icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2020-15 du 15 janvier 2020 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des élèves collégiens et lycéens d'un outil d'orientation », de la Direction de l'Éducation Nationale de la Jeunesse et des Sports présentée par le Ministre d'État.

  • No. Journal 8471
  • Date of publication 31/01/2020
  • Quality 100%
  • Page no.

Vu la Constitution ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu la loi n° 826 du 14 août 1967 sur l'enseignement ;
Vu l'Ordonnance Souveraine n° 5.540 du 19 mars 1975 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2019-68 du 9 mai 2019 portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des élèves lycéens d'un outil d'orientation » de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présenté par le Ministre d'État ;
Vu la délibération n° 2019-69 du 9 mai 2019 portant autorisation de transfert d'informations nominatives ayant pour finalité « Communication aux États-Unis des données des lycéens dans le cadre de la mise à disposition de l'outil d'orientation » de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports présentée par le Ministre d'État ;
Vu la demande d'avis modificative déposée par le Ministre d'État le 17 octobre 2019 concernant la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des élèves lycéens d'un outil d'orientation » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 16 décembre 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 janvier 2020 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,

Préambule

La Direction de l'Éducation Nationale de la Jeunesse et des Sports a, par délibération n° 2019-68, reçu avis favorable de la Commission portant sur la mise en œuvre d'un « chatbox » adossé à Facebook permettant d'aider les élèves scolarisés à Monaco à s'orienter. Ce traitement nécessitant des transferts d'informations vers les États-Unis d'Amérique, pays ne disposant pas d'une législation de protection des informations nominatives jugée d'un niveau adéquat, la DENJS a reçu autorisation d'effectuer lesdits transferts par délibération n° 2019-69, sous réserve d'obtenir le recueil du consentement exprès des personnes concernées et / ou de leurs représentants légaux (élèves, parents,…).
Cette Direction souhaite désormais modifier l'outil dont s'agit, afin que son utilisation se fasse sans association à Facebook ni Chatfuel, via un « webchat », et d'opérer ainsi uniquement depuis des pays disposant d'un niveau de protection adéquat en matière de protection des informations nominatives.
Aussi, conformément aux dispositions des articles 7 et 9 de la loi n° 1.165 du 23 décembre 1993, le Ministre d'État soumet la modification du traitement ayant pour finalité « Mise à disposition des élèves lycéens d'un outil d'orientation » à l'avis de la Commission.

I. Rappel de la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Mise à disposition des élèves lycéens d'un outil d'orientation ».
Les personnes concernées sont les élèves scolarisés en Principauté, de la 3ème à la terminale.
Il a pour objectif de « faire découvrir aux utilisateurs des métiers en adéquation avec leur personnalité et leurs attentes » et repose sur 3 étapes :
- « collecte des informations auprès de l'utilisateur ;
- traitement algorithmique permettant d'établir un classement des métiers en fonction des informations collectées ;
- restitution des résultats à l'utilisateur ».

Il est précisé que « l'étape n° 1 de collecte des informations prend la forme de plusieurs questionnaires successifs de type « test de personnalité » ». Les informations demandées à l'utilisateur concernent notamment : le métier qui l'attire le plus, ses passions, ses valeurs, une auto-évaluation lors d'un test de personnalité, ses secteurs professionnels de prédilection, son environnement de travail idéal. Les réponses sont fournies par l'utilisateur sur une base déclarative. D'une manière générale, l'utilisateur doit choisir parmi une liste de réponses suggérées.
Lors de l'étape n° 2, les informations de l'utilisateur sont fournies comme données d'entrées à un algorithme. La sortie de cet algorithme est une liste de métiers. Chaque métier est affecté d'un score, qui présente l'adéquation du profil de l'utilisateur à ce métier.
Lors de l'étape n° 3, l'utilisateur consulte le résultat de l'algorithme, et a la possibilité de fournir un retour à l'application (j'aime ou je n'aime pas ce métier). Cette dernière information est mémorisée et incorporée à la restitution des résultats, consultable par l'utilisateur.
La Commission constate cependant l'ajout de nouvelles fonctionnalités :
- Permettre à l'utilisateur de créer un compte ;
- Permettre l'administration et le partage de profil ;
- Permettre à chaque utilisateur de télécharger les données le concernant exploitées par la plateforme ;
- Permettre à l'utilisateur d'effacer ses données ;
- Envoyer des notifications par mail à l'utilisateur.

II. Sur la licéité et la justification du traitement
La Commission relève que la Direction de l'Éducation Nationale, de la Jeunesse et des Sports a été instaurée par l'Ordonnance Souveraine n° 5.550 du 19 mars 1975 portant création de la Direction de l'Éducation Nationale, de la Jeunesse et des Sports.
En outre, la loi n° 1.334 du 12 juillet 2007 sur l'éducation précise les missions relevant de l'enseignement obligatoire.
L'article 13 de celle-ci dispose « le directeur de l'éducation nationale est le chef du service de l'État, institué par ordonnance souveraine, ayant notamment pour mission : (…)*4°) de coordonner l'orientation scolaire ; (…)
À cet égard, la Commission constate qu'il relève des prérogatives de la DENJS de coordonner l'orientation scolaire.
Par ailleurs, elle relève que le traitement est justifié par la réalisation d'un intérêt légitime de la DENJS et du consentement des personnes concernées.
À cet égard, la Commission constate que le formulaire de consentement a évolué concomitamment à la transformation de l'outil, et que ce dernier est conforme aux exigences légales et permet un consentement libre et éclairé au traitement dont s'agit.
Néanmoins, elle relève que la mention portée au sein de l'autorisation parentale indique que CAESO est proposé pour l'année scolaire 2019/2020, sous-entendant un possible effacement automatique des informations collectées à la fin de l'année scolaire. Or, il résulte du dossier que le responsable de traitement souhaite conserver les informations a minima 6 ans ou après effacement volontaire de la personne concernée.
Enfin, la Commission rappelle que la faculté offerte aux élèves de partager notamment avec leurs conseillers d'orientation les résultats du test algorithmique, est effectuée par le biais d'une URL accessible sans mot de passe. Eu égard au caractère personnel de celui-ci, la Commission conseille la mise en place, tant pour les élèves que pour les personnels, d'une sensibilisation à la protection de la vie privée dans le monde numérique.
Elle considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées
Les informations objets du traitement sont désormais les suivantes :
- identité : nom, prénom ;
- formation-diplômes : niveau scolaire ;
- données d'identification électronique : identifiants Caeso (adresse email de l'élève, code d'activation) ;
- informations temporelles : date de début de la discussion ;
- affinités professionnelles : concernant l'utilisateur : le métier qui l'attire le plus, ses passions, ses valeurs, une auto-évaluation lors d'un test de personnalité, ses secteurs professionnels de prédilection, son environnement de travail idéal.
Le responsable de traitement indique que les informations ont pour origine les personnes concernées. Toutefois, à l'analyse du dossier, il appert que certaines informations ont pour origine le système lui-même, notamment le profil de l'utilisateur qui est dressé par le test de personnalité et les métiers associés à ladite personnalité, et qui résultent du résultat de l'algorithme.
Par ailleurs, la Commission constate qu'en ce qui concerne le traitement disponible depuis Internet, il n'est indiqué aucune collecte effectuée par le biais de cookies déposés sur les terminaux utilisateurs. Elle considère donc que le webchat dont s'agit et la page de profil n'utilisent que des cookies techniques nécessairement utiles au fonctionnement desdits services et pour lesquels le recueil du consentement des personnes concernées n'est pas exigé.
La Commission considère que les informations collectées au sein dudit traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.

IV. Sur les droits des personnes concernées

  • Sur l'information des personnes concernées

Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par un document spécifique, par une rubrique propre à la protection des données accessible en ligne, par une mention sur le document de collecte et par une mention particulière intégrée dans un document d'ordre général.
Sont jointes au dossier l'autorisation parentale délivrée aux parents et élèves ainsi que les conditions générales d'utilisation de Caeso.
Après analyse, la Commission constate que les mentions d'information sont conformes aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.

  • Sur l'exercice du droit d'accès

La Commission observe que le droit d'accès est exercé par courrier électronique ou encore par un accès en ligne à son dossier.
Elle constate des éléments du dossier que les utilisateurs peuvent télécharger sur le site les informations les concernant qui sont exploitées. Les personnes concernées disposent également de droits issus du RGPD tels que le droit à la limitation des données.
La Commission rappelle par ailleurs que le responsable de traitement doit s'assurer de l'identité des personnes effectuant un droit d'accès par courrier électronique et doivent donc mettre en place des mesures permettant d'effectuer ladite vérification. S'il y a une collecte par mail de documents d'identité, elle demande que cette transmission soit sécurisée.
Sous cette réserve, la Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

  • Sur les destinataires

La Commission constate qu'il n'y a plus de destinataire au sens de la loi n° 1.165, modifiée.

  • Sur les personnes ayant accès au traitement

Les personnes habilitées à avoir accès au traitement sont désormais :
- le directeur technique de la plateforme : tous droits pour ses missions de développement et d'exploitation ;
- les élèves pour l'usage de la plateforme et consultation de leur profil.
La Commission relève par ailleurs que les données ne sont plus accessibles aux deux services suivants, sis aux États-Unis d'Amérique :
- Chatfuel (200 Labs, Inc.) ;
- Facebook (Facebook Inc.).
Elle constate ainsi que l'autorisation de transfert objet de la délibération n° 2019-69 du 9 mai 2019 ayant pour finalité « Communication aux États-Unis des données des lycéens dans le cadre de la mise à disposition de l'outil d'orientation » n'a plus lieu d'être et doit être retirée.

VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle néanmoins que, conformément à l'article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par ce traitement et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.

VII. Sur la durée de conservation
Le responsable de traitement entend désormais conserver les informations objets du traitement 6 ans. Il est précisé que les informations peuvent être supprimées à tout instant par les utilisateurs, sauf à ce que certaines des informations doivent être conservées en respect d'une obligation légale.
La Commission considère que cette durée de conservation est conforme aux exigences légales, mais rappelle que la conservation en respect d'une obligation légale, si elle devait s'appliquer (identification des auteurs de contenu), ne peut permettre une conservation supérieure à un an à compter de la suppression.
Après en avoir délibéré, la Commission :
Constate que :
- les seuls cookies utilisés lors de l'exploitation du présent traitement sont techniques et strictement nécessaires à son fonctionnement ;
- l'autorisation de transfert objet de la délibération n° 2019‑69 du 9 mai 2019 ayant pour finalité « Communication aux États-Unis des données des lycéens dans le cadre de la mise à disposition de l'outil d'orientation » n'a plus lieu d'être et doit être retirée.
Recommande que soit effectuée une sensibilisation à la vie privée en environnement numérique, notamment en ce qui concerne la mise à disposition aux tiers d'un accès au profil de personnalité de l'élève via une url ne requérant pas de mot de passe.
Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
À la condition de la prise en compte de ce qui précède, la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Mise à disposition des élèves collégiens et lycéens d'un outil d'orientation ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14