Archives de la catégorie Numérique

[Marianne] Reconnaissance faciale : Big Brother s’invite dans les lycées à Nice et à Marseille

13 février 2019

Deux lycées de la région Provence-Alpes-Côte d’Azur vont installer des portiques de vidéosurveillance à reconnaissance faciale. Un dispositif en partie voué à combler le manque d’effectifs dédiés à la sécurité, mais qui interroge sur les risques liés à la vie privée. […]

Pour l’association la Quadrature du Net, qui défend les droits et libertés des citoyens sur Internet, cette déclaration prouve bien la nature du projet mené dans les lycées de Nice et de Marseille : il s’agirait d’une répétition générale pour une « banalisation » toujours plus grande d’une « technologie liberticide« . « Il s’agit d’une nouvelle étape dans la normalisation de la vidéo surveillance et de la reconnaissance faciale« , regrette auprès de Marianne Félix Tréguer, chercheur à l’Institut des sciences de la communication et membre de l’association. […]

Les inquiétudes de la Quadrature du Net ne sont pas des divagations d’amateurs de dystopie technologique. Car si la France est pour l’instant globalement frileuse face aux expérimentations sur la reconnaissance faciale, plusieurs instances s’en sont récemment dotées. Depuis cet été, les aéroports d’Orly et de Roissy en région parisienne, ainsi que le terminal 2 de l’aéroport de Nice, emploient cette technologie. Aéroports auxquels il faudra donc bientôt ajouter deux lycées français : « Difficile de ne pas y voir une nouvelle pierre à une tendance beaucoup plus large, commente Félix Tréguer. On commence par les lycées mais à Marseille et à Nice, les élus sont aussi les promoteurs de projets sécuritaires qui font de la reconnaissance faciale un pilier de contrôle à l’échelon de la ville« . […]

https://www.marianne.net/societe/reconnaissance-faciale-big-brother-s-invite-dans-les-lycees-nice-et-marseille

[NRLDP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

Poster un commentaire

La Commission européenne saisie de Parcoursup

« La Commission considère-t-elle que la non-publication notamment des algorithmes locaux de traitement des dossiers par les commissions d’établissements est conforme au Règlement Européen sur la Protection des Données notamment au regard du principe de transparence dans le traitement des données à caractère personnel tels que définis à l’article 5 et 12 du règlement ? La Commission considère-t-elle que le recours au critère du lycée d’origine pour départager les candidats peut être assimilé à une pratique discriminatoire ?  » Ces deux questions ont été posées par la député européenne Front de gauche Marie Christine Vergiat. Elle demande à la commission ce qu’elle compte faire.

Sa question

Poster un commentaire

[Quadrature du net] Première sanction suite à nos plaintes contre les GAFAM !

En mai dernier, suite à l’entrée en vigueur du règlement général sur la protection des données (RGPD) et avec votre soutien et celui de près de 12 000 autres personnes, nous avons déposé une série de plaintes collectives contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft), après six semaines de campagne pour vous informer de nos intentions et de nos objectifs. Dans notre ligne de mire, divers services de ces géants du Web : Youtube, Google Search et Gmail pour Google, iOS et son méga-cookie pour Apple, LinkedIn pour Microsoft ainsi que Facebook et Amazon.
En octobre, les CNIL européennes avaient établi chacune de nos plaintes comme étant légitime. C’est ainsi que la CNIL irlandaise a été désignée « autorité chef de file » concernant les plaintes contre Apple, Facebook et Microsoft, puisque ces entreprises ont le centre de leurs activités européennes là-bas. Pour les mêmes raisons, c’est au Luxembourg qu’est partie la plainte contre Amazon. Le cas de Google a été plus surprenant : l’entreprise n’ayant pas à cette date de réel établissement principal en Europe, la CNIL française s’est elle-même déclarée compétente pour instruire notre plainte. Cela nous semblait de bon augure, la CNIL française ayant rendu jusque là diverses décisions imposant de manière stricte le consentement libre, concept sur lequel nos plaintes se fondent.
Dans tous les cas, peu importe que certaines de nos plaintes soient traitées par les autorités irlandaise ou luxembourgeoise (ce à quoi nous nous attendions), le RGPD prévoit un système de coopération entre toutes les CNIL européennes. En théorie, cette coopération visent à éviter toute forme de « forum-shopping », qui permettrait à une entreprise d’échapper à ses sanctions en se réfugiant dans un État peu protecteur de nos libertés.
Hier, la CNIL française a rendu une première décision suite à notre plainte contre Google, mais aussi à la plainte celle déposée parallèlement par nos amis de NOYB (None of your business). Elle sanctionne Google à hauteur de 50 millions d’euros, considérant que le ciblage publicitaire que l’entreprise réalise sur son système d’exploitation Android n’est pas conforme au RGPD.
C’est une décision positive pour nous, mais elle ne prend en compte qu’une toute petite partie de ce que NOYB et nous-même nous exposions dans nos plaintes respectives : si NOYB s’attaquait spécifiquement à Android, nous dénoncions surtout le ciblage publicitaire imposé sur Youtube, Gmail et Google Search en violation de notre consentement. Et sur ces services, la CNIL ne dit rien.
De plus, la CNIL base sa sanction sur le fait que, lors de la création d’un compte sur Android, notre consentement n’est pas recueilli de manière explicite (les fameuses « cases pré-cochées »…), mais passe totalement sous silence le plus problématique selon nous : explicite ou non, il ne s’agit pas d’un consentement libre à partir du moment où pour utiliser le service vous n’avez pas d’autre choix que d’accepter le ciblage publicitaire de Google.
Cette décision de la CNIL, si on peut s’en féliciter sur un plan symbolique, n’est toutefois pas à la hauteur des enjeux : sanction très limitée (pour avoir un ordre de grandeur, cette amende de 50 millions d’euros ne représente qu’environ 4h du chiffre d’affaires de Google), traitement partiel des plaintes qui laisse de côté des arguments majeurs…
À cela s’ajoute le fait que hier matin dans la presse, la CNIL a déclaré que suite aux modifications des Conditions générales d’utilisation de Google, qui établissent à partir du 22 janvier un « établissement européen principal » en Irlande, elle transférait le dossier à son homologue irlandais, déjà en charge des plaintes contre Apple, Microsoft et Facebook. Autant dire que cette affaire risque de traîner un certain temps car la CNIL irlandaise n’a pas les mêmes moyens que celle française, et est déjà saisie de nombreuses plaintes (dont les nôtres).
Cela dit, cette décision reste une première victoire, et nous attendons de voir quelle sera la réaction de Google. On vous tient au courant, et surtout on vous remercie encore de votre soutien dans cette action !
Par ailleurs, nous vous rappelons que La Quadrature n’existe que grâce à vos dons. N’hésitez pas à parler de nous autour de vous et à nous faire un don sur laquadrature.net/donner

À très vite !

L’équipe de La Quadrature du Net

Poster un commentaire

Les efficaces mises au point de l’Apmep

Des maths pour tous au lycée ? Faux ! répond l’Apmep dans une vidéo virale qui répond aux vidéos ministérielles. « Le projet de programme de l’enseignement scientifique ne comprend aucun thème réellement mathématique », déclare l’Apmep. « Apprendre les maths ne peut se faire en voyant fonctionner des outils au service d’autres disciplines ». L’Apmep remet les pendules à l’heure aussi sur les évaluations de 2de. « L’évaluation de 2de n’a pas déclenché d’accompagnement personnalisé car les enseignants n’ont pas eu connaissance des évaluations et l’AP se fait souvent par groupe de 35… Les résultats ne correspondant pas au niveau de 2de mais de 4ème. Et contrairement aux résultats des tests les élèves ne sont pas à l’aise en maths ».

Vidéo 1 Sur Twitter

Vidéo 2 Sur Twitter

Poster un commentaire

T’UPPERCUT TV vendredi à la Montagne : la société numérique

Vendredi 25 janvier à 20h30 au Bar de l’ALM, 45 Rue Violin à La Montagne

Plusieurs sujets seront traités par notre équipe de journalistes qui, une fois encore, décident d’être sérieux sans se prendre au sérieux :

– les écrans qui nous regardent

– les relations difficiles avec le numérique

– la pollution cachée du numérique

– les formes de résistance

– Et bien sûr, le bar sera ouvert !

A vendredi ?!?

L’équipe de l’UPPERCUT


Poster un commentaire

Parcoursup : le Défenseur des droits demande la communication des algorithmes locaux

A la veille de la mise en route de Parcoursup, le Défenseur des droits, Jacques Toubon, vient sérieusement ébranler le discours ministériel sur la plateforme d’orientation postbac. Dans une décision publiée le 21 janvier, il demande à la ministre la publication des algorithmes locaux de tri des candidatures. Il interdit d’utiliser le lycée d’origine pour trier les candidatures. Cette décision est à même de remettre en question le fonctionnement de Parcoursup.

Les recours déposés par S Troussel, président du département de Seine Saint-Denis, et du sénateur P Ouzoulias sont récompensés par la décision prise par J Toubon. Les requérants avaient dénoncé le manque de transparence sur cette phase particulière de l’orientation, couverte par un article inscrit précisément dans la loi par la ministre de l’enseignement supérieur. Cet article permet aux établissements de garder secret les critères de tri des candidatures. Pour les plaignants, les établissements utiliseraient le lycée d’origine,  le lieu de résidence  ou l’origine sociale pour refuser des candidats, ce qui est illégal.

Pour le Défenseur, « le secret des délibérations du jury ne doit pas s’opposer à l’information des candidats sur le contenu exact et la manière précise d’évaluation de leurs candidatures. Le Défenseur des droits estime que la publication de ces informations ne porte pas atteinte aux principes de souveraineté du jury et du secret de ses délibérations, étant donné qu’il ne vise pas à dévoiler le contenu de l’appréciation portée sur chaque candidature mais uniquement les critères pris en compte dans cette appréciation ainsi que leur méthode d’application. Il est donc recommandé de rendre publiques ces informations ».

Par cette décision, le Défenseur des droits « recommande à la ministre de l’enseignement supérieur, de la recherche et de l’innovation de prendre les mesures nécessaires, d’ordre législatif et d’ordre réglementaire, afin de rendre publiques toutes les informations relatives au traitement, y compris algorithmique, et à l’évaluation des dossiers des candidats par les commissions locales des établissements d’enseignement supérieur en amont du processus de leur affectation dans les formations de premier cycle de l’enseignement supérieur, afin d’assurer la transparence de la procédure et de permettre aux candidats d’effectuer leurs choix en toute connaissance de cause ».

Le Défenseur invite aussi la ministre de l’enseignement supérieur « à mener une analyse approfondie concernant la situation de l’affectation des bacheliers technologiques et professionnels dans l’enseignement supérieur et de prendre les mesures nécessaires pour favoriser davantage leur accès dans les formations de leur choix ».

La ministre a deux mois pour faire connaitre les mesures prises en application de cette décision du Défenseur des droits. Si elle n’allait pas dans son sens, le Défenseur pourrait saisir la justice pour discrimination. C’est justement pour luter contre elles que le Défenseur des droits a été créé. Il peut aussi utiliser son pouvoir d’injonction si la ministre ne répond pas à sa décision.

La décision

Poster un commentaire

Reconnaissance faciale au lycée : l’expérimentation avant la généralisation

19 décembre 2018

Le 14 décembre dernier, le Conseil Régional de PACA a voté une mesure visant à faire installer, à partir de 2019, des dispositifs de reconnaissance faciale à l’entrée de deux lycées de Nice et de Marseille. Dès le mois d’octobre, La Quadrature du Net avait demandé à la CNIL la communication des documents en sa possession sur ce dossier, cette dernière ayant été consultée par la région pour la mise en place de ces dispositifs. L’analyse de ces documents, ainsi que les précisions apportées par Christian Estrosi, confirment l’impuissance de la CNIL à enrayer la banalisation d’une technologie particulièrement liberticide et qui vise ici à s’étendre à l’ensemble des établissements scolaires de la région.

De quoi s’agit-il ? En octobre 2017, Renaud Muselier, président de la région PACA, demande les conseils de la CNIL pour la mise en place dans deux lycées de Nice et de Marseille de dispositifs de « portiques virtuels » associant « des moyens classiques d’identification (…) à un dispositif biométrique utilisant des technologies de comparaison faciale, seuls à même d’après nos premières investigations, d’apporter une solution fiable et rapide dans un contexte de contrôle d’accès portant sur un nombre potentiellement élevé de personnes ». Cette nouvelle étape est la suite logique de sa politique sécuritaire ayant conduit, entre 2016 et 2017, à ce que plus de 1 300 caméras de vidéosurveillance soient installées dans l’ensemble des lycées de la région. La technologisation à outrance est également présentée par la région comme une réponse au contexte d’austérité budgétaire :

Ce dispositif constitue une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs dans la fonction publique.

La région PACA présente ainsi à la CNIL son projet visant à « sanctuariser » les entrées et les sorties dans les établissements secondaires. Il s’agit non seulement de reconnaissance faciale mais également d’un dispositif de « suivi de trajectoire » de certains des visiteurs : un logiciel installé couplé à une caméra permet de détecter des points de comparaison faciale déterminés par un algorithme et de le comparer avec ceux stockés dans une base de données. Un écran mis à la disposition des agents de contrôle permet alors de visualiser trois types de profils : « vert » pour les personnes autorisées à pénétrer dans l’enceinte du lycée, « jaune » pour les personnes non identifiées et invitées à se présenter à l’accueil et « rouge » pour les personnes non identifiées et qui ne se sont pas dirigées dès leur entrée vers l’accueil.

Il est par ailleurs précisé qu’il s’agit pour l’instant d’une « expérimentation limitée dans le temps » et fondée sur le consentement explicite de volontaires au sein des établissements visés.

La CNIL impuissante face au développement de la reconnaissance faciale

Alors qu’elle avait appelé en septembre 2018 à un débat urgent sur ces nouveaux usages des caméras vidéo et qu’elle souligne elle-même les risques considérables d’atteinte aux libertés individuelles que cette technologie entraîne, la CNIL n’a opéré ici qu’un suivi très souple – voire accommodant – du projet.

Soulignons d’abord que, depuis l’entrée en vigueur du RGPD en mai 2018, les responsables de traitement de données personnelles n’ont en principe plus à réaliser de formalités auprès de la CNIL avant la mise en œuvre du traitement, tel qu’obtenir son autorisation dans certains cas. Le contrôle de l’autorité ne se fait qu’a posteriori, conformément au principe de responsabilisation des acteurs prévu dans le règlement. Tout au plus certains traitements, et c’est le cas pour la reconnaissance faciale, doivent-ils faire l’objet d’une analyse d’impact. Le consentement des utilisateurs est désormais censé fournir une base légale suffisante pour le déploiement de ces systèmes qui font pourtant entrer la surveillance dans une nouvelle ère. En supprimant le pouvoir d’autorisation de la CNIL s’agissant de ce type de dispositifs, le RGPD marque donc un recul pour les libertés.

Selon les documents qui nous ont été communiqués, la CNIL s’est donc contentée de demander des précisions complémentaires à la Région sur le dispositif envisagé et, sur certains points, de fournir des recommandations. C’est d’ailleurs suite à l’une de ces recommandations que la Région a décidé que le stockage des données biométriques ne se ferait pas sur une base de données mais sur un support individuel, sous le contrôle exclusif de la personne (en l’espèce, un badge) (comme c’est le cas pour ce qui existe déjà dans plusieurs aéroports où la photographie n’est stockée que dans le microprocesseur du passeport biométrique).

Ainsi, et contrairement à ce qui a été annoncé par une partie de la presse et par Christian Estrosi lui-même, la CNIL n’a pas donné son « feu vert » à ce dispositif mais a simplement accompagné la région dans sa mise en place.

Pourtant, en laissant se développer ce type de technologies à des buts sécuritaires, sans qu’il ne soit apporté à un seul moment la preuve de la pertinence d’un tel dispositif par rapport au système existant,1 sans même une réelle réflexion sur la nature du consentement que peuvent donner des mineurs à l’égard d’une expérimentation au sein de leur lycée,2 la CNIL participe à la banalisation de ces technologies. Elle devient l’alibi au développement d’une surveillance généralisée qui sera au cœur des « Safe City » qui commencent à essaimer sur le territoire.

Un dispositif qui a vocation à s’étendre à toute la région

Car, sous le qualificatif faussement tranquillisant d’ « expérimentation » mis en exergue par Renaud Muselier et Christian Estrosi, ces derniers souhaitent en réalité, comme ils l’ont eux-mêmes énoncé lors de l’assemblée plénière du Conseil Régional, étendre ce dispositif de reconnaissance faciale à l’ensemble des lycées de la région :

Avec ces deux expériences, une fois que nous l’aurons démontré, nous irons très vite sur la généralisation, à partir du réseau de vidéosurveillance déjà existant, sur lequel il ne nous restera plus qu’à mettre le logiciel qui correspond à l’usage de la reconnaissance faciale par rapport aux caméras déjà installées dans nos établissements scolaires.

L’expérimentation des lycées de Nice et de Marseille s’inscrit donc en réalité parfaitement dans les divers projets que La Quadrature du Net dénonce depuis près d’un an, et qui sont d’ailleurs particulièrement avancés dans ces deux villes : « Observatoire Big Data de la tranquillité publique » à Marseille, « Safe City » à Nice… Cette actualité apparaît alors comme une nouvelle briqueau développement, toujours plus rapide et incontrôlable, de ces nouvelles technologies de surveillance (« Big Data », caméras « intelligentes », reconnaissance faciale…) au profit des municipalités et de leurs polices.

Un tel projet profitera par ailleurs pleinement à son maître d’œuvre, la société CISCO, qui finance entièrement cette expérimentation [lien doc] et qui s’occupera « dans un premier temps » de former les professeurs des lycées à ces nouvelles technologies. Cisco, acteur américain central de la « Safe City », et avec qui le gouvernement français avait déjà signé un partenariat important pour mener un projet de « Smart City » dans une ville française, se positionne dans un marché en plein essor. Il pourra pleinement tirer parti de cette occasion que lui donne la région de tester ses nouvelles technologies de surveillance dans nos établissements scolaires pour mieux la revendre plus tard, dans le cadre de marchés publics à vocation sécuritaire.

Alors qu’il y a plus d’un mois, nous appelions déjà la CNIL à imposer un moratoire sur le développement de ces technologies, cette dernière semble s’en tenir à une posture attentiste. Nous appelons les syndicats de lycéens et d’enseignants ainsi que les parents d’élèves et toutes celles et ceux révulsés par ces évolutions à s’organiser pour les tenir en échec.

References

1.Il est ainsi seulement précisé dans les documents produits par la région, et cela sans aucune preuve ou réelle analyse, que « les nombreux incidents et agressions constatés aussi bien dans l’enceinte du lycée qu’à ses abords, ainsi que le contexte sécuritaire existant depuis les attentats terroristes de 2016, conduisent également à tenter de limiter les temps d’attente et les attroupements à l’extérieur des établissements aux moments de forte affluence (rentrées matinales notamment) » ou que « ce dispositif constitue une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs de la fonction publique. Il apporte une assistance aux personnels du lycée, qui peuvent ainsi mieux se concentrer sur les cas nécessitant une intervention humaine, et reporter leur vigilance sur les multiples situations menaçant la sécurité, en augmentant la présence humaine dans les lieux de vie de l’établissement. »
2.Le courrier de la région précise à ce titre que « Les personnes volontaires (ou leur représentant légal pour les mineurs) doivent signer préalablement un formulaire de recueil de consentement expliquant la finalité de l’expérimentation, la durée de conservation des donnée ainsi que la manière d’exercer les droits Informatique et Libertés »

Posté dans Surveillance

Poster un commentaire

La reconnaissance faciale testée dans deux lycées professionnels

Ce sont deux lycées professionnels, Ampère à Marseille et Eucalyptus à Nice, que le conseil régional de PACA a choisi pour tester une application de reconnaissance faciale. Le système identifiera les élèves et personnels en comparant les visages à une base de données des visages des lycéens et profeseurs. Selon Nice matin, le Snes relève que cela n’aura aucun impact sur la sécurité, la violence ne se réduisant pas à l’intrusion.

Nice matin

20 minutes

Poster un commentaire

élèves trompés et triés mais aussi livret scolaire numérique dans le primaire…

Témoignage du côté des plus jeunes, les élèves de primaire et collège, ceux que l’on fiche actuellement dans LSUN  (livret scolaire numérique) à l’insu des familles…


Si certains parents ont des enfants plus jeunes et sont (aussi) motivés pour réclamer l’information légale qu’on ne leur donne pas sur les écoles, ou pour faire opposition puis éventuellement recours devant Défenseur des Droits….Vous pouvez aussi aller sur le site du Collectif de résistance aux fichiers scolaires (CRBE https://retraitbaseeleves.wordpress.com/) qui a réactualisé sa campagne de rentrée et propose des modèles de lettres pour faire opposition.

Faites des vagues, si on ne défend pas les libertés maintenant, nos enfants sont bien mal barrés.

Poster un commentaire

Communiqué LDH : « Stop au racisme sur la toile »

La Ligue des droits de l’Homme (LDH) se félicite de la décision du tribunal de grande instance de Paris d’ordonner aux diffuseurs, en France, d’Internet, de bloquer un site raciste et antisémite hébergé aux Etats-Unis.
Depuis des années, aucune procédure n’avait pu aboutir contre ses lâches auteurs, ni obtenir la fermeture de ce site. Une instruction reste cependant en cours pour sanctionner les coupables de ces délits.

Cette première est une avancée à saluer contre la haine en ligne, qui doit conduire à la fin d’une impunité trop longue.

La LDH continuera à demander de poursuivre les auteurs et responsables de ces publications illégales, où qu’ils soient, comme d’exiger la fin sans délais de leurs diffusions.

Paris, le 28 novembre 2018

Télécharger le communiqué au format PDF

Poster un commentaire

Nos plaintes contres les GAFAM avancent !

10 octobre 2018 – Nous venons de recevoir des nouvelles de la CNIL au sujet de nos plaintes collectives, engagées en mai 2018 contre Google, Apple, Facebook, Amazon et Microsoft. Ces nouvelles sont encourageantes.

Les plaintes contre Apple, Facebook et Microsoft ont été transmises à l’autorité irlandaise de protection des données, qui a commencé l’instruction des dossiers. Pourquoi est-ce l’autorité irlandaise qui instruira nos plaintes, plutôt que la CNIL française, à qui nos plaintes étaient destinées ?

Comme nous le rappelions déjà en mai dernier, le RGPD a posé un nouveau cadre de coopération entre les différentes « CNIL » européennes : si une entreprise collecte des données dans plusieurs pays européens, les CNIL de tous ces pays doivent collaborer pour contrôler cette entreprise. La CNIL de l’État où l’entreprise a le « centre de ses activités » dans l’Union européenne est désignée « autorité chef de file ». Cette autorité chef de file est chargée de conduire l’instruction et d’animer la coopération entre les autorités. C’est en Irlande que Apple, Facebook et Microsoft ont le centre de leurs activités européennes. La CNIL irlandaise est donc l’autorité chef de file pour instruire nos plaintes.

S’agissant d’Amazon, la plainte a été transmise à l’autorité du Luxembourg – puisque, cette fois-ci, c’est dans ce pays qu’Amazon a le centre de ses activités au sein de l’Union.

Enfin, qu’en est-il de Google ? C’est ici que la situation devient la plus intéressante.

Le RGPD prévoit une exception au mécanisme de « l’autorité chef de file ». Si une entreprise n’a pas « d’établissement principal » au sein de l’Union, mais agit principalement depuis l’étranger, la CNIL de n’importe quel État peut la contrôler (voir les lignes directrices WP244, page 11, du G291).

C’est cette exception que la CNIL française a retenue s’agissant de Google : l’entreprise ne dispose dans l’Union d’aucun « établissement principal » qui dirigerait les activités que nous dénonçons comme contraires au RGPD. Concrètement, la CNIL considère que le siège de Google à Dublin ne prend pas de décisions importantes dans notre affaire et ne doit donc pas être pris en considération.

Ainsi, la CNIL française se reconnaît compétente pour instruire directement notre plainte contre Google (et pour, en fin de course, prononcer sa sanction). Toutefois, elle nous indique qu’elle compte conduire ce dossier en coopération avec les autres CNIL, avec lesquelles elle aurait commencé à travailler lors de leur dernière réunion européenne du 25 et 26 septembre. C’est une bonne chose.

Dans l’ensemble, la situation est des plus encourageantes : nos plaintes avancent concrètement et celle contre Google reste dans les mains d’une autorité dont les dernières décisions ont toutes imposé strictement la notion de « consentement libre », qui est au cœur de nos actions.

Nous vous garderons informés des prochains avancements sur ces dossiers.

En attendant, nous vous rappelons que nos plaintes sont libres de droit (disponibles ici) : n’hésitez pas à en reprendre les arguments (ils ont été pensés pour être faciles à reprendre) afin de rédiger des plaintes individuelles ou collectives contre d’autres entreprises – qui ne manquent pas pour violer le RGPD.

  • 1. Le G29 était l’organisation créée en 1995 pour regrouper les CNIL de tous les États de l’Union européenne et dégager des positions communes. Le RGPD a transformé le G29 en un nouveau « Comité Européen de la Protection des Données », qui reprend la même mission et organisation mais se voit désormais confier des pouvoirs de décisions dans le cadre de la nouvelle coopération entre les différentes CNIL

Poster un commentaire

Salaire à vie – Démocratie et liberté dans son travail

par Groupe de Réflexion Stéphanois 14 septembre 2018

Stéphane du GRS explique en détail le salaire à vie en le comparant au revenu de base.

Au delà des termes techniques vulgarisés, il nous faire entrevoir ce que serait une société du salaire à vie, en mettant en évidence l’aspect démocratique et les nouvelles libertés qu’elle nous procurerait.

Poster un commentaire

Evaluations : quel respect de la RGPD ?

Après l’annonce que les évaluations nationales sont hébergées en Irlande sur un serveur d’Amazon, les syndicats s’inquiètent à juste titre de la protection des données des élèves. Le Snuipp  a demandé au ministère s’il a consulté la Cnil. Il a obtenu une réponse. Le Se Unsa demande à son tour des garanties.

« La Cnil n’intervient plus qu’à postériori », répond le ministère au Snuipp dans une lettre du 25 septembre. La nouvelle loi n’impose plus de déclaration à la Cnil. « C’est le ministre qui est le garant du respect de la réglementation… Le traitement des évaluations a fait l’objet d’une analyse par mes services », explique MA Levêque , secrétaire générale du ministère.

Dans un courrier, le Se Unsa relance la question. Il demande « si les professeurs des écoles qui effectuent la saisie des résultats et les responsables légaux des élèves ont été informés conformément au RGPD des finalités précises, des moyens mis en oeuvre, de la durée de conservation, de la suppression des données et du respect des droits des personnes ».

La réponse du ministère

Les évaluations hébergées par Amazon

Le Snuipp saisit la Cnil

Se Unsa

Poster un commentaire

Evaluations de CP – Ce1 : pour le ministère, les données des élèves sont protégées

 » Est-il normal que les évaluations nationales de Cp et Ce1 soient hébergées à l’étranger sur un serveur d’une entreprise du GAFAM célèbre par sa capacité à exploiter les données ? » demandait le Café pédagogique le 24 septembre après la découverte que ces données sont hébergées chez Amazon. Le ministère nous répond que  » les évaluations nationales offrent  toutes les garanties de protection des données personnelles des élèves ». Nous avons aussi interrogé le ministère sur la qualité scientifique d’évaluations qui sont passées dans des conditions très différentes d’une école à l’autre.

« Seul le professeur de la classe et la DEPP disposent des résultats individuels nominatifs des élèves », affirme le ministère dans sa réponse à nos questions. « Dès le début de l’opération, les élèves se voient attribuer un numéro d’ordre sans lien avec leurs noms, prénoms, classes et écoles, assurant ainsi l’absence des données à caractère personnel sur des serveurs externes. Seule la DEPP (division des études du ministère NDLR) peut associer ce numéro d’ordre à l’identité de l’élève ».

« Afin de protéger les données personnelles des élèves et de garantir leur présence uniquement sur ses serveurs, la DEPP a développé un service intermédiaire, permettant de présenter aux seuls enseignants, lors de la phase de saisie, la liste des élèves de leurs classes. Lorsque l’enseignant valide sa saisie, ce service garantit que les données transmises ne contiennent aucune donnée à caractère personnel. Seul le numéro d’ordre et le résultat de la saisie des réponses des élèves aux exercices sont envoyés sur la plateforme du prestataire OAT. Après traitement des résultats anonymes sur la plateforme d’OAT et sur spécification de la DEPP, le service intermédiaire est à nouveau sollicité pour permettre d’associer, de façon éphémère, au seul moment de la consultation par le professeur, le résultats de l’évaluation aux identités de ses élèves. Ceci permet au professeur de communiquer ces résultats aux familles ». Le ministère ajoute que « les bases de données sont encryptées, ainsi que tout transfert de données ».

Quant au choix d’Amazon, le ministère renvoie à un prestataire. « Pour héberger sa plateforme de saisie et de restitution des résultats, la DEPP a recours depuis 2016 à un prestataire : la société OAT… Cette société possède toutes les compétences pour développer et administrer une plateforme qui, à partir des spécifications de la DEPP, permet de gérer des évaluations massives sous forme numérique, impliquant de très nombreuses connexions simultanées. Cette entreprise loue des serveurs d’Amazon Web Services pour héberger la plateforme d’évaluation et permettre la connexion simultanée d’un très grand nombre d’utilisateurs. Les données nominatives sont uniquement stockées sur un serveur de la DEPP. Aucune donnée nominative n’est stockée chez OAT ou Amazon Web Services ».

Par conséquent pour le ministère, « les évaluations nationales offrent donc toutes les garanties de protection des données personnelles des élèves. »

Mais ces évaluations, passés avec des durées extrêmement différentes selon les écoles et probablement des saisies également variables, gardent-elles un caractère scientifique ? La réponse du ministère est beaucoup plus brève. « Il ne faut pas confondre le temps consacré à la passation des évaluations en classe et la durée effective de travail de chaque élève. Les instructions de passation fournies aux enseignants ont d’ailleurs bien précisé ce point. Le temps de passation comprend le temps consacré à la communication des consignes aux élèves, qui peut donc dépendre de la manière dont l’enseignant s’organise et le temps de travail effectif de l’élève. Ce temps de travail effectif correspond à la durée prévue pour réaliser chaque exercice. C’est à cela que correspondent les temps de 20 minutes pour chacun des trois séances de CP par exemple. Ce protocole de passation a été testé auprès d’un échantillon de 12.000 élèves et de leurs enseignants et adaptés en tenant compte de leurs remarques, notamment sur le temps de passation. Les instructions de passation permettent à l’enseignant de respecter ce temps effectif, qui est le seul scientifiquement significatif. » C’est bien là qu’est le problème…

François Jarraud

Les évaluations nationales chez Amazon

Le Snuipp saisit la Cnil

Poster un commentaire

Evaluations : le Snuipp saisit la CNIL

Dans un courrier adressé à la présidente de la CNIL, le SNUipp-FSU demande si le logiciel de saisie des données recueillies dans le cadre des évaluations nationales CP et CE1 a bien fait l’objet d’une demande d’avis ou d’autorisation. Une autre lettre demande au ministre de l’éducation nationale si la déclaration CNIL a été faite. Ces démarches sont faites après la découverte que les données des élèves sont stockées sur un serveur d’Amazon en Irlande. Une situation qui a fait bondir aussi le syndicat Sud. Il demande aux enseignants de ne pas faire passer les évaluations.

Communiqué Snuipp avec les lettres

Les évaluations nationales hébergées chez Amazon

Poster un commentaire

Les évaluations nationales de Cp Ce1 hébergées par Amazon

Est-il normal que les évaluations nationales de Cp et Ce1 soient hébergées à l’étranger sur un serveur d’une entreprise du GAFAM célèbre par sa capacité à exploiter les données ? La question a été posée sur Twitter le 22 septembre par une enseignante référente pour les usages du numérique (ERUN), un corps qui s’estime oublié par l’Education nationale. Alors que les réseaux sociaux bruissent des critiques énervées des professeurs des écoles qui ont commencé à faire passer les évaluations nationales de Cp et Ce1, la nouvelle est de nature à leur porter un nouveau coup. Un enseignant peut-il contribuer à la fuite des données personnelles de ses élèves vers Amazon ?

Les évaluations chez Amazon

 » Dites @EducationFrance, le portail de saisie des évaluations nationales dont on apprend que le domaine a été réservé chez Amazon et que les données sont stockées sur un serveur à Dublin, c’est compatible avec la RGPD ? » Sur Twitter, le message  de Lonny, une enseignante référente pour les usages du numérique (ERUN), a vite fait le tour des enseignants présents sur le réseau. Vérification faite il n’y a aucun doute : le serveur des évaluations nationales de Cp et Ce1 (près de 1.6 million d’écoliers) est hébergé à Dublin en Irlande. Et il est confié aux bons soins d’Amazon. Pour ceux qui suivent l’actualité du numérique éducatif, cette entreprise rappelle le passage au ministère du précédent directeur du numérique éducatif. Après avoir envisagé la transmission des données des élèves aux entreprises du GAFAM (Google Amazon Facebook Apple Microsoft), il a été désavoué par le ministre et est parti… chez Amazon.

Pourtant le ministère semble avoir pris conscience des enjeux de la protection des données des élèves français. « Les partenariats que l’on veut développer avec les acteurs du numérique doivent se faire dans le strict respect du droit des données personnelles. Je ne transigerai jamais sur ce point », a déclaré par exemple JM Blanquer début juin 2018. Plusieurs mois après la publication de la loi RGPD sur la protection des données, l’Education nationale a publié un rapport signé de l’inspecteur général G Braun, nommé délégué à la protection des données fin août, et de Jean-Marc Merriaux, le nouveau directeur du numérique éducatif. Ce texte publié en aout a mis par écrit la volonté de l’éducation nationale de préserver les données des élèves.

Des directeurs se plaignent

« Donc on doit se connecter avec une clé OTP sur Onde, on doit renouveler les agréments annuellement PPMS et j’en passe et là on entre les résultats nominatifs des élèves sur un site privé appartenant à un géant américain et localisé en Irlande ? » a immédiatement répondu un directeur d’école. « On se voit refuser l’utilisation de certains ENT ou applications en classe sous prétexte que les données ne sont aps toujours hébergées en France », s’indigne un autre sur Twitter. Les entreprises de l’EdTech français ont d’ailleurs déjà manifesté leur mécontentement face au 2 poids 2 mesures entre elles et les géants du Gafam. La plupart ont rapatrié à grands frais leurs données en France pour se mettre en conformité avec la RGPD.

Ce week end le ministère de l’Education nationale attirait juste l’attention sur le fait que les données des évaluations sont anonymisées. Une réponse qui sera probablement jugée insuffisante au regard de la masse d’informations géolocalisées transmises dans ces fichiers.

Des contenus inadaptés

Il est vrai que bien d’autres critiques visent les évaluations. Toujours sur Twitter, des enseignants dénoncent la procédure des évaluations nationales. D’abord pour leur rédaction. On a l’impression à lire le livret du maitre qu’il a été rédigé par Agir pour l’Ecole. IL dit explicitement ce que l’enseignant doit dire pour chaque exercice , avant, éventuellement pendant, et après, à la virgule près. Les enseignants ont l’impression d’être pris pour des idiots. Et cela surprend même les petits écoliers. « Maitresse on ne comprend pas quand tu parles » réagissent les élèves de Béatrice quand elle leur lit le livret.

Il y a aussi un vif mécontentement sur les exercices eux-mêmes. Il y a les pièges des évaluations : « quand tu demandes quel mot se termine comme bateau, que tu attends que l’enfant entoure chapeau mais que tu lui montres sournoisement un navire ? » interroge  Johanna sur Twitter. Ces pièges avaient été signalés par le Snuipp Fsu. Une autre enseignante relève que « ni la mise en page, ni le format A4, ni les polices, ni la taille des lignes, ni l’interlignage, ni les illustrations ne sont adaptées à des enfants qui sortent de maternelle.. C’est honteux de mettre cela dans les mains des enfants ». David, un autre enseignant, signale que ses élèves de CP ont pleuré et il est loin d’être le seul. Un quatrième, 15 ans d’ancienneté, n’a pas pu terminer avec ses CP.  Il « retire la désagréable impression qu’une question sur deux vise à piéger les élèves ».

Des évaluations non scientifiques

Car le temps qui est dévolu officiellement aux évaluations (3 fois 20 minutes) est souvent jugé impossible. « Deux livrets sur trois faits. Trois fois plus de temps qu’annoncé », explique encore Johanna. « Comment fait-on pour arrêter 27 élèves de 5-6 ans qui veulent finir un exercice ? », demande-elle aussi à propos d’un item qui doit durer 1 minute mais où la tache proposée peut durer beaucoup plus longtemps surtout quand les enfants veulent bien faire. Il y a aussi des enseignants qui ont tenu les 20 minutes officielles. « Nos petits CP étaient bouleversés car il n’y arrivaient pas car ils n’ont pas eu assez de temps. Ca me brise le coeur », dit Louvenya.

Ainsi les premières remontées des enseignants qui ont fait passer les évaluations montrent que beaucoup le regrettent. Mais elles établissent aussi que les conditions de passage des évaluations ont été très différentes d’une école à l’autre. Ici 20 minutes, là 60, et ailleurs encore davantage. Il est prévisible que les conditions de saisie seront elles aussi variables d’une classe à l’autre, les enseignants ne voulant pas « enfoncer » leurs élèves. Il est dès maintenant établi que ces évaluations nationales n’auront aucun caractère scientifique compte tenu de ces modes de passage et de saisie. Ce ne sera d’ailleurs une surprise pour aucun scientifique et certainement pas pour la Depp (division des études du ministère). Elle sait faire des évaluations scientifiques (CEDRE par exemple) avec un protocole autrement plus sérieux. Et elle a aussi en mémoire le précédent des évaluations Blanquer de 2009-2012 qui déjà pêchaient par leur manque de sérieux. Cela contredit l’argumentation d’évaluations faites pour la recherche ou pour aider les enseignants. Comment les aider avec un diagnostic faux ?

Des intersyndicales appellent à résister

Le Snuipp Fsu a demandé aux enseignants de ne pas saisir les résultats. Cela a eu pour effet d’amener de nombreux inspecteurs à vérifier que les écoles font passer les évaluations. Mais dans plusieurs départements, plusieurs syndicats appellent les enseignants à prendre leurs distances avec les évaluations. Ainsi dans la Seine Saint Denis, le Snuipp, la Cgt, CNT, Snudi Fo et Sud affirment leur soutien aux équipes qui ne feront pas passer les évaluations. En Mayenne, les mêmes syndicats appellent les enseignants à « utiliser ou non » les évaluations et « à organiser collectivement la non remontée des résultats ».

La question du RGPD  se pose aussi ailleurs

L’annonce que les résultats partent chez Amazon ne va pas aider le ministère. Mais la question de la protection des données se pose aussi hors des évaluations. Des enseignants s’inquiètent que les conditions d’application à l’Ecole du RGPD, si elles se confirment et se crispent, risquent de mettre fin à de nombreuses pratiques de classe. Faudra-t-il désormais s’interdire d’utiliser avec les élèves réseaux sociaux, blogs de classe, murs Padlet, sites privés, outils de sondage comme Plickers, applications diverses pour tablettes ? Ils attendent un guide clair qui répondrait à leurs questions et apaiserait leur crainte que ne s’arrête brutalement la dynamique engagée depuis des années pour « faire entrer l’Ecole dans l’ère du numérique ». Et que l’Education nationale s’applique à elle-même les règles qu’elle veut appliquer aux autres…

Blanquer le 5 juin

L’Education nationale se penche enfin sur la protection des données

L’Ecole donnée à Google ?

Une vidéo de David Claude et Nicolas Olivier 

Evaluations : Leçons d’histoire

Poster un commentaire

Quand Laurent Wauquiez pioche dans un fichier élève

 » Je vous souhaite à tous une excellente rentrée, et que cette année vous réserve à tous de belles réussites ! » C’est gentil ce SMS envoyé par Laurent Wauquiez, président de la région Auvergne – Rhône Alpes aux lycéens selon Libération. Le problème c’est qu’il a été envoyé sur les téléphones personnels des jeunes, ce dont un élu de l’opposition s’est alarmé, raconte Libération. L Wauquiez aurait utilisé le fichier d’une offre régionale destinée aux lycéens. Le cabinet de L Wauquiez explique que le site de Pass’Région précise que « les bénéficiaires peuvent autoriser la région à envoyer des informations liées aux dispositifs régionaux ». Pas sur qu’ils l’aient tous fait et que la publicité politique soit une information. En tous cas voilà un bel exemple d’utilisation des fichiers de données de lycéens…

 

Sur Libération

L’Education nationale va portéger ses données

Poster un commentaire

Les Moocs ne tiennent pas leurs promesses

Incroyable ! …..on ne s’y attendait pas du tout…pfff encore une mode à la con, un techno-miracle inutile.

« Les Moocs peuvent apparaitre comme une promesse non tenue », assure une tribune sur la Harvard Business Review. L’article souligne que la moitié des utilisateurs n’a pas l’impression d’avoir appris quelque chose. Il critique aussi la faible accessibilité des Moocs ainsi que leur faible qualité pédagogique.

Sur HBR France

Poster un commentaire

Le Salaire à vie c’est pas compliqué, on peut même l’expliquer à la machine à café

Découvrez en 5 épisodes comment convaincre vos amis, vos collègues et même votre chef. Super travail du groupe ATTAC de Villeurbanne.

Lien d’origine : https://www.youtube.com/watch?v=cf5XEu4Qylo

Les 5 vidéos :

Liens pour approfondir :

Pour creuser un peu :

Poster un commentaire

L’Education nationale se penche enfin sur la protection de ses données

La mise en ligne le 1er aout du rapport de l’Inspection générale sur la protection des données personnelles est importante. Le simple fait qu’il ait tardé à être rendu publique pose question. Daté de février 2018, le rapport est mis à disposition bien après la date du 25 mai 2018, date de mise en action de la loi européenne sur le RGPD et son adaptation au droit français. Ce problème de calendrier met en évidence une carence, celle de l’ancienne Direction pour le Numérique Educatif qui n’a pas du tout anticipé cette question des données numériques des élèves. D’ailleurs plusieurs éléments dans le rapport confortent cette analyse qui montre l’impréparation générale sur cette question. On peut s’interroger par exemple sur l’absence (à ce jour) de Délégué à la Protection des Données (DPD) au ministère de l’Education. On peut aussi s’interroger sur la légèreté des acteurs et des responsables de différents niveaux par rapport aux problèmes soulevés dans ce rapport.

Il est une question vive posée, à la page 35 du rapport, sur une entreprise privée qui fournit des logiciels de vie scolaire à 80% (d’après le rapport) des établissements publics et qui agit de manière presque totalement incontrôlée : « Une des sociétés occupe une part de marché nettement supérieure aux autres (voisine de 80 %) ce qui lui donne une position de quasi-monopole. » L’entreprise n’est pas citée en tant que telle, mais chacun aura reconnu le logiciel Pronote de la société Index Education qui a d’ailleurs été auditionnée par les IG. L’ensemble du passage qui analyse ce fait est intéressant à lire et il commence ainsi : « Il ne s’agit pas d’une externalisation ordinaire d’un service, mais d’une véritable délégation de service public qui ne dit pas son nom, sans aucune interaction avec l’administration centrale du ministère, chaque établissement contractualisant directement avec ces sociétés, conséquence de trente ans d’histoire qu’il sera maintenant difficile de faire évoluer. » S’ensuit un long paragraphe sur la manière dont se passent des marchés qui concernent des données sans que le ministère ait un réel contrôle sur leur utilisation.

Mais le rapport c’est aussi un ensemble de propositions fondées sur une analyse assez approfondie de la question des données numériques des élèves et leur gestion. Parmi les propositions nous mettrons en avant quelques-unes qui nous paraissent significatives.

« Préconisation n° 1 : Former rapidement les enseignants et les chefs d’encadrement sur l’utilisation des données scolaires numériques dans des situations pédagogiques et administratives avec une attention particulière aux traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques dans le sens de l’article 9 du RGPD. »  Constat de carence généralisée ? Absence de repères aussi bien légaux qu’éthiques. On constate là l’insouciance générale de chacun de nous face à ce que nous laissons, diffusons, partageons sur le net, mais plus largement sur l’ensemble des informations privées dont nous laissons aux autres le soin de les gérer : le monde scolaire et ses multiples « traces ». Cela n’échappe pas à cette insouciance voire ignorance, parfois entretenues par des responsables informatiques qui ne font pas leur travail d’information auprès des responsables des activités, en particulier dans les établissements.

« Préconisation n° 5 : Éditer au niveau national des documents précisant la nature des données collectées et des traitements effectués, qui seraient distribués aux publics concernés : professeurs, parents, élèves. Ces documents devront être rédigés dans un langage adapté à leur public et facilement modifiables par les responsables de traitement locaux. » L’absence d’informations claires est une carence qui renforce l’idée parfois émises que l’on n’a pas à savoir on a simplement à faire, les autres (qui ?) savent ce qui est bon pour nous

« Préconisation n° 7 : Faire spécifier dans les contrats passés entre les établissements scolaires et les éditeurs de logiciels de vie scolaire, d’emploi du temps ou d’ENT, que les données doivent être stockées par les hébergeurs sous forme cryptée, les responsables de traitement étant seules habilités à posséder la clef de décryptage. » « Préconisation n° 8 : Établir une cartographie détaillée de l’ensemble des flux de données scolaires circulant dans l’éducation nationale, dans les collectivités territoriales, les entreprises privées et les associations en précisant leurs relations, la nature des données transmises et leur cryptage éventuel. Il s’agira en particulier de veiller à ce que les données personnelles issues de bases de données gérées par le ministère transmises à des tiers soient systématiquement cryptées. »

Cela renvoie à la remarque de la page 35 du rapport. On s’étonne de la légèreté contractuelle des liens entre éditeurs privés et acteurs de l’éducation. La notion des responsables de traitement (le chef d’établissement dans un EPLE) est bien sûr essentielle. Qu’un chef d’établissement puisse être prisonnier d’un acteur interne ou externe en termes de gestion des données est quelque chose que nous avons dénoncé il y a longtemps mais qui reste ignoré… l’insouciance face aux données… et à leur exploitation.

« Préconisation n° 12 : Inclure une clause d’explicitation des principes sur lesquels reposent les algorithmes utilisés dans les traitements de données à caractère personnel dans les contrats passés avec les développeurs privés. » Que ce soit pour l’orientation (Parcoursup, Affelnet) mais aussi pour ce qui advient avec le traitement des données d’apprentissage (learning analytics), l’obligation de transparence va devoir se développer. On voit déjà arriver des promesses magiques mais aussi des critiques apocalyptiques qui peuvent laisser croire tout et n’importe quoi. Le développement de l’intelligence artificielle va probablement poser un problème important, surtout quand il y a des traitements difficilement explicables (deep learning – cf. la conférence de Yann le Cun au collège de France)

« Préconisation n° 16 : Faire en sorte que l’État se repositionne vis-à-vis des prestataires de certains services numériques clés, administratifs et pédagogiques, afin de pouvoir exercer sa souveraineté en matière d’éducation. » La lecture de cette préconisation à elle seule est très inquiétante. Est-ce à dire que l’Etat a perdu la main sur certains domaines ? Est-ce à dire que l’Etat à laisser faire des pratiques variées sans effectuer les vérifications de fond qui s’imposaient ?

La conclusion du rapport est bien sûr dans la même ligne et elle rappelle que la définition du rôle de l’Etat et donc la mise en œuvre du rôle qu’il entend jouer est une nécessité absolue au vu d’une analyse des carences observées et des urgences qui se présentent, en particulier dans le domaine du traitement massif de toutes sortes de données.

Et l’élève, là-dedans ? On le retrouve indirectement dans la préconisation n°4 : « compléter par amendement à la loi informatique et liberté en révision l’article 38 de la loi d’orientation et de refondation de l’École (formation à l’utilisation des outils numériques) par former « aux dimensions éthiques, sociales et économiques de l’utilisation des données numériques, en particulier celles à caractère personnel ». » On pourra rapprocher cette préconisation des deux articles complémentaires de la loi sur la place du téléphone portable dans les établissements scolaires : l’article L121.1 et l’article L312.9

Pour information, l’un des auteurs du rapport (Jean Marc Merriaux) est désormais Directeur du Numérique pour l’Education. On peut penser que les autres auteurs auront aussi un rôle à tenir dans les temps prochains dans le domaine de la protection des données en éducation.

Le rapport

Le ministère ouvre la porte aux Gafam ?

Poster un commentaire