fil-educavox-color1

Avec des pratiques pédagogiques toujours plus connectées, que fait-on des données personnelles des acteurs ? C’est la question qui était posée par l'An@é à un panel d’intervenants très impliqués, le 16 novembre dans le cadre du Salon Educatec Educatice. Le sujet est d’une brûlante actualité. En effet, dans les entreprises et les administrations, à l’école, dans la recherche comme dans les médias et la société, la capacité de produire, comprendre et utiliser des données numériques devient une compétence essentielle.

Si les « data » sont désormais un puissant vecteur de développement économique, de capacitation citoyenne ou encore de production de connaissances ou d’information, elles suscitent également des inquiétudes légitimes, ainsi que de luttes de pouvoir.

Afin de cerner le champ des données personnelles, quelques questions essentielles ont alimenté les débats : 

" Que fait-on aujourd’hui des données en général, et des données personnelles en particulier ? Comment sont-elles utilisées ? Dans l’univers de l’École, que sont les données scolaires personnelles, comment évoluent-elles ? A quoi servent-elles ? A quoi peuvent-elles servir ? Comment sont-elles protégées ? Comment est envisagée par la CNIL la question de la protection des données personnelles en général et des données des élèves et des enseignants en particulier ? "

Les données, dont le nombre double tous les 18 mois, ont une valeur considérable pour la science, l’environnement, la sécurité, le transport. Il faut alors les maîtriser, les stocker et les contrôler.

Des initiatives majeures ont été prises par les institutions au cours des derniers mois. La « Conférence mondiale des autorités de protection des données » a adopté le 18 octobre 2016 un outil de formation pratique pour promouvoir l’éducation à la protection des données dans les programmes scolaires. Avec l’adoption d’un premier Référentiel international de formation des élèves à la protection des données, les CNIL du monde entier rappellent que l’éducation des jeunes à la protection des données personnelles est un  enjeu majeur. L’objectif de ce référentiel est de former de vrais citoyens numériques, responsables de leurs données et respectueux de celles des autres. Il s'agit d'une première étape qui devra s’accompagner de la diffusion auprès des enseignants de ressources pédagogiques adaptées à la compétence abordée ainsi qu’à la tranche d’âge concernée.

L’Europe a également pris une position très claire sur le sujet, avec l’adoption du RGPD (Règlement général sur la protection des données), un nouveau règlement européen[1] qui introduit une série de mesures fixant le cadre juridique relatif à la protection des données personnelles au sein de l’Union européenne. Il s’agit de renforcer les droits des citoyens de l’UE et de leur accorder plus de contrôle sur leurs données personnelles.

L’échéance fixée au 25 mai 2018 s’approche. L’École, ses acteurs et les entreprises du numérique éducatif seront-ils alors en conformité avec les règles imposées par la GDPR ?

Armelle Gilliard : le point de vue d’une experte en open data[2].

 

armellegilliardQu’est ce qu’une donnée ?

Une donnée est « Ce qui est connu et admis, et qui sert de base, à un raisonnement, à un examen ou à une recherche. » nous dit le Trésor de la Langue Française. Une donnée est un élément défini et isolable qui va pouvoir être manipulé, traité et analysé en fonction d’un objectif ou d’un cadre d’analyse. Une donnée dans le domaine informatique peut bénéficier de traitements automatisés si elle est suffisamment « structurée » (suffisamment bien classée informatiquement). Si je vous dis, que l’homme le plus vieux du monde n’ayant jamais existé a vécu jusqu’à 256 ans, " 256 ans »" est une donnée. Une donnée n’est pas nécessairement correcte ou juste. Une donnée doit aussi faire l’objet d’un regard critique. Une donnée est constituée en fonction :

  • soit de règles, de classes, de catégories que le producteur de données définit,
  • soit de façon de compter communément admise grâce à une unité de mesure (le mètre, l’euro, le degré Celsius ou Fahrenheit...).
  • soit d’une combinaison des deux précédents éléments (par exemple : la catégorie sociale en fonction d’un revenu).

Raisons pour lesquelles, des données doivent être documentées, leurs producteurs doivent toujours préciser les conditions réunies pour réaliser ces données, sans cela elles n’ont pas de sens.

Ainsi, dans les univers du numérique, du big data ou de l’open data, une donnée est une description élémentaire, d’une réalité qui peut bénéficier de traitements automatiques.

Une donnée constitue une base et peut être traitée pour devenir une information et une source d’analyse. Il y a des pratiques reconnues, institutionnalisées et relativement anciennes qui s’appuient sur des données :

  • les statistiques produites pour les besoins de la gestion de l'Etat et la mise en place des politiques publiques,
  • les études marketing à l’initiative des entreprises pour mieux connaître le consommateur.

Avec le développement informatique et des industries en ligne, les machines enregistrent et traitent de façon automatique de plus en plus de données numériques.

Ces données, nous les donnons parfois intentionnellement, par exemple lorsque nous renseignons un formulaire. Et parfois ces données sont captées à notre insu ou sans que nous y pensions :

  • via les applications dans les Smartphones (localisation, accès aux contacts …),
  • à chaque fois qu’on clique, qu’on renseigne un captcha, qu’on tweete...
  • lorsqu’on utilise un système d’accès (carte de transport, badge professionnel …)
  • lorsque nous consommons de l’eau ou de l'électricité...
  • quand nous sommes filmés dans les lieux publics ;
  • parfois quand on roule sur la route grâce à un capteur qui compte les passages.

Qu’est-ce qu’une donnée à caractère personnel ? Qu’est-ce qu’une donnée sensible ?

Les données à caractère personnel et sensibles appartiennent à la vie privée d’une personne et en Europe, ces notions sont définies juridiquement. " Une donnée à caractère personnel est une donnée qui permet d’identifier, directement ou indirectement, une personne physique "[3]. Cette catégorie de données est protégée par la loi informatique et libertés[4] Par abus de langage, il arrive souvent que soit utilisée l’expression données personnelles. Les données à caractère personnel peuvent être : le nom, l’adresse, le numéro de téléphone, la famille, des éléments de vie sociale, la géolocalisation. Les données à caractère personnel, pour leur grande majorité ne sont pas publiables. Elles le sont lorsque les personnes concernées sont citées dans le cadre de leurs actions publiques. Par exemple, il est possible de publier la liste nominative des élus d’une commune. Si la publication n’est pas prévue par la loi, il est possible de le faire si vous avez obtenu le consentement de la personne concernée. Il peut prendre plusieurs formes, mais vous devez pouvoir en apporter la preuve juridique.

Une donnée sensible est une sorte particulière de donnée à caractère personnel qui concerne l’intimité d’une personne physique. Pour la loi française, cela comprend les données sur les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale des personnes, la santé ou à la vie sexuelle. Ce type de données bénéficient de fortes protections par la loi informatique et libertés[5]. Une donnée sensible n’est publiable, à moins d’un consentement de la personne concernée. L’exigence de la qualité du consentement par le juge sera proportionnellement élevée à son degré de sensibilité.

Pour les deux formes de données, à caractère personnel et sensibles, de nouvelles dispositions sont en train d’être mises en place pour l’ensemble des pays de l’Union européenne par l’application du règlement européen de protection des données personnelles (RGPD). Il entre en application à partir du 25 mai 2018 pour tous les acteurs qui traitent des données à caractère personnel : écoles, associations, entreprises, acteurs publics…

Comment sont protégées les données à caractère personnel ?

La loi pour une République numérique, qui change une dizaine de codes, d’une part réaffirme la nécessaire maitrise de l’individu sur ses données : le droit à l’oubli pour les mineurs, la portabilité des données, la loyauté des plateformes…De plus, elle anticipe le règlement européen sur la protection des données personnelles (RGPD ou GRDP). Les entreprises ne sont plus obligées de faire des déclarations préalables auprès de la CNIL, mais elles doivent se responsabiliser par rapport aux traitements des données à caractère personnel. A partir du 25 mai 2018, le responsable des traitements des données à caractère personnel doit anticiper toutes les difficultés et assurer la protection des données privées dès la conception des applications informatiques, jusqu’à la fin de leur cycle de vie.

Pixabay monitor 1307227 960 720

Pourquoi les entreprises veulent-elles nos données ?

Le microphone de votre ordinateur ou de votre téléphone peut reconnaitre votre voix et identifier plus ou moins précisément les ambiances sonores dans lesquelles vous êtes, votre webcam peut déduire votre taille, un site internet peut connaitre une part de votre historique de navigation, à partir de vos comportements de recherche, il est possible de prédire si vous aller opérer un acte d’achat. Pour l’instant, on ne peut pas reproduire l’équivalent du service de la liste rouge qu’il est possible d’activer pour le téléphone fixe pour se protéger des démarches commerciales. Les données collectées de façon légale, sans recueil du consentement de l’intéressé, sont exemptes d’informations d’identification. Toutefois, elles restent disponibles à la vente. Depuis le RGPD, les données collectées de manières illégales sont sévèrement punies, encore faut-il que les scélérats soient identifiés par la CNIL.

Les grands volumes de données ainsi collectés et stockées à bas couts permettent aux entreprises de faire des analyses prédictives et comportementales des populations. Ces sciences des données que sont l’intelligence artificielle, l’apprentissage machine et les statistiques peuvent s’avérer pertinentes mais sont aussi décriées car elles peuvent être l’objet de nombreux biais. Les approches big data sont reconnues pertinentes pour les domaines de la vente, du marketing : quels message, tarif, agencements, association de produits… conviendront le mieux à quel profil. Le big data est également bien adapté pour repérer les anomalies dans des phénomènes répétitifs ou bien constater des régularités de pannes.

Dans l’animation proposée par le Centre d’Information Jeunesse de Lyon et Poitiers[6], il est proposé, aux jeunes de comprendre les enjeux de l’auto-saisie de données et de se mettre à la place du directeur marketing pour imaginer les usages que ce dernier peut en faire.

Que puis-je faire en classe pour protéger les données à caractère personnel de mes élèves ?

Aider les élèves à savoir gérer leurs données personnelles contribue à différentes orientations dans les programmes scolaires. Pour s’en convaincre on peut se reporter au dossier pédagogique de l’exposition Terra Data [7]. Nous proposons ici quelques pistes d’exploration.

  • Aider les élèves à prendre conscience de l’exploitation de leurs données personnelles

Il existe beaucoup de contenus pédagogiques sur cette question. On pourra utilement commercer par explorer les grands classiques en la matière tel que le dossier de la CNIL « Maitriser mes données sur internet »[8]. Il est, également possible, de montrer aux élèves quelques sites à partir de la requête « internet in real time »[9] qui leur montreront l’ampleur du phénomène.

Une application permet de connaître, en temps réel, les revenus que chaque utilisateur génère en naviguant sur Facebook. Il a été développé dans le cadre du projet européen TYPES (Towards transparencY and Privacy in the onlinE advertising business), par des chercheurs de l’université de Madrid. Facebook Data Valuation Tool (FDVT), est gratuit et fonctionne sur Facebook et sur Chrome). Sa vidéo de démonstration fournit les éléments essentiels.

  • Apprendre aux élèves à se protéger

Après cette prise de conscience essentielle, aidons les élèves à apprendre à se protéger. Dans le cas présent, il est possible de mentir, sur tout ce qui touche à son identité, son âge, sa ville, son genre. L’enseignant peut orienter vers différentes réflexions sur la construction de l’identité numérique de l’élève. S’appeler Madeleine, Sahia ou Coquelicot, qu’est-ce que ça change ? Si on est une fille ? Si on est un garçon ? Comment se construire une identité numérique qui serait à l’opposé de ce qu’on est aujourd’hui ? Se définir à l’opposé, n’est-ce pas encore être encore et toujours être soi….

Si l’enseignant ne veut pas entrer dans ses considérations identitaires, il peut proposer à ses élèves de prendre des identités génériques, chacun pouvant s’appeler élève 1 ou élève 2 pour son prénom et Ecolexxx pour son nom de famille… Préciser le nom de l’école est déjà une indication forte, croisée à d’autres données, il pourrait être possible de déduire des données personnelles. De plus des applications en ligne comme Google repéreront que ce ne sont pas de vrais prénom et nom et il arrive qu’elles bloquent l’accès au service. L’autre solution c’est d’inventer des identités pour les élèves, cela demandera une organisation rigoureuse de l’enseignant en cas de perte de mot de passe pour récupérer les travaux des élèves, si ceux-ci sont en ligne. Les identités inventées pour la création de compte sont assez lourdes à initialiser mais peuvent servir d’une année sur l’autre et dans certains cas d’une classe à l’autre dans une même année.

Des services comme Open Street Map, demandent à ce qu’il y ait un responsable, mais il est possible d’avoir une flotte de contributeurs anonymes.

Il est intéressant d’inciter les élèves à se créer plusieurs comptes d’adresses électroniques : un compte pour la vie privée, un compte pour le travail, un compte pour les tests, les publicités, les inscriptions pour avoir une carte de fidélité, ou acheter des produits. Les deux premiers comptes, peuvent être fusionnés lorsqu’on est jeune, mais le troisième compte sera très utile pour isoler tous les messages publicitaires.

Si vous voulez mieux savoir qui diffuse vos adresses mails ou avoir plusieurs alias à partir d’un même mail, vous pouvez ajouter avant l’arobase un signe plus et le nom de l’entreprise xxx, de la manière suivante : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser..">Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.. Ainsi, lorsque vous recevrez des messages adressés à cet email, vous saurez qui a vendu le fichier contenant votre email

Même si les dispositions légales européennes se mettent en place progressivement et visent à protéger le citoyen avant tout, restons toujours vigilants[10]

En novembre 2017, l’Agencia Española de Protección de Datos, soit la CNIL espagnole, vient de condamner Google Street View à 300.000€ d’amende pour infraction grave à la législation sur la protection des données personnelles. Entre 2008 et 2010 Google a collecté lors du passage de la Google car des données de wifi non sécurisées, des photos.

En France, la CNIL, suite à la mise en alerte de l’agence espagnole, avait procédé à des contrôles et s’était aperçue qu’avaient été enregistré des mots de passe d’accès à des boites mail, des extraits de contenus de messages électroniques, des données de connexion à des sites, des échanges de courriels contenant des données sensibles…L’enquête avait permis d’établir qu’au moins une autre application de Google procédait de la sorte. Cela s’est conclu par une amende de 100.000 euros et l’interruption immédiate de la collecte de données pendant deux mois pour une mise en conformité visant à limiter la collecte uniquement de photos et d’images 3D.

RGPD coupdoeil 5

L’application du nouveau RGPD permettra des amendes qui pourront aller jusqu’à 4% du chiffre d’affaire annuel mondial.

Identité, vous avez dit identité ?

Claudio Cimelli, Directeur de Projet : Mission d'incubation de projets numériques, Numéri'Lab, Direction du Numérique pour l’Éducation

Aujourd’hui plus de 93% de la population dispose d’ordiphones,  cet équipement s’accompagne d’une forte augmentation des pratiques numérique.  L’enquête de l’ARCEP (https://www.arcep.fr/uploads/tx_gspublication/Barometre-du-numerique-2016-CGE-ARCEP-Agence_du_numerique.pdf) montre que la navigation sur internet sur un terminal mobile représente  55%  de la navigation globale et que le téléchargement d’applications représente  48% des téléchargements totaux.  Ce sont les deux principaux usages qui se généralisent et qui augmentent régulièrement  (+3 % et +4 %).  Ils sont suivis par l’utilisation de la géolocalisation (42%) et le visionnage de vidéo (34%).

Au niveau mondial, il y a aux environs de 4 milliards d’internautes,  les 2/3 utilisent les réseaux sociaux, avec différentes sortes d’usages (partage, communication, etc…) et environ 2 milliards passent par un mobile pour s’y connecter. Facebook est de loin le leader des réseaux grand public avec près de 1,55 milliard d’utilisateurs actifs chaque mois (MAU). Selon ShareThis, les partages sur les réseaux sociaux sont distribués de cette manière : 84,3% sur Facebook, 5,8% sur Twitter, 4,8% sur Blogger, 2,9% sur Pinterest, 0,8% sur Email, 0,8% sur Reddit et 0,1% sur Linkedin.

Toutes ces activités numériques en lien avec l’Internet impliquent la création de traces. Ces  traces, sont volontaires et nécessaires, involontaires et/ou hors de contrôle et de chaque usager. C’est leur association qui finalise l’identité numérique de chacun.  

D’après Fanny Georges, l’identité numérique comporte :

  • des traces volontaires, les données saisies par la personne ou par des tiers, c’est l’identité déclarative,
  • des traces involontaires, les traces d'activité (navigation, demande d'amis, téléchargements…), c’est l’identité agissante, les traitements effectués par les outils et services numériques (nombre d’amis, corrélations à des fins commerciales, etc…), c’est l’identité calculée ;
  • des traces subies, ce sont des données qui vous concernent mais qui sont créées par d'autres personnes (des photos vous identifiant ou des commentaires  publiés par des amis sur Facebook), c’est l’identité subie.

L’empilement de toutes ces informations fragmentées, interfère avec  la vraie vie où chacun a une identité professionnelle, une identité familiale et  une identité sociale.  La mémorisation et le croisement de ces fichiers constitue l’ombre numérique de chacun et fait courir un risque pour notre identité numérique (son exploitation, voir son asservissement).

Qu’en est-il du domaine de l’éducation…quels enjeux pour l’identité numérique ?

C’est une réponse double qu’il est nécessaire d’apporter aux élèves et aux parents, il faut éduquer et protéger.  

Eduquer en s’appuyant sur des modalités pédagogiques permettant aux élèves de :

  • découvrir au travers d’activités pédagogiques que l’ensemble des traces et des données qu’ils produisent ou communiquent sur les réseaux sociaux est visible par leurs contacts et qu’elles peuvent également être exploitées à des fins commerciales.
  • se responsabiliser pour être capable d'exercer leur citoyenneté en comprenant les enjeux personnels, sociétaux et économiques de l’usage des médias numériques, en étant actifs, éclairés et responsables.

Protéger actuellement pour que :

  • les données à caractère personnel essentielles au fonctionnement du système éducatif (information sur l’état civil, résultats scolaires, inscriptions, …) dont certaines  nécessitent une attention particulièrement importante (sur la santé lorsqu’il y a des aménagements pour le handicap, sur le caractère boursier des élèves, …) en étant gérées dans des applications informatiques sous contrôle du ministère et des services académiques.
  • les besoins identifiés et durables des établissements scolaires  soient couvert par un écosystème d’établissement, s’appuyant sur des ENT (et leurs évolutions à venir) avec des ressources et services numériques raccordés

Cependant, comme nous l’avons évoqué précédemment, la disponibilité sous forme numérique d’une masse considérable d’informations de tout type (personnelles, professionnelles, publiques…) nous conduit aux notions de Big Data et d’intelligence artificielle. La création, la maîtrise et l’exploitation de ces informations sont pour nous tous,  un enjeu stratégique, sociétal, culturel, économique et technologique.

Les grandes infrastructures informatiques, sont aujourd’hui mondiales (réseaux, cloud computing, Big data, intelligence artificielle…) elles fournissent  des capacités de stockage et de calcul quasiment illimitées, qu’elles proposent de mettre à disposition avec des coûts de fonctionnement proportionnés à l’usage qui en est fait.   D’un point de vue économique, ces  ruptures induisent de nouvelles organisations industrielles avec davantage d’agilité, de travail  collaboratif et de création d’entreprises en réseau. Il  induit de plus en plus  le développement de startups.

Ces nouveaux services induisent une modification en profondeur de nos environnements (santé à domicile, système de transport et ville numérique, agriculture numérique, musées et bibliothèques virtuelles…). Leur disponibilité est devenue un des éléments fondamentaux pour chaque individu, comme pour le développement d’une région ou d’un état.

Compte tenu de ces évolutions très rapides,  pour répondre au besoin des équipes éducatives et pédagogiques innovantes, avec des enseignants qui souhaitent utiliser des services numériques innovants utilisant des données proportionnées au traitement qui en est fait, ne faisant pas (ou pas encore) l’objet d’un usage courant couvert par les ENT et leur écosystème, il est nécessaire de faire évoluer ce cadre pour répondre aux besoins du présent

En pratique, il est difficile, pour un enseignant qui, dans un cadre pédagogique encadré, souhaite expérimenter ou mettre en place un service numérique non encore référencé, d’être juridiquement conforme.

C’est principalement dans ce domaine qu’il est essentiel d’améliorer la situation par rapport à aujourd’hui, pour faciliter l’accès aux services innovants aux enseignants dans un contexte juridiquement et techniquement protecteur des données.

En nous appuyant sur le travail déjà réalisé dans le cadre de la préparation de la " charte de confiance " et en anticipation de l’arrivée du RGPD en mai 2018, nous étudions plusieurs possibilités permettant d’identifier un ensemble de clauses essentielles devant figurer dans les contrats de prestation de services numériques (gratuites ou payantes) conclus entre les  établissements, les rectorats ou les collectivités et les différents fournisseurs.

Pour faciliter le repérage  des ressources et services conformes aux exigences du Ministère par les équipes éducatives et pédagogique, nous envisageons un processus de référencement des services conformes.

Par ailleurs, l’analyse des possibilités offertes par le RGPD, en termes d’actions collectives permettant d’obtenir la cessation des éventuels manquements constatés chez certains fournisseurs  permettent d’envisager un dispositif agile de contrôle des engagements qui peut être réalisé socialement par les usagers eux-mêmes. Le cas échéant, les manquements peuvent être portés devant les tribunaux par des associations.

L’équilibre reste délicat à établir : encadrer suffisamment pour protéger les données éducatives ; ouvrir et simplifier suffisamment pour encourager l’innovation et la massification des usages.

L’exposition aux données : agir en confiance et en conscience

Jean-François Cerisier Laboratoire Techné Université de Poitiers

CerisierIMG 0091Les problématiques relatives aux données personnelles des acteurs de l’éducation et en particulier celles des élèves ne sont pas nouvelles. Elles ont pris un relief particulier avec l’essor des différentes utilisations qui sont faites des techniques numériques lorsqu’elles recourent massivement à la collecte et au traitement de données et autres traces numériques de l’activité. Ne nous y trompons pas, il y a là une évolution majeure, dont nous observons probablement aujourd’hui uniquement les prémices. Plusieurs phénomènes se conjuguent pour lui donner de l’importance, qu’il s’agisse de la volumétrie des données collectées, de la nature même des données, des exploitations qui en sont faites et, peut-être plus encore, du fait que l’ensemble de ces opérations s’effectue avec une forte connectivité en réseau, ce qui étend considérablement le périmètre de ceux qui peuvent avoir accès aux données

La question est majeure et complexe. Elle se pose depuis des années avec plus ou moins d’acuité et arrive sur le devant de la scène avec des cas d’école qui sont autant d’effets de loupe comme ceux sur Google Suite ou sur APB. Traités sur un mode malheureusement trop souvent polémique et exagérément caricatural, les débats et les controverses qu’ils suscitent ont au moins le mérite d’attirer l’attention de tous.

Pour appréhender ces questions, il n’est pas inutile d’essayer de catégoriser les données produites au sein de l’École car toutes ne soulèvent pas les mêmes problèmes. Quelles sont ces données ? Quelle en est la nature ? Qui les produit, dans quelles conditions et avec quelles finalités ? Qui y accède et pour en faire quoi ?

On doit en premier lieu distinguer les données relatives aux activités personnelles des élèves, celles qu’ils décident eux-mêmes et réalisent pour leur propre compte, de celles données relatives à leur statut d’élèves et aux activités organisées à leur intention par l’institution.

Les premières échappent pour l’essentiel aux systèmes techniques des institutions éducatives, qu’il s’agisse des équipements individuels (le plus souvent les smartphones des élèves), des applications utilisées ou de la connectivité. Elles sont, par nature, personnelles. Cela n’exonère pas pour autant l’éducation nationale de ses responsabilités pour deux raisons. D’une part ces activités se déroulent dans l’espace-temps scolaire au cours duquel les élèves sont confiés aux établissements, a fortiori lorsqu’ils sont mineurs. D’autre part, il appartient à l’école de contribuer à l’éducation aux médias et à l’information de ses élèves, de tous ses élèves et en particulier ceux dont les familles ne sont pas en mesure, pour diverses raisons, de le faire pour ce qui les concerne. Il doit s’agir là d’une éducation tout autant utilitaire qu’émancipatrice. Utilitaire car elle repose sur des compétences indispensables à la réussite scolaire des élèves. Emancipatrice parce que la maîtrise de ces compétences est constitutive du plein exercice de la citoyenneté, à l’image des humanités d’antan devenues humanités numériques aujourd’hui.

Les données que l’on peut qualifier de scolaires sont celles qui sont produites dans l’environnement scolaire, soit directement par l’activité de l’élève (traces de l’utilisation d’un manuel scolaire numérique par exemple) soit par l’institution au sujet de l’élève (affectation d’une note par exemple ou de données de scolarité). Nombreuses aujourd’hui, elles le seront plus encore demain et apportent avec elles d’intéressantes promesses en termes de qualité de l’accueil éducatif, d’amélioration de l’efficacité des activités d’apprentissage, de personnalisation des parcours individuels …

Pour autant, ces perspectives enthousiasmantes soulèvent des questions qu’il convient de régler.

Beaucoup a déjà été dit, notamment lorsque les données collectées échappent à l’espace souverain de l’éducation nationale. Que se passe-t-il lorsque les données sont collectées et traitées par des éditeurs de solutions éducatives ou de systèmes d’information ? Que se passe-t-il lorsque ces données sont exportées pour être traitées par des sociétés tierces qui situent leur activité comme leurs données à l’étranger ? Comment un élève ou sa famille peut-il réellement exercer ses droits d’accès, de rectification et d’effacement dans des contextes aussi complexes juridiquement que compliqués techniquement ? Ces questions d’importance sont légitimes et appellent des réponses législatives et règlementaires ainsi que leur opérationnalisation sur le terrain. Pour autant, l’approche juridique n’est pas auto-suffisante tant le comportement des utilisateurs ne peut être réduit à l’application d’un ensemble de règles. Elle ne peut pas être totalement opérante si elle ne comporte pas de volet éducatif. Il s’agit, là encore, d’éducation aux médias, adressée aux élèves bien sûr, mais aussi des enseignants et de l’ensemble des acteurs de l’éducation.

Finalement, si la pleine utilisation d’internet exige qu’elle se réalise en confiance, il convient d’ajouter qu’elle doit également s’exercer en conscience.

IMG 20171116 124539

Dala KOITA, étudiante en Sciences Politiques, représentante du " Meilleur des Mondes "

Le Meilleur des Mondes est un réseau de clubs de débat et de réflexion des étudiants : Dala Koita apportait le témoignage de la jeune génération à propos du contrôle des données personnelles à l’occasion des usages sociaux du Web.

Lors d’un débat sur la question de la place du numérique dans notre société, celle de l’utilisation des données numériques produites au quotidien s’est rapidement posée. En effet, plusieurs jeunes ont exprimé une inquiétude par rapport à l’utilisation de ces données, tandis que d’autres affirmaient au contraire refuser de s’en inquiéter au vu de le leur incapacité à l’empêcher.

Pour la plupart des participants au débat, l’aspect de la vente des informations n’apparaissait pas comme le plus important. Le malaise ressenti par certains venaient de l’idée que leurs consultations, aussi banales soient elles, puissent être enregistrées et suivies.

On a remarqué une sensibilité particulière des jeunes à ce sujet, ce qui s’explique par le fait qu’ils sont aujourd’hui les premiers usagers des réseaux sociaux, tels que Snapchat où soixante-dix millions de snaps sont échangés tous les jours par une majorité de 13-17 ans. Au cours du débat, on a pu pointer l’illusion de l’effacement instantané des données que véhicule ce réseau en particulier, mais qui s’applique plus largement à l’ensemble de l’Internet aujourd’hui. Nonobstant, les participants au débat ne semblaient pas leurrés par l’apparence volatile qu’ils dénonçaient puisque la majorité d’entre eux disaient réfléchir de plus en plus avant la publication de messages ou de photographies sur Internet.

En effet, les participants disaient prendre de plus en plus conscience de la pérennité des données postées sur le net et soigner et vérifier leur réputation sur Internet par des recherches fréquentes de leurs noms et prénoms. 

Certains ont mentionné le caractère polluant du stockage d'un volume de plus en plus important de données dans des datacenters en surchauffe, 37 fois plus énergivores au mètre carré qu'une maison, rappelant le caractère environnemental de la question du stockage des données informatiques virtuelles que nous échangeons au quotidien.

La protection des données scolaires : une priorité d’action pour la CNIL

Sophie Vuillet-Tavernier, Directrice des relations avec les publics et la recherche.

La CNIL a toujours porté une vigilance  particulière à la protection des données des mineurs  comme en témoignent notamment les nombreux avis rendus sur les grandes applications et plateformes de services de l’éducation nationale (base élèves, ENT, livret scolaire, projet de charte de confiance, référentiel GAR[11]…) comme ses actions  en faveur d’une éducation citoyenne du numérique.

A cet égard,  le règlement européen sur la protection des données (RGPD) applicable en mai 2018, tout en renforçant les droits des personnes, entend assurer une protection particulière aux   données des enfants (cf. notamment article 8), en instaurant, un certain nombre de garde-fous et de droits s’agissant de l’offre directe aux enfants de services numériques.

Car qui dit numérique dit aussi traces  et donc données personnelles : annuaires, identifiants de connexion, données sociodémographiques, contenus pédagogiques, résultats scolaires…autant de gisements d’informations à exploiter et à analyser, en particulier, à des fins, légitimes,  de meilleure connaissance des pratiques d’apprentissage mais aussi, potentiellement, à des fins, plus commerciales, de marketing y compris de profilage personnalisé.

Or, la CNIL est de  plus en plus saisie par des enseignants et des cadres éducatifs qui s’inquiètent du sort réservé aux données personnelles des élèves   et sont en demande d’une ligne claire  sur la possibilité ou non de recourir aux services éducatifs en ligne proposés (plus ou moins gratuitement) sur le marché.

Ainsi que la CNIL l’a souligné, en avril 2017 dans son courrier au ministre de l’éducation nationale, il importe donc de  fixer un cadre de régulation précis et adapté qui permette bien entendu le développement des pratiques numériques à l’école mais protège aussi de façon effective les données des élèves comme des enseignants. Ceci devrait se traduire par un engagement  juridique contraignant tant en ce qui concerne la non utilisation des données scolaires à des fins commerciales, les conditions d’hébergement de ces données ou encore l’obligation de prendre des mesures de sécurité conformes aux normes en vigueur. Une attention particulière devrait  en outre être portée aux mesures concrètes mises en œuvre pour informer en parfaite transparence les mineurs, leurs parents comme les personnels éducatifs des conditions d’utilisation de leurs données et des moyens dont ils peuvent disposer pour exercer de façon effective  leurs droits.

Car le  numérique à l’école, c’est aussi l’éducation au numérique, qui  ne se réduit pas à l’apprentissage du code mais passe nécessairement par l’acquisition d’une vraie culture citoyenne du numérique, la connaissance et la maitrise de ses droits.

C’est l’objectif poursuivi par le collectif Educnum, initié par la CNIL,  qui réunit aujourd’hui près de 70 acteurs du monde de l’éducation, des associations de parents d’élèves, des fondations d’entreprises, et qui, grâce à son site www.educnum.fr et à sa présence sur les réseaux sociaux, propose de nombreuses ressources pédagogiques  et promeut les actions en faveur  d’une éducation citoyenne au numérique.

 C’est aussi le partenariat noué avec le ministère de l’éducation nationale qui permet de proposer des modules de sensibilisation et de formation en présentiel et (prochainement) en ligne sur la protection des données.

C’est enfin, au plan international,  le premier  référentiel international de formation des élèves à la protection des données, adopté à l’initiative de la CNIL, par l’ensemble des autorités de protection des données   et en cours de déclinaison nationale dans les programmes  scolaires.

Et pour conclure…

Gardons bien en mémoire l’Article 1er de la Loi Informatique et Libertés :

 " L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. "

 Michel Pérez


[1][1][1] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[2] Armelle Gilliard (www.LareineMerlin.org) travaille pour la Fing, Opendata France, pour des entreprises (Maif, La Poste, Groupe Up…), des collectivités (Grand Poitier), des acteurs associatifs (association Interdoc, Aquitaine Europe Communication, ou acteurs de l’éducation (Université de Bordeaux, Université de Poitiers, ESPE Aquitaine, Ims – Laboratoire de l’intégration du matérieur au système, Canopé…).

[3] Loi relative à l’informatique, aux fichiers et aux libertés, n° 78-17 du 6 janvier 1978, article 2, modifié par Loi n°2004-801 du 6 août 2004 - art. 1 JORF 7 août 2004, http://frama.link/LIL_2

[4] Loi relative à l’informatique, aux fichiers et aux libertés, n° 78-17 du 6 janvier 1978, article 2, modifié par Loi n°2004-801 du 6 août 2004 - art. 1 JORF 7 août 2004, http://frama.link/LIL_2

[5] Loi relative à l’informatique, aux fichiers et aux libertés, n° 78-17 du 6 janvier 1978, article 8, Modifié par LOI n°2016-41 du 26 janvier 2016 - art. 193, http://frama.link/LIL_8

[6] Sensibiliser les jeunes au selfdata et au quantified self http://infolabs.io/content/sensibiliser-les-jeunes-au-selfdata-et-au-quantified-self

[7] http://www.cite-sciences.fr/fr/vous-etes/enseignants/votre-visite/expositions/terra-data/

[8] https://www.CNIL.fr/fr/maitriser-mes-donnees

[9] Quelques exemple de sites « internet in real Time »

- https://www.webpagefx.com/internet-real-time/ nombre de données qui passent par internet

- https://www.betfy.co.uk/internet-realtime/ Exprimé en clics

[10] Ce paragraphe s’appuie pour partie de l’article de Nextinpact xxx

[11] GAR : Gestionnaire d’Accès aux Ressources

Dernière modification le vendredi, 26 janvier 2018
Pérez Michel

Président national de l'An@é de 2017 à 2022. Inspecteur général honoraire de l’éducation nationale (spécialiste en langues vivantes). Ancien conseiller Tice du recteur de Bordeaux, auteur de nombreux articles et rapports sur les usages pédagogiques du numérique et sur la place des outils numériques dans la politique éducative.