Délibération n° 2012-177 du 31 mai 2012 portant avis sur un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires (demande d'avis n° 1581777)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de l'éducation nationale (MEN) d'un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95146/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'éducation, notamment ses articles L. 331-1, L. 331-2, D. 334-15 à D. 334-22 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 27-11-4 et 27-III ;
Vu la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal, et notamment son article 16 ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment son article 9-1 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-753 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment ses articles 3 et 5 ;
Vu l'arrêté du 12 juillet 1995 portant création d'un traitement automatisé d'informations nominatives relatif à la gestion des examens et concours scolaires modifié par l'arrêté du 16 janvier 1997 ;
Vu les délibérations n° 93-073 du 7 septembre 1993, n° 95-044 du 4 avril 1995 et n° 96-079 du 1er octobre 1996 portant avis sur le projet d'arrêté présenté par le ministère de l'éducation nationale créant un modèle type de traitement automatisé concernant la gestion des concours et examens scolaires dénommé SAGACES ;
Vu la demande d'avis du directeur général de la direction générale de l'enseignement scolaire sur un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires ;
Après avoir entendu M. Eric PERES, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission prend acte du fait que le système d'information OCEAN est composé de onze traitements, regroupés en quatre grands modules.
Le module « réglementaire » ne comporte aucune donnée à caractère personnel. Il met à disposition les règles relatives au passage de l'épreuve (libellé de l'examen, spécialités et options, statut obligatoire ou facultatif de l'épreuve, type écrit ou oral, durée, coefficient, conditions d'âge et de titre pour l'inscription, règles de dispense, règles de calcul des résultats).
Le module « inscription » est composé :
― d'une part, du téléservice INSCRINET qui permet aux candidats aux examens de gérer leur inscription en ligne ainsi que de gérer les candidatures enregistrées ;
― d'autre part, du module de gestion de base qui permet de créer, de modifier, de supprimer des candidatures sous OCEAN et d'éditer des documents (confirmation d'inscription, listes, statistiques, étiquettes candidats, autres).
Le module « Organisation-Affectation-Déroulement » permet l'organisation matérielle des épreuves, via :
― d'une part, le traitement de gestion de base du nombre de candidats inscrits aux épreuves, de répartition dans les centres d'examen et d'édition des documents nécessaires à l'organisation des épreuves (convocations des candidats, étiquettes à coller sur les tables) ; de l'outil de télégestion ORGANET qui permet aux établissements d'effectuer la répartition dans les salles d'examens et d'éditer les documents nécessaires.
Le module « notation » comporte six traitements de données à caractère personnel :
― le traitement de gestion de base, qui permet la préparation des lots de copies à corriger ;
― l'outil de télégestion NOTANET permettant, pour les élèves de troisième candidatant au diplôme national du brevet, la saisie des notes de contrôle continu et des compétences acquises et enregistrées dans le livret personnel de compétences ;
― l'outil de télégestion EPSENET permettant, pour les élèves de terminale, la saisie des notes de contrôle continu en éducation physique et sportive ;
― l'outil de télégestion LOTANET permettant la saisie des notes d'épreuves attribuées par les évaluateurs aux candidats ;
― l'outil de télégestion DELIBNET pour l'édition des relevés de note définitifs ;
― le téléservice PUBLINET qui permet à chaque candidat d'accéder en ligne à ses résultats d'examens détaillés.
Conformément à l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés (CNIL) a été saisie par le ministère de l'éducation nationale (MEN) d'une demande d'avis relative au projet d'arrêté portant création d'un traitement automatisé de données relatif à la gestion des examens et concours scolaires.
Conformément aux dispositions de l'article 27-III de la loi du 6 janvier 1978 modifiée, l'arrêté examiné constitue un acte réglementaire unique, en référence duquel des engagements de conformité seront adressés à la commission par les rectorats et les inspections d'académie préalablement à la mise en œuvre d'un traitement automatisé de données relatif à la gestion des examens et concours scolaires.
Sur les finalités :
La finalité d'OCEAN est de permettre la gestion des « opérations propres à l'organisation des examens et concours scolaires » (art. 1er, alinéa 1, du projet d'arrêté), à l'exclusion de l'organisation des concours administratifs susceptibles d'être passés par les agents du service public de l'éducation nationale.
Le téléservice INSCRINET permet une inscription immédiate et à distance des candidats aux examens et concours scolaires.
Le téléservice PUBLINET offre, d'une part, l'accès à tous les résultats positifs obtenus aux examens ou concours (admis, mention, à l'exclusion de toute mention des candidats refusés) et, d'autre part, l'accès, pour chaque candidat, à un compte personnel présentant le détail des notes obtenues (à consulter individuellement via la saisie d'un identifiant).
La commission recommande que l'article 1er, alinéa 2, du projet d'arrêté soit modifié afin de dissocier clairement les trois finalités des téléservices INSCRINET et PUBLINET.
Sur les données traitées :
La commission prend acte des catégories de données traitées inscrites dans l'article 2 du projet d'arrêté.
En premier lieu, elle considère que la collecte des deux catégories de données collectées « pour l'élaboration de statistiques », à savoir la « nationalité » des candidats et la « catégorie socioprofessionnelle » de leurs responsables légaux, ne doit en aucun cas conditionner l'inscription individuelle à un examen ou à un concours scolaire. C'est pourquoi elle recommande que le caractère facultatif de ces champs soit clairement indiqué.
Elle demande également au MEN d'indiquer clairement la nature académique de l'identifiant « INE » en le mentionnant sous le format « INE-BEA ». Cette modification devra également être portée dans l'article 3, alinéa 2, point 3, du projet d'arrêté.
En deuxième lieu, afin d'améliorer la prise en charge efficace et spécifique du candidat lors du passage d'un examen ou d'un concours scolaire, la commission rappelle que des cases à cocher pourraient préciser les équipements ou l'accompagnement à mettre à disposition des candidats souffrant d'un handicap (fauteuil roulant, accompagnement en salle, autre type d'aide).
Sur les destinataires :
Concernant le premier alinéa de l'article 3 du projet d'arrêté, la commission recommande que la mention des agents du ministère de l'éducation nationale (MEN) et du ministère de l'enseignement supérieur et de la recherche (MESR) « habilités à recevoir communication de ces données » soit ainsi rédigée « habilités, pour l'accomplissement de leurs missions respectives, à recevoir communication de ces données ».
La commission recommande également l'insertion de cette mention dans le deuxième alinéa de l'article 3.
Elle prend acte que, du fait de la suppression de la procédure d'affiliation des élèves ou des étudiants au régime de sécurité sociale via OCEAN, « les agents habilités des caisses primaires d'assurance maladie pour l'application des dispositions de l'article 64 de la loi n° 95-116 du 4 février 1995 » mentionnés à l'article 3, alinéa 2, du projet d'arrêté soumis à la commission ne seront plus identifiés comme destinataires dans le projet d'arrêté définitif.
Concernant « la presse et les organismes privés, pour la publication des résultats des candidats », l'article 3, alinéa 2, du projet d'arrêté soumet la transmission des informations relatives aux résultats obtenus au recueil exprès et préalable du consentement des candidats concernés (case à cocher sur le formulaire d'inscription).
Cette disposition ne précise en revanche ni les missions des organismes privés concernés, ni la finalité de la transmission des données, ni l'existence, ou non, d'une licence de réutilisation des informations figurant dans les listes de résultats d'examens. Elle n'indique pas non plus si la transmission visée est systématique ou effectuée lorsque les organismes privés en question en font la demande expresse.
Afin d'encadrer la mise en œuvre de cette transmission, la commission demande au ministère de préciser la mention inscrite dans le projet d'arrêté de la manière suivante : « la presse et les organismes privés ayant signé une licence de réutilisation des informations figurant dans les listes de résultats d'examens », telle que prévue par l'article 16 de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal.
Par ailleurs, la commission considère que la donnée « code au registre national des établissements de l'établissement dans lequel, le cas échéant, la scolarité est poursuivie » n'est pas strictement nécessaire à la mission de publication (ou de mise à disposition en ligne) des résultats d'examens et de concours scolaires.
Elle considère donc que, dans le cadre de la publication des résultats, cette donnée n'a pas à être transmise à la presse et aux organismes privés concernés.
Concernant « les agents habilités des collectivités territoriales participant au service public de l'éducation », la commission prend acte que la transmission des données d'identification des candidats aura pour objectif de permettre aux collectivités de récompenser les lauréats aux examens de diverses manières (invitation à des réceptions, envois de chèques notamment), que cette transmission sera soumise au recueil exprès et préalable du consentement des candidats concernés (case à cocher sur le formulaire d'inscription) et qu'elle ne concernera que les collectivités qui en feront la demande.
Concernant ce type de transmission, la commission propose que le projet d'arrêté soit ainsi complété : « Les données transmises aux collectivités territoriales sont supprimées après la remise des récompenses aux lauréats des différents examens ».
Sur la sécurité :
Conformément aux articles 3 et 5 du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, l'architecture technique du traitement OCEAN a été modifiée pour répondre aux exigences du référentiel général de sécurité (RGS).
La commission prend acte qu'une homologation à ce référentiel est actuellement en cours et sera effective avant le mois de mai 2013.
Toutefois, le ministère a indiqué que l'analyse de risque porterait exclusivement sur l'application CYCLADES, qui remplacera, à terme, l'application OCEAN.
Les mesures techniques apportées étant susceptibles de diverger entre CYCLADES et OCEAN, la commission recommande que l'application OCEAN fasse l'objet d'une analyse de sécurité complète. Elle considère que, pour être en conformité avec les exigences du décret n° 2010-112 du 2 février 2010, la modification en profondeur de l'architecture technique d'OCEAN, qui justifie largement la présente saisine de la CNIL, doit donner lieu à une telle analyse.
A ce titre, elle prend acte que, conformément aux recommandations de l'ANSSI, l'analyse de sécurité (analyse de risques, objectifs de sécurité, fonctions de sécurité et niveau de ces fonctions) couvrira la sécurité des données à caractère personnel. La commission recommande que cette analyse envisage non seulement les impacts sur l'organisme mais également les impacts sur les personnes concernées.
En outre, l'homologation nationale s'accompagnera d'un engagement formel de sécurisation au niveau local de la part du rectorat ou de l'inspection académique concernée.
Sur ce point, la commission observe que l'article 7 du projet d'arrêté soumis à la commission porte exclusivement sur la traçabilité des accès (identifiant de l'utilisateur, date et heure d'intervention), sans préciser le type d'accès concerné (consultation, création, mise à jour ou suppression).
C'est pourquoi la commission insiste sur la nécessité de définir, dans un nouvel article du projet d'arrêté, les conditions de garantie de la sécurité des données ainsi que les exigences minimales que devront s'engager à respecter les rectorats et les inspections d'académie susceptibles de réaliser un engagement de conformité à cet arrêté.
Elle propose que le projet d'arrêté soit complété, après l'article 8, par un article supplémentaire indiquant que les rectorats s'engagent à mettre en place les mesures de sécurité recommandées par le MEN dans l'analyse de risque. Celui-ci pourrait être ainsi rédigé : « Les rectorats et les inspections académiques adressant un engagement de conformité au présent arrêté s'engagent également à mettre en œuvre 1'ensemble des mesures de réduction de risques prévues et conseillées par 1'analyse de sécurité réalisée par le ministère de l'éducation nationale ».
La commission appelle l'attention du ministère sur la nécessité de sensibiliser les rectorats et les inspections d'académie concernés aux obligations résultant de cette analyse de risque et aux mesures qu'il convient d'adopter pour s'y conformer.
Sur la durée de conservation :
La durée de conservation des données prévue à l'article 6 du projet d'arrêté n'appelle pas d'observation.
Sur les droits des personnes :
En application de l'article 32 de la loi du 6 janvier 1978 modifiée, les candidats aux examens et concours scolaires (ou leurs responsables légaux) seront informés de l'enregistrement de données à caractère personnel les concernant dans OCEAN au moyen de mentions sur le site internet du rectorat concerné, mais également individuellement via les mentions portées sur les confirmations d'inscription adressées aux candidats.
Conformément aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, l'exercice du droit d'accès et de rectification s'effectuera auprès des services d'examens et concours scolaires des rectorats ou des inspections académiques. La commission propose que l'article 4 du projet d'arrêté mentionne : « et l'article 40 » en lieu et place de la mention « et suivants ».
La commission prend acte que « conformément au troisième alinéa de l'article 38, alinéa 3, de la loi du 6 janvier 1978 modifiée, le droit d'opposition ne s'applique pas au présent traitement. Toutefois, les candidats ont le droit de s'opposer, pour des motifs légitimes, à ce que les données les concernant soient publiées via le téléservice PUBLINET, conformément au premier alinéa de l'article 38 » (art. 5 du projet d'arrêté).
L'ensemble de ces éléments n'appelle aucune observation de la commission.
Autres recommandations de la CNIL :
S'agissant du consentement préalable des candidats à toute transmission de données les concernant, la commission préconise que le consentement préalable et exprès des candidats soit recueilli par deux cases à cocher distinctes (non précochées) concernant, d'une part, les collectivités territoriales qui en feraient la demande, et, d'autre part, les organismes privés ayant signé une licence de réutilisation des informations figurant dans les listes de résultats d'examens.
Concernant les candidats qui ne souhaiteraient pas utiliser les téléservices INSCRINET et PUBLINET, ou ne seraient pas en mesure de le faire, le MEN devrait clairement les informer des moyens dont il dispose (procédure postale, équipements informatiques mis à sa disposition dans les établissements) pour s'inscrire à un examen ou à un concours scolaire, ou bien pour consulter ses résultats.
Sur la mise en place d'un bilan :
La commission demande au MEN de lui adresser, dans un délai de deux ans, un bilan sur la mise en œuvre du traitement OCEAN, concernant :
― la procédure d'homologation au RGS actuellement en cours ;
― la mise en œuvre des recommandations de sécurité du MEN (analyse des risques, objectifs de sécurité, fonctions de sécurité et niveaux de ces fonctions) visant à se conformer au RGS, par les rectorats ou les inspections académiques ;
― les engagements de conformité à l'acte réglementaire unique accomplis par les rectorats et les inspections académiques ;
― la procédure de recueil exprès et préalable du consentement des candidats aux examens et concours scolaires concernant la transmission de données les concernant aux organismes privés ayant signé un contrat de licence avec le MEN et aux collectivités territoriales en ayant fait la demande ;
― les téléservices INSCRINET et PUBLINET (tableau statistique récapitulatif).


La présidente,
I. Falque-Pierrotin

Extrait du Journal officiel électronique authentifié PDF - 220,5 Ko
Retourner en haut de la page