Création d'un traitement automatisé de données à caractère personnel intitulé France université numérique

Annexe

Délibération n° 2014-036 du 23 janvier 2014 portant avis sur un projet d'arrêté portant création d'un traitement automatisé de données intitulé « France université numérique » (FUN)

 

(Demande d'avis n° 1724737)

 

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l'enseignement supérieur et de la recherche d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données intitulé « France université numérique» (FUN) ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de l'éducation, notamment ses articles L. 123-4-1, L. 123-6, L. 123-7 et L.611-8 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-11-4° ;

Vu la loi n° 2013-660 du 22 juillet 2013 relative à l'enseignement supérieur et à la recherche ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Sur la proposition d'Éric Peres, commissaire, et après avoir entendu les observations de Jean-Alexandre Silvy, commissaire du Gouvernement

 

Émet l'avis suivant :

La Commission nationale de l'informatique et des libertés a été saisie par le ministre de l'enseignement supérieur et de la recherche d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données intitulé
« France université numérique» (FUN).

Ce traitement mettant à la disposition des usagers de l'administration un téléservice de l'administration électronique, il relève des dispositions de l'article 27-11-4° de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté ministériel pris après avis motivé et publié de la Commission.

 

Sur les finalités du traitement :

L'article 1er du projet d'arrêté précise que le traitement FUN a pour objet la création d'une plateforme nationale d'hébergement de formations numériques proposées par les établissements d'enseignement supérieur, dispensées gratuitement sur Internet et utilisant différents supports pédagogiques, tels que la vidéo, la mise en ligne de cours et la participation à des forums.

Cette plateforme constitue l'un des axes principal de la mise en œuvre de la loi n° 2013-660 du 22 juillet 2013 qui a notamment pour objet de placer le numérique au cœur de la politique éducative. Plus précisément, cette plateforme vise à héberger des « MOOCs » (pour « Massive Open Online Courses », en français « cours en ligne ouverts et massifs ») proposés par les établissements d'enseignement supérieur, dispensés gratuitement sur Internet et couvrant des domaines très variés : environnement, juridique, management, numérique et technologie, santé, sciences, sciences humaines, etc. Elle a ainsi pour objectif d'offrir aux internautes un accès à des cours en ligne ouverts et massifs.

Pour remplir son objectif pédagogique, la plateforme permettra aux étudiants et aux enseignants d'utiliser tous les moyens numériques disponibles, allant de la simple mise en ligne d'un cours à l'utilisation de supports audio ou vidéo. Elle permettra également aux utilisateurs d'interagir par l'intermédiaire des réseaux sociaux. Il est prévu que cette plateforme soit opérationnelle dès le mois de janvier 2014.

La plateforme nécessite la création d'un compte utilisateur pour les apprenants et les enseignants. Ce traitement comporte ainsi un téléservice ayant pour finalités de permettre aux utilisateurs :

- de procéder par voie électronique à des démarches administratives d'inscription à des cours ou à des modules en ligne ;

- de participer à des exercices, à des questionnaires à choix multiples ou à des travaux pratiques en ligne pouvant donner lieu à des évaluations ;

- d'obtenir des certificats et des attestations de réussite aux modules ou aux cours suivis en ligne.

La Commission considère que ces finalités sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6-20 de la loi du 6 janvier 1978 modifiée.

 

Sur les données traitées :

L'article 2 du projet d'arrêté prévoit deux catégories de données à caractère personnel enregistrées dans le traitement. II s'agit, d'une part, de données concernant les utilisateurs de la plateforme numérique qui regroupent l'identité de l'utilisateur (sexe, nom, prénom, adresse postale, adresse électronique, année de naissance), ses identifiants de connexion (nom d'utilisateur FUN et mot de passe du compte), son plus haut niveau de formation obtenu, ses motivations concernant l'inscription à la plateforme, la formation suivie, les résultats obtenus et les travaux réalisés.

D'autre part, le traitement enregistre des données concernant les membres de l'équipe pédagogique, dont leur identité (nom, prénom, adresse électronique), leurs identifiants de connexion (nom d'utilisateur FUN et mot de passe du compte), et leur localisation géographique.

La Commission estime que les données traitées sont pertinentes, adéquates et non excessives au regard des finalités poursuivies par le traitement.

 

Sur la durée de conservation des données :

Le dossier technique soumis à la Commission indique que la durée de conservation des données à caractère personnel collectées est de cinq ans, à l'issue de laquelle elles seront détruites. Cette durée n'appelle pas d'observation particulière de la part de la Commission, qui prend acte que l'article 2 du projet d'arrêté sera modifié par un ultime alinéa rédigé en ce sens.

 

Sur les destinataires des données :

L'article 3 prévoit, au titre des destinataires du traitement, « pour l'accomplissement de leurs missions respectives et pour l'exercice des finalités prévues à l'article 1er », d'une part, les enseignants habilités de l'équipe pédagogique et le président ou le directeur des établissements d'enseignement supérieur concernés par le projet « FUN » et, d'autre part, les agents habilités des organismes de recherche et des établissements d'enseignement supérieur. Ces derniers n'ont accès qu'à des données strictement anonymes issues de la plateforme à des fins statistiques et de recherche scientifique dans le domaine des sciences cognitives et de l'éducation.

La Commission considère que ces destinataires ont un intérêt légitime à accéder à ces données.

 

Sur les droits des personnes concernées :

Les utilisateurs de la plateforme FUN sont informés, par une mention sur le site internet de la plateforme, des éléments mentionnés à l'article 32 de la loi du 6 janvier 1978 modifiée. Cette information est également mentionnée dans les conditions générales d'utilisation de la plateforme que les utilisateurs doivent accepter lors de leur inscription.

Les droits d'opposition, d'accès et de rectification prévus par les articles 38 et suivants de la loi du 6 janvier 1978 modifiée s'exercent auprès de la direction générale de l'enseignement supérieur et de l'insertion professionnelle.

 

Sur la sécurité des données et la traçabilité des actions :

Le traitement est hébergé sur une plateforme gérée par un centre informatique rattaché au ministère et reliée au réseau Renater. L'architecture informatique de cette plateforme est constituée d'une entité de développement, d'une entité de validation et d'une entité de production, chaque entité bénéficiant d'un filtrage firewall indépendant. Le personnel de l'hébergeur a la responsabilité de l'administration système de la plateforme, tandis que l'Inria a la responsabilité des applicatifs et des développements.

Les connexions réseau de l'application et les échanges de données sont sécurisés par le protocole https. La sécurité de la plateforme n'appelle aucune remarque de la part de la Commission.

En termes d'authentification des utilisateurs, plusieurs niveaux d'accès à la plateforme informatique sont prévus :

- les administrateurs systèmes ont accès à l'ensemble des ressources de la plateforme. Ils sont localisés dans les locaux de l'hébergeur. Ils sont authentifiés par un mot de passe complexe, protocole SSH ;

- les développeurs de l'application ont accès à la plateforme de développement uniquement, depuis le réseau externe. Ils sont authentifiés par clé SSH ;

- les utilisateurs du service : ont accès à la plateforme de production. Pour accéder aux services, ils doivent s'inscrire en fournissant une adresse email servant d'identifiant et choisir un mot de passe.

Les moyens d'authentification à la plateforme n'appellent aucun commentaire de la part de la Commission.

 

S'agissant de la traçabilité, les accès à l'application sont journalisés en conservant les dates et heures de connexion et de déconnexion, l'adresse IP du poste de travail et l'identifiant de l'utilisateur. La journalisation des accès aux données personnelles concerne les dates et heures d'accès, l'adresse IP du poste de travail et l'identifiant. Toutes les actions de l'utilisateur sur l'interface sont également journalisées, mais elles ne sont pas exploitées.

Enfin, le ministère a fait part d'une réutilisation des données afin d'évaluer l'usage de la plateforme. Pour ce faire, les données d'utilisation de la plateforme seraient anonymisées avant d'être confiées à des tiers. Aucune précision n'a cependant été apportée sur le procédé d'anonymisation mis en œuvre.

Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

 

Pour la présidente de la Commission nationale de l'informatique et des libertés,

et par délégation,

Le vice-président délégué,

Emmanuel de Givry