Parcoursup et les établissements d’enseignement supérieur

20 novembre 2019

« Foire aux questions Informatique et Libertés »

Les établissements d’enseignement supérieur qui procèdent au classement des candidatures reçues via Parcoursup sont-ils responsables du traitement ainsi mis en œuvre ?

Oui.

Dès lors que les établissements d’enseignement supérieur décident librement des modalités et des critères d’examen des candidatures qu’ils reçoivent, ils définissent les finalités et les moyens du traitement, ce qui doit conduire à les considérer comme responsables de celui-ci.

Ce raisonnement est également valable lorsque ces établissements recourent à l’outil d’aide à la décision de Parcoursup, puisque, d’une part, ils choisissent librement de l’utiliser ou non et, d’autre part, ils décident de le paramétrer en fonction de leurs besoins ou de l’utiliser tel que proposé par Parcoursup.

Le ministère, quant à lui, est responsable de traitement de la plateforme nationale Parcoursup qui enregistre les candidatures et propose une affectation après le classement opéré par les établissements d’enseignement supérieur.

Lorsque les établissements d’enseignement supérieur utilisent l’outil d’aide à la décision de Parcoursup le ministère peut-il être considéré comme un sous-traitant ?

Oui.

Lorsque des établissements d’enseignement supérieur utilisent l’outil d’aide à la décision fourni par Parcoursup, le ministère traite les données personnelles nécessaires au classement des candidatures pour le compte de ces établissements.

Dès lors, un contrat ou tout autre acte juridique entre le ministère et chaque établissement utilisant cet outil doit être mis en place. Ce contrat ou acte juridique, qui peut être une convention cadre, devrait reprendre les exigences prévues par l’article 28 du règlement général à la protection des données (RGPD).

En tant que responsables de traitement, les établissements d’enseignement supérieur doivent-ils réaliser une analyse d’impact sur la protection des données (AIPD) ?

Oui.

De manière générale, la réalisation d’une AIPD constitue une bonne pratique facilitant la démarche de mise en conformité des responsables de traitements. La réalisation d’une telle analyse doit en effet permettre d’identifier les risques liés à la mise en œuvre du traitement, de les analyser, de les estimer, de les évaluer, de les traiter, le tout devant s’inscrire dans le cadre d’un processus de réévaluation régulière.

Par ailleurs, une AIPD est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes physiques.

Dans ses lignes directrices sur le sujet, le G29, groupe des « CNIL » européennes, a identifié plusieurs critères aidant à déterminer si le traitement est susceptible d’engendrer un tel risque (notamment l’évaluation ou la notation – y compris le profilage – des personnes concernées, les traitements empêchant de bénéficier d’un droit ou d’un service, etc.). De manière générale, les traitements qui remplissent au moins deux de ces critères doivent faire l’objet d’une analyse d’impact.

Au regard des critères établis par le G29, chacun des traitements mis en œuvre par les établissements d’enseignement supérieur pour classer les candidatures dans ses différentes filières nécessite en principe la réalisation d’une AIPD.

En tout état de cause, une telle analyse qui ne devra pas obligatoirement être transmise à la CNIL ne sera pas immédiatement exigée pour les traitements qui ont fait l’objet d’une formalité préalable avant le 25 mai 2018 ou qui ont été inscrits au registre d’un correspondant informatique et libertés (CIL), sauf en cas de modification substantielle de celui-ci par la suite.

Le RGPD imposant une réévaluation dynamique des risques, les établissements d’enseignement supérieur ayant déclaré leurs traitements avant le 25 mai devront, dans un délai de trois ans, avoir effectué une AIPD.

Cette analyse d’impact peut-elle être mutualisée entre plusieurs UFR, voire entre plusieurs établissements ?

 Oui.

La réglementation prévoit qu’une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. Compte tenu des caractéristiques du dispositif Parcoursup, il pourrait être envisagé de mutualiser certains éléments de l’AIPD, entre plusieurs unités de formation et de recherche (UFR) d’une université voire même entre établissements.

A cet égard, la description systématique des opérations de traitement envisagées et des finalités poursuivies par le traitement ou encore l’évaluation de la nécessité et de la proportionnalité des opérations de traitement mises en œuvre au regard des finalités poursuivies par Parcoursup pourraient faire partie d’un socle commun de l’AIPD.

Une telle AIPD commune bénéficiera d’un appui méthodologique de la CNIL dans sa réalisation.

Chaque établissement devra néanmoins veiller à adapter ou compléter une éventuelle AIPD commune à sa situation propre si des risques étaient spécifiques à ses traitements afin de tenir compte, par exemple, de la nature des données traitées ou de la spécificité des mesures de sécurité devant être mises en œuvre.

Les personnes concernées par un traitement de classement des candidatures peuvent-elles exercer leur droit d’opposition ?

Non.

En principe, en application de l’article 21.1 du RGPD, lorsque le traitement de données personnelles est nécessaire à l’exécution d’une mission d’intérêt public, les personnes peuvent s’opposer, pour des raisons tenant à leur situation particulière, au traitement de leurs données.

Le responsable de traitement peut néanmoins démontrer qu’il existe des motifs légitimes et impérieux justifiant le traitement qui prévalent sur les intérêts et les droits et libertés des personnes concernées.

Dans le cadre spécifique du dispositif Parcoursup, qui conditionne l’inscription dans une filière de premier cycle de l’enseignement supérieur, une opposition d’un candidat au traitement de ses données entraînerait une impossibilité de prise en compte de ses vœux et, partant, de son inscription dans une telle filière. Il en résulte qu’en pratique, le droit d’opposition ne trouvera pas à s’exercer.

Les établissements d’enseignement supérieur doivent-ils utiliser un traitement automatisé pour procéder à l’examen et au classement des candidatures ?

Non.                                                                                                                           

La mise en œuvre du dispositif Parcoursup n’impose nullement aux établissements d’enseignement supérieur d’utiliser un traitement automatisé pour procéder au classement des candidatures. Un tel classement peut en effet être effectué uniquement grâce à un examen exclusivement « humain » de chacune des candidatures reçues.

Il peut toutefois être décidé de recourir à un traitement automatisé pour classer les candidatures reçues.

Ce traitement automatisé peut être l’outil d’aide à la décision de la plateforme Parcoursup ou un autre traitement automatisé reposant sur un algorithme qui aurait, par exemple, été développé en interne.

La décision d’admission au sein d’une formation peut-elle être entièrement automatisée ?

Non.

Le dispositif Parcoursup, pris dans son ensemble, vise à ce que la décision d’affectation dans une formation de l’enseignement supérieur ne soit pas prise sur le seul fondement d’un traitement automatisé.

Au niveau de chaque établissement appelé à connaître d’une candidature, les textes prévoient l’intervention de commissions d’examen des vœux chargées notamment de proposer au chef d’établissement les réponses à faire aux candidats (article D. 612-1-13 du code de l’éducation). Cette commission peut s’appuyer sur un outil automatisé d’aide à la décision (cf. ci-dessus).

Les établissements d’enseignement supérieur qui utilisent un algorithme ou un outil d’aide à la décision pour classer les candidatures reçues indépendamment de l’examen réalisé par la Commission d’examen des vœux doivent-ils publier en ligne les règles définissant ces traitements ?

Non.

L’article L. 612-3 du code de l’éducation prévoit un aménagement à l’obligation pour les administrations de publier en ligne les règles définissant les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent des décisions individuelles (obligation prévue par l’article L. 312-1-3 du code des relations entre le public et l’administration - CRPA). Une telle obligation de publication est réputée satisfaite, selon la loi, dès lors que les candidats sont informés par les établissements d’enseignement du fait qu’ils peuvent obtenir, s'ils en font la demande, la communication des informations relatives aux critères et modalités d'examen de leurs candidatures ainsi que des motifs pédagogiques qui justifient la décision prise.

Le Conseil d’Etat a précisé (4ème et 1ère chambres réunies, 12/06/2019, 427916) que les dispositions spéciales instituées par le législateur devaient être regardées comme réservant aux seuls candidats le droit d’accès aux documents relatifs aux traitements algorithmiques utilisés, le cas échéant, par les établissements d’enseignement supérieur, pour les seules informations relatives aux critères et modalités d’examen de leur candidature.

Quelles informations les établissements d’enseignement supérieur qui utilisent un outil d’aide à la décision dans le processus d’affectation des candidats doivent-ils communiquer à l’ensemble des candidats préalablement à tout classement ?

Le RGPD n’impose l’information des personnes concernées sur les caractéristiques principales du traitement algorithmique (logique sous-jacente de l’algorithme, importance et conséquences prévues de cet algorithme), que dans l’hypothèse où ce traitement conduit à la prise d’une décision entièrement automatisée.

Dans le cadre de Parcoursup, en l’absence de décision entièrement automatisée, cette information n’est dès lors pas exigée. La fourniture d’une telle information sur l’existence et les principaux paramètres de l’algorithme d’aide à la décision constitue cependant une bonne pratique recommandée et encouragée par la CNIL.

Par ailleurs, l’information sur la possibilité d’obtenir des informations relatives aux critères et modalités d'examen de leurs candidatures ainsi que des motifs, due au titre du code de l’éducation s’applique en toute hypothèse.

Les candidats peuvent-ils obtenir des explications sur le classement de leur candidature ?

Oui.

Chaque établissement est tout d’abord tenu de publier les critères généraux encadrant l’examen des candidatures par les commissions d’examen des vœux en application de l’article D. 612-1-5 du code de l’éducation.

Afin de garantir la transparence des modalités d’examen des candidatures et leur classement, les candidats qui en font la demande, doivent se voir communiquer, par les établissements d’enseignement supérieur, des informations relatives aux critères et modalités d’examen de leurs candidatures ainsi que des motifs pédagogiques qui justifient la décision prise (article L. 612-3 du code de l’éducation).

Par ailleurs, lorsque le classement ou le refus de candidature est intervenu après utilisation d’un outil automatisé d’aide à la décision, le RGPD n’impose pas pour les établissements - dès lors que la décision n’est pas entièrement automatisée - de fournir au titre du droit d’accès les informations utiles concernant la logique sous-jacente de l’algorithme, l’importance et les conséquences prévues de cet algorithme (article 15.1.h du RGPD). La CNIL recommande toutefois que ces informations soient fournies, à titre facultatif, dans une optique de transparence renforcée.

Enfin, s’agissant des pourcentages de boursiers et de candidats résidants dans l’académie, appliqués par la plateforme Parcoursup et qui peuvent modifier le classement opéré par l’établissement d’enseignement supérieur, le candidat devra s’adresser au ministère de l’enseignement supérieur.

Les mots clés associés à cet article