La Présidente de la Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code pénal ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2017-072C du 17 mars 2017 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification du traitement intitulé […] mis en œuvre par X ;
Vu les procès-verbaux de contrôle n° 2017-072 et 2017-072/2 des 21 et 22 mars 2017 ;
Vu les autres pièces du dossier ;
I- Constate les faits suivants
Le traitement […] (ci-après […] ) a été créé par arrêté du 8 avril 2011 relatif à la procédure de pré-inscription en première année d’une formation post-baccalauréat. Il permet à tout lycéen ou étudiant en réorientation souhaitant s’inscrire en première année d’études dans l’enseignement supérieur de constituer un dossier afin de formuler des vœux de candidatures et de se voir proposer des conseils d’orientation.
Ce traitement a été créé en 2011 par […] (ci-après […] ) et est placé, depuis mai 2017, sous l’égide du […] (ci-après […] ).
L’article 1er de l’arrêté du 8 avril 2011 dispose qu’ est créé à X (service des concours communs polytechniques) un traitement automatisé de données à caractère personnel, site […], dont l'objet est le recueil et le traitement des vœux des candidats à une admission en première année d'une formation postbaccalauréat, l'impression d'un dossier papier pour certaines filières et le traitement statistique des données .
Par délibération n° 2011-069 du 3 mars 2011, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a émis un avis sur le projet d’arrêté précité sur le fondement de l’article 27-II-4° de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi Informatique et Libertés ou loi du 6 janvier 1978 modifiée ).
La Commission a été saisie le 25 novembre 2016 d’une plainte dénonçant la mise en œuvre par […] d’un traitement automatisé de données à caractère personnel contraire à l’article 10 de la loi du 6 janvier 1978 modifiée ainsi que l’absence d’information des personnes sur le portail […] quant aux droits qu’elles détiennent en vertu de la même loi.
En application de la décision n° 2017-072C du 17 mars 2017 de la Présidente de la Commission, une délégation de la CNIL a procédé les 21 et 22 mars 2017 à une mission de contrôle sur place dans les locaux de X situés […].
La délégation s’est attachée à examiner la conformité du traitement […] aux dispositions de la loi du 6 janvier 1978 modifiée.
La délégation de la CNIL a été informée que la maîtrise d’œuvre du portail […] a été confiée à X par convention signée le 17 mars 2015 avec X.
La délégation a été informée que des établissements proposant des formations sélectives mais aussi des formations non sélectives peuvent demander au X d’intégrer le traitement […] afin de gérer les inscriptions des candidats.
Chaque candidat peut formuler jusqu’à 24 vœux sur la plateforme […], dont 12 maximum par type de formations.
Une fois les vœux définitivement enregistrés par les étudiants, un traitement automatisé est mis en œuvre afin de classer les candidats.
S’agissant des formations sélectives, les établissements peuvent recourir au module d’aide à la décision proposé par […] en paramétrant des critères au sein d’une liste prédéfinie. Ce module permet ainsi aux établissements de prendre en compte les notes des candidats, leur curriculum vitae ou les résultats d’un entretien.
S’agissant des formations non sélectives, le classement des candidats est effectué au moyen d’un algorithme à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Si, à l’issue de ce classement, le nombre de candidats remplissant les mêmes critères reste supérieur au nombre de places disponibles, il est recouru à un tirage au sort.
Par la suite, trois phases se succèdent aux cours desquelles un second algorithme effectue des propositions d’affectation aux candidats. À chaque phase, une seule proposition est faite à un candidat. Celui-ci a la possibilité d’accepter définitivement la proposition, de l’accepter temporairement en espérant obtenir une formation mieux placée dans sa liste de vœux ou de la refuser.
La délégation a été informée que les établissements proposant des formations non sélectives n’ont pas de maîtrise sur le classement final des candidats par […].
La délégation a constaté qu’aucune information relative au traitement de données à caractère personnel n’est présente sur le formulaire […] disponible sur le site […]. Elle a en outre constaté que l’information relative notamment aux destinataires des données ne figure pas dans les mentions légales du site internet.
En outre, la délégation a constaté que les réponses apportées par X aux candidats contestant l’affectation qui leur a été proposée par […] ne font aucune référence à l’utilisation d’un algorithme pour procéder au classement et à l’affectation des candidats à des formations universitaires.
Enfin, la délégation a constaté que la convention conclue entre X et X ne prévoit pas de clauses relatives à la sécurité et à la confidentialité des données.
II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée
Un manquement à l’interdiction de prendre une décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé
Il ressort des pièces du contrôle qu’un traitement automatisé est mis en œuvre par X afin d’affecter tout lycéen ou étudiant en réorientation en première année d’études dans l’enseignement supérieur.
Ce traitement vise à répondre aux vœux d’affectation des candidats pour les formations non sélectives. Afin de répondre à cet objectif, un algorithme établit un profil des personnes à partir de trois critères d’importance décroissante, à savoir leur académie de rattachement, l’ordre des vœux qu’elles ont formulés et leur situation de famille.
Les candidats se trouvant dans une situation identique se voient attribuer par l’algorithme un nombre aléatoire permettant de les classer.
Le traitement […] permet d’adresser automatiquement aux candidats, à partir du classement effectué par l’algorithme, une proposition de formation sans que les établissements ne disposent d’une maîtrise sur l’affectation finale proposée par celui-ci.
Un étudiant dont la candidature n’est pas retenue pour une formation non sélective de son choix, du fait de la position qui lui a été attribuée par l’algorithme dans le classement, ne pourra intégrer celle-ci par un autre moyen. Il en résulte qu’une décision produisant des effets juridiques à l’égard des candidats est prise sur le seul fondement du traitement […] dès lors que celui-ci détermine les formations post-baccalauréat auxquelles ils peuvent s’inscrire.
En outre, la délégation a constaté qu’en cas de contestation de l’affectation proposée, X s’est limité à expliquer aux candidats que le nombre de demandes d’inscription dans l’établissement demandé excède la capacité d’accueil de celui-ci et qu’en application des critères définis à l’article L. 612-3 du code de l’éducation, le vœu d’inscription n’a pas pu être satisfait.
Il apparaît, par conséquent, qu’aucun réexamen de la décision finale prise sur le seul fondement du traitement […] n’est effectué au vu des éléments fournis par les candidats souhaitant contester les décisions prises à leur égard.
Dès lors, les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle.
Les faits précités constituent un manquement aux dispositions de l’article 10 de la loi du 6 janvier 1978 modifiée qui prévoit que :
Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.
Ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée .
Un manquement à l’obligation d’informer les personnes
En premier lieu, la délégation a constaté que les personnes souhaitant s’inscrire en première année d’études dans l’enseignement supérieur sont tenues de remplir un formulaire de pré-inscription sur le portail […] disponible sur le site […].
Les candidats sont amenés à fournir un nombre important de données à caractère personnel telles que leurs nom, prénom, date de naissance, pays de naissance, nationalité, situation de famille (marié, pacsé, nombre de personnes à charge), adresse, numéro de téléphone, noms et catégorie socio-professionnelle des responsables légaux, revenu brut global, nombre de frères et sœurs à charge de la famille, ou encore le nombre de frères et sœurs scolarisés dans l’enseignement supérieur.
Or, aucune information relative notamment à l’identité du responsable du traitement, à la finalité poursuivie par le traitement et aux droits dont disposent les personnes en vertu de la loi Informatique et Libertés n’est fournie sur le formulaire.
En second lieu, les notes obtenues par les candidats au baccalauréat ainsi qu’en classes de première et terminale sont insérées dans le formulaire […], soit automatiquement pour les candidats renseignant leur numéro […] , soit manuellement par les candidats ne disposant pas de cet identifiant.
La délégation a constaté que ces données sont transmises aux établissements proposant des formations sélectives afin qu’ils puissent effectuer une sélection des candidats sur la base de leurs notes.
En outre la délégation a été informée que les établissements proposant des formations non sélectives ont accès à l’intégralité des données des candidats les ayant sélectionnés dans leurs vœux.
Or, les mentions légales du site sont incomplètes en ce qu’elles n’indiquent pas notamment les destinataires des données des candidats, en l’espèce les établissements de l’enseignement supérieur.
Ces faits constituent un manquement à l’article 32-I de la loi n°78-17 du 6 janvier 1978 modifiée qui dispose que :
La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :
1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre (droits des personnes à l’égard des traitements de données) dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort ;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.
8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.
Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.
À cet égard, l’article 5 de l’arrêté du 8 avril 2011 prévoit que les candidats à une admission dans une formation postbaccalauréat et, le cas échéant, leurs responsables légaux sont informés par une mention sur le site […] de la collecte et de la destination des données à caractère personnel les concernant .
Un manquement à l’obligation de respecter le droit d’accès
La délégation a constaté que les candidats interrogeant X sur les raisons d’un refus d’affectation dans une formation au terme de la procédure prévue par le traitement […], reçoivent des réponses leur expliquant qu’en cas de capacités d’accueil insuffisantes d’un établissement, trois critères sont retenus par le code de l’éducation pour sélectionner les candidats aux formations.
Cependant, aucune information relative à l’utilisation d’un algorithme et au fonctionnement de celui-ci pour procéder au classement et à l’affectation des personnes au sein des établissements de l’enseignement supérieur (notamment la méthode ayant permis de développer l’algorithme, les contraintes ou les besoins définis par l’administration, le taux d’erreur de l’algorithme ou encore le score obtenu par le candidat, les seuils de scoring et leur signification) n’est fournie aux candidats.
Ces faits constituent un manquement à l’article 39-I-5 de la loi du 6 janvier 1978 modifiée qui dispose que toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir : Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle .
Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant
La délégation a constaté que la convention relative au portail […] conclue entre X et X ne prévoit pas de clauses relatives aux obligations du sous-traitant en matière de sécurité et de confidentialité des données à caractère personnel, précisant notamment que le sous-traitant ne peut agir que sur instruction du responsable de traitement.
Ces faits constituent un manquement aux dispositions de l’article 35 de la loi n° 78-17 du 6 janvier 1978 qui dispose notamment que Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement .
En conséquence, X, sis […] est mis en demeure, sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu’il aurait déjà pu adopter, de :
- cesser de prendre des décisions produisant des effets juridiques à l’égard des personnes sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ; en particulier, prévoir une intervention humaine permettant de tenir compte des observations des personnes ;
- procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, notamment en insérant sur tout formulaire de collecte de données à caractère personnel, une mention d’information relative à l’identité du responsable du traitement, à la finalité poursuivie par le traitement, aux droits des personnes et en indiquant aux candidats, dans les mentions légales du site internet, les destinataires auxquels les données sont transmises ;
- mettre en œuvre une procédure effective de traitement des demandes de droit d’accès garantissant la transmission aux personnes des informations permettant de connaître et de contester la logique qui sous-tend le traitement […] ;
- insérer une clause au sein de la convention conclue entre X et X précisant les obligations incombant à ce dernier en matière de sécurité et de confidentialité des données ;
- justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.
À l’issue de ce délai, si Xs’est conformé à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens.
À l’inverse, si X ne s’est pas conformé à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.
Isabelle FALQUE-PIERROTIN