• Home  / 
  • DELIBERATION 03-037

DELIBERATION 03-037

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le Ministère de la jeunesse, de l'éducation nationale et de la recherche d'un projet d'arrêté portant création d'un traitement automatisé d'informations nominatives (demande d'avis n° 854083) ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi du 6 janvier 1978 susvisée ;

Après avoir entendu Monsieur Hubert Bouchet, commissaire, en son rapport, et Madame Charlotte Marie Pitrat, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Sur les finalités poursuivies

Dans le cadre de son programme dénommé "Bureau virtuel" destiné à promouvoir l'accès aux technologies de l'information et de la communication auprès de ses personnels, le Ministère de la jeunesse, de l'éducation nationale et de la recherche a saisi la Commission d'une demande d'avis concernant un traitement automatisé d'informations nominatives dénommé "I-Prof".

Ce traitement permet à tout enseignant de bénéficier, via un point d'entrée unique, personnalisé et sécurisé, d'un bouquet de services comprenant :

- l'accès aux données professionnelles et administratives le concernant, actuellement disponibles dans les bases de données informatisées de gestion des personnels de l'éducation nationale ("AGAPE" pour le premier degré et "EPP" pour le second degré),

- la possibilité de signaler des erreurs dans les informations contenues dans la partie administrative du dossier,

- la possibilité de compléter les informations le concernant dans la partie curriculum vitae du dossier et d'éditer le curriculum vitae

- l'accès aux procédures d'administration électronique (opérations de promotion, de mutation, de formation ...), "I-Prof" constituant un portail vers les applications internet actuelles dédiées à ces opérations et qui ont succédé aux services télématiques,

- l'accès aux résultats des actes de gestion le concernant,

- la consultation des textes juridiques de référence et des guides concernant la carrière et le métier d'enseignant,

- l'accès à une messagerie électronique avec un gestionnaire attitré permettant une information personnalisée en temps réel concernant tout élément de sa vie administrative et professionnelle.

L'application "I-Prof", s'appuyant sur des bases de données académiques, est constituée de deux modules, l'un dit "enseignants", l'autre dit "gestionnaires et inspecteurs".

Le premier module est accessible par internet (site extranet) à partir de n'importe quel ordinateur. Ainsi, un enseignant peut se connecter à "I-Prof" de son domicile ou à partir des points d'accès à internet disponibles dans chaque établissement.

Le second module, non accessible via internet, est accessible soit à partir d'un poste de travail installé dans les locaux des services académiques, soit par un poste extérieur.

La Commission estime légitimes les objectifs poursuivis dans le cadre de l'outil "I-Prof".

Sur la pertinence des données enregistrées

La Commission prend acte du fait que les données accessibles dans le cadre de "I-Prof" se limitent aux données de gestion des dossiers administratifs des enseignants extraites des applications "AGAPE" et "EPP" de gestion des personnels du premier et du second degrés, ainsi qu'aux données complémentaires librement communiquées par l'enseignant concerné.

Sur les destinataires des données enregistrées

Les destinataires des informations enregistrées dans "I-Prof" sont les enseignants concernés et les inspecteurs de l'éducation nationale (à l'exception des messages électroniques) ainsi que les inspecteurs d'académie-inspecteurs pédagogiques régionaux (à l'exception des messages électroniques) qui, les uns et les autres, sont déjà destinataires des données des applications "AGAPE" et "EPP".

Comme pour "AGAPE" et "EPP", sont également destinataires des informations enregistrées dans "I-Prof" les gestionnaires des personnels qui sont les gestionnaires administratifs des personnels enseignants du premier degré (en inspections académiques) et du second degré (rectorats) et les personnels de la direction des personnels enseignants du Ministère de la jeunesse, de l'éducation nationale et de la recherche gérant les personnels détachés et affectés à l'étranger. Au titre de la gestion intégrée des personnels, ils ont accès à l'ensemble des données concernant les personnels dont ils ont la charge.

La Commission estime légitimes les habilitations d'accès ainsi définies dans le cadre de "I- Prof".

Sur les durées de conservation des données

Les informations sont accessibles sur l'extranet "I-Prof" jusqu'à la fin de l'année scolaire suivant le départ de l'enseignant.

S'agissant des éléments composant la rubrique "curriculum vitae", leur conservation est laissée à la libre appréciation de l'agent.

Enfin, le contenu de la rubrique "messagerie électronique" est conservé sur deux années scolaires au plus.

La Commission considère ces durées de conservation comme non excessives.

Sur les mesures prises pour garantir la confidentialité des données

Plusieurs procédés sont mis en oeuvre pour assurer l'authentification des utilisateurs et des serveurs de l'application "I-Prof", ainsi que le chiffrement et l'intégrité des données.

En particulier, l'accès à distance des gestionnaires et inspecteurs aux informations par un poste dit "nomade" est notamment sécurisé par un dispositif s'appuyant sur une "clé USB" - support physique doté d'un port de communication USB permettant la connexion de la clé sur tout ordinateur du marché - contenant un logiciel support d'un certificat associé à un code PIN que doit composer l'utilisateur pour se connecter à "I-Prof".

En outre, les connexions à "I-Prof" sont journalisées afin de permettre un contrôle a posteriori des accès à l'application.

La Commission relève cependant que le procédé actuel d'authentification de "I-Prof" basé sur un login et un mot de passe paraît insuffisant dans la mesure où il n'est prévu aucun contrôle de la longueur minimale du mot de passe, aucune fréquence de renouvellement obligatoire, ni aucune interdiction d'utiliser les derniers mots de passe.

La Commission recommande en conséquence la définition de règles en ce domaine ou la généralisation d'un procédé assurant l'authentification des utilisateurs de "I-Prof" tel que, par exemple, le dispositif de "clé USB" déjà mis en oeuvre dans le cadre du module "gestionnaires et inspecteurs".

Sur le droit d'accès et de rectification, le droit d'opposition, et l'information des personnels enseignants

La Commission observe que, de par sa finalité et son mode de fonctionnement, le traitement "I-Prof" est de nature à faciliter l'exercice du droit d'accès et de rectification des enseignants aux données nominatives qui les concernent.

Elle relève également qu'il n'est en aucun cas fait obligation aux enseignants de se connecter à "I-Prof", de consulter ou de compléter leur dossier. En ce sens, toutes les procédures administratives et de gestion peuvent être réalisées par l'enseignant sur support papier.

De plus, les enseignants disposent de la possibilité de s'opposer, à tout moment, à la mise en ligne sur l'extranet des informations les concernant. La Commission prend acte du fait que l'exercice de ce droit ne pourra porter sur une rubrique particulière de "I-Prof", mais uniquement sur l'ensemble du dossier de l'enseignant exerçant son droit d'opposition.

Elle considère toutefois nécessaire de rappeler au Ministère de la jeunesse, de l'éducation nationale et de la recherche son obligation d'informer très clairement les personnels enseignants sur les objectifs poursuivis par la mise en oeuvre de ce dispositif, sur les destinataires des informations enregistrées, et sur leur droit de faire compléter ou rectifier les données les concernant, mais également de s'opposer à la mise en ligne de leur dossier dans l'outil "I-Prof".

Emet un avis favorable au projet d'arrêté présenté par le Ministère de la jeunesse, de l'éducation nationale et de la recherche portant création du traitement "I-Prof",

Recommande au ministère de renforcer les mesures envisagées afin d'assurer la sécurisation des accès à l'application "I-Prof" par la définition de règles visant à mieux encadrer l'utilisation des mots de passe ou par la généralisation d'un procédé assurant l'authentification des utilisateurs de "I-Prof" tel que, par exemple, le dispositif de "clé USB" déjà mis en oeuvre dans le cadre du module "gestionnaires et inspecteurs",

Demande à être saisie dans le délai d'un an des mesures retenues par le ministère afin de répondre à cet objectif de renforcement de l'authentification des utilisateurs de "I-Prof",

Rappelle au ministère son obligation de procéder à une parfaite information des personnels enseignants sur les objectifs poursuivis par la mise en oeuvre de ce dispositif, sur les destinataires des informations enregistrées et sur leur droit de faire compléter ou rectifier les données les concernant mais également de s'opposer à la mise en ligne de leur dossier dans l'extranet "I-Prof".

Le Président, Michel Gentot.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: