Prix Voltaire 2006 : des directeurs d’école toujours en résistance face au fichier "base élèves"

Ce fichier, portant sur tous les enfants de 3 à 10 ans, se généralise dans toute la France alors qu’il suscite encore de nombreuses inquiétudes. Pire, il fonctionne depuis deux sans que les verrous prévus à l’origine par le Ministère ne soient opérationnels... Retour sur un manquement grave qui a trompé la CNIL tout comme les parents d’élèves et les enseignants.
Dans cet article : de nouveaux documents inédits sur ce fichier "déclaré" en décembre 2004.

Mise à jour le 18 aout. [1]

Prix Voltaire à Rennes Six mois après avoir été distingués par le Prix Voltaire 2006 [2] pour avoir refusé d’utiliser le fichier "base élèves" dans leurs écoles maternelles ou primaires, quelques directeurs et directrices d’école d’Ille-et-Vilaine ont reçu à Rennes la visite d’un émissaire des Big Brother Awards qui leur a remis leur précieux trophée.

Ce jour-là, début juillet, une petite dizaine de ces directeurs étaient justement convoqués quai Dujardin, à Rennes, à l’Inspection académique (IA) du département. Ils avaient reçu quelques jours auparavant une lettre recommandée les « invitant » à se présenter à l’IA afin de s’expliquer sur leurs extrêmes réserves quant à renseigner ce fichier —"base élèves 1er degré" (BE1D) —, qui apparait bel et bien comme le premier maillon du "fichage républicain" [3]. Une application, "déclarée" à la CNIL le 24 décembre 2004 (cf. nos documents publiés en bas de page), présentée par le ministère de l’Éducation nationale (MEN) comme une « aide à la gestion » de la scolarité et du « suivi pédagogique » de chaque élève, mais qui est en réalité un fichier social pouvant impliquer la vie privée de toute la famille.

Il faut rappeler que dans le premier degré (de la maternelle au CM2), ce sont les enseignants ("professeurs des écoles") qui assurent dans la plupart des cas la fonction de "directeur" — qui n’est pas une fonction d’autorité, ils n’ont pas lien hiérarchique avec leurs collègues, contrairement aux chefs d’établissement du second degré. Ils sont en première ligne car ce sont eux qui doivent inscrire tous les enfants via BE1D. « Testé » depuis début 2005 dans quelques départements, il était déployé début 2007 dans 77 départements (chiffres officiels). Cette « expérimentation » ne débouchera sur aucun bilan détaillé, comme cela était prévu, et l’ensemble des 55.000 écoles de France devront progressivement l’avoir mis en œuvre au plus tard à la rentrée de septembre 2009.

Prix Voltaire à Rennes Dans l’Ille-et-Vilaine, l’expérience devait démarrer en septembre 2006 (certains directeurs ayant été formés auparavant). Mais dès le mois d’octobre, une quinzaine de directeurs de ce département déclaraient, via la section locale du Syndicat des professeurs d’école (SNUipp), qu’ils refusent de le renseigner jusqu’à ce que leurs doutes soient levées. A la fin de cette année scolaire, ce serait une centaine, dans le département, qui n’avaient pas rempli BE1D. Tous ne sont pas en résistance totale, certains n’ayant tout simplement pas terminé leur "formation" ou n’ayant pas saisi que cette démarche a priori « volontaire », leur serait imposé par leur IA.

Le but de cet entretien avec l’IA, qui s’est somme toute déroulé de manière « cordiale », était de les convaincre de remplir ce fichier à la rentrée prochaine. L’inspecteur d’académie les avait prévenus (cité dans un dossier publié le 27 juin par Lemonde.fr) [4] : « Cela fait partie des missions d’un directeur de renseigner ce fichier. Ceux qui refusent risquent donc de perdre leur titre à la rentrée. » En clair, ils resteraient enseignants et leurs missions de direction seraient alors confiées à d’autres personnes plus... compréhensives. Notez bien que ce jour-là, n’étaient convoqués que les directeurs récalcitrants qui seront encore en place à la rentrée. Ceux devant quitter leurs fonctions, pour cause de retraite ou de mutation, n’ont pas eu les faveurs de cette « invitation »...

Qu’y a -t-il donc de si inquiétant dans ce fichier ?

Il y a 5 pages pour chaque élève : “Identification”, “Responsables”, “Année en cours”, “Cursus scolaire” et “Particularités”. Principales données [5] :

- « Identifiant National de l’Elève » (INE) : une suite de chiffres construite à partir de 5 données "réelles" — nom, prénom, date de naissance, sexe et lieu de naissance.
Mise à jour : selon nos dernières informations, cet INE ne serait pas aussi "signifiant" que le numéro de sécu (NIR); ce serait un nombre aléatoire même s'il est calculé à partir d'éléments réels. Reste à vérifier le type d'algorythme utilisé pour s'assurer de la non-réversibilité de ce numéro. (Lire une série de notes règlementaires à propos de ce code-barre indélébile...)
- État civil de l’enfant et des responsables légaux ; nationalité (obligatoire pour valider la fiche, l'option "non connue" ayant été ajoutée en cours de route) ; date et lieu de naissance (France ou à l'étranger - pays et commune); pays ou culture d’origine, date d’arrivée en France des parents, nom de leur employeur, et mention à cocher «souhaite un enseignement de la langue et de la culture d’origine» (champs «facultatifs», dit-on au MEN, mais précision absente du fichier).
- « Cursus scolaire » : décompte des absences, éléments sur la scolarité actuelle et passée, informations périscolaires (cantine, garderie, etc.).
- « Besoins particuliers » : prises en charge par des réseaux spécialisés d’élèves en difficultés (Rased) ; dans «particularités» pourront être inscrites des observations médicales (allergies alimentaires par exemple) ou même psychiatriques ; et tout éventuel suivi social de la famille.
NB : BE1D se partage en trois sous-bases : celle du directeur, celle de l’académie (département), et une base nationale dont on ne peut extraire, indique le ministère, que « des éléments anonymes à des fins de statistiques».

Dans BE1D, on note évidemment la présence de champs très contestables notamment à la lumière de la politique menée depuis plusieurs années à l’égard des étrangers sans papiers, parfois interpelés devant des écoles... Dans l’Oise et les Pyrénées-orientales, l’Inspection académique a déjà clairement indiqué en quoi cette donnée pouvait être exploitée pour servir de levier à la politique de l’Immigration. [6]

Du directeur au ministère, en passant par le maire et l’académie

Prix Voltaire à Rennes « La nationalité de l’enfant : on n’en a absolument pas besoin pour faire notre travail », affirme l’une des directrices de Rennes en résistance, qui s’exprimait anonymement dans Lemonde.fr le 27 juin : « Le nom, prénom et date de naissance suffisent amplement. Pareil pour la date d’arrivée en France des parents, la culture d’origine, la langue parlée à la maison. (...) Ensuite, d’autres volets m’inquiètent, même s’il restent facultatifs aujourd’hui : le volet « besoins éducatifs », qui indique si l’enfant est suivi par un réseau d’aide aux élèves en difficultés ou s’il voit un psychologue par exemple ; le volet « cursus scolaire », qui regroupe des éléments de la scolarité actuelle et antérieure de l’élève mais aussi ses absences. Autant de données personnalisées qui jusqu’ici restaient confidentielles. Avec « base élèves », elles sont transmises à l’Inspection académique. Je suis avant tout directrice et enseignante, ma mission n’est pas, par le biais de ce fichier, de devenir un auxiliaire de police ou d’état-civil. L’école n’a pas à servir de relais ou de prétexte pour récolter des renseignements sur la famille en général. »

En cours de route, la mention "nationalité" a donc été modifiée pour pouvoir laisser apparaître "non connue". Un moindre mal. A propos des autres données sensibles, à Rennes, à l’issue de leur rendez-vous à l’IA début juillet, les enseignants-directeurs ont appris que les données "Rased" seraient supprimés du fichier — ou pourraient ne pas être renseignées. Cela rassurerait énormément de monde... Mais cette information reste à confirmer au niveau national.

Comme Lemonde.fr l’a précisé dans un second article publié le 26 juillet, ces données sont "facultatives" alors que rien dans le fichier ne le laisse croire.

Le rôle du maire de la commune (qui doit déjà veiller à l’obligation de scolarité dès élèves) est aussi source d’inquiétudes. Car si ce dernier n’a pour l’instant accès, via BE1D, qu’aux données d’état civil et périscolaires (pas du champ "nationalité", assure aujourd’hui le MEN), qu’en sera-t-il demain ? Demain, c’est déjà maintenant grâce à la loi de prévention de la délinquance (LPD) de mars 2007. Reste encore à connaitre les décrets d’application de ces dispositions [7], mais à n’en pas douter les données accessibles pourront très bien être élargies en fonction de la météo politique ambiante... Surtout qu’en réponse à des parents d’élèves d’une commune proche de Rennes lors de la campagne présidentielle, le candidat Sarkozy faisaient des avances bien présomptueuses.

Outre ce partage de données au niveau local, le MEN avance que des « statistiques nationales anonymes » pourront être extraites de BE1D. Pas facile d’y voir plus clair... Selon une mise au point publiée par la CNIL le 22 juin dernier, « A la lecture de la déclaration [de décembre 2004], la collecte de l’information sur la nationalité des élèves est destinée uniquement à l’élaboration de statistiques anonymes par le Ministère de l’Éducation nationale ». « La CNIL a cependant interrogé le Ministère sur les modalités exactes selon lesquelles cette information est exploitée ainsi que sur la nomenclature des nationalités utilisée ». Une réponse, apparemment, qui se fait toujours attendre...

Sécurité : le ministère n’a pas respecté ses engagements

Enfin, l’élément le plus sensible de ce dossier est la manière dont la base devait être sécurisée, et comment elle l’a été réellement — pour éviter que des personnels ou intervenants non habilités (de l’éducation, de l’action sociale locale ou d’une autre administration) puissent y accéder, mais aussi pour que n’importe qui ne puisse pas y fourrer son nez. Notons que la base est accessible sur internet via un protocole "https" et grâce au couple classique "login / mot de passe".

Mais pour faire les choses sérieusement, le MEN avait convaincu la CNIL, notamment, grâce à l’emploi de "mots de passes dynamiques" qui changent toutes les minutes (de type "one time password" ou OTP), grâce à une clé électronique qui génère des nombres aléatoires. Cette technique existe depuis une dizaine d’années dans les intranet d’entreprises... C’est la BA-ba en matière d’accès à un réseau protégé à distance.

C’est là que ça se gâte. A la lumière de nos dernières vérifications, il apparait clairement que le MEN n’a pas mise en œuvre ces procédures de sécurisation pourtant incluses dans sa déclaration du 24 décembre 2004. Les documents publiés plus bas le prouvent—surtout l’appel d’offres lancé le 15 juin dernier !). Les faits sont là : en deux ans d’« expérimentation », BE1D n’a jamais été déployé avec ce dispositif de sécurisation. Et le fichier est en train d’être généralisé au niveau national sans attendre que tous les verrous soient installés.

Autre preuve irréfutable : début juin, le Collectif rennais de résistance sociale (Correso) a montré comment il était possible de rentrer dans base élèves : certains mots de passe étaient restés inchangés, et ceux-ci avaient été configurés pour être identiques au login, en l’occurrence le numéro de l’école, donnée facilement retrouvable dans les annuaires de chaque inspection académique ! [8] Cette faille a conduit bon nombre d’organisations, dont le bureau national de la LDH, a exiger l’arrêt immédiat de « l’expérimentation base élèves » [9].

Lorsque l’on sait que c’est sur la base de ces préconisations (dispositif OTP) que la CNIL a pu avaliser BE1D, cette dernière s’est donc fait rouler dans la farine... A sa décharge, notons qu’en décembre 2004, après la réforme de la Loi informatique et libertés, elle n’avait plus à émettre un avis préalable avant la mise en place d’un tel traitement géré par les pouvoirs publics. Mais en tout état de cause, le MEN aurait dû modifier sa déclaration une fois qu’il savait que ce dispositif ne serait pas mis en œuvre. Une désinvolture qui aurait dû avoir des suites contentieuses ou judiciaires... Car inutile de rappeler que la non protection de données personnelles — qui plus est, concernant des enfants mineurs de 3 ans ou plus... — peut être passible d’une sanction pénale (forte amende et plusieurs années de prison ferme). Sans compter le fait que la déclaration d’origine a été "falsifiée", dans les faits, par l’absence de ces dispositifs de sécurité, et sans que ladite déclaration ne soit modifiée.

En marge de leur rendez-vous avec l’IA de Rennes, les directeurs et directrices ont appris que ces "clés électroniques" seront disponibles, mais pas avant janvier 2008. Ce qui ne les a pas vraiment rassurés... Par ailleurs, dans le Var, où BE1D doit débuter son baptême du feu à la rentrée 2007, on apprend que, ô miracle, ces fameuses clés serviront de socle au sésame de chaque directeur. Avec, en prime, une belle photo de ladite merveille technologique (SecurID), fabriquée, au passage, par la compagnie américaine RSA Data Security [10].

Enfin, pour finir, le ministère n’a pas hésité, après la faille de sécurité révélée par le Correso, mettre en cause... les directeurs d’école ! Ils n’avaient pas changé les mots de passe ! Dixit une source du MEN cité dans Les Dépêches de l’éducation du 2 juillet. Espérons qu’un jour tout le monde puisse prendre connaissance de cette fameuse déclaration du 24 décembre 2004, histoire de prouver sans ambigüités que c’est le MEN, et lui seul, qui n’a pas suivi ses propres directives.

Dans un document du 24 décembre 2004 — qui est resté longtemps la seule pièce officielle du dossier à être connue (publiée alors par la LDH-Toulon - cf Déclaration du 24/12/04 ci-dessous) —, le directeur des affaires juridiques du MEN s’engage auprès de la CNIL : « La direction de l’enseignement scolaire qui, au sein de mon département ministériel, assure le suivi de la mise en œuvre de cette application, portera une attention particulière à la sécurité des données recueillies. » Une note qui sonne bien faux près de trois ans plus tard...

Interpellé à ce sujet lors d’un chat sur Lemonde.fr, le 11 juillet, le président de la CNIL Alex Türk indique qu’il doit en parler avec le ministre de l’Éducation Xavier Darcos qu’il doit rencontrer mardi 17 juillet. Peut-être l’a-t-il convaincu de la nécessité d’un peu plus de transparence.

Notes

[1Lire de nouveaux éléments dans l’article publié sur Lemonde.fr le 26 juillet, et consultez de nouveaux documents inédits sur le dossier de déclaration de ce fichier à la CNIL.

[2Décerné ex-aequo à Pierre Müller, de l’association Ordinateurs de vote, pour son travail de veille sur les dangers des machines à voter lors des élections.

[3Notons que pour les élèves du second degré (de la 6e à la terminale), il existe un fichier presque équivalent, appelé "Scolarité" ou "Sconet". Mais il est plus ancien (créé en 1995) et ne contient pas autant de notions contestées que celui du premier degré.

[4Dossier reproduit sur le site de la section de Toulon de la LDH.

[5Source : description sommaire publiée par Lemonde.fr du 27 juin et amendé par nos soins. Lire aussi d’autres détails publiés par la LDH-Toulon ainsi que les documents officiels qui ont encadré sa création (cf. bas de page)

[6Éléments apportés par le syndicat SUD Éducation : dans les Pyrénnées-Orientales, l’un des premiers départements à avoir testé BE1D, l’IA avait reconnu « être la plus grande source d’information sur l’immigration » ; et dans l’Oise, en janvier 2006, à la demande du Recteur cherche à faire un « bilan » de la « question des élèves de nationalité étrangère sous menace de reconduite à la frontière », a demandé aux proviseurs de leur indiquer « le nombre d’élèves mineurs susceptibles, de part la situation de la famille, de faire l’objet d’une telle mesure et scolarisés dans votre établissement », et, « pour les élèves majeurs sous la menace d’une reconduite à la frontière, leurs noms, nationalités et résultats scolaires ». A ce titre, lire les observations de la LDH-Toulon du 14 juillet 2007.

[7Résumé formulé en réaction à un article publié sur le blog Betapolitique.

[8Ce n’est pourtant qu’un seul aspect de la sécurité du fichier. Toute application hébergée en ligne, selon sa configuration, peut receler des failles plus ou moins complexes qui peuvent être exploitées.

[9La FCPE, le SNUipp, la LDH... Mais aussi, fait anodin mais significatif, le Conseil municipal de Grenoble, premier du genre, s’est déclaré opposé à BE1D et a appelé les directeurs à ne pas l’utiliser à la rentrée prochaine.

[10Le nom du fournisseur de ces "clés"" au niveau national ne sera connu qu’à l’issue de l’appel d’offres lancé par le MEN le 15/06/07.