Sophie Nerbonne : « Caisse de résonance de l’évolution de notre société, la Cnil est le gardien des libertés et le gendarme des fichiers »

Éducation

Sophie Nerbonne est directrice adjointe des affaires juridiques, internationales et de l’expertise à la (Cnil). Avec ses 40 agents, elle contribue à forger la doctrine de l’institution depuis vingt ans. Normes juridiques, conseils et informations font partie des missions de cette autorité administrative indépendante qui voit ses domaines d’action s’élargir, notamment dans le secteur éducatif avec le développement des technologies de l’information et de la communication pour l’éducation (Tice).

Lettre des professionnels de l’éducation : La Cnil a-t-elle une démarche spécifique en direction des chefs d’établissement scolaire ?

Sophie Nerbonne : Oui, nous avons plusieurs axes de communication tournés vers les principaux et les proviseurs. Ces opérations sont toujours menées en partenariat avec le ministère de l’Éducation nationale. Ainsi, comme l’a indiqué notre président Alex Türk, nous nous sommes rendus dernièrement dans une classe de CM2 du département du Nord, à l’occasion d’un déplacement de l’institution en région. Il arrive parfois que certains de nos agents aillent directement dans les établissements scolaires, mais ces actions restent limitées.

En revanche, nous soutenons en commun des initiatives de masse comme, par exemple, l’opération « Internet sans crainte » (http://www.internetsanscrainte.fr) menée en collaboration avec la Délégation aux usages de l’Internet : distribution de flyers sur la vie privée, diffusion de Mon quotidien (http://www.monjtquotidien.com) à l’occasion de la journée européenne de la protection des données pour les plus jeunes (7-11 ans) ou mise en ligne d’un jeu pour les plus grands (http://www.2025exmachina.net).

Nous avons également développé un site Internet dédié aux jeunes (http://jeunes.cnil.fr) où les chefs d’établissement peuvent puiser des informations. Nous faisons régulièrement le point avec le ministère de l’Éducation nationale sur les outils disponibles (fiches d’information, etc.), comme récemment sur les problèmes des réseaux sociaux…

LPE : Y a-t-il une attention particulière à porter aux données personnelles des adolescents ?

Sophie Nerbonne : Dès lors qu’il s’agit d’informations concernant les mineurs, il faut se montrer plus attentif puisque c’est une population plus fragile que les adultes. Ainsi, concernant la « Base élèves premier degré » – qui a généré beaucoup de polémiques et fait couler beaucoup d’encre -, nous avons rédigé une fiche pratique pour expliquer notre position.

Concernant les espaces numériques de travail (ENT), nous avons également voulu accompagner leur déploiement de façon très précise. Nous n’avions pas une vision très claire à leur démarrage. Nous avons tout d’abord rappelé les grands principes de la loi Informatique et Libertés pour veiller à la finalité du recueil des données selon les trois axes des ENT : la diffusion d’information administrative et de vie scolaire, les contenus à vocation éducative et pédagogique, les espaces collaboratifs de travail, les forums, les blogs… Ainsi, la messagerie de l’ENT ne doit être utilisée qu’à des fins pédagogiques, sinon il y aurait détournement de finalité pour du démarchage politique ou syndical, par exemple. Ensuite, il faut réfléchir à la pertinence des données traitées pour le compte ou l’intérêt de l’établissement. Enfin, il faut aussi s’interroger sur leur conservation : a priori leur mise à jour devrait être au minimum annuelle, avec suppression dans les trois mois dès lors que le jeune a quitté le collège ou le lycée. Les contenus pédagogiques produits et mis en ligne peuvent être conservés plus longtemps à condition que le jeune garde un droit d’accès et de modification. Dès la page d’accueil de l’ENT, ces grands principes doivent être rappelés.

Concernant la mise en ligne de photographies, il faut toujours recueillir l’autorisation préalable du responsable de l’adolescent. Désormais cette autorisation est systématiquement demandée, dès le début d’année, à l’occasion des fiches d’inscription.

LPE : Comment un adulte peut-il alerter les jeunes sur les risques du Net sans se ringardiser ?

Sophie Nerbonne : Autant nous pouvons dire que nous y arrivons avec les enfants – sensibiliser est alors plus facile –, autant c’est compliqué avec des adolescents. Ces derniers sont très attirés par les technologies de l’information. Ils veulent rester en ligne en permanence et ils ne se soucient guère de la réutilisation de leurs données… Le président de la Cnil rappelle souvent cette anecdote : quand il était jeune, au cours d’une soirée trop arrosée de la Saint-Nicolas, il a exhibé ses fesses, comme beaucoup de garçons… Que se serait-il passé si des photos avaient alors été prises puis mises en ligne ? Un recruteur au moment d’un entretien d’embauche aurait très bien pu tomber sur ces images compromettantes avec les conséquences que nous pouvons imaginer !

J’ai moi-même trois adolescents à la maison. Je leur ai indiqué qu’ils devaient éviter de mettre sur les réseaux sociaux des images ou des propos auxquels ils ne voudraient pas que j’accède. Que la moitié de la planète puisse les voir, ils s’en fichent, mais si c’est leur mère… Il faut donc expliquer aux jeunes les paramètres qui permettent de limiter l’accès à certaines de leurs informations.

Il faut aussi leur rappeler qu’Internet n’est pas un domaine de non-droit. Lorsqu’ils sont mineurs, ce sont leurs parents qui peuvent être mis en cause, en cas de diffamation d’un professeur par exemple. Le Net n’est pas un vaste défouloir, les droits et les libertés de chacun s’y appliquent et doivent donc y être respectés.

LPE : L’usage des techniques biométriques pour l’accès à la cantine se développe dans les établissements. La Cnil semble cautionner ces pratiques…

Sophie Nerbonne : Nous avons effectivement constaté que certaines sociétés indiquaient que leurs systèmes de contrôle d’accès biométrique ou de vidéosurveillance étaient conformes à l’avis de la Cnil. Ces méthodes commerciales agressives visent à inciter les chefs d’établissement à les adopter. Le recours à des caractéristiques physiques des individus est, en effet, soumis à autorisation de la Commission, au titre de la loi n° 78-17 du 6 janvier 1978. Nous avons notamment refusé l’usage des empreintes digitales pour l’accès à la cantine alors que, dans certains établissements, parents, élèves, professeurs, principaux, proviseurs ou directeurs, n’y voyaient pas l’ombre d’un problème. Or, les technologies utilisées sont dites « à trace » ; elles sont donc disproportionnées par rapport à la destination du contrôle de présence au restaurant scolaire.

Nous avons, en revanche, soumis au régime d’autorisation unique les systèmes d’accès par contrôle de l’empreinte palmaire, qui ne présentent pas ces mêmes dangers. Nous avons aussi préconisé que le demi-pensionnaire ait toujours la possibilité de se soustraire à ce moyen de contrôle via un autre système. C’est alors de sa responsabilité ou de celle de ses parents de refuser.

LPE : Finalement, faudrait-il un correspondant Informatique et Libertés (CIL) dans chaque école, collège ou lycée ?

Sophie Nerbonne : Il est dommage que les CIL (http://www.cnil.fr/la-cnil/nos-relais/correspondants/) ne se développent pas davantage dans les établissements scolaires. Le bilan est pourtant positif dans les universités et dans les grandes écoles. Le réseau des CIL universitaires est actif. Il permet l’entraide en mutualisant les réponses aux questions que tous se posent au sein de leur institution.

Dans le cadre des rencontres régionales de la Cnil, nous constatons d’ailleurs un fort intérêt des chefs d’établissement scolaire à ce sujet, car nous prenons toujours attache auprès des rectorats, avant nos déplacements. Mais il n’y a pas beaucoup d’écho sur l’idée d’identifier une personne responsable dans chaque école, collège ou lycée pour assurer le relais avec la Cnil. Il faut dire que c’est le cas de tous les ministères et pas seulement de l’Éducation nationale…

Texte de référence :

Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Posté le par

Recommander cet article

Réagissez à cet article sur le forum