Date de l’avis  : 19 octobre 2023	N° de la délibération  : 2023-110
N° de demande d’avis  : 23013122 Organisme(s) à l’origine de la saisine : ministère de l’éducation nationale et de la jeunesse	Texte concerné  : projet de décret relatif à la mise en œuvre d’un traitement de données à caractère personnel dénommé « Enquête harcèlement »
Thématiques  : harcèlement, éducation nationale, premier degré, second degré	Fondement de la saisine : le a) du 4° du I de l’article 8 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés
L’essentiel  : Le projet de décret s’inscrit dans le plan interministériel de lutte contre le harcèlement. Il prévoit que les élèves du CE2 à la terminale des écoles, collèges et lycées publics sont invités, au moins une fois par an, à renseigner un questionnaire non nominatif visant à améliorer la connaissance des situations de harcèlement scolaire, pour permettre aux directeurs d’école et aux chefs d’établissement d’adopter des mesures afin de prévenir ces situations. La CNIL estime que le traitement est légitime au regard de l’importance de l’objectif poursuivi de lutte contre le harcèlement scolaire. Sur les modalités concrètes de mise en œuvre du traitement, elle appelle l’attention du Gouvernement sur l’échelle d’agrégation des données retranscrites au format numérique à des fins statistiques, afin d’éviter toute possibilité de réidentification par des tiers. Au regard du public concerné par le traitement, la CNIL recommande que soit effectuée une information claire et adaptée à la tranche d’âge des répondants.

LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;

Après avoir entendu le rapport de M^me Aminata NIAKATÉ commissaire, et les observations de M. Damien MILIC commissaire du Gouvernement,

ADOPTE LA DÉLIBÉRATION SUIVANTE :

I. La saisine

A. Le contexte

Le ministère de l’éducation et de la jeunesse a fait de la lutte contre le harcèlement un axe stratégique depuis 2022. La loi n°2022-299 du 2 mars 2022 prévoit que les établissements d’enseignement scolaire publics et privés prennent les mesures appropriées visant à lutter contre le harcèlement dans le cadre scolaire ; ces mesures comprennent notamment la prévention de l’apparition de situations de harcèlement et l’amélioration de leur détection par la communauté éducative afin d’y apporter une réponse rapide et coordonnée.

Le plan interministériel présenté le 27 septembre 2023 prévoit des actions dont l’objectif est d’améliorer et de coordonner la réponse des services de l’État face au harcèlement dans et en dehors de l’enceinte des établissements scolaires.

B. L’objet de la saisine

La CNIL a été saisie pour avis le 11 octobre 2023 d’un projet de décret relatif à la mise en œuvre d’un traitement de données à caractère personnel dénommé « Enquête harcèlement », sur le fondement du a) du 4° du I de l’article 8 de la loi « informatique et libertés ». Le traitement sera placé sous la responsabilité du ministère de l’éducation et de la jeunesse et mis en œuvre dans chaque établissement. Ce traitement doit être replacé dans le cadre plus global de la lutte contre le harcèlement et constituerait un instrument supplémentaire qui doit être articulé avec l’ensemble des mesures déjà mises en œuvre ou prévues par le plan interministériel.

Le projet de décret prévoit que les élèves du CE2 à la terminale des écoles, collèges et lycées publics sont invités, au moins une fois par an, à renseigner un questionnaire non nominatif. Ce questionnaire vise à améliorer la connaissance des situations de harcèlement scolaire , pour permettre aux directeurs d’école et aux chefs d’établissement d’adopter des mesures afin de prévenir ces situations. Renseignées en classe par les élèves sous l’autorité d’un enseignant, ces grilles seront examinées par un enseignant, sous la responsabilité du directeur d’école ou du chef d’établissement.

Ce traitement vise à :

• recueillir les témoignages des élèves quant aux faits susceptibles d’être qualifiés de harcèlement scolaire dont ils pourraient être victimes ;
• mesurer l’ampleur des faits susceptibles d’être qualifiés de harcèlement scolaire ;
• mobiliser la communauté éducative aux fins de prévenir et de lutter contre le harcèlement scolaire ;
• contribuer à l’élaboration des lignes directrices et des procédures du projet d’établissement destinées à la prévention, à la détection et au traitement des faits constitutifs de harcèlement scolaire ;
• apprécier l’efficacité des lignes directrices et les procédures destinées à la prévention, à la détection et au traitement des faits constitutifs de harcèlement au niveau de l’école et de l’établissement.

Le traitement poursuit également des finalités statistiques.

II. L’avis de la CNIL

Comme le souligne le ministère, le traitement mis en œuvre n’a pas vocation à comprendre des données à caractère personnel mais il ne peut être exclu que certains élèves ayant rempli le questionnaire soient identifiables. Le traitement relève, dès lors, du RGPD et de la loi « informatique et libertés ».

A titre liminaire, la CNIL insiste sur le fait qu’il est essentiel de protéger les mineurs du phénomène de harcèlement, en particulier dans un cadre scolaire, eu égard aux graves conséquences que cela peut engendrer sur leur santé et leur développement.

A. Sur les finalités de traitement

Le traitement vise à permettre de repérer des situations de harcèlement au sein des établissements. Il permettra également d’obtenir des indicateurs afin de mesurer le phénomène de harcèlement au sein de chaque établissement et au niveau national, d’y apporter une réponse adaptée et coordonnée et d’établir des statistiques au niveau national.

Le ministère a indiqué que la retranscription des données au format numérique serait effectuée de manière agrégée et non de manière individuelle :

• par l’établissement, aux fins notamment de pilotage de sa politique en matière de lutte contre le harcèlement, et pour l’élaboration des lignes directrices mentionnées à l’article L. 543-1 du code de l’éducation ;
• d’autre part, par les services statistiques académiques et ministériels pour des finalités statistiques.

Le traitement de données à des fins statistiques implique que le résultat du traitement ne soit constitué que de données agrégées qui n’ont plus la qualité de données à caractère personnel (considérant 162 du RGPD).

La CNIL attire l’attention du ministère sur le fait que les données ainsi agrégées peuvent parfois, si elles traitent de faits ne concernant que très peu d’individus du groupe en question, voire un seul individu, permettre la réidentification. Ce risque semble pouvoir être écarté lorsque les données seront agrégées à l’échelle d’un niveau (par exemple, toutes les classes de seconde d’un établissement) ou à l’échelle de l’établissement lorsque celui-ci comprend des effectifs peu importants en nombre. À défaut, le ministère devra être attentif à apprécier le risque de réidentification et à prendre des précautions lorsque les statistiques ne pourront être regardées comme anonymes (notamment en ne les publiant pas telles quelles).

Concernant la collecte et la centralisation des données par les services académiques et ministériels (dont les services statistiques), le ministère envisage également que, outre cette remontée de données agrégées, un échantillon de classes transmettra leur collection des réponses au questionnaire en format papier. Ces documents ont vocation à être transmis à un prestataire en vue de leur numérisation « dans des conditions garantissant leur sécurité ». La CNIL attire l’attention sur la nécessité de garantir des conditions de traitements suffisamment sûres et confidentielles, et recommande en particulier que les questionnaires comportent un code prérempli pour l’établissement et la classe, non interprétable par le prestataire.

B. Sur les catégories de données collectées

À titre liminaire, la CNIL relève que les élèves seront invités à remplir le questionnaire, mais que la collecte des données demeurera volontaire. Elle approuve cette approche, dès lors qu’il s’agit de données pouvant toucher à l’intimité de personnes mineures.

L’article 4 du projet de décret détaille les catégories de données à caractère personnel collectées dans l’« Enquête harcèlement ».

La CNIL estime que les données collectées sont pertinentes au regard de la finalité poursuivie.

La CNIL attire l’attention du ministère que les questions comprises dans le questionnaire doivent être strictement pertinentes et adéquates au regard des finalités du traitement et que certaines des réponses sont susceptibles de relever des données dites « sensibles » au sens du I de l’article 6 de loi « informatique et libertés ».

Elle recommande, eu égard à une meilleure transparence et information auprès des titulaires de l’autorité parentale du traitement effectué, de mentionner dans le projet de décret que des données sensibles peuvent être amenées à être collectées.

La CNIL constate que les projets de questionnaires qui lui ont été communiqués ne prévoient pas de champ libre. Elle approuve pleinement cette précaution, eu égard au fait que les données seront collectées en très grand nombre, auprès de mineurs, et relatives à l’intimité des personnes.

Les données transmises par les établissements aux services de l’Etat seront agrégées et ne constitueront pas, sauf exception, des données à caractère personnelles. Il en ira autrement des questionnaires d’une sélection de classes qui seront transmis notamment aux servies statistiques ministérielles pour étude. Concernant la nécessité pour ces services de connaître l’établissement des élèves concernés la CNIL rappelle que cette donnée ne pourra être collectée que dans la mesure où elle est nécessaire aux finalités statistiques poursuivies par le traitement, ce qu’il conviendra de vérifier.

C. Sur les accédants et les destinataires et les mesures de sécurité qui en découlent

L’article 5 prévoit la liste des accédants et destinataires du traitements. Il revient à ces personnes de retranscrire les résultats agrégés de ces questionnaires au format numérique.

Il apparait vraisemblable, bien que les données apparaissent sous la forme pseudonymisée, que les enseignants du premier et du second degré puissent reconnaitre l’identité de certains répondants et aient accès à des données qui peuvent être intrusives les concernant.

La CNIL recommande au ministère de diffuser des consignes claires pour tous les établissements en ce qui concerne la confidentialité des questionnaires.

Les établissements devront appliquer la même rigueur aux données qui seront conservées sous forme numérique. Des mesures techniques devront en restreindre l’accès aux seules personnes prévues par le décret.

S’agissant des accédants, le I de l’article 5 prévoit également que sont accédants "les personnes spécialement désignées à cet effet par le directeur d’école [ou] […] le chef d’établissement".

S’agissant des destinataires, elle s’interroge sur la qualité de destinataires du service statistique ministériel, qui lui semble plutôt avoir la qualité d’accédant dès lors qu’il traitera les données pour les finalités prévues par le décret et pour le compte du responsable de traitement.

Par ailleurs, le III de l’article 5 du projet de décret prévoit que peuvent être destinataires "les organismes de recherche et les chercheurs ayant conclu une convention à cette fin avec la direction de l’évaluation, de la prospective et de la performance".

La CNIL accueille favorablement l’encadrement réglementaire et conventionnel de l’accès à ces données pour des finalités de recherche. Elle encourage vivement à encadrer conventionnellement les garanties permettant de s’assurer du respect de la réglementation en matière de protection des données pour cette réutilisation ultérieure.

D. Sur la nécessité de procéder à une analyse d’impact relative à la protection des données (AIPD)

Le ministère a indiqué ne pas avoir effectué d’AIPD pour ce traitement.

Le traitement, mis en œuvre dans tous les établissements publics du premier et du second degré à partir du CE2, concerne des données de personnes mineures et est susceptible de collecter des données sensibles au sens de l’article 9 du RGPD. Le traitement entre ainsi dans le champ des critères mentionnés à l’article 35.3° du RGPD et ceux établis par le groupe de travail « Article 29 » dans les lignes directrices concernant l’AIPD et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé aux fins du règlement (UE) 2016/679 afin d’évaluer si une opération de traitement nécessite une AIPD du fait d’un risque inhérent élevé. Dès lors, la CNIL estime que la réalisation d’une AIPD est requise pour la mise en œuvre du traitement.

E. Sur les durées de conservation des données

L’article 6 indique que les grilles renseignées par les élèves sont conservées par l’école ou l’établissement jusqu’à la fin de l’année scolaire en cours et qu’ils seront détruits au terme de cette période.

S’agissant de la durée retenue, la CNIL l’estime légitime mais invite le ministère, lorsqu’il aura mis en œuvre le traitement pendant une ou plusieurs années, à se réinterroger sur la durée effectivement nécessaire au regard de l’objectif poursuivi : la conservation durant toute l’année scolaire est pertinente s’il s’avère utile de pouvoir reconsulter les questionnaires au cours de l’année dans le cadre de la lutte contre le harcèlement ; dans le cas contraire, les questionnaires pourraient être détruits plus rapidement, après analyse et remontée des données agrégées. Par ailleurs, la CNIL observe que les durées de conservation pour les données retranscrites au format numérique ne sont pas prévues. Or ces données ne peuvent être conservées indéfiniment si elles ne sont pas anonymisées. Elle rappelle qu’il est obligatoire que le responsable de traitement fixe une durée de conservation de ces données dans l’hypothèse où elles ne seraient pas anonymes.

F. Sur l’information des personnes mineures et des titulaires de l’autorité parentale

Concernant l’information des personnes :

• il est envisagé que des mentions adaptées figurent sur les questionnaires ;
• les modalités d’information des responsables légaux des élèves mineurs sont en cours de détermination. La CNIL rappelle que cette information devra contenir toutes les mentions figurant à l’article 13 du RGPD et pourrait, par exemple, prendre la forme d’un courrier ou courriel adressé avant le début du traitement.

La CNIL souligne l’importance de mettre à disposition des personnes mineures une information simple et pédagogique, adaptée à la tranche d’âge des répondants. Cette information devra notamment expliquer clairement :

• l’objectif poursuivi par le traitement ;
• qui seront les accédants et les destinataires du traitement ;
• le caractère facultatif des questions ;
• les raisons pour lesquelles les droits d’accès, de rectification, de limitation, d’opposition– et d’effacement – ne s’appliquent pas au traitement ;
• et ce à quoi les titulaires de l’autorité parentale auront accès comme informations si une restitution des résultats du questionnaire est organisée.

Cette information pourrait, par exemple, prendre la forme d’une infographie, en particulier pour les plus jeunes, et d’une intervention orale par leurs enseignants en plus des mentions ajoutées aux questionnaires.

Les autres dispositions du projet de décret n’appellent pas d’observations de la CNIL.

La Présidente

Marie-Laure DENIS