| Oublié ?

La Lettre

Le point avec...

Gilles Braun : « Toutes les applications que nous utilisons sont désormais vérifiées à la loupe »

Gilles Braun, IGEN, est délégué à la protection des données des ministères de l’éducation et de l’enseignement supérieur

Depuis le 21 août, vous êtes délégué à la protection des données (DPD) pour les ministères de l’éducation et de l’enseignement supérieur. De quelles données s’agit-il ?
Il s’agit de toutes les données traitées par des applications mises en œuvre par les deux ministères. Le rôle du délégué national à la protection des données -ainsi que des DPD académiques qui ont également été nommés- est de veiller à la conformité de tous les traitements de données qui sont opérés, du niveau national jusqu’à chaque établissement scolaire. C’est une fonction nouvelle, à la fois nécessaire et rendue obligatoire par le Règlement général sur la protection des données (RGPD). Ce règlement européen, en vigueur depuis le 25 mai, impose à tous les services publics de veiller à la protection de leurs données. Cela concerne tous les acteurs de l’éducation nationale et toutes les applications qui comportent des données à caractère personnel, c’est-à-dire celles qui permettent d’identifier directement ou indirectement une personne physique.

S’il y a protection, c’est qu’il y a danger ?
« Danger » est peut-être exagéré, mais on a bien vu, dans certaines affaires récentes comme le scandale Facebook-Cambridge Analytica, que certaines données à caractère personnel pouvaient être utilisées à d’autres fins que celles initialement prévues lors de leur collecte. Il s’agit donc d’abord d’informer le plus clairement possible les usagers sur ce que deviennent les données qu’ils livrent lorsqu’ils renseignent des applications numériques, sur la façon dont elles sont traitées, sauvegardées, et sur le cadre dans lequel ce traitement est effectué. Les usagers ont aujourd’hui des droits qu’ils peuvent faire valoir : des droits d’opposition, de modification, etc. Au total, on dispose dorénavant d’un cadre très protecteur destiné à prévenir deux sortes de risques qui pèsent sur leurs libertés : les risques d’intrusion dans la vie privée, et ceux liés à la réputation des personnes.

Dans quelles situations courantes a-t-on des données à protéger ? Un enseignant qui échange des courriels avec les parents d’élèves est-il concerné ?
Dès l’instant où il s’agit de traitements de données à caractère personnel, la protection entre en jeu. Comme les cas peuvent être très nombreux dans l’éducation nationale, celle-ci va publier un guide pour les chefs d’établissement, qui répond justement aux principales questions qu’ils se posent -et que les familles se posent aussi- et qui leur permettra d’être en conformité avec la nouvelle réglementation. Toujours en direction des chefs d’établissement, une formation en ligne M@gistère sur la protection des données personnelles a été déployée depuis plusieurs semaines et rencontre un grand succès. Jusqu’à une période récente, on ne prêtait pas une grande attention à ces sujets. On récoltait et on traitait des données sans se poser trop de questions. Exemple basique : lorsque des renseignements sont demandés aux familles en début d’année, est-on certain qu’ils sont tous nécessaires ? Certains le sont, d’autres moins. Il y a souvent une redondance ou une « obésité » de l’information ainsi récoltée. Cet exemple-là peut être décliné sur toute la chaîne des traitements administratifs ou à usage pédagogique. Il était donc temps d’avoir des règles précises.

L’éducation nationale a-t-elle manqué de prudence dans ses rapports avec les grand opérateurs du numérique ?
Je dirais plutôt que c’est un sujet sur lequel les acteurs de la communauté éducative étaient insuffisamment sensibilisés. Quant aux grands opérateurs, il faut se garder de généraliser car leurs pratiques ne sont pas identiques et, de plus, ils ne sont pas seuls : beaucoup d’applications d’autres acteurs impliquent tout autant de prudence de la part des services publics et des usagers. D’une façon générale, les acteurs de l’éducation saisissaient encore mal les enjeux, notamment commerciaux, liés aux données. La prise de conscience est récente mais elle est réelle. Le RGPD est l’occasion de mettre de l’ordre et de la transparence là où cela pouvait manquer. Et notre travail est justement, dans la masse des applications que nous utilisons, de vérifier la conformité de chacune.