La Direction des affaires juridiques (DAJ) a répondu de façon assez précise aux questions que nous lui avons posées, rappelant le droit….ou son absence… – Réponse de la DAJ : reponse-daj-gafam – Courriers à la daj et à la cnil : ici. Même s’il nous semble, à la lecture du document, que beaucoup de travail reste à faire, une bonne partie des réponse confirme les analyses du SNES-FSU. Un cadre réglementaire et légal existe, souvent sans que les personnels le connaissent vraiment, mais il a des failles qu’il faudra rapidement combler. Rappel du droit Le courrier de la DAJ rappelle fortement le cadre réglementaire et légal (par ex Q7 ). Ainsi, comme nous le disions depuis longtemps, CGU (les Conditions générales d’utilisation, établies par les seuls fournisseurs de services Q5 ) et chartes n’ont aucune valeur réglementaire ( Q4 ). Par ailleurs, les obligations des responsables de traitements (ministre, recteur, DASEN, chef d’établissement Q1 ) sont rappelées : ils sont tenus de faire la bonne déclaration à la Cnil, mais ont aussi obligation d’informer de façon individuelle les personnes qui « fournissent » les données, c’est à dire les élèves, parents, et personnels, du traitement subi par ces données ( Q2 et Q4 ). Ils doivent aussi veiller à la sécurité des données. Autrement dit, une simple déclaration à la Cnil n’est pas le seul acte à accomplir pour se prémunir de toute responsabilité ( Q9 ). On notera qu’il n’est nulle part fait référence au cas des enseignants qui, de fait, pourraient se retrouver pleinement responsables. Aveux d’impuissance La DAJ signale qu’il n’y a pas de connexion entre annuaires et Gafam au niveau du ministère. Elle indique que n’ayant pas reçu d’information contraire, c’est sans doute aussi le cas pour les académies. Par contre, elle avoue ne pas vraiment savoir ce qui se passe dans les établissements scolaires et indique solliciter les Cil (Correspondants informatique et libertés) académiques dès la rentrée ( Q3 ). Plus gênant, s’il y a non respect des contrats par un prestataire de statut juridique étranger, la seule sanction actuellement possible est la rupture de contrat ( Q6 ). Alors que, de son côté, le responsable de traitement peut encourir, selon le code pénal, amendes fortes et peine d’emprisonnement ( Q9 ). Et maintenant ? Le chantier concernant la protection des données des élèves et des personnels est immense. Nous espérons que notre prochaine rencontre avec la Cnil nous permettra d’aborder sous un angle plus éthique quelles données devraient être protégées. Le concept de « données à haut risque », en passe de remplacer celui de « données sensibles », comprend celles relatives à l’évaluation. Il faut donc bien définir leur périmètre de façon à ce que, par exemple, les travaux d’élèves ne permettent pas aux laboratoires des fournisseurs de services de développer des produits qui seraient ensuite revendus à l’Éducation nationale, sans aucun cadre légal, ni ne permettent de constituer des bases de données comportementales, ou autres, qui seraient ensuite revendues à d’autres entreprises et conduiraient à « ficher » les futurs citoyens. Les enjeux éthiques et financiers sont lourds. Avant de se mettre à courir vers des solutions toutes faites, il est plus qu’urgent de poser enfin toutes les problématiques sur une table de concertation.

Documents joints