« Bac à sable données personnelles » : la CNIL lance un appel à projets concernant les outils numériques éducatifs

Qu’est-ce que le « bac à sable données personnelles » de la CNIL ?

En 2022, pour sa deuxième édition, le « bac à sable » de la CNIL propose un accompagnement renforcé de 5 projets numériques innovants dans le domaine de l’éducation. Il s’agit de mettre en œuvre le principe de la vie privée dès la conception (privacy by design) à un stade précoce du développement des projets qui seront accompagnés grâce à un dialogue privilégié avec la CNIL. Ce dispositif s’inscrit dans l’action de la CNIL en soutien à l’innovation, qui représente une de ses grandes missions.

Dans le cadre du « bac à sable », les équipes de la CNIL accompagnent les lauréats pendant une durée déterminée pour résoudre les difficultés identifiées (« questions à résoudre ») et sont disponibles pour répondre aux autres interrogations relatives à la protection des données.

Des contacts étroits et répétés avec les équipes juridiques et techniques de la CNIL apporteront ainsi des conseils pratiques sur les solutions développées par les porteurs de projets. Cependant, le « bac à sable » n’a pas vocation à mettre à disposition des lauréats une architecture informatique ou technique de test du projet.

Le « bac à sable » ne peut conduire à lever les contraintes réglementaires, même temporairement, car les textes européens en matière de protection des données (RGPD) ne prévoient pas de dérogation pour ce motif. En revanche, il pourra permettre de mobiliser les marges d’interprétation et d’application des textes.

Conformément à la Charte d’accompagnement de la CNIL, les services des contrôles de l’institution n’auront pas connaissance des projets du « bac à sable » pendant la durée de l’expérimentation, ni accès au dossier par la suite. Le « bac à sable » n’apporte pas une immunité en termes de conformité après la période d’accompagnement : le porteur de projet reste pleinement responsable des conditions de mise en œuvre de son projet, au titre du principe de responsabilité du RGPD.

Quels sont les critères de sélection ?

Le « bac à sable » est ouvert à tous les projets innovants, quels que soient le statut du porteur de projet (public ou privé), sa taille ou sa maturité (jeune pousse ou non), le secteur (industrie, services, associatif, etc.) et la technologie utilisée (neutralité technologique).

L’appel à projets porte sur les outils scolaires et universitaires (de la petite enfance à l’enseignement supérieur), mais aussi sur des outils multi-usages concernant, par exemple, la formation tout au long de la vie.

Les critères de sélection sont les suivants :

• l’intérêt du projet pour le public : le projet (qu‘il soit à but lucratif ou non lucratif) doit comprendre une dimension d’intérêt public en accompagnement des pouvoirs publics ou contribuer à un intérêt collectif en termes de service rendu aux personnes (y compris en apportant un plus en termes de vie privée) ;
• l’engagement dans la conformité RGPD : seront privilégiés les projets ayant déjà développé des réflexions en la matière, avec un réel engagement de tenir compte des recommandations apportées et ayant des moyens opérationnels suffisants à y consacrer ;
• le projet doit être en phase de conception pour pouvoir y appliquer une approche de « privacy by design », c’est-à-dire ne pas être encore opérationnel (sans irréversibilités économiques ou techniques) mais suffisamment mature (avec une idée claire des choix et processus opérationnels envisagés) ;
• l’intérêt du projet pour la protection des données : la CNIL privilégiera des dossiers lui permettant de résoudre une question juridique nouvelle ou importante ou de préciser des choix techniques, permettant ainsi de faire progresser la conformité RGPD dans le secteur.

Cet appel à projets couvre tous les cas d’usage dans domaine du numérique éducatif : projets favorisant l’inclusion scolaire, la réutilisation des données à des fins de profilage (« learning analytics ») y compris avec l’utilisation d’algorithmes, la supervision d’examen à distance, la communication entre parents et communauté éducative, etc.

Sans être nécessairement restreint aux acteurs français ou européens, le « bac à sable » de la CNIL a prioritairement vocation à accompagner, pour des raisons d’efficacité, des projets dont les opérations ont lieu en France.

Tout au long de la procédure (dossier de candidature, échanges avec les lauréats, phase opérationnelle), la CNIL respectera le secret professionnel : elle ne divulguera pas le contenu des dossiers correspondants à des tiers, à l’environnement concurrentiel ou au public, sans l’accord du porteur de projet.

Que doit contenir le dossier de candidature ?

Le format du dossier de candidature est libre et le contenu n’a pas besoin d’être extrêmement détaillé : il doit cependant être facilement maniable et pratique pour la CNIL.

Il doit nécessairement suivre le plan suivant :

1. Objectifs du projet (notamment ce qu’il apportera au public), approche opérationnelle retenue et présentation générale (une courte présentation sous forme de diapositives peut être fournie en annexe) ;
2. État d’avancement du projet et degré de formalisation opérationnelle (niveau de maturité technologique) ;
3. Plan d’affaires du projet sur l’année 2022 et les deux années suivantes et état des financements collectés ou en cours ;
4. Descriptif technologique envisagé du projet (ex : modalités d'hébergement des données, technologies utilisées, schéma d'architecture technique, descriptif des mesures de sécurité, etc.) ;
5. Présentation des personnes clés du projet (ex. : justification des compétences) et coordonnées de l’interlocuteur identifié dans le cadre du « bac à sable » (personne chargée de suivre plus spécifiquement la protection des données) ;
6. Rapide descriptif des risques identifiés en matière de vie privée et de protection des données personnelles (ex. : autoévaluation des risques RGPD et/ou SSI le cas échéant).
7. Engagement dans la démarche partenariale du « bac à sable » : ressources qui y seront consacrées, présence d’une assistance à la conformité au sein du projet, importance de la conformité RGPD dans le succès de votre projet ;
8. Questionnements du candidat : sur quel(s) point(s) en lien avec la vie privée et les données personnelles le candidat souhaite-t-il un accompagnement renforcé dans le cadre du « bac à sable » (ex. : difficultés juridiques et/ou technologiques identifiées) ?

Quelles seront les suites données ?

La CNIL examinera les dossiers au regard des points exposés ci-dessus. Des demandes de compléments pouvant être demandées, il est préférable de ne pas l’envoyer au dernier moment.

La CNIL effectuera une première sélection de dossiers pour écarter ceux qui ne correspondraient pas aux critères précités. Sur la base d’une grille d’analyse matérialisant ces différentes dimensions, un examen plus approfondi des autres dossiers sera effectué.

Après un examen collégial des dossiers, une présélection d’une dizaine de projets potentiellement éligibles sera établie et soumise à un comité d’évaluation au début du printemps. Si un projet est pré-retenu, son porteur sera contacté pour un entretien préalable et celui-ci devra se rendre disponible pour présenter son projet devant ce comité et répondre à ses questions. Le comité sera composé de personnalités qualifiées extérieures et de responsables de la CNIL.

Sur la base de l’avis du comité, la présidente de la CNIL retiendra 5 projets.

Lorsqu’un projet est retenu, le cadre de travail (termes de référence) est formalisé au cours du mois d’avril afin notamment de définir les questions à résoudre au démarrage de la phase opérationnelle du « bac à sable », qui a vocation à durer jusqu’à la fin de l’année 2022.

Un projet qui n’est pas retenu peut néanmoins bénéficier des autres outils d’accompagnement à l’innovation de la CNIL (demande de conseil par exemple) ou encore être orienté vers d’autres interlocuteurs.