Porte-clé ou bracelet ?

C’est bientôt la rentrée scolaire. Et certains établissements, à commencer par le collège-lycée Rocroy-Saint-Vincent-de-Paul à Paris 10 ème, ont fait preuve d’ingéniosité, face au sempiternel problème d’absentéisme.
Que nenni, la solution est trouvée par la NewSchool start-up qui a su vendre au lycée quelques porte-clés.
Le Lycée? Toute communication aux parents et aux élèves semblerait inutile, une simple modification du règlement intérieur fera l’affaire.

De quoi se plaint-on en ces temps troubles, l’école veille sur vos enfants…

➡️ Un nouveau dispositif

Plus qu’une simple idée, des badges (porte-clés) aux données personnelles et connectés, seront distribués dès septembre à tous les élèves du collège privé Rocroy de Paris, faisant de cet établissement un éclaireur d’une nouvelle ère.
Ce dispositif, soit-disant en accord avec la Cnil selon l’Établissement et accepté par l’Éducation Nationale, vieille à lutter « efficacement » « tout au moins plus rapidement » contre l’absentéisme (nous dit-on); des élèves, seront donc « équipés » d’un porte-clé pucé qu’ils devront avoir en permanence sur eux, toute perte ou oubli du badge entrainant une sanction appropriée (la perte est facturée 10 euros.).
L’école buissonnière ? A présent, dans tes rêves !

Développé par une startup française nommée NewSchool soutenue par Apple et appuyée par Qwant, l’entreprise décrit l’objet comme un « outil pédagogique puissant » qui permet de « remplacer les cartes de cantine, les cartes de lycéens ou carnets de liaison », par le biais d’une application mobile.
Pour se faire, il faudra bien collecter quelques données personnelles… et pour fonctionner, user de quelques connexions.
Avouez, on vous facilite la vie mais à quel prix ?

➡️ Des élèves sous connexion permanente ?

Quelle ne fut pas la surprise d’une élève dudit lycée à la lecture du nouveau règlement intérieur! Quant aux parents nullement informés, les voilà à présent avertis.

D’après le règlement intérieur,ici, l’objectif de ce porte clé consisterait en « une aide afin de s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI [centre de documentation et d’information] et lors des sorties mais aussi au cours des exercices de sécurité (incendie, plan particulier de mise en sûreté). A terme, il permettra l’emprunt de livres ou le passage à la cantine, pour plus d’efficacité et de simplicité. » .
Puis de préciser afin de calmer la polémique naissante, qu’il s’agit de faciliter le travail des enseignants qui, une fois connectés à une application pour smartphone, seront en mesure de détecter l’ensemble des boîtiers présents dans la pièce et n’auront par conséquent plus besoin de faire l’appel. Ouf ! En voilà une de révolution scolaire ! L’important c’est le boitier (visiblement plus que l’élève)! Lors de la connexion, si le boitier répond présent, nul doute que l’élève y est aussi (!) (ou pas).
Une fois les présences ou absences confirmées, le porte clé s’interromprait automatiquement (nous dit-on)…

Or, comme le fait remarquer la Quadrature du net qui s’est penché sur le sujet, «l’idée que la puce n’émette qu’au moment de l’appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n’importe quand, il n’y a pas d’appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au CDI.»

Pour ce qui est de la connexion interrompue, on repassera… pour le bon sens aussi !

Pendant ce temps, le Lycée communique, ici

➡️ Quid de la géolocalisation et des données personnelles enregistrées ?

Philipinne Dolbeau, fondatrice de la société NewSchool, assure que l’objet connecté ne permet pas de géolocaliser les élèves, mais « sert uniquement à simplifier l’appel en classe » : révolutionner l’appel oral dans l’éducation nationale, il était bien donc là, le défi !

Pourtant, la Quadrature du net (Association qui défend nos droits et libertés fondamentales à l’ère du numérique entre autres en plus d’être développeur) n’a pas tardé à communiquer son étude technique, (ici), démontant point par point les quelques raisons mises en avant par le collège tentant de justifier en vain, l’utilisation de ce badge… et de souligner l’absurdité des quelques affirmations, comme si l’objectif de cet établissement, (si on ne prend garde), pouvait insidieusement être tout autre.
La quadrature insiste : «Les conséquences seraient lourdes. Certes, l’identifiant unique émis par le porte-clef n’indique pas directement le nom d’un élève. Mais qu’importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l’identifiant étant unique), au simple moyen d’un smartphone (EM Microelectronics fournit même une application à cette fin), n’importe où, même en dehors de l’école, pour peu qu’on se trouve dans un rayon de 75 mètres de l’enfant.»

Pour la géolocalisation là aussi, on repassera !
Mais le problème ne s’arrête pas là.

➡️ Signer le règlement intérieur comme acceptation du système semblerait suffisant pour le lycée et son fournisseur…Quid du règlement général sur la protection des données ? Ce système serait- il illégal ?

En plus des quelques informations communiquées qui sembleraient fausses selon la Quadrature, le règlement général sur la protection des données (RGPD) exige une information loyale. (Aïe)

Maître Thierry Vallat Avocat au Barreau de Paris, précise dans son blog (ici) qu’ «En effet, dans sa notice technique, New School précise que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : […] chacun accède uniquement aux données auxquelles le chef d’établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte *« . Par ailleurs les élèves et leurs parents ne peuvent donner aucun consentement valide au traçage puisqu’ils n’ont pas d’autre choix que de l’accepter : leur consentement n’est donc ni libre ni spécifique au sens du RGPD

«*Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l’entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d’ne sécurité d’un autre âge…» précise la Quadrature «Faire reposer l’identification de données de localisation d’enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C’est pourtant ce qu’explique faire NewSchool.»

En plus du fond, de la forme et du principe même de la surveillance par gadget qui frise l’illégalité, la sécurité des données n’est pas non plus au rendez-vous !

➡️ Business et surveillance, la société de demain

«Politiquement, le cas de NewSchool révèle un mouvement plus profond et plus grave : les puces choisies par NewSchool ont initialement été pensées et sont normalement utilisées pour localiser des objets fixes (des murs) ou mobiles (des marchandises) afin qu’un humain muni d’un smartphone puisse se repérer parmi ces objets. Cette situation s’inverse ici : la puce n’est plus attachée à des objets mais à des enfants ; le smartphone ne sert plus à se repérer dans l’espace mais, immobile au poste du surveillant, à définir l’espace dans lequel les humains peuvent évoluer. L’humain ne se déplace plus parmi les choses : il est une chose comprise par d’autres La Quadrature.

Chers parents, tout ceci est pensé et imposé pour la sécurité de vos enfants. Vous leur expliquerez que ces mesures sont pour leur bien et que par conséquent ils devront se faire à ces nouvelles dispositions sauf à devoir changer d’établissement en cas contraire. A moins que vous ne dénonciez !

Dommage que vous n’ayez le choix du gadget… Pour cette rentrée scolaire, en plus du porte clé, le lycée aurait pu négocier avec la société … quelques bracelets …électroniques (aussi). Mais sans doute était-ce trop cher?

MM.

« Si c’est moi… c’est à moi »

Une donnée à caractère personnel (couramment « données personnelles ») correspond en droit français à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
L’entrée en vigueur du règlement européen sur la protection des données personnelles, généralement abrévié en RGPD, approche à grands pas, le 25 mai prochain.

Le sigle RGPD signifie Règlement Général pour la Protection des Données personnelles. En anglais, le sigle est GDPR pour « General Data Protection Regulation ». Il désigne le nouveau texte de référence européen en matière de protection des données personnelles. Il a été conçu pour adapter et moderniser la législation et harmoniser le cadre juridique européen dans ce domaine. Toutes les entreprises, organismes publics et associations des 28 États membres de l’Union européenne qui collectent des données à caractère personnel sur les résidents européens, sont concernés. Les organisations issues de pays en dehors de l’UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens. Les Gafa, Uber, Airbnb et autres sont donc également soumis au règlement.

Le texte du RGPD a été adopté définitivement le 14 avril 2016 par le Parlement européen après de longues négociations, et promulgué au Journal Officiel le 27 avril 2016. Il remplace l’ancien texte de référence européen de 1995 en matière de protection des données personnelles. Cette ancienne directive avait servi en France de fondement à la loi Informatique et libertés. La version finale du texte RGPD est disponible en français sur le site de l’Union européenne ou sur le site de la CNIL. Le RGPD doit entrer en vigueur le 25 mai 2018. Comme il s’agit d’un règlement européen, et non pas d’une directive, le texte entrera en application simultanément dans tous les États membres de l’Union européenne, sans transposition dans les droits nationaux. Autrement dit, le Parlement français n’aura pas besoin de voter la transposition du texte en France.
Après le 25 mai 2018, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions. Des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’exercice précédent pourront être prononcées. Ce sera le montant le plus élevé qui sera retenu entre ces deux cas de figure.

Pour les géants du web comme Facebook ou Google, la note pourrait atteindre des dizaines ou des centaines de millions d’euros. Cependant, les multinationales ne sont pas forcément les entreprises les plus exposées car elles ont des armées de juristes et d’experts qui travaillent déjà à plein temps sur le sujet. En revanche, le risque est plus élevé pour les petites entités comme les TPE, PME ou associations, souvent peu renseignées sur le sujet.
Comme auparavant, la Commission nationale de l’informatique et des libertés (Cnil) procèdera à des vérifications dans les locaux des organisations ou en ligne. Les contrôles seront effectués sur la base d’un programme annuel, des plaintes reçues par la Cnil, ou encore des informations présentes dans les médias. Ils pourront également faire suite à un précédent contrôle. Étant donné que les principes fondamentaux de la protection des données restent globalement inchangés (sécurité des données, loyauté du traitement, durée de conservation…), ils continueront donc à faire l’objet de vérifications rigoureuses de la part de la Cnil.

En revanche, les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact…) feront l’objet de contrôles. Mais ils seront dans un premier temps non punitifs. L’objectif est d’aider les organismes à bien comprendre les enjeux et la mise en œuvre opérationnelle des nouvelles dispositions. Si l’entité est de bonne foi et qu’elle est engagée dans une démarche de conformité, la Cnil n’appliquera aucune sanction durant les premiers mois qui suivront l’entrée en vigueur du règlement. Autre nouveauté à noter, les contrôles effectués sur les acteurs internationaux seront réalisés par plusieurs organismes afin de rendre une décision à portée européenne.

Les 4 principes clés du RGPD sont :
– le consentement,
– la transparence,
– le droit des personnes et
– la responsabilité (accountability).

Le consentement.
L’article 7 stipule que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale »;
Le consentement peut être retiré à tout moment par les personnes le demandant. Pour les entreprises à caractère BtoB, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée (les cases pré-cochées sont autorisées).

La transparence.
Comme il est précisé dans l’article 12 du RGPD, les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données. Celles-ci doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages « privacy » des sites web.

Le droit des personnes.
De nouveaux droits sont apparus dans le règlement comme le droit à l’oubli pour tous les utilisateurs. Les organisations n’auront plus qu’un mois (au lieu de deux) pour supprimer les données suite à une demande. Le droit à la portabilité des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour, le cas échéant, les transférer à un tiers.

Le principe de responsabilité (accountability).
Il regroupe toutes les mesures qui visent à responsabiliser davantage les entreprises dans le traitement des données à caractère personnel. Les organismes doivent par exemple mettre en place des mesures adéquates pour garantir la sécurité des données. Elles doivent également appliquer le « privacy by design », un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. Elles doivent aussi choisir des sous-traitants qui soient conformes au RGPD ou encore désigner un data protection officer (DPO), chargé de contrôler la conformité de l’organisme avec le RGPD.

Le DPO, chef d’orchestre du RGPD-
Le délégué à la protection des données personnelles ou data protection officer en anglais est chargé d’assurer la mise en conformité RGPD de l’organisme pour lequel il travaille. Il doit s’assurer que les collaborateurs respectent les dispositions du règlement quand ils utilisent des données à des fins commerciales ou à des fins internes (au sein des logiciels RH par exemple). Il est donc amené à collaborer avec tous les départements. La désignation d’un DPO est obligatoire pour « les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et infractions » précise la Cnil. Enfin, le DPO peut être mutualisé, c’est-à- dire désigné pour plusieurs organismes sous certaines conditions (être facilement joignable par exemple). Le DPO est en quelque sorte le successeur du correspondant informatique et libertés (CIL), facultatif depuis 2005, qui est chargé de veiller au respect de la loi Informatique et libertés dans les organismes publics et privés. Les missions du DPO sont toutefois plus strictes. Il doit être doté de certaines qualifications (qualités professionnelles, connaissances du droit en matière de protection de données). Ses missions diffèrent toutefois du CIL puisqu’il a une dimension de conseil et de sensibilisation sur les nouvelles obligations du règlement.

Tout ceci semble bien pensé et solide. Reconnaissons à l’Europe une apparente réelle volonté, en opposition à ce qui se dessine aux États-Unis, de placer l’internaute et ses données personnelles au centre de la problématique. Nos expériences « déformantes » de lanceurs d’alerte nous conduisent à être néanmoins prudents et d’attendre de voir si tous ces dispositifs sont effectifs et efficaces. Aussi, nous suivrons avec attention toutes les démarches destinées à mettre à l’épreuve cette nouvelle réglementation.

L’association de défense des droits et libertés à l’ère du numérique, La Quadrature du Net (LQDN), a lancé une vaste campagne contre les Gafam (Google, Apple, Facebook, Amazon, Microsoft), (ici), reposant sur une série d’actions de groupe contre leurs services, grâce à l’entrée en vigueur au 25 mai du règlement européen sur la protection des données (RGPD).
L’article 80 du RGPD permet en effet à toute personne concernée de mandater un organisme ou une association à but non lucratif actif « dans le domaine de la protection des droits et libertés des personnes concernées » pour effectuer en son nom une réclamation.
Sur cette base, La Quadrature compte lancer une douzaine d’actions auprès de la Commission nationale informatique et liberté (Cnil) à compter du 25 mai, estimant d’ores et déjà que les géants du Net visés ne respecteront pas les règles de consentement explicite et de protection des données prévues dans le RGPD.
Pour LQDN, « les services des Gafam ne peuvent s’accaparer nos données qu’avec notre consentement libre et explicite. Il n’est pas libre s’il nous est imposé de le donner pour accéder à leurs services. Or, c’est bien ce qu’ils font ».

MM.