Protection des données personnelles des élèves : le ministère « s’en lave les mains »

Alors que plusieurs gouvernements régionaux d’Europe développent des alternatives aux outils d’enseignement à distance majoritaires pour protéger les données personnelles des élèves, en Tchéquie, l’évaluation des risques reste du ressort des écoles – qui, en pratique, n’ont pas vraiment le choix.

Plus de deux ans et demi après la première fermeture des écoles visant à limiter la propagation du virus du Covid-19 en République tchèque, la plupart des élèves de niveau primaire ou secondaire connaissent désormais tous très bien ce son : c’est celui d’un appel audio ou vidéo par Microsoft Teams. La version destinée aux écoles de cette application de communication collaborative est l’outil d’enseignement à distance de prédilection des établissements scolaires tchèques, le deuxième étant la version pour les écoles de Google Workspace.

Ce n’est toutefois pas le cas dans d’autres pays : dans le land allemand de Bade-Wurtemberg, par exemple, le commissaire à la protection des données personnelles a décidé d’interdire l’utilisation de ces deux outils.

Si en République tchèque, la rentrée scolaire 2022 s’est faite en présentiel dans toutes les écoles du pays (et espérons qu’il en sera de même pour toute l’année scolaire), interpelé par la décision allemande, le journaliste spécialiste des données à la Radio tchèque Jan Cibulka s’est intéressé à la situation dans les écoles tchèques en matière de protection des données personnelles de leurs élèves en cas d’utilisation d’outils d’enseignement à distance.

Etat de santé, préférences sexuelles et choix politiques

Pour commencer, il rappelle que les parents et le grand public ne réalisent pas toujours la quantité et la diversité des données personnelles traitées par les écoles.

Source: Rheo,  Pixabay,  Pixabay License

« Les écoles traitent une quantité énorme de données personnelles. Elles sont souvent échangées pendant les cours par les élèves et les professeurs, ou par les élèves entre eux. Pour donner un exemple concret et très courant, je citerais la très classique rédaction de cours d’anglais ayant pour sujet ‘My family’. Elle peut contenir énormément de données personnelles protégées et souvent sensibles, par exemple ‘ma mère est hospitalisée car elle a un cancer’, ce qui constitue une information concernant la santé, ou encore ‘mon frère vit avec son copain à Barcelone’, ce qui est une information concernant l’orientation sexuelle, ou encore ‘mon père a voté ODS’, une information à caractère politique. »

Administrateurs scolaires et services de renseignement

Des informations qui ont naturellement leur place dans l’enseignement, les discussions dans le cadre scolaire et le développement de l’enfant – mais auxquelles peuvent, lorsqu’elles sont partagées sur Microsoft Teams, avoir accès des personnes ou des institutions qui n’ont pas forcément grand-chose à voir avec le personnel enseignant. Sans pour autant parler de fuites de données à caractère criminel, car les géants Google et Microsoft sont extrêmement sûrs en la matière, précise Jan Cibulka. Néanmoins, les administrateurs informatiques des établissements scolaires – mais aussi les services secrets américains – peuvent obtenir ces données :

Jan Cibulka | Photo: Tomáš Roček,  ČRo

« D’après la législation en vigueur, les données personnelles sensibles ne devraient pas être transférées aux Etats-Unis par les grandes entreprises technologiques qui les gèrent. Néanmoins, depuis les révélations du lanceur d’alerte Edward Snowden, nous savons que les services de renseignement américains collectent de nombreuses informations précisément par le biais des grandes entreprises technologiques, par exemple dans le cadre du programme Prism, et qu’elles les traitent comme bon leur semble. Ainsi ces données ne sont évidemment pas traitées d’après la norme prévue pour les données personnelles en Europe. Sur cette base, la Cour de justice de l’Union européenne a déclaré que l’accord entre l’UE et les Etats-Unis, selon lequel les données personnelles peuvent être transférées à l’étranger, n’était pas valable, et que ces transferts ne devaient pas avoir lieu. »

Source: Google

« Mais l’autre problème, beaucoup plus important sans doute, c’est que les gens ne réalisent pas que les informations échangées par les élèves sur Google Workspace ou Microsoft Teams ne sont pas seulement accessibles par ceux à qui ils les ont envoyées – c’est-à-dire leur professeur, ou leurs amis s’ils écrivent dans un chat individuel – mais que tous ces outils permettent également à l’administrateur de l’école d’accéder à ces informations, et souvent aux chats privés. Ce problème a d’ailleurs été souligné par le commissaire allemand à la protection des données, qui recommande par conséquent l’utilisation d’outils chiffrés de bout en bout, à savoir par exemple Signal, ou au moins WhatsApp de Meta. Il s’agit d’outils qui garantissent que le message ne peut être lu que par la personne qui l’a envoyé et uniquement par la personne qui l’a reçu. »

Désengagement de l’Etat tchèque

Le land de Bade-Wurtemberg n’est pas le seul à avoir interdit l’utilisation de Google Workspace et de Microsoft Teams : Jan Cibulka évoque un règlement de même teneur au Danemark et aux Pays-Bas. Pour l’instant, toutefois, rien de tel en Tchéquie :

Source: Microsoft Teams

« Cela serait à l’Office tchèque pour la protection des données personnelles de s’en charger, mais rien de tel n’a été fait pour l’instant et, pour autant que je sache, l’Office ne traite pas la question en profondeur. J’ai également interrogé le ministère de l’Education à ce sujet… En Allemagne, un audit des produits Microsoft a été réalisé en coopération avec le ministère de l’Education. Mais en Tchéquie, le ministère de l’Education estime que cette responsabilité incombe aux écoles et précise qu’il ne recommande aucun outil particulier. Or, ce n’est pas vrai, car pendant la période du Covid-19, le ministère proposait plusieurs programmes de formation destinés aux enseignants et aux écoles, et il y recommandait explicitement les produits Microsoft. »

« Cette question, l’Etat, ou plutôt le ministère tchèque de l’Education, s’en est tout simplement lavé les mains, déclarant que c’était le problème de chaque école, qui est légalement obligée d’avoir un responsable de la protection des données, une personne qui gère cela pour chaque école. Mais dans les faits, celui-ci – qui est souvent une personne embauchée par la commune pour gérer les questions liées au Règlement général de protection des données (RGPD) – n’a pas les compétences suffisantes pour cela, ni sur le plan technologique, ni sur le plan juridique. »

Photo: Steven Weirather,  Pixabay,  CC0 1.0 DEED

Pas d’alternatives

Pour éviter l’abus de données personnelles concernant leurs élèves, les écoles pourraient tout simplement arrêter d’utiliser les produits Google Workspace ou Microsoft Teams. Mais là, elles font face à un autre problème : dans les faits, il n’existe pas d’application aussi multifonctionnelle proposant aux écoles, sur une interface unique et liée, aussi bien la possibilité de réaliser des appels audio et vidéo, que d’utiliser des chats et des outils de modification de documents, entre autres fonctionnalités. Jan Cibulka :

Photo: Lenka Žižková

« Les outils alternatifs permettant de protéger pleinement la vie privée ne sont tout simplement pas disponibles en Europe. C’est d’ailleurs ce qui a été constaté en Allemagne, en Espagne aussi. Lorsqu’il a été interdit aux écoles de Baden d’utiliser ces outils, on leur a dit qu’elles pouvaient bricoler ces fonctions à partir de différents outils, mais qu’elles ne disposeraient pas d’un environnement connecté, que des interruptions étaient à prévoir pendant les appels et que le fonctionnement ne serait pas aussi fluide, ni fiable. »

« C’est évidemment un énorme problème pour les écoles, parce qu’elles ne disposent en général pas de l’expertise technique ou informatique nécessaire. Mais ce n’est pas facile, et les Etats mentionnés en sont conscients. C’est pourquoi l’Allemagne et l’Espagne envisagent de développer leur propre outil qui offrirait ces fonctionnalités comme ceux de Google ou de Microsoft, tout en étant pleinement conformes au RGPD. »

Le droit de ne pas être d’accord

En attendant, que peuvent faire les parents tchèques qui s’inquiètent de la façon dont sont traitées les données personnelles concernant leurs enfants scolarisés ? Jan Cibulka :

Photo illustrative: Julia M Cameron,  Pexels

« La chose la plus simple est de demander à l’école. Même le ministère dit que chaque école doit avoir une personne désignée, il est parfaitement normal que les parents posent la question : ‘Qui peut avoir accès à ces données ? Qui en assure le suivi ?’ Ils ont le droit d’obtenir une réponse, pas une réponse juridique ni technique, mais une réponse claire sur ce qu’il advient des données. Les parents, mais aussi les élèves majeurs, ont le droit de pas être d’accord. S’ils ne sont pas satisfaits de la réponse qu’on leur donne, ils peuvent bien sûr contacter l’Office tchèque pour la protection des données personnelles. Nous savons qu’à l’étranger, les offices pour la protection des données personnelles apportent leur aide à cet égard, fournissent des conseils aux écoles et communiquent avec les entreprises technologiques. Ce n’est pas encore le cas en République tchèque, mais nous devrions probablement exiger que cela le soit. »

Auteurs: Anaïs Raimbault , Matěj Skalický
mot-clé:
lancer la lecture