L’année 2020 a été riche d’enseignements pour l’école numérique. Pour faire face à la première vague de la pandémie de Covid-19, les cours en classe ont basculé dans l’urgence en virtuel pendant le premier confinement que nous avons connu au printemps dernier. Avec les élèves « dans la nature » et un fracture numérique très marquée au sein des foyers français, les professeurs ont dû faire avec les moyens du bord pour assurer la continuité pédagogique, usant des ressources numériques qu’ils avaient sous la main. Les ENT, vites saturés, ont parfois été remplacés par des solutions grand public, comme la très populaire plateforme Zoom, au détriment des règles en vigueur sur la protection des données personnelles.
Le déploiement de ressources numériques induit pourtant le stockage d’immenses quantités de données sur les élèves et sur les personnels des établissements scolaires, qu’elles soient liées à la vie scolaire (résultats, notations, etc.), aux informations privées (adresse, coordonnées, etc.) ou dans certains cas plus sensibles, comme les régimes alimentaires et les fichiers médicaux.
A la rentrée de septembre, une décision de la CNIL est venue remettre les pendules à l’heure. Le régulateur a rappelé à l’ordre la députée LREM Sonia Krimi et l’Académie de Normandie, pour utilisation illicite de données appartenant à des bacheliers, alors que celles-ci figuraient dans un fichier dédié à la gestion des examens et des concours scolaires. L’élue de la Manche avait cru bon d’adresser un message de félicitation aux nouveaux bacheliers de sa circonscription grâce aux informations personnelles fournies par le rectorat, faisant fi du RGPD.
Des lacunes dans la formation
Ces comportements reflètent la méconnaissance qui persiste au sujet de la protection des données personnelles sur Internet. Interrogée par ZDNet, Menel, enseignante d’histoire-géographie dans le rectorat de Versailles, témoigne des paradoxes entre les établissements qu’elle a fréquentés. Au printemps dernier, la direction d’un collège parisien, où l’enseignante contractuelle travaillait alors, interdisait à ses élèves de créer des groupes de classe sur des services de messagerie en ligne, du type Whatsapp, tandis que dans un autre lycée, l’enseignante avait constaté qu’un professeur titulaire avait pris l’initiative de lancer une discussion de classe sur ce même medium.
Si cette enseignante d’Ile-de-France avait par chance bénéficié d’une « formation express » sur Teams dans l’établissement où elle travaillait l’an dernier en prévision de la première vague de la pandémie, elle estime en revanche que les formations viennent à manquer sur ces sujets. Pour elle, la culture numérique des enseignants est très inégale, et dépend de leur appétence personnelle pour l’informatique.
Les profs reçoivent pourtant une charte informatique à signer en début d’année. Mais noyé avec le reste, ce document n’est généralement pas lu intégralement, se désole l’enseignante, qui se dit à titre personnel très attachée au RGPD. « Je ne suis pas technophobe, je m’y intéresse beaucoup. Mais nous n’avons pas suffisamment de sensibilisation sur la protection des données ».
La sonnette d’alarme avait été tirée du côté syndical. Au moment de la première vague de la pandémie, le SNES FSU, le syndicat qui regroupe les personnels des collèges et lycées, avait mis en garde le personnel des établissements scolaires sur le volet RGPD. « Contrairement aux déclarations du ministre, les personnels ne sont pas prêts », exprimait le SNES-FSU dans un communiqué.
Prise de conscience tardive
Si le RGPD est encore mal appliqué (et mal compris), c’est probablement une affaire de « culture numérique », avance Alain Michel, ancien enseignant, depuis quelques années en situation de détachement administratif auprès de Réseau Canopé en qualité de Médiateur de ressources numériques. Cette méconnaissance s’applique aussi bien sur « ce qui se cache derrière les outils en ligne » que sur « la définition même de ce qu’est une donnée personnelle au départ », indique ce dernier à ZDNet.
« Pendant le confinement, il était difficile d’entraîner les professeurs dans cette démarche RGPD, puisque les enseignants devaient répondre à l’urgence et faire classe en virtuel pour garder le lien avec leurs élèves. C’était une situation très compliquée, et personne n’était préparé. Dans l’urgence, chaque a dû se débrouiller » souligne Alain Michel, chargé entre autres de mettre en place des formations sur l’usage des outils numériques en classe.
Interrogé par ZDNet, Grégoire Hanquier, directeur juridique de Data Legal Drive, se joint à ce constat. Pour lui, le RGPD manque de visibilité dans le « vaste chantier de l’Education nationale ». Le juriste estime que l’Education nationale doit aujourd’hui mettre les moyens pour garantir une protection des données personnelles. « Il faut que l’Education nationale entre dans une démarche de confiance et de transparence pour faire de cette crise sanitaire un marche-pied dans le cadre de la conformité au RGPD ».
Alain Michel constate toutefois que ce premier confinement a servi, d’une certaine manière, de « déclencheur », puisque des questions que les profs se posaient « que très peu auparavant » sont venues sur le tapis. « Je prends mon bâton de pèlerin. Nous partons de très loin ! » confie l’expert. « Aujourd’hui, il y a de vraies incitations qui sont faites par l’institution pour faire usage des outils basés sur le logiciel libre. Toute cette crise a permis à l’Education nationale de lancer la machine. »
Des conseils dispensés au niveau des rectorats
Les formations liées au RGPD ont fleuri depuis le premier confinement, et notamment à distance par le biais de webinars. « Cette thématique s’est insérée dans les programmes de formation. Il y a désormais plus de demandes et plus d’offres » estime Alain Michel.
Les actions mises en place ne sont pas nouvelles en soi, mais se sont intensifiées en 2020. Quelques années en arrière, la CNIL appelait déjà à un encadrement des services numériques dans l’Education, et s’était saisie d’un projet de charte, devant se traduire par un encadrement juridique contraignant des fournisseurs. Depuis l’entrée en vigueur du RGPD, des délégués à la protection des données (DPD) académiques ont été nommés, des formations ont été initiées par le biais du parcours m@gistère de formation en ligne et du réseau Canopé, et un comité d’éthique et d’expertise en matière de données numériques placé auprès du ministre de l’Education nationale a été créé.
La crise de la Covid-19 a mis en exergue le besoin d’accélérer la production d’une offre nationale. Le site apps.education a ainsi été lancé en version bêta après le début du premier confinement pour recenser les offres préconisées par le ministère de l’Education et pallier le manque d’outils mis à disposition des enseignants, notamment des outils de visioconférence, de traitement de texte, de stockage de fichiers, ou des outils de création de blog. D’autres outils existaient déjà bien sûr avant, mais ils étaient souvent laissés de côté, considérés comme « moins conviviaux, moins rapides et simples que les outils en ligne plus grand public » explique Alain Michel.
Les rectorats ont commencé à publier sur leurs sites de la documentation à l’usage des enseignants, comme la DANE (Délégation académique au numérique éducatif) de l’académie de Lyon et son guide pour une démarche de questionnement ou encore la DANE de Poitiers qui aide à choisir des outils numériques respectueux.
L’académie de Versailles a pour sa part rédigé une fiche sur les réflexes à adopter avant de choisir des services en ligne. Les profs sont invités à regarder attentivement les mentions relatives au RGPD, la liste des données utilisées, l’hébergement des données ou encore les conditions de consentements. Le groupe académique proscrit l’usage de Discord, Whatsapp et Zoom à des fins pédagogiques, justifiant que ces services très populaires sont incompatibles avec une mission de service public.
« La quadrature du cercle »
Les profs sont responsables, à leur niveau, du choix des outils numériques, mais au niveau de l’établissement, la responsabilité des traitements est partagée par le chef d’établissement pour un établissement scolaire d’enseignement secondaire et le recteur pour les écoles.
« Théoriquement, pour qu’un enseignant utilise des services en ligne, celui-ci doit être « le plus RGPD compatible » et doit faire l’objet d’une déclaration au registre de traitement des données de l’établissement par le chef d’établissement. Mais cela arrive peu souvent, puisque dans la plupart des cas, seuls les ENT et les logiciels maison sont déclarés au registre » évoque Alain Michel, qui parle à ce stade de « quadrature du cercle. C’est presque impossible de trouver des services en ligne qui soient à 100% compatibles au RGPD. Les enseignants prennent donc des risques quand ils n’ont pas trouvé de meilleur outil » souligne le formateur.
Aussi, l’accès à des solutions hors ENT ou dispositif ministériel (type Cned par exemple) nécessite l’aval du chef d’établissement, et si les élèves sont mineurs (c’est à dire s’ils ont moins de 15 ans), l’autorisation des parents en plus.
Logiciel libre VS Microsoft
Alors que le ministère de l’Education encourage le recours aux logiciels libres en priorité, il y a comme une ombre au tableau, soulèvent les experts interrogés. En septembre dernier, le CNLL, Union des entreprises du logiciel libre et du numérique ouvert, déplorait l’ouverture d’un nouveau marché public par l’Education nationale, qui vise à fournir des licences et services Microsoft aux employés du ministère.
Mentionnant le choix de l’Education nationale de s’appuyer sur l’hébergeur Microsoft, Grégoire Hanquier assure qu’il faut « une meilleure cohérence entre les exigences du RGPD et les choix qui sont fait au niveau de l’Education nationale », et cela passe par des efforts accrus en terme de gouvernance et d’usages logiciel.
Alain Michel insiste, pour sa part, sur le fait qu’un certain nombre d’acteurs du logiciel libre proposent des alternatives vers lesquelles les enseignants peuvent se tourner pour dispenser des cours numériques, à l’image de l’association Framasoft, qui, selon le formateur, est « très connue dans le milieu de l’enseignement. Nous avons aussi vu apparaître d’autres services équivalents à Framasoft, basés sur des solutions libres, et respectueux des données personnelles comme le service entraide, Cryptpad ou encore NoMagic » ajoute le spécialiste.
Dans ce vaste chantier qu’est le RGPD à l’école, l’éducation au numérique occupe aussi une place centrale. Les élèves, qui seront eux-mêmes confrontés plus tard à ces questions dans leurs carrières professionnelles, sont familiarisés de plus en plus tôt dans leur parcours scolaire à la protection des données personnelles.
Le Sundep solidaires recommande vivement à ses collègues d’être vigilant.es et de poser toutes les questions à leurs délégués syndicaux au sein de leur établissement afin que les élu.es au CSE fassent remonter les dysfonctionnements rencontrés.
quitte à mettre en place un accord d’entreprise sur le droit à la déconnexion par exemple qui permettra de respecter la vie privée des personnels. Le Sundep solidaires dénonce fortement les dérives des chefs d’établissement ou autres supérieurs qui envoient toutes sortes de messages via les mails, ou autres réseaux sociaux tels que whatapps entre autre durant les périodes de vacances ou en soirée ou encore pendant le week-end.
Vous avez le droit de ne pas ouvrir et de ne pas lire !
Ensemble faisons respecter le droit à la vie privée !