Surveillance des examens à distance et protection des données. Par Johnny Anibaldi, Juriste.

Un sujet proposé par la Rédaction du Village de la Justice

Surveillance des examens à distance et protection des données.

Par Johnny Anibaldi, Juriste.

2465 lectures 1re Parution: Modifié: 5  /5

Explorer : # surveillance des examens en ligne # protection des données personnelles # télésurveillance # rgpd

Ce que vous allez lire ici :

La Commission Nationale de l'Information et des Libertés (CNIL) a publié une note sur la surveillance des examens en ligne. La justification des examens à distance doit respecter le principe d'égalité de traitement, et la télésurveillance ne doit être utilisée qu'en dernier recours.
Description rédigée par l'IA du Village

Le 8 juin 2023, la Commission Nationale de l’Informatique et des Libertés a délibéré en vue d’adopter une recommandation relative aux modalités de mise en œuvre des dispositifs de télésurveillance pour les examens en ligne.
L’enjeu de la présente publication est d’en mettre en lumière les points principaux dans leur contexte réglementaire.

-

Au sommaire de cet article...

Le 20 mai 2020, la Commission Nationale de l’Informatique et des Libertés (ci-après la « CNIL ») publiait une fiche relative à la Surveillance des examens en ligne [1].
Nécessité faisant loi, alors en pleine crise sanitaire due à l’épidémie de Covid-19, les examens en furent venus à se réaliser en ligne.
Le règlement général sur la protection des données [2] (ci-après le « RGPD ») entré en vigueur le 25 mai 2018 et transposé via une modification de la loi Informatique et Libertés [3] imposait déjà de multiples obligations dont la contravention était susceptible de sanctions considérables.
Ainsi, la CNIL s’est retrouvée dans la nécessité d’allier les circonstances historiques propres au contexte épidémique avec le respect des règles applicables en matière de protection des données personnelles.

Forte des enseignements dégagés par cet épisode, la CNIL en vint à réaliser une consultation publique, alors ouverte jusqu’au 15 janvier 2023, à propos de la « télésurveillance des examens en ligne » [4].
Cette consultation visait à permettre à tout intéressé de se prononcer sur un projet de recommandation quant aux « modalités de mise en œuvre des dispositifs de télésurveillance pour les examens en ligne » [5].
La consultation publique clôturée, la CNIL publia ensuite, le 8 juin 2023, la délibération n° 2023-058 « portant adoption d’une recommandation relative aux modalités de mise en œuvre des dispositifs de télésurveillance pour les examens en ligne » [6] dont il sera question ici (ci-après la « délibération ».
Dans cette délibération, la CNIL envisage deux thématiques majeures et complémentaires : d’une part, il est question de la justification du recours aux examens à distance (I) et, d’autre part, de la mise en balance d’intérêts contraires (II).

I- La justification du recours aux examens à distance.

La mise en place d’examens à distance n’est pas automatique ou de droit. Elle se pose d’abord comme une alternative au présentiel (A) et obéit ensuite à diverses conditions (B).

A) Une alternative aux examens en présentiel.

En tant qu’alternative, la mise en place d’examens à distance ne peuvent échapper au respect du principe constitutionnel d’égalité de traitement (1). D’un point de vue plus technique, il s’ensuit que l’établissement mettant en œuvre ces examens endosse la qualité de responsable du traitement (2).

1) Le respect du principe d’égalité de traitement.

Le recours aux examens à distance est, comme le précise le premier paragraphe de la délibération [7], « autorisée et encadrée depuis 2017 ».
Précisément, cette validation fut portée par un Décret n° 2017-619 du 24 avril 2017 relatif à la mise à disposition d’enseignements à distance dans les établissements d’enseignement supérieur [8] portant création des articles D. 611-10, D.611-11 et D.611-12 du Code de l’éducation.
À toute fin utile, il est intéressant de noter que le premier alinéa de l’article D.611-10 du Code de l’éducation dispose que « les enseignements délivrés dans le cadre des formations des établissements d’enseignement supérieur peuvent être dispensées soit en présence des usagers, soit à distance, le cas échéant, sous forme numérique, soit selon des dispositifs associant les deux formes ».

De façon liminaire, au paragraphe n° 4, « […] la Commission remarque que la validation des enseignements à distance peut, dans une certaine mesure, porter atteinte au principe d’égalité des chances entre les candidats en introduisant des biais socio-économiques dans les conditions de leur évaluation ».
La CNIL prend notamment comme exemple « les candidats résidant en zone blanche », «  c’est-à-dire couverts par aucun opérateur mobile » [9], tout comme elle présente certains avantages, envisagés au paragraphe n° 6 : « […] l’organisation d’examens à distance peut avoir des conséquences bénéfiques, par exemple sur la diversité géographique et sociale des candidats. Il arrive en effet que des candidats renoncent à participer à des épreuves du fait de l’éloignement géographique du centre d’examen ».
Cette insistance sur la prévention de toute forme de discrimination, faite au nom du respect du principe d’égalité des chances, procède surtout du respect dû au principe éponyme doté d’une valeur constitutionnelle. En effet, l’article 6 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 dispose que « la loi doit être la même pour tous », principe auquel une valeur constitutionnelle a bien été reconnue par la décision Liberté d’association rendue le 16 juillet 1971 par le Conseil constitutionnel [10].

Alors que la mise en place d’examens à distance implique le respect effectif du principe constitutionnel de l’égalité des chances, la CNIL poursuit dans sa logique en présentant la télésurveillance – et a fortiori les examens à distance – comme un ultime recours à des méthodes moins invasives.

2) La télésurveillance comme ultime recours.

Au septième paragraphe, la CNIL précise « qu’il existe des modalités d’examen compatibles avec une validation à distance et permettant d’attester des compétences d’un étudiant sans recourir à de la télésurveillance (mémoire de fins d’études, soutenance de projet, etc.) ou permettant de limiter le caractère intrusif du dispositif employé (examen oral, examen à livre ouvert, passage de l’examen dans des locaux dédiés, etc.). Ces modalités devraient être privilégiées lorsque cela est possible ».
L’on pourrait presque voir une contradiction avec le paragraphe n° 6 : il faudrait donc se passer, autant que possible, de la télésurveillance et des examens à distance alors que cette façon de faire permet notamment de pallier des désagréments d’origine socio-économiques affectant certains candidats ?

En réalité, la CNIL offre un raisonnement tout-à-fait pertinent : s’il y a examen, il y a surveillance, ce qui signifie qu’il y a la nécessité de veiller à ce que le candidat ne méconnaisse pas les règles de l’examen à travers la captation de certaines données à caractère personnel au sens du RGPD [11].
Par conséquent, il y aura traitement de données à caractère personnel, là aussi au sens du Règlement [12].

Or, s’il y a traitement, il y a obligatoirement respect du principe de minimisation des données posé à l’article 5, c) du RGPD en vertu duquel les données collectées sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ainsi, le raisonnement de la CNIL se fait limpide : certes, le recours à la télésurveillance permet de se libérer de certains biais et difficultés propres à la situation socio-économiques de nombreux candidats mais pour autant, en ce qui concerne le strict respect de la réglementation propre à la protection des données personnelles, le recours à un système de télésurveillance implique le traitement d’un nombre davantage conséquent de données à caractère personnel que s’il n’eût été question de la présentation d’un mémoire de fin d’études, par exemple.
À titre superfétatoire, au terme du huitième paragraphe de la délibération, la CNIL déclare émettre des « recommandations », ce qui soulève deux points. Premièrement, puisqu’il ne s’agit que de recommandations, la présente délibération n’est nullement dotée du pouvoir de contraindre [13], de sorte que même si elle perçoit le recours à la télésurveillance comme la dernière alternative, il n’en découle pas nécessairement que le recours à la télésurveillance soit ipso facto condamnable alors que d’autres modalités eussent été raisonnablement envisageables.

La télésurveillance se veut l’alternative ultime dans l’hypothèse où nulle autre ne se révèlerait satisfaisante. Il importe désormais les conditions propres à sa mise en œuvre ex ante dans le cadre du passage d’examens à distance.

B) Les enjeux liés à la détermination de la base légale.

Deux enjeux principaux liés à la détermination de la base légale d’un traitement de données à caractère personnel ressortent dans cette délibération : d’une part, la pluralité des bases légales (1) et la question du recueil du consentement de la personne concernée dans l’hypothèse du recours à un service de communications électroniques accessible au public (2)

1) Plusieurs bases légales envisageables.

La détermination de la base légale est une exigence expressément prévue par le RGPD en vertu de son article 6 consacrant le principe de licéité du traitement, ce que rappelle le paragraphe n° 22 : « les bases légales appropriées permettant de fonder les traitements de données impliqués dans la télésurveillance d’examens à distance doivent être déterminées dans les conditions prévues à l’article 6 du RGPD ».
Pour le dire autrement, il n’est possible d’effectuer quelque traitement de données à caractère personnel que ce soit qu’à partir du moment où une, au moins, des bases légales envisagées au premier alinéa de l’article 6 du RGPD a été sélectionnée. Cet alinéa distingue six bases légales successives : le consentement, l’exécution du contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux d’une personne physique, le respect d’une mission d’intérêt public ou la poursuite d’intérêts légitimes dans le chef du responsable du traitement. Au paragraphe n° 23, la CNIL précise qu’en ce qui concerne « les établissements d’enseignement supérieur qui poursuivent une mission d’intérêt public [elles] peuvent se fonder sur l’exécution d’une mission d’intérêt public au sens du e) du 1. d [sic] l’article 6 du RGPD ».

Or, la question se pose : qu’est-ce qu’un établissement d’enseignement supérieur poursuivant une mission d’intérêt public ?
La réponse se trouve aux deux premiers alinéas de l’article L732-1 du Code de l’éducation : il s’agit d’établissements d’enseignement supérieur privés à but non lucratif créés par des associations ou des fondations reconnues d’utilité publique ou des syndicats professionnels au sens de l’article L2131-1 du Code du travail et reconnus par l’Etat en tant qu’établissements d’enseignement supérieur privés d’intérêt général [14].

En outre, trois autres bases légales sont envisagées par la CNIL : il s’agit du contrat, du consentement et de l’intérêt légitime [15]. En ce qui concerne le premier, la CNIL admet, au paragraphe n° 24, sa pertinence avec une condition : « que les modalités d’examen soient fixées dans celui-ci, [à savoir, le contrat] et donc connues de l’étudiant avant son inscription ».
En d’autres termes, le contrat ne peut, d’après la CNIL, constituer une base légale valable qu’à la condition que le signataire, donc l’étudiant, s’engage dans un rapport contractuel avec l’établissement en toute connaissance de cause quant aux modalités de traitement de ses données à caractère personnel et des modalités d’examens, dont la télésurveillance. Il y a donc là une obligation précontractuelle d’information : s’agit-il d’une exigence propre à la base légale prévue à l’article 6,1.,b) ou est-ce un critère posé par la CNIL elle-même ?
D’après cette disposition, l’exécution du contrat est une base légale envisageable lorsque « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci » : il n’est absolument pas question d’une obligation précontractuelle d’information. La formulation du paragraphe n° 24 pose donc problème. La base légale afférente à l’exécution du contrat justifie le recours à un traitement de données à caractère personnel mais ne sous-entend pas pour autant que la personne concernée doive être informée des modalités du traitement : dans l’hypothèse de pourparlers, la personne concerné n’est pas nécessairement tenue informée des modalités du traitement et, pour autant, le traitement n’en est pas moins invalide [16]. En réalité, la CNIL faisait certainement référence à la première base légale envisagée par l’article 6 du RGPD, à savoir le consentement qui est une base légale particulière.

D’après l’article 4, 11. du RGPD, le consentement consiste en : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Autrement dit, il y a consentement dès lors que la personne concernée est bien informée et consciente des modalités et finalités du traitement de ses données à caractère personnel.
Mais la question se pose : quel sera le degré d’information à partir duquel il serait raisonnablement possible d’estimer que la personne concernée et ayant donné son consentement ait été dûment informée ?
La réponse est donnée par l’EDPB au point n° 64 de ses Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679 adoptées le 4 mai 2020 [17]. L’on comprend donc, à la lumière de ces éléments, que l’obligation d’informer la personne concernée est liée non pas à la base légale qu’est l’exécution du contrat mais bien au caractère éclairé de son consentement.

Par ailleurs, le consentement peut, à tout moment, être rétracté. À ce sujet, la CNIL, au paragraphe n° 25, déclare que : « le consentement nécessite qu’une alternative en présentiel soit proposée au candidat, sans conséquence négative pour lui s’il la choisit. En outre, le consentement doit pouvoir être retiré, ce qui implique que le candidat puisse modifier son choix ».
En réalité, la situation est plus complexe.
Tout d’abord, le propre du consentement est de faire l’objet d’un retrait : ce faisant, si le traitement de données à caractère personnel reposait exclusivement sur cette base légale, il ne pourra être poursuivi.
Ensuite, le consentement nécessite-t-il expressément qu’une alternative soit proposée ?
Le doute est permis. En effet, le RGPD n’exclut nullement l’hypothèse qu’un traitement soit justifié par plusieurs bases légales, donc à la fois par le consentement et l’exécution d’un contrat ; l’intérêt de la manœuvre est précisément de permettre qu’en cas de retrait du consentement, le traitement soit assuré grâce au contrat. En poursuivant dans cette logique et pour revenir à la confusion opérée par la CNIL dans la rédaction du paragraphe n° 24, il y a lieu d’affirmer que le traitement de données à caractère personnel serait justifiable au regard de la deuxième base légale, à savoir l’exécution d’un contrat : le candidat à une épreuve télésurveillée gagnera à être informé de l’existence d’un traitement mais, puisqu’il n’y a nulle obligation précontractuelle d’information et que le passage de l’examen résulte naturellement de l’offre de formation, la question de la mise en place d’une alternative devient purement superfétatoire.

La question de la base légale est manifestement l’un des enjeux phares de la délibération de la CNIL. Un autre enjeu de taille concerne la question du recueil du consentement de la personne concernée dans l’hypothèse où son terminal serait sujet à des cookies et autres traceurs. C’est ce qu’il importe d’envisager désormais.

2) Le consentement face aux traceurs.

Au paragraphe n° 26, la CNIL fait référence à l’article 82 de la loi Informatique et Libertés, lequel transpose l’article 5 de la directive ePrivacy [18].
Dans son intégralité, cet article 82 dispose que : « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;/ 2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;/ 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».

Pour bien comprendre le sens de l’article, il faut le mettre en corrélation avec l’article 3 (1) de la directive ePrivacy en vertu duquel : « la présente directive s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans la Communauté ». Ainsi, dans l’hypothèse où il s’agit d’un intranet ou d’un système reposant sur un réseau privé virtuel, l’obligation de recueillir le consentement de l’individu ne saurait valoir puisque la directive ePrivacy elle-même ne saurait être applicable, conformément à son article 3 (1) précité. Cela étant dit, à qui incombe la charge de veiller à ce qu’un service de communications électroniques sélectionné ne soit pas accessible au public ? Comme le précise le paragraphe n° 28 : au responsable du traitement. Personnage clé de la conformité au RGPD, le responsable du traitement est celui qui, seul ou à plusieurs, va déterminer la finalité d’un traitement de données à caractère personnel ainsi que sa mise en œuvre, d’après l’article 4 du Règlement.

En outre, pour revenir à la question du consentement, la CNIL précise au paragraphe n° 29, que : « en l’espèce, le recueil d’un consentement au sens du RGPD au début de l’examen semble difficilement compatible avec le passage de l’examen, qui ne peut se tenir sans surveillance. Dans le cas où l’article 82 est applicable, le candidat doit être informé de ce que la connexion à la plateforme d’examen en ligne peut nécessiter certaines formes de télésurveillance, conformément à l’article D611-12 du Code de l’éducation. Les modalités de télésurveillance utilisées et la nature des données collectées devraient être rappelées avant la connexion à la plateforme ».

Le propos mérite quelques observations.
Tout d’abord, en quoi le consentement, en tant que base légale, serait « difficilement compatible » avec le traitement des données à caractère personnel dans le cadre de la télésurveillance ? Puisqu’il s’agit d’un traitement de données personnelles, il suffit que le responsable du traitement obéisse notamment au principe de minimisation de données. De même, pourquoi réinformer le candidat des données susceptibles d’être collectées s’il a, en vertu de l’article 82 précité, donné son consentement ? Ce consentement ne peut être qu’éclairé, en partant du principe qu’il est valable, il n’y a donc pas nécessité d’opérer un tel rappel. La CNIL invoque l’article D.611-12 du Code de l’éducation pour justifier l’information du candidat mais cet article dispose que : « les conditions de la validation des enseignements, dispensés en présence des usagers ou à distance, le cas échéant sous forme numérique, sont arrêtées dans chaque établissement d’enseignement supérieur au plus tard à la fin du premier mois de l’année d’enseignement et elles ne peuvent être modifiées en cours d’année./ La validation des enseignements contrôlée par des épreuves organisées à distance sous forme numérique, doit être garantie par : 1° La vérification que le candidat dispose des moyens techniques lui permettant le passage effectif des épreuves ; 2° La vérification de l’identité du candidat ; 3° La surveillance de l’épreuve et le respect des règles applicables aux examens ».
La CNIL semble opérer une interprétation fort particulière de cette disposition, au risque, il faut oser le mot, d’en dénaturer le sens…

II- L’impératif respect du principe de proportionnalité.

Le principe de proportionnalité produit ses effets à deux niveaux : d’une part à travers le refus de la CNIL de voir des données à caractère personnel exclusivement traitées par voie automatique dans le cadre de la télésurveillance d’examens (A) mais aussi en termes de sécurisation des données à caractère personnel (B).

A) Le refus d’une décision automatisée.

Par le refus d’un traitement purement automatisé de données à caractère personnel, la CNIL exige qu’une situation puisse être ultimement traitée par un être humain (1). Aussi, elle pose des règles en ce qui concerne une certaine catégorie de données sensibles, à savoir les données biométriques (2).

1) Un être humain derrière la machine.

Au paragraphe n° 37, la CNIL pose un refus de principe des solutions techniques reposant sur des algorithmes : « les dispositifs présentent un caractère particulièrement intrusif. Par ailleurs, il est ressorti des travaux menés par la CNIL et de la consultation qu’elle a effectuée que ceux de ces dispositifs qui cherchent à repérer des comportements du candidat s’apparentant à de la fraude présentent un risque élevé de faux positifs. Cela peut nuire au bon déroulement de l’examen et parfois troubler les étudiants, qui risquent de se focaliser sur l’adoption d’un comportement « normal » face à l’outil de télésurveillance plutôt que de se concentrer sur l’examen. Par conséquent, eu égard au principe de nécessité et de proportionnalité, la CNIL recommande de ne pas recourir à des dispositifs de télésurveillance procédant à des analyses automatiques du comportement des candidats ».
Pour comprendre cet extrait, quelques explications s’imposent. Il est d’abord question de « dispositifs qui cherchent à repérer des comportement du candidat s’apparentant à de la fraude » ; en d’autres termes, il s’agit de solutions informatiques reposant sur un algorithme fondé lui-même sur un comportement frauduleux exemplaire. L’enjeu de cette solution est donc de repérer des comportements rentrant dans le schéma comportemental désigné comme typique d’une fraude.
Ensuite, il y a « un risque élevé de faux positifs » : de nombreux candidats pourraient voir leur composition refusée ou même être exclus parce qu’une solution informatique aura déduit l’existence d’une fraude par la seule correspondance entre une situation et un cadre prérempli.

Il s’ensuit, et la CNIL insiste sur ce point, qu’une vérification humaine demeure nécessaire. En effet, au paragraphe n° 38, la CNIL précise que : « ces dispositifs ne doivent jamais conduire à une décision automatique ayant un effet immédiat pour le candidat : leur seul rôle est d’attirer l’attention d’un surveillant sur une situation potentiellement anormale ; conformément à l’article 22 du RGPD, il est nécessaire qu’une vérification humaine ait lieu systématiquement avant toute décision ou modification des conditions d’examen du candidat afin de confirmer la suspicion de fraude ».
Précisément, il s’agit du premier point de l’article 22 du RGPD, lequel dispose que « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».
L’on voit que la CNIL adopte une interprétation extensive de cette formulation : plutôt qu’un « droit ne pas faire l’objet d’une décision fondée sur un traitement automatisé », la CNIL met en avant le principe selon lequel une solution informatique n’est pas censée fournir d’informations quant à la réalité d’une fraude. Tout au plus, si une anomalie est détectée par le biais d’un outil de traitement automatisé, l’analyse concrète du cas d’espèce devra revenir à un être humain : la CNIL précise, en guise d’exemple au paragraphe n° 40, qu’ « il peut être proportionné d’alerter un surveillant qu’un niveau sonore anormal a été mesuré et de lui proposer de réécouter cet évènement, notamment lorsque le nombre d’étudiants à surveiller en même temps est important ». L’enjeu est donc le suivant : parvenir à assurer une surveillance suffisamment efficace d’un nombre variable de candidats à une session d’examens tout en respectant le principe de proportionnalité.

La télésurveillance est donc autorisée mais son fonctionnement est strictement soumis au principe de proportionnalité. Il est désormais intéressant d’envisager, toujours à l’aune de ce principe, ce qu’il en est du traitement de données biométriques.

2) Le traitement de données biométriques.

Comme le rappelle la CNIL au paragraphe n° 42, « les établissements organisant des examens à distance ont l’obligation vérifier [sic] l’identité des candidats, conformément au cadre juridique portant sur l’organisation des épreuves ». En ce sens, tel qu’il est mentionné au paragraphe n° 44, cela revient « à traiter des données biométriques au sens de l’article 9 du RGPD ». En effet, il est tout-à-fait possible d’envisager qu’une solution informatique, pour déterminer qu’il s’agit bien de tel ou tel candidat en vienne à comparer le visage affiché à la caméra avec celui figurant sur un document d’identité. De la sorte, l’outil informatique en viendrait par exemple à comparer les traits du visage, les contours des yeux ou tout autre élément. Ainsi, il y aurait application du premier paragraphe de l’article 9 du RGPD posant une interdiction de principe quant au traitement des données biométriques : « le traitement des données à caractère personnel […] des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».
Il est à noter que le deuxième paragraphe de ce même article 9 prévoit la possibilité de procéder à un tel traitement sur la base du consentement de la personne concernée : « le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie : a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques ».

C’est sur la base de ce deuxième paragraphe de l’article 9 que la CNIL envisage la possibilité de demander « le consentement des personnes concernées » avec la nécessité de prévoir une alternative en cas de refus de la part d’une personne concernée. En effet, le traitement de données biométriques aux fins de l’identification d’un candidat est spécifique et doit donc reposer sur une base légale qui lui est propre. Serait-il possible de fonder ledit traitement sur la base légale de l’exécution d’un contrat ? Manifestement non : l’article 9 du RGPD ne reprend pas automatiquement les bases légales envisagées à l’article 6 du Règlement, précisément parce que cet article 9 pose une interdiction de principes pour ces données dites sensibles. Le consentement est donc nécessaire. Ce faisant, il y a à parier que des personnes concernées ne consentiront pas, ce qui ne doit pas, pour autant, les empêcher de passer l’examen à distance. D’où il s’en suit qu’une alternative doit être mise en place par la possibilité, pour un être humain, de procéder à la vérification. Là encore, l’on retrouve l’application du principe de proportionnalité.

En outre, ce principe se retrouve aussi en ce qui concerne les conditions – cumulatives – à respecter en vue de pouvoir valablement procéder à un traitement – automatisé ou non – de données biométriques :

« À cet égard, le recours à des traitements biométriques de vérification d’identité, dans le cadre de l’application des a) et g) du 2. de l’article 9 du RGPD, devrait répondre aux conditions cumulatives suivantes :

  • une seule vérification d’identité est effectuée avant ou pendant l’examen ;
  • l’examen concerne un nombre d’étudiants très important compte tenu de la nature de l’épreuve (par exemple, une certification obligatoire concernant tous les étudiants d’un établissement) rendant difficile la vérification individuelle par les surveillants ;
  • une alternative est toujours disponible (par exemple, un rapprochement documentaire effectué par un surveillant lors d’un entretien en ligne individuel) pour les candidats ne pouvant pas ou ne parvenant pas à obtenir un contrôle automatique de leur identité ;
  • Dans la mesure où le consentement de l’étudiant serait recueilli au moment du déclenchement du dispositif, l’établissement devra informer en amont (par exemple, quelques semaines avant l’épreuve) des modalités précises du recueil du consentement de l’étudiant portant sur le recours à la reconnaissance faciale pour la vérification d’identité ».

La mise en balance d’intérêts contraires passe donc par le strict respect du principe de proportionnalité. De même, elle se réalise par l’obéissance à des critères spécifiques en matière de sécurisation et de minimisation des données collectées.

B) La sécurité des données collectées.

La sécurité des données personnelles se réalise en deux temps : premièrement par une conservation des données à caractère personnel dans la seule hypothèse d’une suspicion de fraude (1) ; secondement à travers la mise en œuvre de mécanismes techniques visant à sécuriser l’accès et l’intégrité de ces données (2).

1) Une conservation limitée aux cas de suspicion de fraude.

L’application du principe de proportionnalité s’étend aussi à la question de la conservation des données : dans le cadre de la télésurveillance d’examens réalisés à distance, quelles sont, alors, les données à caractère personnel qu’il est légitime de conserver et, le cas échéant, à quelle fin ?
Le paragraphe n° 35 fournit une réponse : « au regard de ce qui précède, les modalités suivantes semblent proportionnées pour des examens nécessitant une télésurveillance renforcée :

  • la télésurveillance vidéo et audio du candidat en temps réel pendant la durée de l’examen par les personnes chargées de la télésurveillance, sans conservation des données, sauf en cas de suspicion de fraude ;
  • la télésurveillance de l’activité du candidat en temps réel via un partage d’écran, sans conservation des données, sauf en cas de suspicion de fraude ;
  • le contrôle de l’activité du candidat via une plateforme en ligne permettant de détecter voire de bloquer l’accès à d’autres onglets ;
  • la vérification ponctuelle en début d’épreuve de l’environnement de l’étudiant via sa caméra par une personne chargée de la télésurveillance sans conservation de données, sauf en cas de suspicion de fraude ».

Ainsi, dans le cadre de la télésurveillance, des données à caractère personnel ne peuvent être conservées qu’à la condition qu’il y ait suspicion d’un comportement frauduleux.
Alors, évidemment, la question se pose : qui et comment déterminer à partir de quand y a-t-il suspicion de fraude ?
Deux points peuvent être envisagés. D’abord, il en va de la responsabilité du responsable du traitement qui, comme la définition le montre, est chargé de la détermination et de la mise en œuvre de la finalité du traitement. À ce sujet, la CNIL opère un rappel bienvenu au paragraphe n° 31 de sa délibération : « les établissements d’enseignement supérieur doivent procéder à une analyse préalable de la proportionnalité des dispositifs envisagés, en associant si possible les responsables pédagogiques, les représentants des étudiants et, le cas échéant, le délégué à la protection des données. Cette analyse devrait tenir compte notamment compte de la nature, de la durée, et de l’importance des examens concernés. Un test des dispositifs envisagés devrait être effectué en amont de l’examen sur un panel représentatif du matériel utilisé par les candidats aux épreuves ».
À titre superfétatoire, l’on remarquera que l’établissement supérieur n’est potentiellement pas le seul responsable du traitement, cette qualité pouvant être partagée avec : le responsable pédagogique et les représentants des étudiants ; en ce qui le concerne, le délégué à la protection des données ne saurait revêtir quelque responsabilité que ce soit conformément à l’article 24 du RGPD [19].
D’autre part, quels critères établir pour reconnaître une potentielle fraude ?
La CNIL ne se prononce nullement sur cette question : autrement dit, il incombera entièrement aux responsables du traitement et, le cas échéant, aux délégués à la protection des données, de déterminer ces critères, toujours à l’aune du respect du principe de proportionnalité. Au risque de revenir sur ce qui a déjà été énoncé, il est toutefois intéressant de s’arrêter quelques instants sur le paragraphe n° 36 : « certains dispositifs de télésurveillance proposent d’avoir recours à l’analyse automatique, soit de l’environnement du candidat (détection d’un niveau sonore anormal, de la présence d’une tierce personne dans la pièce, etc.), soit de son comportement (fréquence de frappe, direction du regard, émotions, etc.). ».
Le risque est que le responsable du traitement ait recours à une solution informatique entraînant la captation indiscriminée de données à caractère personnel, d’où il s’ensuivrait une atteinte disproportionnée aux droits des personnes concernées comme l’a expressément déclaré le juge des référés du Tribunal administratif de Montreuil par une ordonnance rendu le 14 décembre 2022 (n° 2216570) condamnant l’Université Paris-VIII en raison du recours à une solution proposée par le prestataire Testwe [20].

Le point concernant les conditions permettant de conserver des données à caractère personnel dans le cadre de la télésurveillance étant traité, il reste désormais à voir la question, non moins délicate, de la sécurisation de ces données et plus précisément, le recours à leur chiffrement.

2) Le chiffrement des données.

La CNIL fait expressément référence au principe de « privacy by design » au paragraphe n° 52 [21], il s’agit d’un principe général de la protection des données personnelles en vertu duquel la protection de la vie privée et notamment de la confidentialité doivent être protégées non pas par des mesures ponctuelles ajoutées après la création de l’architecture d’une solution informatique mais bien dans le façonnement de cette architecture. Autrement dit, d’après ce principe, la protection de la vie privée doit être originellement intégrée dans la mise en œuvre d’une solution informatique ou de tout autre support. En ce sens, il est impératif que soit établi un mécanisme en vertu duquel les données à caractère personnel captées par une solution informatique de télésurveillance et, le cas échéant, conservées en vue de l’appréciation de la réalité d’une fraude, soient protégées contre toute intrusion, perte ou modification illégitime par un tiers ; il s’en suit, donc, que la CNIL exige que ces données soient « chiffrées », pour reprendre le terme utilisé au paragraphe n° 53 [22].

En réalité, le terme n’est pas anodin. Plusieurs mécanismes de protection des données existent, comme le chiffrement, l’anonymisation ou encore la pseudonymisation. Le chiffrement demeure la solution la plus difficile mais la plus sûre : les données sont retranscrites sous la forme de chiffres sans aucun lien les uns avec les autres et ne pourront délivrer la donnée à caractère personnel dissimulée qu’à la condition de fournir une clé informatique bien déterminée. L’enjeu n’est pas ici d’explorer les modalités techniques du chiffrement mais simplement de montrer que, dans une perspective de sécurisation accrue des données personnelles – d’autant plus que, comme il a été montré, il peut être aussi question de données sensibles dont le traitement est, par principe, prohibé en vertu de l’article 9 du RGPD – la CNIL recommande vivement aux responsables du traitement et aux délégués à la protection des données ayant à se pencher sur la question de la télésurveillance d’examens réalisés à distance de prendre des éléments en considération.

Un autre élément intéressant est celui de la journalisation des accès.
En effet, c’est au paragraphe n° 56 que la CNIL déclare qu’ « une journalisation des accès aux données à caractère personnel doit également être mise en place, conformément aux recommandations de la CNIL à ce sujet (délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation). En effet, la journalisation participe, par sa capacité dissuasive, à la sécurité du traitement et au maintien de l’intégrité des données collectées. Les journaux d’accès aux données doivent disposer d’une durée de conservation propre, généralement comprise entre six mois et un an ».
Tout d’abord, la définition : « Les dispositifs de journalisation sont définis comme des dispositifs qui permettent d’assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d’information (et donc aux traitements de données à caractère personnel que sont susceptibles de constituer ces systèmes). Ces dispositifs peuvent être adossés soit à des applications (qui sont les briques logicielles spécifiques au traitement mis en œuvre et sont donc sujettes à la mise en œuvre de journaux dits « applicatifs »), soit à des équipements spécifiques (qui sont des équipements informatiques associés à des logiciels embarqués, sujets à la mise en œuvre de journaux dits « périmétriques ») » [23].
L’enjeu est donc de tenir un registre des différents acteurs étant intervenus sur ces données à caractère personnel en prenant soin de tenir compte des opérations effectuées, de sorte qu’il sera possible, ultérieurement, de déterminer à partir de quelle opération une donnée a pu, par exemple, être corrompue. Ainsi, la sécurisation des données se manifeste à travers les outils mis en œuvre pour empêcher une intrusion tierce mais aussi en termes d’inventorisation des opérations réalisées.

Johnny Anibaldi
Juriste et formateur en droit.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

7 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

[2Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[3Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée via la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

[6Consultable à cette adresse : https://www.google.fr/url?sa=t&....

[7Sauf mention contraire, toute mention d’un paragraphe renverra au paragraphe avec le chiffre correspondant de la délibération.

[8Consultable à l’adresse suivante : https://www.legifrance.gouv.fr/loda/id/JORFTEXT000034485233

[9ARCEP, Rapport sur la couverture et la qualité des services mobiles en France métropolitaine, novembre 2012, p. 7, consultable via ce lien.

[10Cons. Const., Décision n° 71-44 DC du 16 juillet 1971, Loi complétant les dispositions des articles 5 et 7 de la loi du 1er juillet 1901 relative au contrat d’association.
La valeur constitutionnelle accordée à l’article 6 de la Déclaration se déduit du visa : « vu la Constitution et notamment son préambule », lequel renvoie « aux principes de la souveraineté nationale tels qu’ils ont été définis par la Déclaration de 1789, confirmée et complétée par le préambule de la Constitution de 1946 […] »

[11Cf. l’article 4, 1. du RGPD définissant ces données comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

[12À savoir, d’après son article 4,2. : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

[13V. la délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du janvier 1978 : « faute de disposer de la possibilité d’adopter des règles contraignantes – alors qu’elle dispose d’ores et déjà d’un pouvoir réglementaire, via par exemple ses autorisations uniques – la Commission ne pourra tout au plus qu’émettre des recommandations »

[14Cf. l’article L732-1, al. 1 et 2 du Code de l’éducation : « des établissements d’enseignement supérieur privés à but non lucratif, concourant aux missions de service public de l’enseignement supérieur telles que définies par le chapitre III du titre II du livre Ier de la première partie, peuvent, à leur demande, être reconnus par l’Etat en tant qu’établissements d’enseignement supérieur privés d’intérêt général, par arrêté du ministre chargé de l’enseignement supérieur, après avis du comité consultatif pour l’enseignement supérieur privé. / Ne peuvent obtenir la qualification d’établissement d’enseignement supérieur privé d’intérêt général que les établissements d’enseignement supérieur privés à but non lucratif créés par des associations ou des fondations reconnues d’utilité publique ou des syndicats professionnels au sens de l’article L. 2131-1 du code du travail ».

[15Pour les besoins de la publication, l’intérêt légitime ne sera pas envisagé ici.

[16La CNIL elle-même abonde en ce sens lorsqu’elle invoque un exemple illustrant la possibilité de recourir à cette base légale dans le cadre de pourparlers : « par exemple, une personne procède à des achats en ligne et souhaite payer par carte bancaire et se faire livrer les produits à son domicile. Il est dès lors nécessaire pour le site marchand en ligne de traiter les données de paiement et l’adresse de livraison de son client : le traitement de ces données vise uniquement l’exécution du contrat conclu avec la personne concernée et les données traitées sont limitées à celles qui sont nécessaires à cette exécution. Le traitement par l’organisme de ces informations peut donc se fonder sur la base légale “contrat” » (V. https://www.cnil.fr/fr/les-bases-legales/contrat).

[17« 64. Pour que le consentement soit éclairé, il est nécessaire d’informer la personne concernée de certains éléments cruciaux pour opérer un choix. Aussi l’European Data Protection Board est-il d’avis qu’au moins les informations suivantes sont nécessaires afin d’obtenir un consentement valable : i. l’identité du responsable du traitement, / ii. la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité, / iii. les (types de) données collectées et utilisées, / iv. l’existence du droit de retirer son consentement, / v. des informations concernant l’utilisation des données pour la prise de décision automatisée conformément à l’article 22, paragraphe 2, point c), le cas échéant, et / vi. des informations sur les risques éventuels liés à la transmission des données en raison de l’absence de décision. » Les Lignes directrices sont consultables via ce lien.

[18Directive 2002/58/CE modifiée par la directive 2009/136/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

[19En complément, v. Lignes directrices concernant les délégués à la protection des données (DPD) du Groupe de travail Article 29 sur la protection des données, en leur version adoptée le 13 décembre 2016 et révisée puis adoptée le 5 avril 2017, p. 6 : « les DPD ne sont pas personnellement responsables en cas de non-respect du RGPD. Ce dernier établit clairement que c’est le responsable du traitement ou le sous-traitant qui est tenu de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24, paragraphe 1). Le respect de la protection des données relève de la responsabilité du responsable du traitement ou du sous-traitant ».

[20Voici le point pertinent de l’ordonnance dans son intégralité : « 8. Il résulte de l’instruction, notamment de la documentation publiée par la société Testwe qui développe l’application éponyme et ainsi que le relève l’association La Quadrature du Net, que l’utilisation de cette application rend possible notamment la vérification automatisée de l’identité du candidat, l’analyse continue de son visage filmé, l’analyse continue de son regard, l’accès à l’ensemble des données stockées sur son ordinateur, la captation et l’analyse automatisée de l’environnement sonore et visuel et institue en conséquence un traitement de données à caractère personnel au sens des dispositions précitées de l’article 4 du règlement général sur la protection des données. Si l’université fait valoir lors de l’audience du 6 décembre 2022 qu’elle n’entend pas en pratique collecter effectivement ces données, elle n’expose pas quel dispositif technique ferait obstacle, en dépit de l’acquisition qu’implique la décision attaquée de la licence d’exploitation du logiciel et de l’utilisation de celui-ci lors des sessions d’examen, à ce que celles-ci soit effectivement collectées et susceptibles de recevoir un traitement, pas plus qu’elle ne détaille avec exactitude les modalités de surveillance des examens, la nature des données collectées et le caractère adéquat, pertinent et limité de leur traitement. Dans ces conditions, en l’absence de définition préalable des données traitées et de la justification de ce traitement, en décidant d’avoir recours à une plate-forme du type de celle de l’application Testwe pour l’organisation et la surveillance des examens en ligne et au traitement de données qu’elle rend possible, l’université doit être regardée comme ayant porté une atteinte excessive au droit à la protection des données personnelles que les candidats tirent du règlement général sur la protection des données. La décision du 21 septembre 2022, qui met en cause les libertés et des droits fondamentaux des intéressés, doit en conséquence être regardée comme une décision susceptible de recours pour excès de pouvoir et de référé à fin de suspension d’exécution ».

[21« Le responsable de traitement doit, conformément au principe de « privacy by design », se rapprocher de son délégué à la protection des données en amont de la décision de mettre en place tout dispositif de télésurveillance, afin d’identifier les mesures organisationnelles et techniques permettant de garantir un niveau de sécurité adapté au traitement, conformément à l’article 32 du RGPD.

[22« À ce titre, les données à caractère personnel collectées doivent être chiffrées à l’aide d’algorithmes réputés forts, aussi bien durant leur transfert qu’au repos ».

[23Délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation, consultable via ce lien.

"Ce que vous allez lire ici". La présentation de cet article et seulement celle-ci a été générée automatiquement par l'intelligence artificielle du Village de la Justice. Elle n'engage pas l'auteur et n'a vocation qu'à présenter les grandes lignes de l'article pour une meilleure appréhension de l'article par les lecteurs. Elle ne dispense pas d'une lecture complète.

A lire aussi :

Explorer : # surveillance des examens en ligne # protection des données personnelles # télésurveillance # rgpd

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Respect de la vie privée et protection des données personnelles

Les droits des personnes concernées sur leurs données personnelles. Par Debora Cohen, Avocat.

24 avril 2025

Vote électronique : la CNIL dévoile ses exigences de sécurité pour 2025. Par Gerard Haas, Avocat.

16 avril 2025

Vers une atteinte à la vie privée généralisée ? Par Victor Cabras, Juriste.

14 avril 2025

Lutte contre le narcotrafic et protection des données personnelles : quel équilibre ? Par Sonia Bernonville, Avocate.

25 mars 2025

Responsabilité complexe en cas de fuite de données, piratage et usurpation d’identité d’origine interne : analyse approfondie et stratégies contentieuses. Par Aurélie Duron Harmand, Avocat et Mehdi Mankouri, Elève-Avocat.

11 mars 2025

Empreinte neuronale et souveraineté cognitive : vers un cadre juridique pour la protection des données mentales. Par Zakaria Garno, Professeur.

10 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 320 membres, 27852 articles, 127 254 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Voici le Palmarès Choiseul "Futur du droit" : Les 40 qui font le futur du droit.

• L'IA dans les facultés de Droit : la révolution est en marche.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Bien plus que du droit.

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Association pour la prévention positive des cyberviolences

 

Réseau de professionnels du Droit

 

Facilite l'accès aux professions du Droit

 

Réseau de cabinets d’avocats indépendants

 

Collectif d'avocats et de médiateurs

 

Cabinet d'avocat

 

 

Agir en faveur de l’accès au droit

 

Cabinet d'Avocats

Solutions

Previous Next

 

Aides et Conseils à l'installation des avocats.

 

1er service entièrement en ligne pour externaliser vos appels

 

Logiciels pour professionnels du droit.

 

Traducteurs assermentés

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Offres pour les métiers du droit

 

Créateur de confiance juridique

 

Editeur juridique

 

Destruction et recyclage de documents confidentiels

 

Solutions d'informations pour professionnels du droit.

 

AI-powered Contract Management

 

Lettre recommandée électronique

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Association de gestion et de comptabilité pour Avocats

 

Logiciels de conformité, risques et éthique

Formateurs

Previous Next

 

L’école des nouveaux juristes !

 

Se former aux métiers du Droit

 

Des formations spécialisées

 

Formations courtes ou longues à destination des professionnels du droit

 

Cabinet juridique et organisme de formation

 

Formation, recherche et innovation

 

La Compétence juridique se recrute !

 

Se former est une chance !

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Sélection Liberalis du week-end : L’art en mouvement à l’Atelier des Lumières.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.