La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de l'enseignement supérieur, de la recherche et de l'innovation d'une demande d'avis concernant un projet d'arrêté autorisant la mise en œuvre d'un traitement de données à caractère personnel dénommé Parcoursup ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'éducation ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Joëlle FARCHY, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de l'enseignement supérieur, de la recherche et de l'innovation d'une demande d'avis portant sur un projet d'arrêté autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé Parcoursup.
Dans la mesure où le traitement automatisé de données à caractère personnel permet de formuler une demande de préinscription dans une formation de l'enseignement supérieur, il permet aux usagers du service public de l'éducation d'effectuer une démarche administrative et constitue un téléservice de l'administration électronique, au sens de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, qui doit dès lors être autorisé par arrêté ministériel, pris après avis motivé et publié de la commission.
A titre liminaire, la commission relève que la plate-forme APB « admission post-bac » (APB) qui permettait le recueil et le traitement des vœux des candidats à une première année de formation dans l'enseignement supérieur, a été fermée. Dès lors, il n'existe plus à ce jour de téléservice permettant la préinscription dans l'enseignement supérieur. Par ailleurs, le Gouvernement a décidé de réformer le code de l'éducation afin de prévoir de nouveaux critères d'affectation des candidats dans une formation de l'enseignement supérieur, mais ces dispositions ne sont pas encore en vigueur, le projet de loi « orientation et réussite des étudiants » étant en cours d'examen par le Parlement.
Dans l'attente des nouvelles dispositions applicables et pour assurer la mise en place de la rentrée 2018, le ministère a décidé de mettre en œuvre une plate-forme de recueil des vœux des candidats, et a saisi la commission d'un projet d'arrêté concernant ce traitement de données à caractère personnel.
Dans ce contexte, la commission estime que la nécessité de garantir la continuité du service public de l'enseignement supérieur justifie de procéder à une collecte des vœux et des données qui pourraient ultérieurement être nécessaires à l'affectation des candidats, également dite opération de traitement des vœux. Elle considère toutefois que cette collecte doit revêtir un caractère préparatoire et temporaire et qu'elle doit être assortie de garanties. C'est à la lumière de ces éléments que la commission examinera le traitement projeté.
La commission prend en outre acte de l'engagement du ministère de la saisir ultérieurement du traitement couvrant l'ensemble du dispositif et permettant l'affectation des candidats. Elle rappelle enfin que son présent avis est sans préjudice des observations qu'elle pourra formuler sur le futur dispositif.
Sur les finalités :
L'article 1er du projet d'arrêté prévoit que le traitement dénommé Parcoursup a pour finalité « le recueil des vœux dans le cadre de la gestion de la procédure nationale de préinscription dans une formation du premier cycle de l'enseignement supérieur ».
Le code de l'éducation prévoit déjà un dispositif de préinscription, ce que ne remet pas en cause le projet de loi précité. Le recueil des vœux des candidats et la collecte des données et informations qui permettront par la suite de traiter ces vœux est la première étape nécessaire à une telle préinscription. La mise en œuvre de ce traitement est ainsi justifiée, étant rappelé qu'il ne sera pas procédé à une prise de décision d'affectation, dans le cadre de ce premier traitement.
Compte tenu de la nature préparatoire du traitement et des garanties qui doivent entourer sa mise en œuvre, la commission estime que le projet d'arrêté devrait rendre compte du nécessaire caractère temporaire de celui-ci, dans l'attente d'une nouvelle saisine du ministère. A cet égard, elle prend acte de l'engagement du ministère de modifier le projet d'arrêté en limitant le traitement à l'année universitaire 2018-2019.
Au regard de ces éléments, la commission considère que la finalité du traitement est déterminée, explicite et légitime, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données :
L'article 2 du projet d'arrêté renvoie à une annexe listant les données enregistrées dans Parcoursup. Outre les données relatives à l'identité des candidats et de leurs responsables légaux sont enregistrées des données relatives à la scolarité des candidats, à leur projet de formation, à leur parcours extra-scolaire, le cas échéant, à leur statut de boursier, aux appréciations par le professeur principal et le chef d'établissement.
Compte tenu de l'objectif préparatoire du nouveau dispositif de préinscription dans l'enseignement supérieur poursuivi par le traitement et en l'état des éléments dont dispose la commission, la collecte de ces nombreuses catégories de données collectées n'appelle pas d'observations particulières.
La commission estime toutefois que le ministère devrait s'engager, d'une part, à ne pas traiter ces données à d'autres fins que le recueil préparatoire des vœux et données et, d'autre part, à supprimer celles qui ne seraient pas ultérieurement nécessaires à l'affectation des candidats, au regard des dispositions qui seront applicables au dispositif de préinscription.
En tout état de cause, la commission rappelle que la pertinence de chacune de ces catégories de données sera ultérieurement réexaminée en détail, lors de la saisine du nouveau projet d'arrêté relatif à Parcoursup.
Sous réserve du respect de ces observations, la commission considère que les données enregistrées dans Parcoursup sont conformes à l'article 6 (3°) la loi du 6 janvier 1978 modifiée.
Sur les durées de conservation :
L'article 4 du projet d'arrêté prévoit que les données et informations enregistrées dans Parcoursup sont conservées en base active pendant une durée maximale de deux ans puis de quatre ans en base d'archives intermédiaires. Le ministère a précisé que la durée de conservation en base active a pour objet de permettre aux candidats qui ont formulé des vœux sans que ceux-ci n'aboutissent à une inscription dans une formation de l'enseignement supérieur, de récupérer sur la plate-forme les éléments du dossier déjà constitués. La durée de conservation en base d'archives intermédiaires doit permettre de répondre à d'éventuels recours administratifs ou contentieux formés contre les décisions individuelles prises.
La commission rappelle que la durée de conservation des données collectées doit être appréciée à l'aune de l'objectif préparatoire et temporaire poursuivi par le traitement. Elle estime dès lors que les durées de conservation prévues par le projet d'arrêté ne sont pas proportionnées au recueil des vœux et données, indispensable pour préparer la prochaine rentrée universitaire et que le projet d'arrêté devrait être modifié sur ce point.
La commission considère que le projet d'arrêté devrait prévoir une durée de conservation limitée à la durée nécessaire au recueil des vœux assortie d'une possibilité de conserver, dans le traitement ultérieur permettant l'affectation des candidats, les catégories de données nécessaires à l'affectation des candidats et la suppression des autres données.
A cet égard, la commission prend acte de l'engagement du ministère de modifier le projet d'arrêté afin, d'une part, de limiter la durée de conservation des données au 2 avril 2018, date à laquelle les vœux devraient être examinés par les établissements d'enseignement supérieur, et, d'autre part, de prévoir qu'après cette date, les données collectées seront supprimées à moins que leur traitement ne soit expressément autorisé par la réglementation en vigueur à cette date.
Sur les destinataires :
L'article 3 du projet d'arrêté prévoit des destinataires au sein de la direction de l'enseignement supérieur et de l'insertion professionnelle (DGESIP) du ministère de l'enseignement supérieur et de la direction générale de l'enseignement scolaire (DGESCO) du ministère de l'éducation nationale, des rectorats et des établissements du second degré dans lequel sont scolarisés les candidats.
La commission rappelle qu'est seul justifié l'accès par des personnes devant avoir connaissance des vœux des candidats, dans le cadre de la phase temporaire de leur recueil. A cet égard, elle relève que les personnels des établissements du second degré (notamment les professeurs et chefs d'établissement) doivent saisir des informations et appréciations sur les candidats. Le ministère a en outre précisé que certains personnels des rectorats (chef du service académique de l'information et de l'orientation - CSAIO - et ses collaborateurs) et du département de l'orientation et de la vie de campus, équipe de la DGESIP qui assure la maîtrise d'ouvrage de Parcoursup, sont chargés d'apporter une aide individualisée aux candidats qui rencontreraient des difficultés pour saisir leurs vœux, notamment en cas de blocage de leur dossier. Dès lors, l'accès de ces personnels aux données enregistrées dans Parcoursup est justifié.
En revanche, en l'absence de précisions sur les raisons justifiant que des personnels de la DGESCO connaissent, au stade du recueil des vœux des candidats, les données enregistrées dans le présent traitement, la commission estime que la transmission, à ces destinataires, des données n'est pas justifiée au regard de la finalité poursuivie. Elle prend acte de l'engagement du ministère de modifier le projet d'arrêté sur ce point et rappelle que cela n'exclut pas que l'accès de tels personnels puisse, par la suite, être justifié au regard des dispositions qui seront ultérieurement applicables.
Sur l'information et les droits des personnes :
Le ministère a précisé que l'information prévue à l'article 32 de la loi du 6 janvier 1978 modifiée figurera dans la charte candidat, dont celui-ci doit prendre connaissance avant la saisie de ses vœux. Le modèle de mention fourni par le ministère contient l'ensemble des mentions informatives prévues par la loi.
En application de l'article 38 de la loi du 6 janvier 1978 modifiée, l'article 5 du projet d'arrêté exclut le droit d'opposition. Cette exclusion est conforme à l'article 38 de la loi du 6 janvier 1978, tel qu'interprété par le Conseil d'État, le traitement étant fondé sur l'article 27 de ladite loi.
En outre, cette exclusion se comprend dans la mesure où la préinscription en ligne est obligatoire, conformément à l'article L. 612-3 du code de l'éducation qui prévoit que les candidats doivent solliciter une préinscription lui permettant de bénéficier du dispositif d'information et d'orientation, ce que ne remet au demeurant pas en cause le projet de loi précité.
Les droits des articles 39 et suivants s'exercent auprès du ministère. Ces dispositions n'appellent pas d'observation particulière de la commission dans la mesure où le présent traitement ne recourt pas à un algorithme de classement. Elle rappelle que, dans le cadre de la saisine ultérieure qui devra intervenir sur le dispositif d'affectation des candidats, elle sera particulièrement vigilante sur la manière dont le ministère aura prévu de fournir aux personnes concernées des éléments permettant de comprendre la logique qui sous-tend l'algorithme, conformément à l'article 39-I (5°) de la loi « Informatique et Libertés ».
Sur les mesures de sécurité :
Le traitement constituant un téléservice de l'administration électronique au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010. La commission rappelle que le ministère doit attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et publier l'attestation d'homologation sur le site du téléservice.
Le ministère avait indiqué que le contrôle d'accès à Parcoursup se ferait par un mot de passe composé de huit caractères minimum dont au moins deux alphanumériques et deux non alphanumériques dont le renouvellement était annuel. Ces modalités n'étaient pas toutefois conformes aux recommandations de la commission en la matière (délibération n° 2017-012 du 19 janvier 2017) qui précisent notamment qu'un mot de passe seul devrait être composé de douze caractères minimum appartenant à l'ensemble des quatre types possibles. Le ministère a, à la demande de la commission, mis à jour sa politique de mot de passe afin de maintenir sa conformité aux recommandations de la commission.
Les accès au téléservice Parcoursup se font via le protocole HTTPS, qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
Des sauvegardes régulières sont réalisées. La commission rappelle que celles-ci doivent être testées régulièrement afin de vérifier leur intégrité.
Une journalisation des opérations de consultation, création et modification des données est mise en place. La commission rappelle l'importance de réaliser un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et de générer des alertes le cas échéant.
Sous réserve de la prise en compte des remarques précédentes, la commission estime que les mesures de sécurité décrites par le ministère sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi « Informatique et Libertés » et rappelle que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.Liens relatifs
La présidente,
I. Falque-Pierrotin