Fichiers scolaires : attention danger !
Les fichiers de police ont fait l’objet de nombreuses analyses et la dangerosité de certains, le STIC notamment, est établie : conçus pour la surveillance et la recherche, ce sont parfois aussi des menaces pour les libertés. En regard, les fichiers créés par l’éducation nationale sur les élèves semblent bien inoffensifs. Pourtant, plutôt que d’être cantonnés à une fraction de la population considérée comme suspecte, les fichiers scolaires portent exhaustivement sur toute la jeunesse ; pourtant, alors que les premiers fichent des adultes, les seconds fichent des mineurs, voire des enfants. Cela change bien des choses : c’est l’âge des essais et des erreurs et, alors que tout change ou peut changer d’un moment à l’autre, catégoriser et coder des informations pour les enregistrer dans des machines pour des années ou des décennies entraine des risques d’interprétation qui peuvent être tout à fait contraires à « l’intérêt supérieur de l’enfant » comme le dit la Convention Internationale des Droits de l’enfants que la France a ratifiée.
Probablement conçus dans les meilleures intentions, ces fichiers frappent d’abord par leur ampleur, ampleur que la « discrétion » de l’éducation nationale dissimule autant que possible aussi bien aux parents d’élèves qu’aux enseignants eux-mêmes.
Un système tentaculaire, invisible et secret
Tout enfant, dès sa première inscription dans une école, se voit attribué un identifiant national d’élève (INE) qui va le suivre tout au long de sa scolarité c’est à dire pendant 10 ou 20 ans s’il va dans le supérieur. Un « répertoire national des identifiant élèves » (RNIE) [1] contiendra à terme la liste de tous les élèves, apprentis, étudiants, du privé, du public, etc. avec leur état civil complet (nom, prénoms, date et lieu de naissance) et l’établissement scolaire dans lequel ils se trouvent. Avec ce numéro, chaque établissement d’enseignement de la maternelle au supérieur va créer et mettre à jour en permanence une « base élèves établissement » (BEE) qui contiendra des informations sur chacun de ses élèves. En maternelle et en primaire, il s’agit surtout d’informations administratives mais, à partir du collège et jusqu’à la fin du lycée, tout (ou presque) de ce qui peut être connu d’un élève est enregistré : évidemment sa classe et ses options, ses notes, les appréciations de ses enseignants, sa photo, ses « compétences », (et donc, du même coup, ses « incompétences »), ses absences, punitions et sanctions éventuelles, sa santé et, le cas échéant, ses handicaps, ses « préférences alimentaires » s’il utilise la cantine, les adresses (postales, téléphoniques et internet) et professions des père et mère, leur revenus si l’élève est boursier … Tous les établissements n’enregistrent pas autant de choses, le chef d’établissement ayant un certain pouvoir d’inclure ou d’exclure certains types de données. Ceux qui utilisent un « environnement numérique de travail » (ENT) recourent à des logiciels d’éditeurs privés qui rivalisent d’imagination dans l’utilisation de l’informatique pour « administrer » les différentes fonctions de l’établissement [2]. Par ailleurs, tout ne marche pas aussi bien que veulent bien le dire les informaticiens du ministère ou les éditeurs : les pannes sont nombreuses, la grogne fréquente, les retours en arrière inévitables, … Néanmoins, il est clair que, d’années en années, les procédures s’installent, les fichiers se remplissent et les utilisations se multiplient.
A quoi ça sert ?
Le ministère a choisi de poursuivre simultanément trois objectifs : la pédagogie, la gestion et le pilotage. La gestion des notes et appréciations, la communication avec les parents, etc. ressortent des fonctions pédagogiques ; la constitution des classes et des options, les affectations lors du passage du primaire au collège, du collège au lycée, du secondaire au supérieur, etc. ressortent de la gestion soit interne à l’établissement soit au niveau des rectorats ; l’organisation des examens (DNB, BAC, …) par les rectorats relèvent également de la gestion. Enfin, le pilotage (tâche du rectorat et du ministère lui-même) comprend aussi bien des enquêtes d’insertion pour voir si les jeunes trouvent ou non des emplois à l’issue de leur formation que des prévisions d’effectifs par options, filières, zones géographiques, etc. pour prévoir ouverture ou fermeture de classes ou d’établissements.
Malgré des préoccupations sensiblement différentes, le pédagogue, le gestionnaire et le prévisionniste doivent partager la même base de données. De plus, au sein même de chaque fonction, les rôles diffèrent : par exemple, l’infirmière scolaire, le principal de collège, le professeur principal et le professeur « de base », n’ont pas besoin de pouvoir consulter les mêmes catégories d’informations sur les élèves, informations – faut-il le préciser ? – qui sont toutes « à caractère personnel » selon la loi « Informatique et libertés de 1978.
Il a donc fallu que le ministère mette en place un système informatique qui ne permette qu’aux seules personnes explicitement autorisées par le chef d’établissement d’accéder aux informations. Chacun, selon son rôle, voit certaines données et ne voit pas certaines autres.
Les dispositifs techniques de cette sécurité sont sérieux (souvent, ce sont les mêmes que ceux utilisés dans le monde bancaire) mais la gestion (humaine !) des tables d’autorisations représente un travail considérable, à reprendre chaque année, à mettre à jour à chaque arrivée, départ ou changement de rôle des personnes… Si de plus, il y a une tension sur les effectifs, la tentation est grande de simplifier, de reporter à plus tard, donc de laisser accessible des informations qui ne devraient pas l’être [3]. Cela s’ajoute et/ou se combine aux incidents purement techniques qui ne peuvent manquer d’affecter un parc de plusieurs dizaines de milliers de serveurs et centaines de milliers de fichiers. Bref, il y a eu, il y a et il y aura toujours des incidents, notamment des « ruptures de confidentialité » pour prendre le vocable consacré, c’est-à-dire la sortie d’informations qui devraient rester confidentielles.
Quels sont les risques ?
Le premier est précisément celui de la divulgation, accidentelles ou volontaires des informations : les sociétés d’aide aux devoirs seraient ravies de pouvoir « cibler » leurs prospections mais des employeurs peuvent aussi être intéressés ou des paparazzis friands de dévoiler que telle ou telle personnalité met ses enfants dans telle ou telle école ou se comportent mal. Le calendrier et la suite des établissements fréquentés, les appréciations, les sanctions, … sont des données très personnelles qui doivent le rester. Peut-être certains jeunes en disent-ils plus sur FACEBOOK, mais ils le font volontairement et rien ne les oblige à dire la vérité. Dans la base de données du lycée, ils y sont tous, ils n’ont pas le choix et les informations seront réputées fiables.
Le second risque est celui d’accroître le poids du passé d’un élève dans ce que verront les « décideurs » c’est à dire, les orienteurs, directeurs, membres des commissions d’admission, des conseils de discipline, … Evidemment, ce passé pèsera d’abord sur les « mauvais » élèves ou sur ceux qui, un moment donné, l’ont été. La mémoire du pédagogue est courte ou doit l’être, celle du fichier est uniforme et souvent très longue. La durée pendant laquelle l’information est accessible est ici très importante. La règle générale semble être de n’autoriser l’accès qu’à la dernière ou aux deux dernières années mais il y a des exceptions. La pire est constituée d’un « livret personnel des compétences » (LPC) où sont cochées, au fil des ans, l’acquisition ou non de chacune des centaines de « compétences » au programme. Par construction ce livret – et donc ce fichier – s’applique du primaire à la fin du collège. Le dossier scolaire numérique (DSN) est un autre exemple de fichier qui porte cette fois sur l’ensemble de la scolarité de l’élève. Certes, le dossier scolaire existe depuis longtemps mais son passage du papier au fichier informatique change la donne : il est consultable, copiable, modifiable à distance par on ne sait pas qui et sans laisser de traces. De plus, il est indestructible [4] …
Le troisième risque est celui d’une orientation de plus en plus automatique des élèves. Ce risque n’a rien de théorique. Les élèves de terminale qui cherchent à entrer dans le supérieur ont recours à une application sur Internet dénommée : « Application Post-Bac » (APB) par laquelle ils vont exprimer des « vœux » d’intégrer tel ou tel établissement. L’élève tape son identifiant national élève (INE) sur un ordinateur connecté à Internet ce qui permet à un programme d’aller recopier les notes et appréciations trimestrielles depuis la seconde dans les bases de données du ou des lycée(s) qu’il a fréquentés. Le programme met le tout dans un dossier expédié à l’établissement objet du vœu. Pour les demandes adressées aux IUT, des centaines ou, le plus souvent, des milliers de dossiers parviennent en quelques semaines dans des établissements qui n’ont chacun que quelques centaines de places à offrir. Explicitement, il est dit qu’une présélection est réalisée par des programmes informatiques de classement et d’aide à la décision : avec tout ce qu’il y a dans les bases sur l’élève, ses notes, ses performances, les professions de ses parents, s’il est boursier ou non, … la « machine » peut prendre de plus en plus de décisions. Alors attention si, dans ces trois dernières années, l’élève a connu un passage à vide, un chagrin d’amour, un engagement militant, … l’algorithme ne connaît pas ces « détails » quand bien même le conseil de classe aurait émis un « Avis très favorable ».
Le dernier risque est celui d’un détournement de la finalité de fichiers construits pour l’école mais qui seraient utilisés ailleurs et à d’autres fins. La période récente a malheureusement fourni plusieurs exemples. D’abord avec l’absentéisme qui n’était dans les fichiers de l’établissement scolaire que pour aider enseignants et directeurs dans leurs suivis et qui est devenu, pour des motifs politiques douteux, une donnée susceptible d’aboutir à un retrait des allocations familiales. Un autre exemple est celui du « décrochage » : l’académie doit fournir à une « plateforme locale de suivi et d’appui aux décrocheurs », présidée par une personne désignée par le préfet, leurs noms et leurs adresses… On a découvert récemment, dans le Var, que les courriers électroniques adressés aux parents d’élèves par la directrice d’un collège, pour les informer de sanctions infligés à leurs enfants, étaient transmis en copie à la mairie et à la gendarmerie. Des informations de nature pédagogique sont donc sorties du domaine de l’éducation, à l’insu des enseignants [5]. Des informations qu’ils croyaient ainsi confinées à la communauté pédagogique se sont trouvées portées dans des instances extérieures ayant d’autres objectifs et donc une autre approche.
Que peut-on faire ? Que doit-on faire ?
Le premier point est d’exiger des chefs d’établissements, des recteurs, du ministère, une information claire et complète sur les informations enregistrées sur les élèves. La première exigence posée par la loi « Informatique et libertés » est que la personne fichée soit informée de ce que l’on a enregistré sur elle, informée des différents destinataires des informations, de ce qu’ils peuvent en faire, de la durée pendant laquelle ils peuvent le faire, etc. [6]
De façon un peu ahurissante, les parents d’élèves ne savent pratiquement rien, les enseignants fort peu de chose, les chefs d’établissement pas beaucoup plus, sans parler des inspecteurs qui rassurent d’autant plus volontiers qu’ils n’ont que quelques généralités à opposer. Il a fallu une enquête particulièrement longue auprès d’enseignants, le dépouillement de milliers de pages des sites internet du ministère et des rectorats... pour parvenir à cerner – et les inconnues restent nombreuses... – un système d’information dont les caractéristiques devraient être publiques.
Cette « discrétion » visait explicitement à ne pas inquiéter inutilement. Lorsque le répertoire national des identifiants élèves a été discuté, un de ses concepteurs remarquait : « Cependant, [cette identification] ne comporte-t-elle pas des risques ? Ce procédé peut en effet apparaître comme un système de fichage des élèves, qui seraient suivis à la trace depuis la maternelle jusqu’au doctorat. Il importe de présenter toutes les garanties pour assurer que le système est limité strictement aux besoins légitimes de gestion et d’études statistiques et ne présente pas de risque de détournement » [7]. En guise de garantie, le ministère a choisi de mettre en place son système en catimini, évidemment sans débat au Parlement et sans consultation réelle des fédérations de parents d’élèves ni des organisations syndicales des enseignants. Mais des fichiers de cette taille impliquant autant de personnes pour leurs mises à jour et destinés à autant d’utilisateurs ne pouvaient passer inaperçus. Le secret entretenu n’a fait alors que redoubler les inquiétudes et attiser les résistances [8].
La première exigence est de sortir de cette opacité : il faut savoir ce qu’il y a dans ces fichiers, qui les utilise, pour quoi faire et pendant combien de temps. Et savoir comment leur sécurité est assurée.
De même que le règlement intérieur de l’établissement est distribué aux parents et aux élèves [9], le respect de la loi « Informatique et libertés » devrait imposer de distribuer la carte des informations collectées sur les parents et les élèves, leurs destinataires, leurs durées de conservation, les moyens d’exercer le droit d’opposition (pour le primaire), le droit d’accès et, le cas échéant, de rectification pour les autres cycles. Cette carte devrait également indiquer précisément quelles informations sont transmises au rectorat académique, au ministère et à l’extérieur (mairie, conseil général, préfecture, …) avec quelle fréquence, pour quel usage, avec quelles durées de conservation.
L’accès à ces connaissances permettra alors d’analyser ce qui est enregistré et les croisements qui sont effectués : leur collecte est-elle opportune ? Est-elle indispensable ? Leur utilité est-elle en rapport avec leur dangerosité ?
Cette critique est nécessaire : depuis 2005, des directeurs d’école se sont aperçus qu’une nouvelle application demandait des informations comme la date d’entrée en France de l’élève, la langue parlée à la maison, le bénéfice d’aides pédagogiques, les déficiences… Suite à une importante mobilisation des parents d’élèves, des syndicats d’enseignants et des associations citoyennes le ministère a renoncé à ces informations [10]. Ce qui laisse à penser qu’elles n’étaient pas indispensables ni même opportunes eu égard à leur pouvoir de stigmatisation. Cette purge des variables inutiles et/ou stigmatisantes doit être poursuivie : faut-il vraiment un fichier accessible sur Internet pour identifier et suivre les punitions et les sanctions ? Faut-il que les mauvaises notes et les appréciations « tueuses » soient accessibles à tout le personnel de l’établissement ? Faut-il connaître la profession des parents – et pourquoi pas leurs diplômes ! – pour enseigner à leurs enfants ?...
La publication précise des informations dont l’établissement dispose et de l’usage qu’il en fait est une condition nécessaire pour qu’un contrôle citoyen puisse s’exercer pour s’assurer du respect de la réglementation en vigueur. L’ajout d’informations non-prévues, les nouveaux destinataires par rapport à ceux qui étaient annoncés, les utilisations créées à des fins autres que pédagogiques, le non respect de la confidentialité, etc. seraient alors clairement des ruptures de contrat sur lesquelles les chefs d’établissement et l’administration auraient à s’expliquer devant les instances représentant les parents d’élèves, devant les organisations syndicales et, le cas échéant, devant les tribunaux.
Clermont-Ferrand – Toulon, le 24 septembre 2012 [**]
