La saga APB – PARCOURSUP et la CNIL

La saga APB – PARCOURSUP et la CNIL

La mise à disposition par le ministère de l’Enseignement Supérieur d’une plateforme pour l’inscription des bacheliers en première année d’études supérieures a donné l’occasion à la CNIL de rendre différentes décisions. Cette saga compte pour le moment deux épisodes, et en comptera nécessairement un troisième, le projet sur lequel un avis a été rendu le 18 janvier dernier n’étant qu’un projet temporaire.

La plateforme APB « Admission Post-Bac » avait tout d’abord fait l’objet, le 30 août 2017, à la suite d’une plainte, d’une décision de la CNIL de mise en demeure du ministère de l’Enseignement Supérieur de la Recherche et de l’Innovation[1]. Deux points étaient alors retenus pour caractériser une violation de la loi Informatique et Libertés du 6 janvier 1978 modifiée : un manquement à l’interdiction de prendre une décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé ainsi qu’un manquement à l’obligation de respecter le droit d’accès.

Le 18 janvier 2018, la CNIL a rendu un avis sur le projet d’arrêté concernant la création d’une nouvelle plate-forme dénommée « PARCOURSUP », qui vise à remplacer la Plateforme APB[2]. L’arrêté en question ne concernant qu’un projet de plateforme temporaire, la saga comptera nécessairement un troisième épisode, la CNIL ayant à se prononcer sur l’arrêté autorisant le projet de plateforme définitive.

 

Chapitre 1 : la décision du 30 août 2017

I.1. L’interdiction de prendre une décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé

La CNIL a procédé à une mission de contrôle du logiciel APB les 21 et 22 mars 2017, après une plainte en date du 25 novembre 2016. Le logiciel en question permettait à des établissements proposant des formations sélectives ou non de gérer les inscriptions des candidats en première année après le bac. Les étudiants formulent des vœux, les établissements pouvant ensuite classer les candidats en ayant recours à un traitement automatisé intégré au logiciel APB.

Pour les formations « sélectives », ce classement automatisé prend en compte les critères que l’établissement a demandé aux étudiants de compléter : CV, notes, résultats d’un entretien,… Mais pour les formations « non sélectives », le classement résulte d’un algorithme prenant en compte trois critères tirés du Code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Les établissements proposant des formations non sélectives n’avaient alors aucune maîtrise sur le classement final des candidats.

Pour la CNIL, le fait que le logiciel APB adresse automatiquement aux candidats une proposition de formation, sans que les établissements ne puissent agir en quoi que ce soit sur l’affectation du candidat, permet de qualifier un traitement automatisé produisant des effets juridiques. L’absence d’intervention humaine est d’autant plus importante, que lorsqu’un étudiant effectue un recours, il lui est simplement expliqué que « le nombre de demandes d’inscription dans l’établissement demandé excède la capacité d’accueil de celui-ci et qu’en application des critères définis à l’article L.612-3 du code de l’éducation, le vœu d’inscription n’a pas pu être satisfait ». Il n’y a donc aucun réexamen de la décision adoptée par l’algorithme. De plus, malgré l’importance que revêt  l’algorithme dans le classement des candidats, la CNIL a relevé que les réponses apportées par le ministère de l’Education Nationale aux candidats contestant l’affectation qui leur a été proposée par APB ne faisaient part à aucun moment de l’existence de cet algorithme pour expliquer aux requérants leur classement.

Le manquement à l’article 10 de la loi de 1978, qui précise qu’« aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité » était donc caractérisé.

 

I.2. Des manquements aux obligations d’information et de respect du droit d’accès

L’article 6 de la loi du 6 janvier 1978, dans sa rédaction à l’époque des fait, impose au responsable de traitement de fournir un certain nombre d’informations aux personnes concernées parmi lesquels l’identité du responsable du traitement, la finalité poursuivie ou encore les destinataires des données.

Pourtant, le formulaire de pré-inscription, qui oblige les futurs étudiants à transmettre de nombreuses données personnelles (nom, prénom, date de naissance, nationalité, situation familiale, etc.) ne contient aucune indication sur le responsable de traitement, sur les finalités, pas plus que sur les destinataires des données ni sur les droits dont disposent les personnes concernées.

Par ailleurs la CNIL a relevé un manquement relatif au droit d’accès.

Si un étudiant se retournait vers le ministère de l’Enseignement supérieur en vue d’obtenir une explication sur les raisons d’un refus d’affectation, la réponse ne concernait que les critères de sélection établis par le code de l’éducation. L’étudiant n’étant à aucun moment informé de l’existence de l’algorithme, il ne pouvait l’être des éléments qui fondent cet algorithme. La procédure manquait par conséquent à l’article 39-I-5 de la loi du 6 janvier 1978 modifiée qui obligeait, à l’époque des faits, le responsable de traitement à transmettre les « informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé (…) ». La CNIL a alors précisé que les informations transmises devraient par exemple porter sur la méthode ayant permis de développer l’algorithme, les contraintes ou les besoins définis par l’administration, le taux d’erreur de l’algorithme ou encore le score obtenu par le candidat.

Enfin, la CNIL sanctionnait un manquement contractuel. Le contrat entre le ministère de l’enseignement supérieur et l’Institut National Polytechnique de Toulouse chargé de développer APB en tant que sous-traitant ne contenait aucune clause relative aux obligations du sous-traitant particulièrement en matière de sécurité ou de confidentialité. Le contrat ne précisait pas non plus que le sous-traitant ne devait agir que sur instruction du responsable du traitement.

La plateforme APB ayant finalement été supprimée, la mise en demeure n’a désormais plus lieu d’être. Néanmoins dans sa délibération du 18 janvier 2018, la CNIL met en garde le ministère afin que ces erreurs ne soient pas réitérées.

 

Chapitre 2 : la délibération du 18 janvier 2018

La plateforme APB est remplacée par une nouvelle plateforme temporaire de recueil des vœux des candidats. La réalisation d’un nouveau dispositif pérenne, dénommé « PARCOURSUP », dépendant notamment de textes de lois actuellement en discussion, n’aboutira que dans les prochains mois.

Le dispositif temporaire a été soumis pour avis à la CNIL, qui a rendu sa délibération le 18 janvier 2018. La CNIL émet différentes réserves sur le projet présenté par l’arrêté, liées pour la plupart au fait que le traitement envisagé doit prendre en compte le caractère temporaire de cette plateforme. PARCOURSUP permet uniquement, pour le moment, de procéder à une collecte de vœux pouvant être ultérieurement utilisables.

Ainsi, si les finalités sont bien déterminées, explicites et légitimes, la CNIL demande néanmoins à ce que soit précisé par l’arrêté que le traitement est limité à l’année universitaire 2018-2019. De la même façon, pour ce qui concerne les durées de conservation, alors que le projet d’arrêté prévoit de garder les données en base active pendant une durée de deux ans afin de permettre aux candidats de récupérer les éléments de leur dossier, puis de quatre ans en base intermédiaire, la CNIL rappelle que « la durée de conservation des données collectées doit être appréciée à l’aune de l’objectif préparatoire et temporaire poursuivi par le traitement ». C’est donc le critère de la finalité du traitement qui doit être appréhendé pour déterminer la durée de conservation et non pas un éventuel intérêt tiers. Dès lors, la durée est excessive car non proportionnée au recueil des vœux et données nécessaire pour préparer la prochaine rentrée universitaire. Le ministère s’engage à modifier l’arrêté afin de limiter la durée de conservation au 2 avril 2018 et de prévoir qu’après cette date les données seront supprimées à moins que leur traitement ne soit expressément autorisé par la réglementation qui sera alors en vigueur.

Sur la sécurité, la CNIL a précisé au ministère que le mot de passe de connexion devait contenir douze caractères conformément à la délibération du 19 janvier 2017 et non plus 8. Par ailleurs, si le protocole HTTPS (« protocole de transfert hypertexte sécurisé » : combinaison du protocole HTTP avec une couche de chiffrement SSL ou TLS) est bien utilisé par le ministère, la CNIL rappelle qu’il est prudent d’utiliser la version TLS (« Transport Layer Security » ou Sécurité de la couche de transport) la plus à jour et enfin, qu’il est important que soit réalisé un contrôle des traces de manière automatique afin de détecter les comportements anormaux et générer des alertes le cas échéant.

La CNIL n’analyse pas le nouveau système au regard de l’article 10 de la loi du 6 janvier 1978 modifiée car le dispositif n’est pas encore mis en place. La CNIL en profite néanmoins pour insister sur sa vigilance quant à la transparence qui devra s’appliquer à la logique qui sous-tend l’algorithme de classement de PARCOURSUP. L’administration devra transmettre des éléments permettant au candidat de comprendre cette logique. La CNIL insiste d’ores et déjà sur la mise en place de garanties.

Ces rappels, qui font suite à une mise en demeure, révèlent une certaine inquiétude de la CNIL quant à l’application des règles encadrant les données personnelles par l’administration étatique. Ils sonnent comme un avertissement. L’entrée en application du RGPD le 25 mai prochain pourrait conduire, le cas échéant, à des sanctions financières de l’administration publique responsable de la création et de la mise en œuvre de la plateforme PARCOURSUP, à savoir du Ministère de l’Education Nationale.

Le chapitre 3 de cette saga, qui portera sur le dispositif final de PARCOURSUP est en tout cas attendu. La transparence apportée sur la logique de l’algorithme sera, espérons-le, un modèle à suivre par les acteurs du secteur privé. Ces derniers sont en effet toujours plus nombreux à utiliser de tels outils sans que les personnes concernées ne soient éclairées sur les principes fondant les calculs réalisés par ces algorithmes.

Pascal ALIX, avocat à la Cour et correspondant informatique et libertés

Hubert de SEGONZAC, avocat à la Cour et correspondant informatique et libertés

[1] Décision n°2017-053 du 30 août 2017 mettant en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation.

[2] Délibération n°2018-011 du 18 janvier 2018 portant avis sur un projet d’arrêté autorisant la mise en œuvre d’un traitement de données à caractère personnel dénommé PARCOURSUP.

Comments are closed.