Intervention de Émilie Seruga-Cau

Commission de la culture, de l'éducation et de la communication — Réunion du 13 mars 2019 à 9h00
Parcoursup — Audition de M. Paul Hébert directeur-adjoint à la direction de la conformité de la cnil Mme émilie Seruga-cau cheffe du service des affaires régaliennes et des collectivités territoriales et Mme Tiphaine Havel conseillère pour les questions institutionnelles et parlementaires

Émilie Seruga-Cau :

Nous n'avons pas été sollicités par les étudiants sur l'exercice de leurs droits. Seuls les établissements et le ministère nous ont posé des questions.

La CNIL a publiquement indiqué que pour les traitements déclarés antérieurement au 25 mai 2018, date de l'entrée en vigueur du RGPD, les établissements disposaient d'un délai de trois ans, sauf en cas de modification substantielle du traitement requérant un nouvel examen par la CNIL.

L'étude d'impact est en cours de réalisation. Une analyse d'impact se structure en quatre parties et consiste en une analyse juridique et technique des risques pesant sur les personnes concernées. Le ministère a décidé de s'occuper de tout ce qui correspond au socle commun du dispositif Parcoursup, pour que les établissements n'aient plus qu'à l'adapter au regard de leurs spécificités locales. Les établissements ne sécurisent par exemple pas tous de la même manière les données qu'ils collectent. Constitution du socle commun, passage en revue par les établissements de leurs risques en interne... tout cela explique que l'analyse d'impact prenne du temps.

Traitement automatisé il y a, indéniablement, mais la question est de savoir s'il l'est entièrement. Le RGPD repose largement sur cette nuance. Le 5° du I de l'article 39 de la loi Informatique et libertés ne distinguait pas le traitement entièrement automatisé du traitement qui ne l'est que partiellement. Cette distinction est désormais faite, et le dispositif a de toute façon été conçu, au moins au niveau législatif, pour que le traitement ne soit jamais entièrement automatisé avec notamment l'examen par la commission des voeux. En pratique, certes, tout dépendra de l'implication de chaque commission, mais cet examen doit avoir lieu. Les commissions ne relèveront peut-être rien de particulier dans 90 % des cas, mais leur seule existence témoigne de ce que le traitement n'est pas entièrement automatisé.

La CADA a rendu trois avis : deux sont accessibles dans les conclusions du rapporteur public, et un a été publié en janvier 2019. Je ne suis pas certaine qu'ils soient contradictoires ; sans doute faudrait-il interroger la CADA à ce sujet.

Nous sommes plutôt dans des procédés de pseudo-anonymisation car, dès lors qu'un lien peut être fait avec d'autres informations relatives à l'identité des personnes, les dispositions de la loi Informatique et libertés et du RGPD s'appliquent.

L'analyse d'impact fait figurer tous les risques - usage de serveurs à l'étranger, recours aux Gafam, etc. - et donc les mesures de sécurité associées.

La question de la prise en compte du lycée d'origine n'entre pas vraiment dans le coeur des compétences de la CNIL. Je dirai simplement que lorsqu'il est question de données sensibles, les mesures adéquates doivent être prises pour adapter le niveau de risque.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion