Télésurveillance des examens : un avis de la CNIL tardif et interpelant

Publié le par - 756 vues

Au lendemain de la publication d’un avis de la CNIL concernant la surveillance des examens à distance pour lutter contre la fraude, et ce au moment où les examens universitaires ont déjà commencé et où les procédures de contrôle ont été mises en place au sein des Hautes écoles et universités, il est nécessaire de faire le point sur ces pratiques et leur conformité au RGPD. Comme le Règlement Européen pour la Protection des données personnelles (RGPD) a une portée européenne, tout avis d’une autorité nationale est intéressant.

Devant faire face au confinement, à la réalisations des examens à distance et aux risques de fraudes qui pourraient remettre en cause la fiabilité des examens, certaines Universités et Hautes Écoles belges et européennes ont pris des mesures pour utiliser des systèmes de surveillance en ligne des étudiants. La question de leur conformité à la vie privée et au RGPD s’est évidemment posée.

Notons que si la question se pose en Europe, la surveillance des examens en ligne est déjà assez fréquente dans le monde anglo-saxon et de nombreuses entreprises s’y sont fait une place organisant le « proctoring », c’est-à-dire la surveillance en ligne via l’usage de contrôleurs à distance, de vidéos ou de photos prises par la webcam de l’ordinateur de l’étudiant. Si le système fonctionnait déjà depuis des années, il est clair que le confinement a donné des ailes à ce type de pratiques et les sociétés qui fournissent ce genre de services ont été inondées de demandes. A titre d’exemple, la société américaine Examity qui comptait une dizaine de contrôleurs en 2014, en compte aujourd’hui plus de mille et a contrôlé plus de deux millions d’examens en 2019.

Par ailleurs, la question de l’efficacité de ces méthodes pour empêcher la fraude a été mise en question au niveau technique et les articles expliquant les moyens de contourner ces mécanismes ne manquent pas, même si certains de ces mécanismes nécessitent des compétences très pointues en informatique et hacking. Vous comprendrez que je n’en donne pas les références.

Mais revenons-en à leur introduction en Europe et à leur coexistence avec le RGPD. Au moment où les universités européennes ont commencé à se poser des questions, lors des décisions de fermeture des universités jusqu’à la fin de l’année académique, ni l’autorité européenne (European Data Protection Board) ni les autorités de protection nationales n’ont émis d’avis par rapport à ce sujet d’actualité. Par contre, le ministère français de l’éducation nationale avait recommandé des mécanismes de surveillance à distance et le ministre néerlandais n’émettait pas d’opposition à ce sujet. Il revenait donc aux DPO des universités concernées de donner leur avis à leurs directions en ayant pour outil à leur disposition  le RGPD, parfois imprécis et ces quelques décisions politiques en l’absence d’avis des autorités et de jurisprudence. Les Universités et Hautes Écoles ont donc pris des décisions motivées afin de proposer des examens en ligne tout en luttant contre la fraude.

L’avis  de la CNIL arrive donc bien tard car les examens ont commencé, les mesures de sécurité sont en place, les contrats signés in tempore non suspecto, en l’absence d’avis des autorités, malgré le fait que celles-ci aient été contactées comme la presse s’en est fait l’écho. On peut donc déjà se poser la question de l’applicabilité rétroactive de cet avis. Rappelons également que les décisions des autorités de protection sont soumises aux cours et tribunaux, et que ceux-ci ont le dernier mot.

Cet avis rappelle les principes de base en rappelant notamment l’obligation de respecter le RGPD, d’effectuer une analyse d’impact et l’obligation de consulter le DPO pour ce type de traitement mais va, nous semble-t-il au-delà d’interprétations précédentes.

Si la CNIL écarte à raison le consentement en tant que base légale, car celui-ci ne pourrait être « libre » dans le cas d’un étudiant confronté à une demande de consentement dans le cadre d’une inscription aux examens, elle précise que la mission d’intérêt public peut être retenue pour permettre des traitements de données tendant à lutter contre la fraude aux examens.

La CNIL précise que les principes de base des traitements de données personnelles doivent être respectés

  • La finalité (l’obligation de réaliser des examens fiables),
  • La durée de conservation limitée à l’identification des fraudes et la destructions des données dès la fin du contrôle (sauf dans le cas de dossiers de fraude avérés ou de soupçons de fraude),
  • L’accès limité à un nombre restreint de contrôleurs avec des modalités de contrôle d’accès sécurisés,
  • la proportionnalité (collecte des données strictement nécessaires),
  • la sécurité des données garantie par le sous-traitant grâce au contrat signé avec celui-ci,
  • l’hébergement des données au sein de l’Union Européenne,
  • la réalisation d’une analyse de risque.

On peut s’étonner que la CNIL ne rappelle pas la nécessité de la protection des données dès la conception et la protection des données par défaut, ce qui semble pourtant s’imposer ici.

Reste la question de la proportionnalité pour laquelle la CNIL prend une position surprenante et d’ailleurs peu motivée dans son avis.

En effet elle considère comme non disproportionnées, et donc acceptable, la surveillance vidéo en temps réel et la prise de photographies ou de flux vidéo ou sons de manière ponctuelle ou aléatoire. Ces deux types de surveillance ne peuvent se faire que via la webcam de l’étudiant sauf à faire installer au domicile de chaque étudiant un mécanisme spécifique. Ces deux traitements ne sont pas considérés par la CNIL comme des traitements biométriques. Rappelons le considérant 51 qui précise qu’ « en effet, ce n’est que lorsqu’elles sont traitées par un moyen technique spécifique permettant l’identification ou l’authentification uniques d’un individu, que les images seront qualifiées de données biométriques. » Cela voudrait donc dire que ces prises d’image doivent être analysées par un humain sans recours à un moyen technique d’identification. Quelle serait l’utilité de ce type de système ou un surveillant devrait, de façon aléatoire, vérifier des images, vidéo ou sons afin de tenter de détecter des fraudes. Et par quel moyen pourrait-il contrôler l’identité de l’étudiant ? Qu’est-ce qui garantirait l’objectivité du contrôle ?

Par contre elle considère disproportionnée les dispositifs de surveillance permettant de prendre le contrôle à distance de l’ordinateur personnel de l’étudiant (notamment pour vérifier l’accès aux courriels ou aux réseaux sociaux). On envisage ici un dispositif intrusif qui prendrait le contrôle et permettrait à un contrôleur d’avoir accès à des données personnelles. Par contre un système qui se limiterait à bloquer l’accès à tout autre logiciel ou application durant l’examen ne rentrerait donc pas dans cette catégorie.

Enfin la CNIL considère la reconnaissance faciale via une webcam comme un traitement biométrique et donc interdit par le RGPD.

Le manque de justification de l’interdiction, selon la CNIL, de cette prise d’image nous interpelle à plusieurs égards

La CNIL précise que ce type de mécanisme n’est pas proportionnel pour la surveillance des examens, mais sans le justifier, alors que la prise d’image, de sons et de vidéo est acceptée. Le seul élément critiqué par la CNIL est donc la reconnaissance faciale réalisée techniquement.

Si la CNIL précise également que « En tout état de cause, le traitement des données biométriques étant par principe interdit par le RGPD, de tels dispositifs nécessiteraient une disposition légale particulière », mais elle ne fait pas allusion aux exceptions prévues par le RGPD.

Rappelons ici que le RGPD prévoit des exceptions à cette interdiction et notamment (art 9,g) si le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;

La mise en place d’examens par des Universités et Hautes Écoles est clairement une mission d’intérêt public importante et cette mission est encadrée par la réglementation concernant l’enseignement, et également par des réglementations récentes concernant le confinement. En vertu de cette exception, il nous semble qu’un traitement d’images avec reconnaissance faciale serait donc bien autorisé par le RGPD, car il a lieu dans le cadre de la mission d’intérêt public des institutions d’enseignement .

N’oublions pas pour terminer que la CNIL rappelle que les étudiants ont évidemment tous les droits des personnes concernées et notamment le droit à une information claire et transparente.

En conclusion, cet avis de la CNIL, à notre connaissance unique en Europe, et qui arrive tardivement alors que les examens ont commencé et que les universités ne l’ont pas attendu pour mettre en place des mécanismes pour lutter contre la fraude lors d’examens en ligne est quelque peu interpellant, premièrement par son acceptation de certaines pratiques et le rejet d’autres jugées non proportionnelles et ce sans beaucoup de justification et d’autre part le refus du traitement de données biométriques alors qu’une exception prévue par le RGPD est applicable aux examens universitaires et que la CNIL n’en fait pas état.

Comme souvent pour le RGPD nous devrons attendre les actions éventuelles des autorités et in fine les décisions des cours et tribunaux, mais d’ici là les examens seront probablement terminés.

Plus d’infos ?

L’avis de la CNIL

Recommandations du Ministère (France)

Recommandations du Ministère (Pays-Bas)

Le Figaro

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK