumises à autorisation : infraction à l’article 226-17 du Code Pénal.

• Obligation de préserver la sécurité et l’intégrité des données :
  Le Parquet reconnaît qu’il y a bien eu une faille de sécurité importante. Mais au prétexte que le Ministère de l’Education Nationale aurait toujours manifesté sa "préoccupation" (sic !) de sécuriser ces données, le délit ne serait pas caractérisé pour "défaut d’intention pénale du responsable du traitement" (re-sic !). Or il le savait depuis longtemps puisqu’il a cherché à y remédier sans y parvenir.... de sorte que l’élément intentionnel est ainsi bien avéré : infraction à l’article 226-17 du Code Pénal.

• Durée de conservation des données :
  Pas d’infraction pour le Parquet qui estime que la durée maximum de conservation dans la base ne peut excéder le terme de l’année civile au cours de laquelle l’élève n’est plus scolarisé dans le premier degré... oubliant que les données collectées dans Base élèves alimentent le traitement BNIE et en conséquence le parcours scolaire de l’élève pourra être suivi pour une durée maximum (1° degré/2° degré/université) de 35 ans : infraction donc à l’article 226-20 du Code Pénal.

• Obligation d’information incombant au responsable du traitement :
  Le Parquet reconnaît qu’elle n’a pas été "entièrement respectée" (sic !) mais que compte tenu des "efforts (re-sic !) déployés par le responsable du traitement pour se conformer aux demandes de la CNIL", il a procédé "au classement de la totalité de la procédure"... tout en adressant à la Directrice des Affaires Juridiques du Ministère de l’Éducation Nationale "un rappel à la loi". Or un rappel à la loi est bien la reconnaissance que l’infraction est avérée : ici à l’article R 625-10 du Code Pénal.

En conséquence le Collectif national de résistance à Base élèves (CNRBE) ne compte pas en rester là et va étudier – à la lumière notamment des conclusions du rapporteur public du Conseil d’Etat – avec ses avocats du Syndicat des Avocats de France (SAF) la suite qu’il convient de donner à cette décision, notamment la possibilité – tant qu’il existe... – de saisir un juge d’instruction.

Le 13 juillet 2010

Le Collectif national de résistance à Base élèves
Contact : base-eleves@orange.fr

Courrier du procureur adressé aux avocats

PARQUET DU TRIBUNAL DE GRANDE INSTANCE DE PARIS
Le Procureur de la République

OBJET : Base élèves 1er degré

Paris, le 7 Juillet 2010

Maître,

J’ai l’honneur de porter à votre connaissance que mon parquet a centralisé l’ensemble des plaintes adressées par les parents des élèves scolarisés dans le 1er degré à raison de la mise en oeuvre, par le ministère de l’Education Nationale, du fichier dénommé "Base élèves 1er degré" (BE1D). Ainsi, j’ai été rendu destinataire des plaintes de vos clients, répertoriées dans le tableau joint en annexe au présent courrier.

A l’examen des documents produits par vos clients, ainsi que des éléments recueillis dans le cadre de l’enquête préliminaire que j’ai confiée à la Brigade de Répression de la Délinquance contre la Personne (BRDP), il m’apparaît que la plupart des infractions dénoncées, relatives aux formalités préalables effectuées auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), ainsi qu’aux modalités de la mise en oeuvre du traitement, n’est pas constituée.

Ainsi, en ce qui concerne la collecte de données personnelles de mineurs, conditionnée selon les plaignants par l’accord expresse et explicite de leurs représentants légaux, et ce en vertu des textes nationaux et internationaux protégeant la vie privée et la vie familiale, il ressort que l’article 38 de la loi du 6 janvier 1978 institue, au profit des personnes dont les données sont collectées, un droit d’opposition à la collecte et au traitement de leurs données personnelles. Cependant, les seules violation du droit d’opposition pénalement sanctionnées sont prévues aux articles 226-19-1, 226-19 et 226-19-1 du code pénal, et concernent respectivement les fichiers de prospection commerciale, les traitements de données sensibles et ceux ayant pour fins la recherche dans le domaine de la santé. Ces textes ne concernent donc pas BE1D.

En ce qui concerne la violation des formalités préalables prescrites par la loi du 6 janvier 1978, qui serait constitutive du délit prévu et réprimé à l’article 226-16 du code pénal, l’argument selon lequel un traitement de l’ampleur et de la nature de BE1D exigerait l’adoption d’un instrument législatif doit être écarté dans la mesure où il traduit une préoccupation relevant du débat politique et ne résulte pas d’une analyse juridique. Sur le plan du droit, la CNIL elle-même, autorité administrative indépendante dont la mission principale, définie à l’article 11 de la loi de 1979, est de veiller à l’application de cette loi, a toujours estimé, au regard des éléments fournis par le responsable des traitements BElD et "Base nationale identifiant élèves" (BNIE), mais également des constats effectués lors de ses contrôles, que BE1D relevait bien de la formalité préalable de la simple déclaration, à défaut d’une interconnexion avec un autre traitement poursuivant un intérêt public différent. Elle s’est ainsi assurée que les informations transmises par l’Education Nationale aux maires, en charge du contrôle de l’obligation scolaire prévu par les articles L131-6 du code de l’éducation, et L222-4-1 du code de l’action sociale et des familles, ne résultaient d’aucun inter-façage avec une autre base de données mais reposaient sur des réponses formulées par courrier sur demande des maires.

En ce qui concerne l’obligation de préserver la sécurité et l’intégrité des données, les plaignants font principalement référence au défaut de mise en place, par le ministère de l’Education Nationale, du dispositif technique "d’authentification forte" pourtant déclaré à la CNIL et supposé sécuriser les accès à BE1D. Les procédures d’authentification initialement mises en oeuvre en 2004 ont en effet échoué en raison de leur complexité, aboutissant à une faille de sécurité importante apparue en 2007. Le nouveau dispositif technologique, fondé sur une identification par mot de passe unique pour chaque connexion à l’application, devait être généralisé en 2008. Dès lors que le ministère de l’Education Nationale, particulièrement sollicité par la CNIL sur ce point, a toujours manifesté sa préoccupation de sécuriser les données collectées, les insuffisances et difficultés rencontrées ne sauraient caractériser le délit considéré, à défaut d’intention pénale du responsable du traitement.

En ce qui concerne les durées de conservation des données collectées dans BE1D, l’argument relatif à l’échange d’information entre BElD et BNIE se heurte à la réalité, notamment constatée par la CNIL : les fichiers transmis à la BNIE contiennent des demandes de traitement, telles que la création d’un identifiant élève, ou la mise à jour des données d’état-civil d’un élève, la réponse ne contenant aucune donnée à caractère personnel puisqu’il s’agit uniquement d’un numéro identifiant. Par ailleurs, toutes les données de BE1D ne font pas l’objet d’une transmission à BNIE. En ce qui concerne BE1D, des durées de conservations différenciées en fonction des données personnelles considérées sont fixées par l’article 5 de l’arrêté du 20 octobre 2008, la durée maximum de conservation dans la base ne pouvant excéder le terme de l’année civile au cours de laquelle l’élève n’est plus scolarisé dans le premier degré.

L’obligation d’information qui incombe au responsable de traitement, prévue à l’article 32 de la loi de 1979 et réprimée par la contravention de 5ème classe énoncée à l’article R625-10 du code pénal, n’a, en revanche, pas été entièrement respectée. En témoignent notamment les constatations de la CNIL à cet égard, aussi bien que la multiplicité des rappels à l’ordre effectués auprès du responsable de traitement. Les termes des plaintes adressées à mon parquet, largement relayés dans la presse nationale et internationale, traduisent assez fidèlement le défaut d’une information adéquate de la part du ministère responsable du traitement considéré, notamment au stade de la collecte des informations auprès des parents d’élèves.

Cependant et compte tenu des efforts déployés par le responsable de traitement pour se conformer aux demandes de la CNIL, j’ai procédé au classement de la totalité de la procédure, après avoir adressé à la directrice des affaires juridiques du ministère de l’Education Nationale, un rappel à la loi.

Je vous prie d’agréer, [...]