La CNIL met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de recourir uniquement à des algorithmes pour réaliser les affectations des candidats aux formations supérieures.
À la suite d’une plainte reçue en novembre 2016, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a chargé une délégation d’examiner la conformité du traitement « Admission Post-Bac » (« APB ») aux dispositions de la loi du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
Dans une mise en demeure en date du 30 août et rendue publique le 28 septembre 2017, la CNIL a relevé plusieurs manquements du Ministère de l’Enseignement Supérieur à la loi en question.
Utilisation exclusive d’un algorithme – APB est une plateforme en ligne sur laquelle les établissements peuvent proposer leurs formations, aussi bien sélectives que non sélectives. Les établissements proposant des formations sélectives peuvent paramétrer leurs propres critères en plus de ceux pris en compte par la plateforme APB pour traiter les demandes des candidats qui y postulent. Les demandes relatives à des formations non sélectives sont quant à elles toutes traitées au moyen d’un seul et même algorithme qui effectue le classement des candidats en fonction de trois critères d’importance décroissante, issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés.
Ainsi, la CNIL a constaté que les établissements proposant des formations non sélectives sur APB n’ont pas de maîtrise sur le classement final des candidats par APB : « les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle ». Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ». Dans la mesure où ce traitement indépendant de toute intervention humaine produit bien des effets juridiques sur les candidats – à savoir, la détermination des formations auxquelles ils pourront s’inscrire – le traitement APB n’est pas conforme à la législation.
Information insuffisante des candidats – La CNIL estime que l’obligation d’information due à toute personne dont les données personnelles sont collectées (article 32-I de la loi Informatique et Libertés) n’est pas respectée par le Ministère de l’Enseignement Supérieur :
- D’une part, le formulaire APB de pré-inscription (destiné à recueillir un nombre important de données personnelles relatives aux candidats) ne fournit aucune information quant à l’identité du responsable de traitement, à la finalité poursuivie par le traitement ou aux droits dont disposent les personnes concernées.
- D’autre part, les mentions légales du site APB sont incomplètes, car elles n’indiquent pas les destinataires des données personnelles des candidats. Or, la CNIL relève qu’étant donné que les données renseignées par les candidats sur la plateforme sont transmises aux établissements dans lesquels ils postulent, une telle mention est nécessaire.
Droit d’accès incomplet – La délégation de la CNIL a constaté que lorsque les candidats interrogeaient le Ministère de l’Enseignement Supérieur sur les raisons d’un refus d’affectation dans une formation, ce dernier, bien qu’indiquant les trois critères retenus par le code de l’éducation, se contentait d’invoquer les capacités d’accueil insuffisantes des établissements. Or, en vertu de l’article 39-I de la loi Informatique et Libertés, lorsqu’une personne physique exerce son droit d’accès, elle doit pouvoir obtenir notamment « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à [son] égard ».
Absence de clause relative à la sécurité et à la confidentialité des données gérées par un sous-traitant – En 2015, la maîtrise d’œuvre du traitement APB a été confiée par le Ministère de l’Enseignement Supérieur à l’Institut national polytechnique de Toulouse. Or, la convention liant les deux parties ne précise pas les obligations incombant au sous-traitant – c’est-à-dire à l’Institut national polytechnique – en matière de sécurité et de confidentialité des données personnelles, ce qui, comme le relève la CNIL, constitue un manquement à l’article 35 de la loi Informatique et Libertés. L’absence d’une telle clause peut sembler problématique notamment au regard du nombre de données centralisées via le portail APB.
Le ministère de l’Enseignement Supérieur a désormais jusque fin novembre pour mettre son traitement APB en conformité avec la législation en vigueur, et en particulier pour « prévoir une intervention humaine permettant de tenir compte des observations des personnes » afin d’affecter les candidats aux formations supérieures.
Si actuellement, c’est à la CNIL de veiller à ce que les traitements soient conformes à la législation applicable, avec l’entrée en vigueur du Règlement (UE) 2016/679 sur la protection des données (« RGPD »), ce sera aux responsables eux-mêmes de veiller à la conformité de leurs traitements, en vertu des principes de privacy by design et de privacy by default. En ce qui concerne plus particulièrement les traitements automatisés permettant de prendre des décisions produisant des effets juridiques à l’égard d’une personne physique, tel que le traitement APB donc, l’article 35, 3°, b) du nouveau Règlement requiert à leur égard la réalisation d’une analyse d’impact préalable (AIPD).
Il est donc certain que la pratique dénoncée, illicite au regard de l’actuelle loi de 1978, le serait d’autant plus sous l’empire du prochain RGPD, qui prévoit notamment l’obligation d’informer les personnes concernées de leur faculté de s’opposer à ce qu’une décision conditionnant leurs droits et libertés puisse être prise sur la seule base d’une décision automatisée. Pratiquer ce type de sélection est en effet tentant, dans un contexte de téléprocédures et plus généralement de constitution de profils numériques sur les individus, mais c’est précisément parce qu’il est tentant de recourir à de telles pratiques que le droit à l’information préalable et la faculté d’opposition montent en puissance. Les responsables de traitements quels qu’ils soient qui s’y soustrairaient s’exposeraient donc aux sanctions prévues par le RGPD (qui peuvent s’élever jusqu’à 20 millions d’euros pour une administration…).