Par Laura VILLARS, étudiante du Master 2 Droit des médias électroniques
À la suite de la pandémie de Covid-19, on a pu constater dans l’enseignement supérieur une forte augmentation des examens à distance (ou dit “en ligne”), tel que le prévoit le code de l’éducation à l’article D611-12. Toutefois, le code de l’éducation ne définit ni l’organisation, ni la forme, ni les mesures de surveillance que peuvent prendre ces examens en ligne, laissant ainsi une large liberté de manœuvre aux établissements de l’enseignement supérieur (public et privé).
C’est la raison pour laquelle le Tribunal administratif de Montreuil a été amené à statuer en référé le 14 décembre 2022, du fait de l’usage, par un établissement de l’enseignement supérieur, d’un logiciel de surveillance algorithmique des examens en ligne, à savoir une télésurveillance automatisée visant à analyser le comportement du candidat tout au long de l’examen. Le choix de l’établissement d’un outil de télésurveillance automatisé constituait en l’occurrence une atteinte au droit à la protection des données personnelles du candidat garanti par le RGPD[1].
En réponse à ce contentieux, la CNIL[2] a publié, le 4 septembre 2023, une recommandation relative à la télésurveillance pour les examens en ligne.
Et bien que la notion de télésurveillance soit absente du Code de l’éducation, et n’est que peu présente dans la loi en général, on la retrouve dans deux domaines :
- La santé au sein du code la sécurité sociale, du Code de la santé publique et du Code général des impôts.
- La sécurité au sein du Code de la sécurité intérieure.
Néanmoins, le dictionnaire Larousse définit la télésurveillance comme « une surveillance à distance de locaux, d’installation de processus industriels, d’individus ou de phénomène naturel ».
De ce fait, la CNIL rappelle, dès son préambule, que l’outil de télésurveillance est « par nature intrusif » ; et par conséquent rappelle le respect des obligations du RGPD, ainsi que de l’article 82 de la loi « Informatique, Fichiers et libertés » du 6 janvier 1978.
Les enjeux de la recommandation
La recommandation de la CNIL met en exergue diverses problématiques.
D’une part, la télésurveillance des examens en ligne ne doit pas porter atteinte au principe d’égalité des chances entre les candidats, notamment par le biais socio-économique, que cela soit par les conditions matérielles ou encore le fait de résider dans des zones blanches. Les établissements doivent également prendre en compte le cas des candidats en situation de handicap, utilisant des logiciels spécifiques. Néanmoins, la télésurveillance d’examens en ligne favorise la formation continue et professionnelle ; en effet, l’organisation d’épreuve permet au candidat de suivre, d’effectuer des stages, même à l’étranger. Et de surcroît, le recours à un outil de télésurveillance par les établissements vise à empêcher les fraudes lors des examens. Le taux de fraude a particulièrement augmenté du fait du format numérique de ces derniers.
D’autre part, le recours à un outil de télésurveillance, d’autant plus s’il s’agit d’un système automatisé, est un « moyen informatique particulièrement intrusif » portant atteinte à la protection des données personnelles du candidat, tant par la surveillance d’un terminal privé (l’ordinateur du candidat) que par la surveillance d’un local privé (habitation du candidat). Par ailleurs, la collecte, le traitement et la conservation des données personnelles du candidat, lors de la télésurveillance, ne garantissent pas la performance de celle-ci face aux fraudes. L’atteinte portée au droit à la protection des données personnelles du candidat pourrait ainsi être manifestement disproportionnée.
L’objectif de la recommandation
La CNIL vient clarifier ces problématiques pour pallier l’absence d’encadrement des dispositifs de télésurveillances (article D611-12 du Code de l’éducation), en limitant le recours des outils de télésurveillance à des cas spécifiques. En effet, la CNIL exclut le recours à des outils de télésurveillance, notamment pour des examens blancs. De même, elle recommande le recours à des modalités d’examen en ligne alternatif, tel que le mémoire ou la soutenance de projet. Cela vise également à limiter le caractère intrusif de l’outil employé, avec un examen oral ou un examen à livre ouvert.
La CNIL vient rappeler 8 principes généraux devant être respectés par les établissements de l’enseignement supérieur dans le cadre de la télésurveillance des examens en ligne :
- L’obligation d’information ;
- Le respect des droits des personnes concernées, en particulier le droit d’accès ;
- La limitation des traitements de données à caractère personnel à des fins précises et déterminées ;
- Le principe de minimisation des données traitées ;
- Le principe de sécurité et de confidentialité des données ;
- Le principe de proportionnalité et de pertinence ;
- La limitation de la durée de conservation des données ;
- La limitation des transferts de données en dehors du territoire de l’Union européenne selon les conditions définies par le RGPD.
Une obligation renforcée d’information « des candidats »
L’obligation d’information est un principe fondamental relatif au traitement de données à caractère personnel, or cette obligation est d’autant plus renforcée dans le cadre de la recommandation. En effet, en dehors des délais prévus par l’article D611-12 du Code de l’éducation, la CNIL « encourage vivement » d’informer les candidats suffisamment à l’avance des modalités d’examen envisagées, notamment si celui-ci a lieu à distance et implique un outil de télésurveillance. De même, les informations devront être suffisamment précises au vu des difficultés que représentent les modalités organisationnelles et techniques du passage des examens en ligne. Enfin, l’appréciation du devoir d’information ne pourra être faite uniformément ; en effet, dans le cadre d’une formation à distance incluant des examens en ligne, l’établissement devra fournir au candidat, avant son inscription, toutes les informations relatives à la forme, au type de l’épreuve, à la surveillance qui sera mise en place et à l’outil de télésurveillance choisi.
Le traitement des données personnelles lors d’examens en ligne : le rôle du responsable du traitement des données et du DPO[3]
Les établissements (ou organismes) ayant recours à un dispositif de télésurveillance sont responsables du traitement mis en œuvre. Ainsi, chaque établissement recourant à la télésurveillance lors d’examen en ligne doit « se rapprocher » de son délégué à la protection des données (DPO) afin que ce dernier puisse vérifier la conformité du dispositif envisagé avec la réglementation en vigueur (RGPD et LIL[4]). Pour cela, différentes analyses doivent être réalisées :
Dans un premier temps, une réflexion préalable entre le responsable du traitement des données et le DPO devra être menée afin de réaliser une balance entre les enjeux et les risques réels de fraudes, ce afin d’éviter de recourir à un outil de télésurveillance excessivement intrusif.
De même, ils devront également réaliser une analyse préalable de la proportionnalité des dispositifs envisagés, le choix de l’outil de surveillance s’appréciant au regard du contexte de l’épreuve et de l’enjeu de l’épreuve.
Enfin, ils devront réaliser une analyse de l’efficacité et de la proportionnalité ; c’est là le juste équilibre entre l’efficacité de la télésurveillance et le caractère intrusif du dispositif employé. Autrement dit, un dispositif ne permettant pas de prévenir la fraude est par nature disproportionnée.
L’ensemble de ces analyses permet de faire la balance entre la protection des données personnelles et l’usage d’un dispositif de télésurveillance ; elles garantissent ainsi :
- L’accès des données collectées aux candidats.
- La finalité de l’utilisation des données personnelles collectées (par les établissements et y compris par les éventuels sous-traitants).
- La non-conservation des données collectées sauf en cas de suspicion de fraude (le temps de l’enquête) ou en cas de fraude (le temps de la procédure disciplinaire et/ou contentieuse – en principe 2 mois).
_____________________________
Sources :
Recommandation – Dispositifs de télésurveillance des examens
Synthèse des contributions – Consultation publique sur la télésurveillance des examens
Article D611-12 du code de l’éducation – conditions de validation des examens en présentiel et à distance – Légifrance
Article 82 de la loi Informatique et Libertés — règles pour les cookies et autres traceurs
Tribunal Administratif de Montreuil, du 14-12-2022, n° 2216570
Pierre Tifine, Revue Lexbase de droit public, « Chronique de droit de l’administration numérique » – décembre 2022 à juin 2023.
[1] Règlement général de protection des données du 27 avril 2016.
[2] Commission nationale de l’informatique et des libertés.
[3] Délégué à la protection des données
[4] Loi Informatique et liberté de 1978.