Dès qu’il recourt à ces solutions, quel que soit l’outil choisi et même si celui-ci se présente comme « conforme RGPD », l’établissement doit respecter, en tant que responsable de ce traitement, les principes de la protection des données et les droits des étudiants concernés. Il pourra pour ce faire s’appuyer sur les conseils de son délégué à la protection des données (DPO).
Comme pour tout traitement de données personnelles, le responsable de traitement ne pourra mettre en œuvre ce dispositif qu’après avoir déterminé la base légale de celui-ci.
Le consentement doit, pour constituer une base légale valable, être notamment libre, c’est-à-dire ni contraint ni influencé (par exemple par la position d’autorité du responsable de traitement). L’étudiant doit notamment se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Dans ces conditions, le consentement comme base légale peut difficilement être retenu pour les traitements de surveillance des examens organisés et surveillés en ligne.
Le responsable du traitement peut cependant procéder à ce type de traitement en s’appuyant sur une autre base légale, comme par exemple l’exécution d’une mission d’intérêt public. Cette base légale peut être utilisée tant par les universités que par les établissements privés d’enseignement supérieur, dès lors qu’ils poursuivent une mission d’intérêt public. À cet égard, le choix de dématérialiser la validation des enseignements doit en principe être arrêté en début d’année par chaque établissement (article D.611-12 du code de l’éducation). Néanmoins, au regard de l’état d’urgence sanitaire, l’ordonnance n°2020-351 du 27 mars 2020 (article 2) permet de modifier cette modalité jusqu’à deux semaines avant le début des épreuves.
Il sera également nécessaire de respecter les principes « informatique et libertés » :
- le principe de finalité : les informations sur les étudiants ne peuvent être traitées, enregistrées et utilisées que dans un but bien précis, légal et légitime (par exemple la télésurveillance des examens écrits du deuxième semestre 2020 dans le cadre de la crise sanitaire) ;
- le principe de proportionnalité et de pertinence : les informations traitées doivent être pertinentes et strictement nécessaires au regard de la finalité du traitement (principe de minimisation des données traitées). Les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs.
Par exemple, les traitements suivants n’apparaissent pas disproportionnés :
- la surveillance vidéo en temps réel pendant la durée de l’examen ;
- la prise de photographies ou de flux vidéo ou sons de manière ponctuelle ou aléatoire.
En revanche, n’apparaissent à priori pas proportionnés au regard de la finalité poursuivie :
- les dispositifs de surveillance permettant de prendre le contrôle à distance de l’ordinateur personnel de l’étudiant (notamment pour vérifier l’accès aux courriels ou aux réseaux sociaux) ;
- les dispositifs de surveillance reposant sur des traitements biométriques (exemple : reconnaissance faciale via une webcam).
Les traitements de reconnaissance faciale sont des dispositifs de nature biométrique particulièrement intrusifs, qui présentent des risques importants d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Les données biométriques, de manière générale, sont uniques et permettent d’identifier un individu à partir de ses caractéristiques physiques ou biologiques. Elles font, pour cette raison, l’objet d’une protection renforcée dans les textes européens et nationaux.
L’utilisation de dispositifs de reconnaissance faciale ou d’autres dispositifs biométriques à des fins de surveillance des examens n’apparaît pas conforme au principe de proportionnalité, au regard de l’impact pour les droits et libertés des personnes par rapport à la finalité poursuivie.
En tout état de cause, le traitement des données biométriques étant par principe interdit par le RGPD, de tels dispositifs nécessiteraient une disposition légale particulière.
- une durée de conservation limitée : une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du traitement, par exemple, jusqu’à l’expiration des délais contentieux liée à la tenue de l’examen - dans ce cas, l’accès aux données doit être restreint aux seules personnes ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le département juridique) ;
- l’obligation de sécurité : le responsable de traitement doit garantir la disponibilité, l’intégrité et la confidentialité des données, tout au long de leur traitement (collecte, transmission, stockage). Pour ce faire, les mesures suivantes, ou des mesures équivalentes apportant le même niveau de garantie, doivent être mises en place :
- La transmission des données doit s’effectuer via un canal sécurisé et chiffré. Le serveur recevant les données doit être authentifié.
- Le stockage doit se faire sur un serveur implémentant des solutions de protection contre des actes malveillants (notamment un pare-feu et un antivirus à jour ainsi que des mécanismes de détection d’intrusion).
- Une politique d’habilitation d’accès aux données doit être mise en place afin que l’accès soit accordé aux seules personnes autorisées, en utilisant des comptes nominatifs. Tout accès aux données doit être journalisé, c’est-à-dire inscrit dans un système de fichiers référençant les opérations de lecture/écriture des données.
- Une politique de suppression des données doit être mise en place afin d’appliquer la durée de conservation définie.
- Le dispositif utilisé ne doit pas affaiblir le niveau de sécurité du terminal utilisé par l’étudiant.
Par ailleurs, dès lors que le dispositif de télésurveillance est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées », une analyse d’impact relative à la protection des données (AIPD) devra être réalisée par le responsable de traitement. En particulier, l’utilisation de technologies innovantes (exemples : recours à l’oculométrie (eye tracking), algorithmes et intelligence artificielle) devra faire l’objet d’une telle analyse.
Avoir recours à une solution technique extérieure à l’établissement implique en outre pour le responsable de traitement de respecter les obligations en matière de recours à des sous-traitants et notamment de contractualiser avec eux.
Par ailleurs, si les transferts de données hors Union européenne (UE) ne sont pas strictement interdits, ils sont encadrés par la réglementation à laquelle doit se conformer le responsable de traitement. La CNIL rappelle à cet égard que l’hébergement chez un prestataire de service « cloud » est susceptible de constituer un transfert.