15ème législature

Question N° 14818
de Mme Stéphanie Kerbarh (La République en Marche - Seine-Maritime )
Question écrite
Ministère interrogé > Éducation nationale et jeunesse
Ministère attributaire > Éducation nationale, jeunesse et sports

Rubrique > numérique

Titre > Protection des données personnelles des élève

Question publiée au JO le : 04/12/2018 page : 10840
Réponse publiée au JO le : 12/01/2021 page : 232
Date de changement d'attribution: 07/07/2020
Date de signalement: 29/10/2019
Date de renouvellement: 12/03/2019
Date de renouvellement: 30/07/2019

Texte de la question

Mme Stéphanie Kerbarh attire l'attention de M. le ministre de l'éducation nationale et de la jeunesse sur le stockage et le traitement des données personnelles des élèves. Cette question est posée au nom de Mme Marie-Odile Morandi. Le ministère de l'éducation nationale organise régulièrement des évaluations standardisées des élèves (CP, CE1, sixième et seconde). Les données de ces évaluations sont utilisées par l'entreprise OAT qui utilise les services techniques d'Amazon Web Services. Or, le mercredi 21 novembre 2018, Amazon a accidentellement révélé les noms et les adresses électroniques de certains de ses clients. Par ailleurs, l'entreprise américaine a lancé une enquête interne puisque des salariés auraient vendu des données personnelles de clients. Ainsi, elle lui demande quelles actions le Gouvernement compte mettre en œuvre pour assurer la sécurité et la protection des données de ces élèves et si une entreprise française ne serait pas en capacité d'assurer cette fonction.

Texte de la réponse

La mise en œuvre des évaluations exhaustives d'élèves, dématérialisées totalement dans le second degré et en partie dans le premier degré, a été un succès, mobilisant fortement les équipes du ministère de l'éducation nationale, de la jeunesse et des sports et en particulier sa direction de l'évaluation, de la prospective et de la performance (DEPP), service statistique ministériel soumis à des règles strictes en matière de confidentialité. L'opération effectuée en sixième à la rentrée 2017 et entièrement menée sur ordinateur était une première en Europe à l'échelle de 830 000 élèves ; à la rentrée 2018, les évaluations ont concerné tous les élèves à quatre niveaux : CP, CE1, sixième et seconde. Pour héberger sa plateforme de saisie et de restitution des résultats, la DEPP a recours à un prestataire, la société OAT. Spécialiste reconnu internationalement en matière d'évaluation en ligne pour le secteur public et l'éducation, cette entreprise a été retenue à la suite d'un appel d'offres dans le cadre d'un marché public passé en 2016 ; elle répond à toutes les garanties exigées en matière de protection des données ; elle possède toutes les compétences pour développer et administrer une plateforme qui, à partir des spécifications de la DEPP, permet de gérer des évaluations massives sous forme numérique. C'est cette entreprise qui loue des serveurs, implantés en France, à la société « Amazon Web Services » afin de permettre la connexion simultanée de plusieurs dizaines de milliers d'utilisateurs. Cette configuration est donc tout à fait différente de la relation d'Amazon avec ses propres clients à laquelle se réfère cette question suite à l'incident de novembre 2018 qu'elle évoque : le prestataire OAT comme la société Amazon Web Services se bornent à fournir une plateforme technique et ne disposent pas d'accès aux données personnelles des élèves et de leurs professeurs. En effet, dès le début de l'opération, les élèves de CP et CE1 se voient attribuer un numéro d'ordre dépourvu de tout lien avec leurs nom, prénom, classe et école, que seule la DEPP est en mesure d'associer à l'identité de l'élève. Le professeur se connecte selon le protocole sécurisé https sur la plateforme d'évaluation au moyen d'un code fourni par la DEPP, qui ne permet pas non plus son identification. Dans les classes de sixième et seconde, les élèves se connectent directement sur la plateforme d'évaluation également au moyen d'un code, fourni par la DEPP et dépourvu de tout lien avec leurs variables d'identification. Les bases de données sont encryptées, ainsi que tous les transferts de ces données. L'ensemble des informations concernant les élèves sont uniquement stockées sur les serveurs de la DEPP. Les résultats nominatifs des élèves ne sont accessibles qu'à leurs professeurs et chefs d'établissement ainsi qu'aux agents de la DEPP du ministère qui sont soumis au secret statistique. À l'issue de la période de récupération des restitutions individuelles par les écoles, collèges et lycées, les plateformes d'accès aux résultats sont fermées. Seule la DEPP conserve les données individuelles, sous une forme anonymisée, à des fins statistiques et de recherche.