Délibération n° 2019-68 du 9 mai 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des élèves lycéens d'un outil d'orientation » de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 826 du 14 août 1967 sur l'enseignement ;
Vu l'Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État le 14 janvier 2019 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des élèves lycéens d'un outil d'orientation » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 12 mars 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 9 mai 2019 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La Direction de l'Éducation Nationale, de la Jeunesse et des Sports (DENJS) souhaite mettre l'accent sur l'accompagnement des élèves lors de leurs parcours personnels d'orientation. Pour ce faire et s'adapter aux usages des élèves, elle souhaite adopter une solution permettant via un algorithme une analyse de la personnalité de l'élève pour lui proposer des métiers adaptés à celle-ci, en le tenant au courant des filières et cursus. À cet égard, l'État de Monaco veut contractualiser avec une start-up qui propose déjà en France et pour son compte la solution Hello Charly. À Monaco, la solution serait dédiée et s'appellerait « CAESO ». Pour étudier la personnalité des lycéens, des séries de questions seraient posées par le « chatbot » CAESO via la messagerie Messenger appartenant à Facebook.
Aussi, conformément aux dispositions de l'article 7 de la loi n° 1.165 du 23 décembre 1993, le Ministre d'État soumet le traitement ayant pour finalité « Partage de ressources et de services pédagogiques » à l'avis de la Commission.
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Mise à disposition des élèves lycéens d'un outil d'orientation ».
Les personnes concernées sont les élèves scolarisés en Principauté, de la 3ème à la terminale.
Il a pour objectif de « faire découvrir aux utilisateurs des métiers en adéquation avec leur personnalité et leurs attentes » et repose sur 3 étapes :
«- collecte des informations auprès de l'utilisateur ;
- traitement algorithmique permettant d'établir un classement des métiers en fonction des informations collectées ;
- restitution des résultats à l'utilisateur ».
Il est précisé que l'étape n° 1 de collecte des informations prend la forme de plusieurs questionnaires successifs de type « test de personnalité ». Les informations demandées à l'utilisateur concernent notamment : le métier qui l'attire le plus, ses passions, ses valeurs, une auto-évaluation lors d'un test de personnalité, ses secteurs professionnels de prédilection, son environnement de travail idéal. Les réponses sont fournies par l'utilisateur sur une base déclarative. D'une manière générale, l'utilisateur doit choisir parmi une liste de réponses suggérées.
Lors de l'étape n° 2, les informations de l'utilisateur sont fournies comme données d'entrées à un algorithme. La sortie de cet algorithme est une liste de métiers. Chaque métier est affecté d'un score, qui présente l'adéquation du profil de l'utilisateur à ce métier.
Lors de l'étape n° 3, l'utilisateur consulte le résultat de l'algorithme, et a la possibilité de fournir un retour à l'application (j'aime ou je n'aime pas ce métier). Cette dernière information est mémorisée et incorporée à la restitution des résultats, consultable par l'utilisateur.
Au vu de ces éléments, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165, modifiée.
II. Sur la licéité et la justification du traitement
La Commission relève que la Direction de l'Éducation Nationale, de la Jeunesse et des Sports a été instaurée par l'Ordonnance Souveraine n° 5.550 du 19 mars 175 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports.
En outre, la loi n° 1.334 du 12 juillet 2007 sur l'éducation précise les missions relevant de l'enseignement obligatoire.
L'article 13 de celle-ci dispose que « le directeur de l'éducation nationale est le chef du service de l'État, institué par ordonnance souveraine, ayant notamment pour mission :
(…)*4°) de coordonner l'orientation scolaire ; (…)
À cet égard, la Commission constate qu'il relève des prérogatives de la DENJS de coordonner l'orientation scolaire.
Toutefois, le traitement n'a pas été justifié sur le fondement du respect d'une obligation légale, mais sur le fondement de la réalisation d'un intérêt légitime de la DENJS et du consentement des personnes concernées. La Commission estime que ce choix résulte du caractère particulier du dispositif qui n'est pas stricto sensu un outil d'orientation relevant des personnels de l'État, mais une incitation de ce dernier envers les lycéens aux fins d'utiliser un outil externe utile dans leurs réflexions sur leurs orientations futures.
De plus, l'outil mis à disposition repose sur l'utilisation de réseaux sociaux américains, en l'espèce la messagerie Messenger de Facebook, dont l'utilisation usuelle repose sur un choix personnel des personnes concernées.
Consciente du caractère particulier de la démarche, la DENJS entend déployer un formulaire d'autorisation parentale.
La Commission relève que les élèves de la Principauté qui n'en ont pas déjà un créeront un compte Messenger (outil Facebook). La Commission considère qu'il existe en la matière une incitation à souscrire audit service dont les données sont communiquées vers un pays ne disposant pas d'un niveau de protection adéquat au sens de la loi n° 1.165\.
Par ailleurs, conformément aux dispositions du RGPD applicables à la société prestataire de la solution et à Facebook en vertu de leur rattachement à la France, la Commission rappelle que cette dernière a prévu dans l'article 7-1 de la loi Informatique et Libertés, récemment modifiée, qu'un « mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l'offre directe de service de la société de l'information à compter de l'âge de quinze ans. Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur (…). »
Aussi, la Commission estime que les parents désireux de faire bénéficier leurs enfants de CAESO doivent être informés de cet état de fait si ces derniers n'ont pas atteint l'âge susmentionné.
De plus, elle relève que la mention portée au sein de l'autorisation parentale indique que CAESO est proposé pour l'année scolaire 2018/2019, sous-entendant un possible effacement automatique des informations collectées à la fin de l'année scolaire. Or, il résulte du dossier que le responsable de traitement entend les conserver 10 ans ou jusqu'à désinscription.
En outre, la Commission relève que le traitement repose sur un service dénommé Chatfuel, et dont la société se situe aux États-Unis.
La Commission rappelle que le transfert vers les États-Unis en lien avec l'utilisation de Chatfuel et de Facebook sera étudié dans la délibération y relative. Une analyse de l'autorisation parentale et du consentement des personnes concernées y sera effectuée.
Enfin, la Commission a constaté lors des discussions avec les parties intéressées au traitement qu'une URL est mise à la disposition des élèves ayant effectué le test pour qu'ils puissent notamment partager avec leurs conseillers d'orientation les résultats du test algorithmique. Cet accès via URL par les tiers est possible sans mot de passe. Eu égard au caractère personnel de celui-ci, la Commission conseille la mise en place, tant pour les élèves que pour les personnels, d'une sensibilisation à la protection de la vie privée dans le monde numérique.
Sous ces réserves, elle considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations traitées sont les suivantes :
- identité : nom, prénom, pseudo Facebook ;
- formation-diplômes : niveau scolaire ;
- données d'identification électronique : identifiant Facebook ;
- informations temporelles : date de début de la discussion ;
- affinités professionnelles : concernant l'utilisateur : le métier qui l'attire le plus, ses passions, ses valeurs, une auto-évaluation lors d'un test de personnalité, ses secteurs professionnels de prédilection, son environnement de travail idéal.
Le responsable de traitement indique que les informations ont pour origine les personnes concernées. Toutefois, à l'analyse du dossier, il appert que certaines informations ont pour origine le système lui-même, notamment le profil de l'utilisateur qui est dressé par le test de personnalité et les métiers associés à ladite personnalité, et qui sont issus du résultat de l'algorithme.
La Commission considère que les informations collectées au sein dudit traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information des personnes concernées
Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par un document spécifique, par une rubrique propre à la protection des données accessible en ligne, par une mention sur le document de collecte et par une mention particulière intégrée dans un document d'ordre général.
Toutefois, seule est jointe au dossier l'autorisation parentale délivrée aux parents. Outre les éléments demandés au point II de la présente délibération relativement à ce document, et bien que ce dernier expose que « chaque élève pourra sur simple demande consulter, télécharger, modifier ou effacer les informations communiquées à travers l'application messenger », il n'y a pas d'information pratique quant aux modalités d'exercice.
La Commission rappelle que les mentions d'information doivent contenir toutes les dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l'exercice du droit d'accès
La Commission observe que le droit d'accès est exercé par courrier électronique ou encore par un accès en ligne à son dossier.
À cet égard, la Commission rappelle que le responsable de traitement doit s'assurer de l'identité des personnes effectuant un droit d'accès et doivent donc mettre en place des mesures permettant d'effectuer ladite vérification. S'il y a une collecte par mail de documents d'identité, elle demande que cette transmission soit sécurisée.
Sous cette réserve, la Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les destinataires
Les informations échangées via le « chatbox » sont hébergées sur la messagerie Messenger et reposent sur l'utilisation du service Chatfuel, dont les entreprises sont sises aux États-Unis d'Amérique.
La Commission souligne que les garanties attachées à ces transmissions d'informations à destination des États-Unis, pays ne disposant pas d'un niveau de protection adéquat eu regard de la législation monégasque, seront examinées dans la demande d'autorisation de transfert dont elle a été saisie.
- Sur les personnes ayant accès au traitement
Les personnes habilitées à avoir accès au traitement sont :
- le directeur technique de la plateforme « CAESO » : tous droits pour ses missions de développement et d'exploitation ;
- les élèves pour l'usage de la plateforme « CAESO » et consultation de leur profil.
De plus, les données sont collectées par le biais de deux services externes :
- Chatfuel (200 Labs, Inc.) ;
- Facebook (Facebook Inc.).
Eu égard à la finalité du traitement et au caractère facultatif de l'adhésion à CAESO, les accès à ladite plateforme sont justifiés.
S'agissant des accès par Chatfuel et Facebook, ceux-ci seront examinés dans le cadre de la demande d'autorisation de transfert susmentionnée.
En ce qui concerne les prestataires, la Commission rappelle toutefois que conformément aux dispositions de l'article 17 de la loi n° 1.165, modifiée, leurs droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de son contrat de prestation de service. De plus, ceux-ci est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l'article 17, susvisé.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle néanmoins que, conformément à l'article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VII. Sur la durée de conservation
Le responsable de traitement indique que la durée de conservation des informations objets du traitement est de 10 ans, afin de conserver les données durant toute la scolarité d'un élève, ou dès demande expresse d'une personne concernée.
La Commission considère que cette durée de conservation, qui concerne des élèves scolarisés à partir de la 3ème, est trop longue. Toutefois elle comprend que des élèves désirent garder les résultats tout au long de leurs années de lycée, voire durant leurs premières années d'études.
Aussi, la Commission estime qu'une durée de conservation en lien avec l'activité sur le service est plus pertinente. Elle la fixe donc à 3 ans après la dernière interaction de la personne concernée avec CAESO, sous réserve d'avoir préalablement contacté la personne concernée en lui indiquant qu'à défaut de connexion sous un mois, son compte sera supprimé.
Après en avoir délibéré, la Commission :
Demande que :
- l'autorisation parentale comporte les éléments demandés au point II de la présente délibération ;
- si une collecte de copie de pièce d'identité est effectuée, celle-ci soit chiffrée.
Recommande que soit effectuée une sensibilisation à la vie privée en environnement numérique, notamment en ce qui concerne la mise à disposition aux tiers d'un accès au profil de personnalité de l'élève via un url ne requérant pas de mot de passe.
Rappelle que :
- les mentions d'informations doivent impérativement comporter l'ensemble des mentions prévues à l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Fixe la durée de conservation à 3 ans après la dernière interaction de la personne concernée avec CAESO, sous réserve d'avoir préalablement contacté la personne concernée en lui indiquant qu'à défaut de connexion sous un mois, son compte sera supprimé.
À la condition de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des élèves lycéens d'un outil d'orientation ».
Le Président de la Commission de Contrôle des Informations Nominatives.