RGPD et Création de comptes
J'ai vu passer sur la liste de diffusion des enseignants de SNT des activités nécessitant pour chaque élève un compte personnel sur des services commerciaux en ligne. Plus grave :
- dans le manuel scolaire de SNT des éditions Didier (page 73), un des TP demande d'aller sur la page https://framasphere.org, puis de « [d'entrer] les éléments pour se créer un compte » ;
- dans celui des éditions Hatier-Foucher (page 64), les élèves doivent « Créer un compte. » sur l'outil http://www.canva.com (qui autorise aussi la connexion par le compte Gmail ou Facebook) ;
- dans le même manuel, page 67, il est demandé de créer un compte sur Linkedin (l'extrait présenté ci-dessous ne montre que le début de l'activité, mais le compte est nécessaire pour poursuivre) ;
- enfin, dans le manuel Nathan, page 144, les auteurs demandent de « Créer un compte gmail de travail pour chaque élève […]. ».
Je refuse d'offrir les données personnelles de mes élèves à des grands groupes commerciaux (GAFAM en particulier). C'est un choix personnel, dont les raisons sont politiques, mais il se trouve que dans ce cas, la loi est (en partie) de mon côté.
La question à laquelle je vais tenter de répondre dans cet article est :
Pouvons nous demander à nos élèves de créer des comptes sur des services en ligne ?
La Loi
Cette question est régie par les textes suivants :
- un règlement européen : le RGPD (règlement général sur la protection des données) ;
- deux lois françaises : la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (plus connue sous le terme Loi informatique et libertés), et le code de l'éducation.
Comme la plupart des textes de loi, leur lecture est aride, mais heureusement, le réseau Canopé a publié un guide : Les Données à caractère personnel ; Comprendre et appliquer les nouvelles réglementations dans les établissements scolaires. En particulier, les questions 3 et 4 de la FAQ nous intéressent particulièrement. Je les reproduis ici dans leur intégralité ; mon analyse suit.
Question 3. Un enseignant peut-il utiliser une application de réseau social pour une utilisation pédagogique ? Si oui, quelles précautions doit-il prendre et sous quelles conditions ?
L'utilisation d'une application de réseau social en classe entraîne nécessairement la mise en œuvre d'un traitement de données à caractère personnel au sens du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
Pour pouvoir mettre en œuvre un tel traitement, il convient donc, en premier lieu, que le responsable de traitement puisse justifier que ce traitement est nécessaire à l'exercice d'une mission d'intérêt public ou relève de l'exercice de l'autorité publique dont il est investi, au sens du e) du 1 de l'article 6 du RGPD. En d'autres termes, il faut pouvoir être en mesure de justifier que l'utilisation d'une telle application entre pleinement dans le champ du service public du numérique éducatif défini à l'article L. 131-2 du Code de l'éducation.
Si tel n'est pas le cas, pour que le traitement soit licite, il est nécessaire de recueillir le consentement des personnes concernées en application du a) du 1 de l'article 6 du RGPD. Conformément aux dispositions de l'article 7-1 de la loi du 6 janvier 1978 issu de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, il convient ainsi d'obtenir le consentement du mineur s'il est âgé de quinze ans ou plus ou le consentement du mineur et des titulaires de l'autorité parentale s'il est âgé de moins de quinze ans.
Il paraît toutefois difficile de recueillir le consentement des mineurs, quel que soit leur âge, dans le cadre scolaire. En effet, le 11) de l'article 4 du RGPD précise que le consentement consiste en une « manifestation de volonté libre, spécifique, éclairée et univoque, par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Or, il est permis de s'interroger sur la question de savoir si, dans le cadre scolaire, l'élève peut être regardé comme donnant valablement son consentement compte tenu de l'autorité qu'exerce sur lui l'enseignant qui propose l'utilisation d'une application numérique en classe.
Par ailleurs, le fait qu'un ou plusieurs élèves ou les titulaires de l'autorité parentale pour les mineurs de moins de quinze ans ne consentent pas à la collecte de leurs données personnelles conduit nécessairement à ce que les élèves ne puissent pas suivre l'enseignement et interagir dans le cours dans les mêmes conditions que les autres élèves, ce qui présente le risque d'une rupture d'égalité entre les élèves.
En tout état de cause, qu'il soit mis en œuvre sur le fondement du consentement de la personne concernée ou de l'exercice d'une mission d'intérêt public, tout traitement de données à caractère personnel mis en place au sein d'une école ou d'un établissement public du second degré doit être regardé comme étant sous la responsabilité du DASEN agissant par délégation du recteur d'académie dans le premier degré et du chef d'établissement dans le second degré.
Or, conformément aux dispositions de l'article 4 du RGPD, le responsable de traitement doit être en capacité de déterminer les finalités et les moyens du traitement. Cependant, les conditions générales d'utilisation (CGU) des réseaux sociaux sont le plus souvent élaborées unilatéralement par le fournisseur de services et ne permettent pas au DASEN ou au chef d'établissement d'exercer le moindre contrôle sur le traitement de données qu'il met en œuvre dans son établissement, ce qui n'est pas conforme à la réglementation applicable.
Aussi, pour pouvoir utiliser un réseau social dans le cadre scolaire, ou tout autre service numérique en ligne, il est nécessaire que les conditions générales d'utilisation du service fassent l'objet d'un contrôle par les services du ministère ou du rectorat d'académie et présentent des garanties suffisantes, notamment en termes de sécurité des données. Il convient notamment que les fournisseurs de services acceptent d'avoir la qualité de sous-traitants et de ne pouvoir traiter ou héberger les données que sur instruction du responsable de traitement. En dehors d'un tel cadre, qui implique donc des CGU spécifiques négociées par les services du ministère, dites « CGU éducation », il ne paraît pas possible pour le chef d'établissement ou le DASEN de garantir aux élèves et à leurs responsables que les services qu'ils mettent en œuvre au sein de l'établissement scolaire respectent les conditions de sécurité adéquates en matière de protection des données à caractère personnel et les droits des personnes concernées.
Comme tout traitement de données à caractère personnel, l'utilisation d'un réseau social en classe doit en outre faire l'objet d'une inscription sur le registre du responsable de traitement et d'une information des personnes concernées conformément aux dispositions des articles 13 et 14 du RGPD.
Question 4. Un enseignant peut-il ouvrir un compte nominatif pour ses élèves sur un service de messagerie, une plateforme de travail coopératif ou de stockage et d'échange de documents développés par une entreprise privée et, si oui, quelles sont les règles à respecter dans ce domaine ?
Dès lors qu'un enseignant ouvre un compte nominatif permettant ainsi d'identifier les élèves avec leurs nom et prénom, il met en œuvre un traitement de données à caractère personnel. L'utilisation de ces services entraîne d'ailleurs la collecte et le traitement d'autres données à caractère personnel, telles que des photos ou des productions scolaires.
Par conséquent, les mêmes considérations que celles qui ont été décrites précédemment s'appliquent à ces traitements, à savoir :
- pouvoir justifier que le traitement est nécessaire à l'exécution d'une mission de service public ou recueillir le consentement des personnes concernées, avec toutes les réserves déjà rappelées précédemment ;
- s'assurer que les conditions générales d'utilisation permettent au responsable de traitement (DASEN ou chef d'établissement) de garder la maîtrise des données à caractère personnel collectées ;
- s'assurer que le service ou la plateforme présente les garanties suffisantes, notamment en termes de sécurité.
Le traitement fait par ailleurs l'objet des mêmes obligations d'inscription sur le registre des activités de traitement et des modalités d'information prévues aux articles 13 et 14 du RGPD.
En résumé, pour pouvoir demander aux élèves d'utiliser un compte Facebook, Gmail ou autre, il faut (entre autres) :
- pouvoir justifier que ce compte est nécessaire pour l'enseignement (ou alors recueillir l'accord des élèves, mais pour différentes raisons évoquées dans le texte cité ci-dessus, c'est délicat) ;
- s'assurer que le rectorat ait contrôlé et validé les conditions d'utilisation du service (ou alors, qu'une version spécifique de ces conditions d'utilisation ait été rédigée, conférant alors au gestionnaire de service (Google, Facebook) la qualité de sous-traitant du rectorat) ;
- signaler au chef d'établissement l'utilisation dudit service.
Conclusion : Je pense donc qu'il n'est pas possible de demander aux élèves de créer un compte Gmail, Facebook ou autre dans le cadre de notre enseignement (et cette conclusion me convient parfaitement).
Pourquoi ?
Mais pourquoi s'embêter avec tout cela ? Je ne connais aucun enseignant qui respecte le droit d'auteur en classe1 ; pourquoi ne pas violer aussi ces textes de loi ?
Dans le programme officiel de SNT, dans le thème « Réseaux sociaux », il est écrit :
Les affaires de fuite de données personnelles mettent en avant les questions liées aux modèles économiques des applications de réseautage social symbolisés par le slogan "quand c'est gratuit, c'est vous le produit".
Plus loin, dans le thème « Données structurées et leur traitement », on peut lire :
Les conséquences sociétales [de l'exploitation de données massives (Big Data)] sont nombreuses tant en termes de démocratie, de surveillance de masse ou encore d'exploitation des données personnelles. […] Mais on assiste aussi au développement d'un marché de la donnée où des entreprises collectent et revendent des données sans transparence pour les usagers. D'où l'importance d'un cadre juridique permettant de protéger les usagers, préoccupation à laquelle répond le règlement général sur la protection des données (RGPD).
Cela me semble contradictoire d'expliquer tout cela à mes élèves puis, deux semaines plus tard, de les forcer à offrir leurs données aux GAFAM.
Que faire ?
Les géants du numériques fournissent des services gratuits, d'excellente qualité. Mais ce confort a un prix : outre les données que nous leur offrons (les nôtres, et celles de nos élèves), nous faisons de la publicité gratuite aux GAFAM : nous offrons la première dose de drogue à nos élèves, en leur donnant l'habitude de les utiliser.
Il existe des alternatives :
- accepter d'utiliser des services, même moins bons, pour plus de liberté ;
- chercher d'autres services similaires (comme les services proposés par Framasoft2 ou les Chatons), dont certains sont accessibles sans se créer de compte (Framapad pour l'édition collaborative par exemple)) ;
- utiliser les services fournis par son établissement. Par exemple, l'ENT de la région Rhône-Alpes propose un forum, de l'édition collaborative, etc. ;
- demander au responsable numérique de l'établissement de mettre à disposition d'autres services, dans la mesure du possible ;
- enfin, faire pression auprès du ministère pour qu'il mette à disposition de ses professeur·e·s et élèves des services libres et respectueux des utilisateur·ice·s plutôt que de céder, par souci d'économies, aux GAFAM.
Encore une fois, c'est moins confortable, mais je considère que cela fait partie de ma mission d'éducation.
Je n'ai jamais vu de collègue apposer la mention « Reproduction effectuée par (nom du cocontractant) avec l'autorisation du Centre français d'exploitation du droit de copie (CFC, 20, rue des Grands Augustins, 75006 Paris) » sur des photocopies d'une œuvre protégée (même élevée dans le domaine public), alors que c'est obligatoire.↩
Rien ne différencie Framasoft de Google au regard des lois cités dans cet article. En revanche cela me dérange beaucoup moins de donner les données de mes élèves à une association française à but non lucratif dont je partage les valeurs plutôt qu'à une entreprise commerciale qui fait commerce de leurs données.↩