Quelles sont les règles à respecter lors de la mise en place d’une surveillance en ligne des examens ?
La pandémie de Covid-19 a conduit la plupart des établissements d’enseignement supérieur à déployer des solutions numériques afin de maintenir la continuité de l’enseignement. Outre les cours, les examens ont particulièrement été concernés par ces mesures afin d’éviter la fraude. Mais ces solutions ont suscité une défiance chez certains étudiants. En effet, ils s’inquiétaient de voir leurs données personnelles être utilisées à d’autres fins par les services de surveillance en ligne.
Cet article s’adresse aux institutions pour les aider à surmonter ces difficultés, préparer l’année à venir et veiller à ce que leurs activités de traitement des données soient gérées de façon appropriée.
Exigences de conformité en matière de surveillance en ligne et de gestion des données
Que dit la loi de l’Union européenne (UE) ?
La surveillance en ligne ouvre de nouveaux horizons dans le domaine de l’éducation en permettant des examens à distance sécurisés. Par nature, elle implique un traitement de données personnelles qui relève du Règlement Général européen sur la Protection des Données, communément appelé RGPD.
Ce règlement, entré en vigueur en 2018, vise à protéger les données personnelles des citoyens de l’Union européenne en fixant les règles applicables aux organisations traitant ce type de données.
Plus précisément, les organisations concernées sont les responsables de traitement (entreprises, administrations, associations ou autres organismes) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication, etc.) établis dans l’UE et quel que soit le lieu de traitement des données. Le RGPD s’étend également aux responsables de traitement et à leurs sous-traitants établis hors de l’UE, dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou à les cibler.
Un traitement des données personnelles correspond à toute opération sur ces données : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, etc.
Bases légales : qu’est-ce que cela signifie pour les établissements d’enseignement supérieur ?
Le RGPD définit des “bases légales” pour le traitement des données personnelles ; en d’autres termes, les circonstances acceptables dans lesquelles les organisations peuvent collecter et traiter ce type d’informations. Pour que les données soient traitées légalement, le traitement doit reposer sur au moins l’une des bases légales suivantes, sinon votre organisation n’est pas conforme au RGPD :
- Consentement
- Exécution d’un contrat
- Obligation légale
- Mission d’intérêt public
- Intérêt légitime
- Sauvegarde des intérêts vitaux
En tant qu’institution, il est de votre devoir de désigner la base légale appropriée qui s’applique et d’expliquer pourquoi vous avez besoin de traiter des informations personnelles. Il n’y a pas de hiérarchie entre les différentes bases légales.
La base légale applicable au traitement des données dépend de la raison pour laquelle vous les traitez et de votre relation avec la personne à laquelle elles appartiennent. Un établissement public d’enseignement supérieur n’aura pas nécessairement la même base légale principale qu’un établissement privé, par exemple. Ce dernier possède une relation contractuelle avec les candidats et pourrait se fonder sur la base légale du contrat, qui ne s’applique pas dans le secteur public.
Outre le RGPD, les établissements français doivent aussi respecter la Loi Informatique et Libertés avec son principe de finalité, et son principe de proportionnalité et de pertinence.
- Principe de finalité : il faut avoir un but précis, légal et légitime pour pouvoir collecter et traiter les informations d’étudiants.
- Principe de proportionnalité et de pertinence : il ne faut traiter que les informations pertinentes et strictement nécessaires. Par exemple, la prise de photographies ou de flux vidéo ou sons est jugée proportionnée. En revanche, les dispositifs de surveillance reposant sur des traitements biométriques (tels que la reconnaissance faciale) sont jugés disproportionnés.
Ces deux principes font partie des cinq grands principes des règles de protection des données personnelles selon la Commission Nationale de l’Informatique et des Libertés (CNIL), un organisme indépendant chargé de veiller à la protection des données personnelles. Les trois autres principes sont : le principe d’une durée de conservation limitée, le principe de sécurité et de confidentialité, et le droit des personnes.
Les étudiants doivent être informés à l’avance du traitement de leurs données. Le RGPD impose une information concise, transparente, compréhensible et aisément accessible. Quelle que soit la situation, il faut au minimum renseigner : l’identité et les coordonnées de l’organisme (responsable du traitement des données), la finalité, la base légale, le caractère obligatoire ou facultatif du recueil des données, les destinataires des données, la durée de conservation des données, les droits des personnes concernées, les coordonnées du délégué à la protection des données de l’organisme et le droit d’introduire une réclamation auprès de la CNIL.
Guide pour la démonstration de la conformité au RGPD
1. Commencez par documenter votre base légale
Avant de commencer toute activité de traitement des données, vous devez vous assurer de la conformité au RGPD. Votre base légale doit être précisément définie en fonction de votre cas d’utilisation spécifique. Vous devez fournir des arguments et des détails qui justifient comment la base légale s’applique.
Cette documentation peut être utile pour démontrer la démarche d’interrogation et de recherche de la base légale la plus appropriée, notamment en cas de contrôle de la CNIL.
2. Réalisez une analyse d’impact sur la protection des données (AIPD)
Pour vous conformer au RGPD, une AIPD est nécessaire dès lors que le dispositif de télésurveillance est “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”. Cela concerne en autres l’utilisation des technologies basées sur l’Intelligence Artificielle.
Dans ces situations, votre AIPD doit :
- Décrire en détail le traitement des données en mentionnant la nature, la portée, le contexte et la finalité, y compris les mesures de minimisation des données (exemple : délai de destruction des enregistrements, portée du traitement uniquement limitée aux données nécessaires à la prévention de la fraude)
- Évaluer la nécessité et la proportionnalité concernant les principes et droits fondamentaux
- Identifier, décrire et évaluer les risques sur la sécurité des données et leurs impacts potentiels sur la vie privée, et documenter les mesures d’atténuation des risques (comme fournir des instructions détaillées pour un accès sécurisé aux sessions pour les candidats)
D’autres éléments peuvent peser dans votre analyse, comme la réalisation d’un test de balance des intérêts si vous avez déterminé que votre traitement est nécessaire pour un intérêt légitime. Ce test justifie que les intérêts et les droits des candidats sont proportionnellement protégés par rapport aux risques identifiés. Pour ce faire, il est possible de documenter la probabilité minimale d’un traitement illégitime des données et d’énumérer les garanties en place pour atténuer les impacts négatifs.
Pour plus d’informations, consultez le site Internet de la CNIL.
La conformité au RGPD est la principale préoccupation de Mereos, afin de garantir l’équité et la sécurité pour nos clients et leurs candidats.