La mise en œuvre des évaluations exhaustives d'élèves, dématérialisées totalement dans le second degré et en partie dans le premier degré, a été un succès, mobilisant fortement les équipes du ministère de l'éducation nationale, de la jeunesse et des sports et en particulier sa direction de l'évaluation, de la prospective et de la performance (DEPP), service statistique ministériel soumis à des règles strictes en matière de confidentialité. L'opération effectuée en sixième à la rentrée 2017 et entièrement menée sur ordinateur était une première en Europe à l'échelle de 830 000 élèves ; à la rentrée 2018, les évaluations ont concerné tous les élèves à quatre niveaux : CP, CE1, sixième et seconde. Pour héberger sa plateforme de saisie et de restitution des résultats, la DEPP a recours à un prestataire, la société OAT. Spécialiste reconnu internationalement en matière d'évaluation en ligne pour le secteur public et l'éducation, cette entreprise a été retenue à la suite d'un appel d'offres dans le cadre d'un marché public passé en 2016 ; elle répond à toutes les garanties exigées en matière de protection des données ; elle possède toutes les compétences pour développer et administrer une plateforme qui, à partir des spécifications de la DEPP, permet de gérer des évaluations massives sous forme numérique. C'est cette entreprise qui loue des serveurs, implantés en France, à la société « Amazon Web Services » afin de permettre la connexion simultanée de plusieurs dizaines de milliers d'utilisateurs. Cette configuration est donc tout à fait différente de la relation d'Amazon avec ses propres clients à laquelle se réfère cette question suite à l'incident de novembre 2018 qu'elle évoque : le prestataire OAT comme la société Amazon Web Services se bornent à fournir une plateforme technique et ne disposent pas d'accès aux données personnelles des élèves et de leurs professeurs. En effet, dès le début de l'opération, les élèves de CP et CE1 se voient attribuer un numéro d'ordre dépourvu de tout lien avec leurs nom, prénom, classe et école, que seule la DEPP est en mesure d'associer à l'identité de l'élève. Le professeur se connecte selon le protocole sécurisé https sur la plateforme d'évaluation au moyen d'un code fourni par la DEPP, qui ne permet pas non plus son identification. Dans les classes de sixième et seconde, les élèves se connectent directement sur la plateforme d'évaluation également au moyen d'un code, fourni par la DEPP et dépourvu de tout lien avec leurs variables d'identification. Les bases de données sont encryptées, ainsi que tous les transferts de ces données. L'ensemble des informations concernant les élèves sont uniquement stockées sur les serveurs de la DEPP. Les résultats nominatifs des élèves ne sont accessibles qu'à leurs professeurs et chefs d'établissement ainsi qu'aux agents de la DEPP du ministère qui sont soumis au secret statistique. À l'issue de la période de récupération des restitutions individuelles par les écoles, collèges et lycées, les plateformes d'accès aux résultats sont fermées. Seule la DEPP conserve les données individuelles, sous une forme anonymisée, à des fins statistiques et de recherche.