Numérique

RGPD : quelles règles respecter pour l’organisation et la surveillance d’examens en ligne ?

Par Marc Guiraud | Le | Pédagogie

La surveillance d’examens à distance constitue un traitement de données personnelles, quelle que soit la technologie utilisée. Les établissements d’enseignement supérieur doivent respecter le RGPD et la loi ”Informatique et libertés”", rappelle la Cnil, le 20 mai 2020.

RGPD : quelles règles respecter pour l’organisation et la surveillance d’examens en ligne ?
RGPD : quelles règles respecter pour l’organisation et la surveillance d’examens en ligne ?

Les étudiants disposent de droits

Pour la Commission informatique et libertés, il est important que les universités et les écoles supérieures écoutent les conseils de leur délégué à la protection des données, chargé notamment de mettre en œuvre le Règlement général de protection des données (RGPD).

Les étudiants « disposent, comme pour tout traitement de données personnelles, de droits, à commencer par celui d’être informées de manière claire et transparente des finalités et modalités du traitement ».

L’étudiant doit aussi « se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus ».

Ainsi, « le consentement comme base légale peut difficilement être retenu pour les traitements de surveillance » de ces examens.

Les établissements peuvent cependant s’appuyer sur d’autres bases légales, comme l’exécution d’une mission d’intérêt public.

Et si le traitement est mis en œuvre sur cette base, l’étudiant pourra « à tout moment s’opposer au traitement, pour des raisons tenant à sa situation particulière qu’il devra exposer ». Et « pour les solutions ayant recours à des algorithmes de détection de la fraude », l’étudiant a le droit « de ne pas faire l’objet d’une décision automatisée ».

Quant aux traitements de reconnaissance faciale, la Cnil estime que ce sont « des dispositifs de nature biométrique particulièrement intrusifs, qui présentent des risques importants d’atteinte à la vie privée et aux libertés individuelles ».

Leur utilisation dans le cadre de surveillance des examens « n’apparaît pas conforme au principe de proportionnalité », et « de tels dispositifs nécessiteraient une disposition légale particulière ».

Le respect des principes « informatique et libertés »

La Cnil indique il est nécessaire de respecter les principes ”informatique et libertés”«  dans la surveillance des examens en ligne :

  • Principe de finalité : les informations sur les étudiants ne peuvent être traitées, enregistrées et utilisées que dans un but bien précis, légal et légitime ;
  • Principe de proportionnalité et de pertinence : les informations traitées doivent être pertinentes et strictement nécessaires au regard de la finalité du traitement ;
  • Durée de conservation limitée : une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du traitement, par exemple, jusqu’à l’expiration des délais contentieux liée à la tenue de l’examen ;
  • Obligation de sécurité : le responsable de traitement doit garantir la disponibilité, l’intégrité et la confidentialité des données, tout au long de leur traitement, notamment par un canal sécurisé et chiffré, un serveur authentifié et sécurisé, et la mise en place d’une politique d’habilitation d’accès aux données et de suppression de celles-ci.

 »Par ailleurs, dès lors que le dispositif de télésurveillance est ”susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”, une analyse d’impact relative à la protection des données devra être réalisée par le responsable de traitement.

En particulier, l’utilisation de technologies innovantes (recours à l’oculométrie (eye tracking), algorithmes et intelligence artificielle) devra faire l’objet d’une telle analyse."