15ème législature

Question N° 13499
de M. Alain Bruneel (Gauche démocrate et républicaine - Nord )
Question écrite
Ministère interrogé > Éducation nationale et jeunesse
Ministère attributaire > Éducation nationale et jeunesse

Rubrique > enseignement maternel et primaire

Titre > Hébergement de données de l'éducation nationa

Question publiée au JO le : 23/10/2018 page : 9486
Réponse publiée au JO le : 01/01/2019 page : 12414

Texte de la question

M. Alain Bruneel alerte M. le ministre de l'éducation nationale et de la jeunesse sur l'hébergement de données d'évaluations des élèves de CP et de CE1 sur des serveurs de l'entreprise Amazon. Cette information révélée sur les réseaux sociaux et dans la presse a engendré un fort mécontentement de la part de nombreux parents d'élèves et de membres de la communauté éducative qui demandent que les données personnelles des enfants restent dans le périmètre de l'éducation nationale. Il est en effet inquiétant qu'une entreprise commerciale, qui plus est connue pour ses démêlés avec le fisc français, puisse héberger des données personnelles d'enfants du service public. Il aimerait savoir pourquoi le ministère n'a pas utilisé ses ressources internes en faisant appel à la DEPP (direction de l'évaluation, la prospective et la performance), ce qui aurait permis de réaliser les missions d'analyses dans le strict respect des missions du service public. Par suite, il aimerait également connaître le montant du contrat passé avec ce prestataire privé. Considérant que les personnes concernées n'ont pas donné leur accord pour un tel contrat, il l'interroge enfin sur le respect des règles d'utilisation des données personnelles et sur les garanties accordées aux parents d'élèves pour que les informations ne soient pas utilisées à des fins commerciales.

Texte de la réponse

La mise en œuvre des évaluations exhaustives d'élèves, dématérialisées totalement dans le second degré et en partie dans le premier degré, a été un succès, mobilisant fortement les équipes du ministère de l'éducation nationale et de la jeunesse, et en particulier sa direction de l'évaluation, de la prospective et de la performance (DEPP), service statistique ministériel soumis à des règles strictes en matière de confidentialité. L'opération effectuée en sixième à la rentrée 2017 et entièrement menée sur ordinateur était une première en Europe à l'échelle de 830 000 élèves ; à cette rentrée, les évaluations ont concerné tous les élèves à quatre niveaux : CP, CE1, sixième et seconde. Pour héberger sa plateforme de saisie et de restitution des résultats, la DEPP a recours à un prestataire, la société OAT. Spécialiste reconnu internationalement en matière d'évaluation en ligne pour le secteur public et l'éducation, cette entreprise a été sélectionnée à la suite d'un appel d'offres dans le cadre d'un marché public passé en 2016 ; elle répond à toutes les garanties exigées en matière de protection des données ; elle possède toutes les compétences pour développer et administrer une plateforme qui, à partir des spécifications de la DEPP, permet de gérer des évaluations massives sous forme numérique. Afin de permettre la connexion simultanée potentielle de plusieurs dizaines de milliers d'utilisateurs, cette entreprise loue des serveurs, implantés dans l'Union européenne, à la société « Amazon Web Services ». Le prestataire OAT comme son sous-traitant Amazon Web Services se bornent à fournir une plateforme technique et ne disposent pas d'accès aux données personnelles des élèves et de leurs professeurs. En effet, dès le début de l'opération, les élèves de CP et CE1 se voient attribuer un numéro d'ordre dépourvu de tout lien avec leurs nom, prénom, classe et école, que seule la DEPP est en mesure d'associer à l'identité de l'élève. Le professeur se connecte selon le protocole sécurisé https sur la plateforme d'évaluation au moyen d'un code fourni par la DEPP, qui seule peut faire le lien entre données et personnes. Dans les classes de sixième et seconde, les élèves se connectent directement sur la plateforme d'évaluation également au moyen d'un code, fourni par la DEPP et dépourvu de tout lien avec leurs variables d'identification. Les bases de données sont encryptées, ainsi que tous les transferts de ces données. L'ensemble des informations concernant les élèves sont uniquement stockées sur les serveurs de la DEPP. Les résultats nominatifs des élèves ne sont accessibles qu'à leurs professeurs et chefs d'établissement ainsi qu'aux agents de la DEPP du ministère qui sont soumis au secret statistique. A l'issue de la période de récupération des restitutions individuelles par les écoles, collèges et lycées, les plateformes d'accès aux résultats sont fermées. Seule la DEPP conserve les données individuelles, sous une forme anonymisée, à des fins statistiques et de recherche.