CNIL, Délibération du 15 juillet 2021, n° 2021-082

La Commission nationale de l’informatique et des libertés,

Saisie par le ministère de l’éducation nationale, de la jeunesse et des sports d’une demande d’avis concernant la mise en œuvre d’un traitement de données à caractère personnel dénommé « Livret de parcours inclusif » LPI ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 6-III et 31 ;

Vu la loi n° 2019-791 du 26 juillet 2019 pour une « école de la confiance » ;

Vu le code de l’éducation, notamment son article L. 111-1 ;

Après avoir entendu le rapport de M. Alain DRU , commissaire, et les observations de M. Benjamin TOUZANNE , commissaire du Gouvernement,

Emet l’avis suivant :

Le projet de décret en Conseil d’Etat soumis pour avis le 1^er juin 2021 vise à autoriser la mise en œuvre d’un traitement de données à caractère personnel dénommé « Livret de parcours inclusif » (ci-après « LPI »). Cette application, mise en œuvre par le ministère de l’éducation nationale, de la jeunesse et des sports sur le fondement de sa mission d’intérêt public, au sens du règlement général sur la protection des données (RGPD), doit participer au " service public de l’école inclusive ". Elle a pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage. Le LPI devrait ainsi permettre aux personnels concernés, et aux familles qui accepteront de l’utiliser de consulter en temps réel le suivi pédagogique mis en place pour un élève à besoins éducatifs particuliers.

Conformément à la circulaire n° 2019-088 du 5 juin 2019, le LPI doit notamment permettre de mutualiser les informations recueillies par l’ensemble des acteurs intervenant dans les dispositifs déjà existants, tels que le programme personnalisé de réussite éducative (PPRE), le plan d’accompagnement personnalisé (PAP), le projet d’accompagnement individualisé (PAI) ou encore le projet personnel de scolarisation (PPS), et ce pour les élèves ayant des besoins éducatifs particuliers, de la maternelle au lycée, des établissements publics et privés sous contrat de France métropolitaine et des départements et régions d’outre-mer.

La Commission relève que, d’après le ministère, environ 840.000 élèves, pour la plupart mineurs, sont susceptibles d’être concernés par le LPI, dans lequel seront traitées de nombreuses données concernant la santé, considérées comme des données sensibles par le RGPD dont relève le traitement. La Commission estime par conséquent, et compte-tenu de la protection spécifique qui doit entourer les données à caractère personnel des mineurs selon le considérant 38 du RGPD, que des garanties substantielles, notamment en termes de sécurité, doivent encadrer la mise en œuvre du traitement.

Dans ces conditions, le projet de décret appelle les observations suivantes.

Sur les finalités de l’application et la mise en place du téléservice

A titre liminaire , la Commission relève que le LPI n’a pas vocation à se substituer aux programmes, plans et projets déjà existants et susmentionnés, et que l’objectif assigné à l’application est de pouvoir améliorer ces différents dispositifs au moyen d’une application informatique.

S’agissant en premier lieu de la finalité consistant à " permettre aux responsables légaux de consulter, par le biais d’un téléservice, les informations relatives à la scolarisation de leur enfant et d’extraire les données qui leur sont utiles " prévue au 5° de l’article 1 du projet de décret, la Commission prend acte des précisions du ministère selon lesquelles le téléservice, fondé sur la mission d’intérêt public du ministère, ne sera pas rendu obligatoire et qu’il est prévu, pour les personnes concernées ne souhaitant ou ne pouvant recourir au téléservice, une extraction papier de tous les éléments constitutifs du dossier. Conformément à sa doctrine en matière de téléservices, la Commission estime que la simplification des démarches administratives constitue une finalité légitime, et considère que la mise en place de téléservices doit être entourée de moyens permettant de répondre aux besoins d’accompagnement spécifiques des usagers (mise à disposition de matériel informatique, accompagnement par des agents, etc.). En l’espèce et compte-tenu notamment de la finalité, de la sensibilité des données traitées et du nombre de personnes concernées par le LPI, la Commission accueille favorablement ces éléments et invite le ministère à faire figurer, dans le projet de décret ou a minima dans les mentions d’informations délivrées aux personnes, ce caractère facultatif et la possibilité d’obtenir le cas échéant une extraction papier des éléments du dossier .

Par ailleurs, la Commission rappelle que le téléservice devrait être conforme au référentiel général d’accessibilité pour les administrations (RGAA).

Le ministère a, en deuxième lieu, précisé que le LPI a vocation à être interconnecté avec plusieurs systèmes d’information, à la fois internes et externes au ministère, et qu’il doit en particulier permettre des échanges automatisés avec les systèmes d’information des maisons départementales des personnes handicapées (MDPH), notamment pour les PPS, afin de permettre aux professionnels des MDPH de consulter le guide d’évaluation des besoins de compensation en matière de scolarisation (GEVA-Sco 1^ère demande) et de transférer les décisions de la Commission des droits et de l’autonomie des personnes handicapées vers le LPI. La Commission relève par ailleurs que le gouvernement a l’intention de mentionner l’interconnexion du LPI avec les systèmes d’information des MDPH au titre des finalités du traitement et rappelle que, si elle peut être mentionnée dans le décret, cette interconnexion ne constitue pas une finalité en tant que telle mais devra s’inscrire dans les finalités indiquées à l’article 1^er du projet de décret ou conduire à l’ajout d’une finalité spécifique. La Commission considère que les agents habilités de la MDPH devraient à ce titre figurer parmi les destinataires des données à caractère personnel mentionnés à l’article 3 du projet de décret, et non au titre des accédants à ces données.

S’agissant en troisième lieu de la finalité consistant à " proposer des réponses pédagogiques adaptées en fonction des besoins identifiés de l’élève en se référant à une banque de données d’aménagements et d’adaptations incluse dans l’application " prévue au 1° de l’article 1 du projet de décret, la Commission prend acte des précisions du ministère selon lesquelles l’objectif est de proposer sur un outil unique toutes les possibilités d’accompagnement pédagogique des élèves à besoins éducatifs particuliers, et qu’aucune donnée à caractère personnel ne sera contenue dans cette banque de données. La Commission relève par ailleurs, s’agissant de la proposition de réponse pédagogique faite à la famille de l’élève concerné, que les textes imposent l’accord de l’élève ou de ses responsables légaux si l’élève est mineur avant la mise en place d’un plan, projet ou programme.

S’agissant en quatrième lieu de la finalité consistant à " mutualiser dans un document unique l’ensemble des informations concernant la situation d’un élève à besoins éducatifs particuliers " prévue au 3° de l’article 1 du projet de décret, la Commission prend acte des précisions du ministère selon lesquelles, à l’heure actuelle, les informations sont renseignées dans un document papier spécifique à chaque dispositif, qu’il y a autant de documents que de dispositifs mis en place pour l’élève, et que les informations doivent être ressaisies à chaque renouvellement et/ou à chaque évolution du dispositif.

Sur le périmètre des élèves concernés par le dispositif

L’article 1^er du projet de décret vise " les élèves à besoins éducatifs particuliers « et » les difficultés d’apprentissage « . Le même article précise que le traitement doit, notamment, permettre » de simplifier les procédures de renseignement et d’édition des plans et projets notamment des PPRE, PAP, PAI et des PPS ". Le ministère a précisé à cet égard que le LPI ne concerne que les élèves à besoins éducatifs particuliers qui, selon l’équipe pédagogique, nécessitent la mise en place d’adaptations et d’aménagements pédagogiques, dès lors que les responsables légaux des élèves ont donné leur accord à cette mise en œuvre. Il a également indiqué qu’il était nécessaire de créer un dossier LPI afin d’instruire le dossier et de procéder aux demandes d’avis et d’accord avant la finalisation des plans, projets et programmes suscités. Afin que soit clarifié le champ des personnes concernées par le dispositif, la Commission considère que le projet de décret devrait renvoyer à un arrêté listant exhaustivement les documents et les plans, projets et programmes entrant dans le champ du LPI, pour y inclure notamment le guide d’évaluation des besoins de compensation en matière de scolarisation (Geva-Sco). La Commission considère que le périmètre des élèves concernés par le LPI devrait ressortir plus clairement du projet de décret, afin que soit explicité le fait qu’il s’agit d’élèves pour lesquels est envisagé ou est mis en œuvre un ou plusieurs dispositifs parmi ceux précités.

Sur les catégories de données

En premier lieu , l’article 2 du projet de décret précise, conformément à l’article 35.3° de la loi du 6 janvier 1978 modifiée, les catégories de données enregistrées dans le traitement. Le ministère a, conformément à l’article 33.I-4° de la loi précitée, joint en annexe à sa demande d’avis la liste des données contenues dans le traitement. La Commission recommande, compte-tenu des enjeux liés à ce traitement, du nombre et de la qualité des personnes concernées, que cette liste beaucoup plus précise des données figure directement dans le décret ou soit annexée au décret ou dans un autre texte réglementaire (par exemple un arrêté), et en tout état de cause soit accessible aisément, par exemple sur le site web du ministère.

En deuxième lieu , s’agissant des données relatives à la santé contenues dans le LPI, la Commission observe que les données suivantes pourront être contenues :

«  - documents médicaux, paramédicaux ;

— bilans psychologiques fournis par la famille ;

— aménagements et adaptations mises en œuvre (sélection dans une banque de données d’adaptation ou saisie libre) ;

— informations relatives aux accompagnements et aux soins (types de soin, localisation) extérieurs à l’établissement (comprenant un champ libre) ;

— informations (type, date de début et de fin) relatives aux plans ou projets mis en œuvre tels que le PPRE, le PAP et la mise en œuvre du PPS ;

— informations relatives au projet de l’élève dans le cadre de la première demande du guide d’évaluation des besoins de compensation en matière de scolarisation (GEVA-Sco 1^ère demande) fournies par l’élève et ses représentants légaux (contient un champ libre) ;

— avis du médecin scolaire dans le cadre du PAP ;

— emploi du temps scolaire et périscolaire de l’élève avec les éventuels aménagements dans le cadre du GEVA-Sco 1^ère demande ;

— informations sur le matériel pédagogique adapté mis à disposition de l’élève (auditif, visuel, informatique) ;

— éléments d’évaluation pédagogique concernant les points d’appui et difficultés de l’élève renseignés dans le cadre du PPRE, du PAP, du PAI ou du GEVA-Sco 1^ère demande. "

Le ministère a indiqué que seules les informations nécessaires à l’élaboration des adaptations et aménagements pédagogiques seront renseignées en fonction des besoins de l’élève et du dispositif dont il bénéficiera. Ainsi, pour le PPRE, aucune donnée relative à l’état de santé n’est demandée.

De façon plus générale, s’agissant des « champs libres », la Commission invite le ministère à faire apparaitre systématiquement un message de sensibilisation aux personnes remplissant ces zones pour appeler leur attention sur le nécessaire respect du principe de minimisation des données.

En troisième lieu , l’article 2, 1-a) du projet de décret fait par ailleurs état de ce que les données d’identification dans le LPI contiendront à la fois l’identifiant national élève (INE) et le numéro LPI. Le ministère a précisé à cet égard qu’il s’agissait bien de la création d’un nouvel identifiant unique, que le numéro INE n’était traité dans le LPI qu’à des fins d’interconnexion entre les différents systèmes d’information du ministère et que le numéro LPI permettra l’identification des élèves entre le ministère et le système d’information des MDPH. La Commission estime d’une part que l’utilisation projetée du numéro INE est légitime et conforme à l’arrêté du 16 février 2012 portant création d’un traitement dénommé « répertoire national des identifiants élèves, étudiants et apprentis ». D’autre part, elle accueille favorablement la création de cet identifiant spécifique, et considère que la création et l’utilisation de ce numéro LPI permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaire, et de limiter les risques de réidentification des personnes en cas de fuite de données. Elle appelle donc le ministère à limiter au maximum les échanges de données nominatives.

Sur les droits des personnes

En premier lieu , la Commission relève, s’agissant du droit à l’information, que le ministère a précisé que, avant la mise en œuvre du téléservice projeté à la rentrée scolaire 2021, l’enseignant ou les enseignants de l’élève remettront en main propre aux responsables légaux de l’élève mineur ou à l’élève majeur, dès la création d’un dossier dans le LPI, un document précisant les droits détenus en vertu des articles 15, 16, 18 et 21 du RGPD. A cet égard, la Commission considère d’une part que l’information faite doit être complète et comprendre l’ensemble des mentions prévues à l’article 13 et le cas échéant à l’article 14 du RGPD. La Commission considère d’autre part que, conformément à l’article 12.1 du RGPD et compte-tenu de ce qu’un grand nombre de personnes concernées par le LPI seront mineures, il convient que leur soit transmise une information adaptée.

Une fois le téléservice mis en œuvre, la Commission considère que cette information doit, en plus des mentions présentes dans le téléservice pour les personnes qui s’y connecteront, être prodiguée aux mineurs concernés, conformément aux articles 13 et 14 du RGPD. La Commission rappelle en effet que l’information ne doit pas seulement être fournie aux utilisateurs du téléservice mais à toutes les personnes concernées par le LPI. A cet égard, la Commission invite le ministère à étudier les possibilités de donner facilement aux élèves mineurs accès aux informations qui les concernent, par exemple en proposant aux élèves mineurs qui en feraient la demande la création d’un compte pour accéder au téléservice.

En deuxième lieu , s’agissant des mises en relation effectués dans le LPI, le ministère a précisé que les personnes concernées seraient, conformément à l’article 14 du RGPD, informées de la source des données en cas de collecte indirecte. Au regard du nombre de personnes concernées par le traitement et de la qualité de mineurs de la plupart d’entre eux, la Commission estime qu’une information éclairant les différentes mises en relation effectuées et spécifiquement la mise en relation avec le SI MDPH, pourrait utilement être fournie aux personnes concernées, par exemple via une infographie disponible sur le site web du ministère .

En troisième lieu , la Commission prend acte des précisions du ministère selon lesquelles conformément à l’article 17.3-b) du RGPD, le droit à l’effacement ne s’applique pas au LPI et considère que cette exclusion devrait apparaitre dans le projet de décret, faute de quoi ce droit s’appliquerait. La Commission rappelle que l’exclusion du droit à l’effacement, fondée sur la nécessité du traitement pour exécuter une mission d’intérêt public, doit servir les seules finalités prévues à l’article 1 du projet de décret.

En quatrième lieu , la Commission constate que le droit d’opposition est prévu à l’article 5 du projet de décret. Elle s’étonne de ce que ce droit soit maintenu, alors que l’instruction et le suivi d’une éventuelle mesure ne peuvent se faire, d’après les indications fournies par le ministère, qu’en traitant les données à caractère personnel régies par le projet de décret. Elle invite donc le ministère à réfléchir sur la nécessité d’exclure ou d’aménager le droit d’opposition conformément à l’article 23 du RGPD, dans la mesure où il s’agit d’un accompagnement accepté par les représentants légaux de l’élève ou ce dernier s’il est majeur.

Sur les durées de conservation

En premier lieu, l’article 4 du projet de décret prévoit que les données relatives aux élèves sont conservées en base active " pendant la durée de la scolarité de l’élève dans la limite de trois ans après la dernière action sur le livret ou au plus tard jusqu’à la fin de l’année civile suivant la sortie de l’élève du système scolaire ". La Commission relève que cette prorogation de délai liée à une action dans la limite de trois ans, sans que soit définie le type d’action effectuée sur le LPI, pourrait conduire à conserver l’intégralité des données sur une période de temps étendue, par exemple jusqu’à la fin de la scolarité, au motif, par exemple, que le LPI a été simplement consulté par les parents de l’élève une fois tous les trois ans. A ce titre, elle estime, par exemple, qu’une demande de rectification formulée par la personne concernée ne saurait constituer une action ayant pour conséquence de rallonger la durée de conservation des données enregistrées dans le livret. La Commission considère à cet égard qu’une réévaluation à la fin de chaque cycle scolaire devrait intervenir afin d’éviter que ne soient conservées en base active les données, notamment les données de santé, consultables par tous les acteurs énumérés par le décret, pendant une durée non nécessaire au regard des finalités poursuivies.

En second lieu , le ministère a précisé qu’il serait nécessaire de créer un LPI afin d’instruire le dossier pour chaque élève identifié comme ayant des besoins éducatifs particuliers avant la finalisation des plans, projets et programmes et que si aucun des dispositifs n’était finalement mis en œuvre, le dossier LPI de l’élève serait supprimé. La Commission considère que le projet de décret devrait être modifié pour préciser que dans ce cas de figure, les données seront supprimées dans un délai raisonnable qui ne saurait excéder six mois.

Sur les accédants et destinataires

En premier lieu , le ministère a précisé que pour le PAP, les documents médicaux et paramédicaux sont communiqués par la famille au médecin de l’éducation nationale qui seul accède à ces informations et pour le PAI, les données de santé sont uniquement communiquées au médecin de l’éducation nationale. La Commission relève que d’après le contrat de sous-traitance transmis, le sous-traitant aura également accès à ces données. La Commission considère que ces précisions devraient figurer dans le projet de décret ainsi que dans l’information délivrée aux personnes concernées.

En second lieu , l’article 3-II du projet de décret prévoit que peuvent être destinataires de tout ou partie des données à caractère personnel enregistrées dans le traitement, notamment, " les personnels habilités de l’administration centrale (…) ". A cet égard, le ministère a précisé que la direction générale des affaires scolaires (DGESCO) et la direction du numérique pour l’éducatif (DNE) étaient concernées par des données anonymisées à des fins de pilotage, et la direction de l’évaluation, de la prospective et de la performance (DEPP) pour les traitements à des fins statistiques. Compte-tenu de ce que les destinataires de données anonymisées n’ont pas vocation à figurer dans le projet de décret, la Commission estime que ce dernier devrait être modifié pour ne mentionner, s’agissant des destinataires de l’administration centrale, que les personnels habilités de la DEPP. Sous ces réserves, la liste des autres destinataires et celle des accédants n’appellent pas d’observation de la part de la Commission.

Sur les mesures de sécurité et la traçabilité

En premier lieu , la Commission, qui constate que l’analyse d’impact relative à la protection des données (AIPD) transmise par le ministère n’est pas finalisée, rappelle que compte-tenu des caractéristiques du traitement cette AIPD devra être complétée et réalisée avant la mise en œuvre du traitement. La Commission qui a reçu l’AIPD non finalisée trop tardivement pour l’examiner rappelle également que cette AIPD devra notamment permettre au ministère de vérifier que les mesures de sécurité prévues sont conformes aux articles 5.1-f) et 32 du RGPD. A cet égard, la Commission prend acte du choix du ministère d’avoir recours à un hébergeur des données de santé agréé.

En deuxième lieu , la Commission rappelle que des mesures de sécurité de niveau équivalent doivent également être mises en œuvre pour les extractions papier qui seraient faites à la demande des personnes concernées qui ne pourraient ou ne voudraient accéder au téléservice.

S’agissant en troisième lieu de la traçabilité des actions réalisées dans le traitement, la Commission relève que l’article 4 du projet de décret prévoit que " Les logs de connexion et l’historique des accès sont supprimés à l’expiration d’un délai de 12 mois ". La Commission rappelle que les mesures de traçabilité constituent l’une des garanties importantes permettant de limiter et de détecter les éventuels détournements d’un traitement, afin de réduire les risques pour les personnes concernées. Si la durée de conservation de ces données n’appelle pas de remarque particulière, la Commission invite le ministère à mettre en place des mécanismes d’analyse automatique des données de traçabilité afin de détecter au plus tôt d’éventuels détournement du traitement.

Sur la sous-traitance et l’hébergement des données

Le contrat de sous-traitance conclut entre le ministère et la caisse nationale de solidarité pour l’autonomie prévoit, à l’article 3.5, que " Les parties reconnaissent que l’exécution des prestations selon les modalités envisagées par la CNSA n’implique pas des transferts internationaux de données à caractère personnel « et que » tout transfert de données à caractère personnel en dehors de l’Union Européenne ne pourra avoir lieu qu’après autorisation écrite du ministère (…) et conformément aux dispositions des articles 44, 45 et 46 du RGPD ". Le ministère a à cet égard indiqué qu’il n’était pas prévu de transfert en dehors de l’Union européenne. Compte tenu des données traitées, de la minorité d’un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que " Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ", la Commission considère que le contrat de sous-traitance devrait prévoir l’interdiction de transférer les données en dehors de l’Union européenne.

S’agissant de la sous-traitance ultérieure, au regard de la particulière sensibilité des données traitées via le LPI et du caractère vulnérable d’une grande partie des personnes concernées par le traitement, la Commission considère en outre que les données à caractère personnel devraient être confiées à un opérateur qui les entrepose sur le territoire de l’Union européenne et qui soit exclusivement soumis au droit européen.

La Présidente

Marie-Laure DENIS