Il y a dix jours, une lycéenne de l'établissement scolaire privé Rocroy Saint-Vincent de Paul, à Paris, a révélé un changement du règlement intérieur de l'établissement. À compter de la rentrée, chaque collégien et lycéen devra porter sur lui un porte-clefs fourni à l'établissement par la start-up française New School et qui permettra de localiser l'élève via une puce Bluetooth intégrée.La Quadrature du Net, l’association de défense des droits et libertés des citoyens sur Internet, a livré son analyse juridique et technique de ce système, concluant à son illégalité.
Comment fonctionne le porte-clefs ?
L'établissement scolaire a expliqué que le porte-clefs obligatoire lui sera fourni par New School, une start-up française soutenue notamment par Apple et mise en avant en 2016 par Qwant.
Le porte-clefs intègre une puce Bluetooth, gérée par un logiciel fourni par une autre start-up française, Ubudu, qui a annoncé sa collaboration avec New School depuis 2016.
Sur son site, Ubudu se décrit ainsi : « Ubudu est la solution RTLS de prochaine génération, qui piste, analyse et détecte biens et personnes sur des lieux industriels ou de services : aéroports, usines, hôpitaux, magasins, centres sportifs ou de loisir, etc. Ubudu fonctionne uniquement avec des petits tags ou smartphones échangeant des signaux radio avec des capteurs fixes, et un serveur de localisation qui calcule et traite la position ».
Dans sa documentation technique, Ubudu décrit un de ces tags, le tag BLE (Bluetooth Low Energy) : « utilisez des tags BLE si vous avez de nombreux biens à pister et n'avez pas besoin d'une précision en deçà de 1-2m. [...] Des exemples de mise en œuvre comprennent la solution de service en salle de McDonalds ou le badge étudiant New School (voir photo). Vous pouvez aussi utiliser des équipements iBeacon standards, dont nous recommandons ceux de haute qualité, tels que ceux de EM Microelectronics ».
Parmi les puces EM Microelectronics auxquelles renvoie Ubudu se trouve la puce EMBC01. La fiche technique de cette puce indique qu'elle peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu'elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois.
La Quadrature pense que cette puce (recommandée par Ubudu, partenaire de New School) ou une puce similaire est celle intégrée dans le porte-clefs New School. En effet, la documentation commerciale de New School indique que « la durée de vie de nos porte-clefs connectés est d’environ 13 mois », ce qui correspond à la durée de 12,5 mois de la puce EMBC01. De même, après prise de contact avec New School, des journalistes ont expliqué que, « à en croire ses développeurs, cette clef [...] dispose d’une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l’extérieur » - la même portée que la puce EMBC01.
Enfin, la puce qui apparaît sur plusieurs photos du porte-clefs New School est identique à l'image de la puce EMBC01 diffusée par EM Microelectronics dans sa documentation.
Le porte-clefs New School émet donc constamment, une fois par seconde et pendant 13 mois, un identifiant unique, propre à chaque porte-clefs et, ainsi, à chaque enfant. Cet identifiant peut être capté par les smartphones situés dans un rayon de plusieurs dizaines de mètres.
Dans son règlement intérieur, l'établissement Rocroy explique que le port constant du porte-clefs par les enfants permettra « de s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties, mais aussi au cours des exercices de sécurité ». Comme le détaille New School dans sa documentation, les professeurs et encadrants, munis de smartphone, pourront recevoir l'identifiant unique émis par chaque porte-clefs et, ainsi, contrôler la présence des porte-clefs environnants (et, par là, en théorie, de chaque enfant dont le nom et la photo sont associés à chaque identifiant Bluetooth dans la base de données New School).
Charlemagne/EcoleDirecte
Dans sa documentation, New School explique que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : [...] chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte ».
Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l'entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d'une sécurité d'un autre âge...
Pour la création d'un nouveau profil, c'est l'administrateur qui choisit lui-même le mot de passe pour chaque utilisateur. Pour qu'un utilisateur récupère son mot de passe, celui-ci lui est alors envoyé en clair par email. Si le mot de passe peut lui être envoyé de la sorte, c'est manifestement qu'il est conservé en clair sur le serveur... contrairement aux recommandations élémentaires de la CNIL.
La Quadrature estime que faire reposer l'identification de données de localisation d'enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C'est pourtant ce qu'explique faire New School.
Des affirmations incohérentes
Dans un communiqué réagissant à la polémique naissante, l'établissement Rocroy explique, tentant d'être rassurant, que « le bluetooth ne s’active que lorsque l’enseignant fait l’appel. Le reste du temps, les porte-clefs s’éteignent automatiquement ».
Pour la Quadrature, cette affirmation rend absurde la durée de vie de 13 mois du porte-clefs annoncée par New School dans la documentation. Au regard de l'état de l'art des puces Bluetooth (tel qu'il en ressort des caractéristiques de la puce EMBC01), une puce qui serait activée une poignée de minutes seulement par jour (le temps de faire l'appel) aurait une durée de vie de plusieurs années et n'aurait pas besoin d'être renouvelée tous les 13 mois.
Ce renouvellement de la puce aurait pu être justifié par le passage d'une année à l'autre par chaque enfant, mais le délai de renouvellement aurait alors été de 12 mois et non de 13. Le renouvellement de la puce n'est donc justifiable que par une seule raison : la puce est activée de façon constante, 24h/24, même en dehors des 8 heures de classe quotidiennes (sans quoi la durée de vie annoncée serait triple, de l'ordre de 39 mois).
Par ailleurs, l'idée que la puce n'émette qu'au moment de l'appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n'importe quand, il n'y a pas d'appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au CDI.
L'affirmation de l'établissement Rocroy semble donc fausse. L’association estime que les conséquences seraient lourdes. Certes, l'identifiant unique émis par le porte-clefs n'indique pas directement le nom d'un élève. Mais qu'importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l'identifiant étant unique), au simple moyen d'un smartphone (EM Microelectronics fournit même une application à cette fin), n'importe où, même en dehors de l'école, pour peu qu'on se trouve dans un rayon de 75 mètres de l'enfant.
Si l'établissement ne fournit pas d'informations nouvelles permettant de contredire cette hypothèse, l’association a promis de la vérifier en pratique à la rentrée devant son lycée, qui n'est pas très loin de ses locaux.
Par ailleurs, dans son communiqué de presse, l'établissement prétend que le porte-clefs « n’utilise pas la géolocalisation, et ne permet donc pas de connaître la position ou les déplacements des élèves ».
Pourtant, ce n'est pas ce que révèle la fiche de l'application New School qui sera utilisée sur smartphone par le personnel de l'établissement afin de détecter les porte-clefs à proximité. Au moment de son installation, l'application demande de pouvoir transmettre à New School la géolocalisation précise du smartphone, notamment par GPS. Or, la géolocalisation du smartphone permettra aussi de géolocaliser les portes
Un système illégal
Le port obligatoire du porte-clefs New School par chaque enfant semble illicite du simple fait que l'information fournie par l'établissement sur l'interruption automatique du porte-clefs serait fausse, alors que le règlement général sur la protection des données (RGPD) exige une information loyale.
De plus, quand bien même cette information serait juste (si le porte-clefs n'émettait pas constamment), le système serait illicite pour d'autres raisons.
D'abord, le RGPD exige que tout traitement de données personnelles soit fondé sur une base légale : le consentement, la nécessité de fournir un service public ou la nécessité de poursuivre un « intérêt légitime ».
Ici, les enfants ne peuvent donner aucun consentement valide au traçage : ils n'ont pas le choix de l'accepter pour aller en cours et ne peuvent l'accepter qu'en même temps qu'ils acceptent l'ensemble du règlement intérieur. Leur consentement, qui ne serait ni libre ni spécifique, ne serait jamais reconnu comme valide par la CNIL.
S'agissant de la nécessité de fournir un service public ou de poursuivre un intérêt légitime (tel que faire l'appel des élèves), il faut d'abord démontrer que le système est « nécessaire ». En droit, ceci implique notamment qu'il n'existe aucun autre système alternatif qui, atteignant les mêmes objectifs, cause des risques moins élevés en matière d'atteinte aux libertés fondamentales. Ici, l'appel des enfants à l'oral remplit les mêmes objectifs sans poser de risque pour la vie privée. Le fait que le traçage par localisation automatique des enfants simplifie l'appel des élèves ne saurait le rendre « nécessaire », surtout au regard des risques importants qu'il cause quant à la traçabilité constante de la position de chaque enfant.
Toutefois, ce débat sur la « nécessité » a déjà été tranché par le groupe de l'article 29 (G29, l'institution qui réunissait les CNIL des 28 États membres de l'Union européenne et qui est devenu le Comité européen de la protection des données depuis le 25 mai 2018).
Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement, mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment.
Dans notre cas, à l'inverse, l'établissement Rocroy sanctionne les enfants qui s'opposeraient au pistage en refusant de porter le porte-clefs. L'obligation de le porter est donc illicite de ce seul fait.
Par ailleurs, peu importe la base légale du traitement de données personnelles, le RGPD exige que celui-ci soit accompagné d'un certain nombre d'informations. Le responsable du traitement doit indiquer :
- son identité et ses coordonnées ;
- les finalités poursuivies ;
- l’étendue des droits de la personne concernée ;
- si les données sont transmises à des tiers, l'identité de ces destinataires ou la catégorie de ces destinataires ;
- la condition de licéité remplie par le traitement – en précisant, selon le cas, l'intérêt légitime défendu ou la possibilité de retirer le consentement donné ;
- la durée de conservation des données ;
- l'existence d'un transfert de données en dehors de l’Union, en précisant les garanties encadrant ce transfert ;
- l’existence d'une prise de décision automatisée.
Dans notre cas, l'établissement n'a fourni aucune de ces informations, si ce n'est, éventuellement, certaines des finalités envisagées (s'agissant des élèves, « s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties, mais aussi au cours des exercices de sécurité »), sans qu'on ne sache toutefois si ces finalités sont exhaustives.
Les autres informations sont simplement absentes, rendant le système illicite de ce seul fait.
Enfin, comme vu plus haut, les obligations de sécurité imposées par le RGPD ne sont pas respectées puisque le système New School repose sur le système complètement obsolète de Charlemagne/EcoleDirecte.
Source : analyse de la Quadrature
Et vous ?
Que pensez-vous d'un tel système ? Pour ou contre le traçage des enfants ? Avez-vous déjà tracé vos enfants en utilisant par exemple la localisation GPS de leur téléphone mobile ? Avez-vous déjà installé ou pensé à installer un logiciel de traçage sur le mobile de votre conjoint à son insu pour le tracer 24h/24 ?Voir aussi :
Le Parlement ratifie l'interdiction des téléphones portables dans les écoles et collèges, les lycées sont concernés sans y être obligés Parcoursup : la validation sur l'application mobile écrase les vœux de certains lycéens, l'application souffrirait-elle d'un bogue ? Un lycée chinois se sert de la reconnaissance faciale pour déterminer l'attention des élèves pendant les cours, afin d'améliorer l'enseignement Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation Donald Trump souhaite rencontrer l'industrie du jeu vidéo à la Maison-Blanche, après la fusillade survenue dans un lycée en Floride 
Envoyé par François DORIN
