Un pas de plus vers la sécurisation de données primordiales pour le système éducatif
La loi sur l’exploitation d’une base de données à caractère personnel relative aux élèves a été votée à la Chambre des députés le 28 février 2013. Elle marque une étape importante dans la protection et la sécurisation des données indispensables à la gestion des parcours scolaires, au fonctionnement et à l’évaluation du système éducatif.
Un système centralisé, meilleur garant de la sécurité
Pour assurer la gestion pédagogique et administrative des écoles, il est nécessaire de recueillir un certain nombre de données relatives aux élèves. Ces données sont actuellement regroupées dans deux bases existantes, centralisées au niveau du ministère de l’Éducation nationale et de la Formation professionnelle: le fichier Scolaria pour l’enseignement fondamental et le fichier élèves pour l’enseignement secondaire et secondaire technique. Plutôt que d’équiper chaque école de son propre système, une solution centralisée présente l’avantage de contrôler plus efficacement l’accès aux données et la transmission de celles-ci à des tiers.
Des données bien déterminées, pour des finalités précises
Premièrement, la nouvelle loi définit et limite les finalités pour lesquelles des données à caractère personnel peuvent être recueillies et traitées. Il s’agit d’une part des finalités essentielles liées à la gestion des écoles: le contrôle du respect de l’obligation scolaire, le contrôle de l’assiduité de l’élève, l’organisation des classes, la gestion du parcours scolaire de l’élève et l’identification de l’élève. D’autre part, la loi permet de traiter des données à des fins d’analyse et de recherche, en vue de planifier et d’évaluer la qualité de l’enseignement. Il est entendu que toutes les données utilisées à cette fin sont rendues anonymes avant leur traitement.
Deuxièmement, la loi énumère limitativement les données à caractère personnel qui peuvent être recueillies et traitées. Elle les limite aux seules informations strictement nécessaires au fonctionnement du système éducatif. Il s’agit tout d’abord des coordonnées de l’élève et de ses parents (nom, prénom, sexe, date de naissance, matricule, ville et pays de naissance, nationalité, adresse privée du domicile, statut civil des parents, …). Pour confectionner la carte d’élève ‘myCard’, une photo de l’élève est conservée pour une durée maximale de deux mois après la délivrance de la carte, puis supprimée automatiquement. Au-delà des simples coordonnées, peuvent être enregistrées un certain nombre de données relatives au parcours scolaire de chaque élève: classes fréquentées, cours et options suivies, notes obtenues et décision de promotion, mesures de remédiation… Ces informations sont également indispensables pour assurer la gestion quotidienne des écoles.
Enfin, pour planifier l’organisation du système éducatif, mais aussi pour en évaluer l’efficacité, il est essentiel de réaliser des analyses statistiques et des études longitudinales. Ces analyses ne peuvent être efficaces que si les caractéristiques de la population scolaire, c’est-à-dire les informations sur le milieu d’origine des élèves, sont prises en compte. En effet, toutes les recherches démontrent une forte relation entre le contexte socio-économique, linguistique et familial de l’élève et ses performances scolaires. Pour cette raison, la loi permet de traiter des données personnelles de l’élève relatives à son milieu d’origine: langues parlées au domicile, rang dans la fratrie, pays d’origine et date d’entrée dans le pays, niveau d’études, catégorie professionnelle et niveau de revenus des parents. À l’exception de la catégorie professionnelle, il s’agit de données qui sont recueillies directement auprès de l’élève ou de ses parents. Toutes les données sont rendues anonymes avant leur utilisation à des fins de recherche.
Des conditions strictes pour une sécurité maximale
Afin d’éviter tout risque d’abus et d’atteinte à la vie privée, la loi prévoit des dispositions qui assurent les niveaux de protection et de sécurité les plus élevés possibles. Elle règle notamment l’accès aux données et leur communication à des tiers, et définit un certain nombre de règles concernant la confidentialité des données et la traçabilité des accès.
L’accès à la base de données est réservé aux seuls agents de l’État dûment autorisés par la loi. Pour chaque agent, il est limité aux données dont celui-ci a besoin dans le cadre de sa mission bien définie. La loi prévoit une authentification forte, c’est-à-dire l’accès aux données n’est possible que par le biais d’un certificat Luxtrust. Suivant le principe de la traçabilité, le système doit permettre de retracer en continu quel agent a accédé à quelles données à quel moment. La loi entoure de conditions strictes la transmission des données à des tiers (par exemple, à l’Université du Luxembourg à des fins de recherches). Toutes les données ainsi communiquées doivent obligatoirement être rendues anonymes. Par ailleurs, toute recherche qui utilise les données des élèves doit faire l’objet d’une demande d’autorisation préalable auprès de la Commission nationale pour la protection des données (CNPD). La loi énumère limitativement les tiers autorisés à alimenter la base de données (par exemple, les entreprises pour la saisie d’informations relatives aux contrats d’apprentissage ou aux stages).
Trois règlements grand-ducaux à prendre en exécution de la loi sont en préparation et seront finalisés dans les prochaines semaines. Ils préciseront respectivement le modèle ainsi que les modalités d’utilisation et de délivrance de la carte d’élève ‘mycard’, les aspects techniques liés à l’accès aux données (modalités d’octroi et de retrait des autorisations d’accès, durée de leur validité, …), les données qui peuvent être échangées entre le ministère de l’Éducation nationale et de la Formation professionnelle et des administrations tierces, dans le respect des finalités définies dans la loi.
Communiqué par le ministère de l’Éducation nationale et de la Formation professionnelle