Un lycée contraint des élèves à être tracés en permanence via une puce Bluetooth
Grâce à un porte-clef fourni à l'établissement par une start-up

Le , par Stéphane le calme

33PARTAGES

29  0 
Pour ou contre le traçage des enfants ?
Il y a dix jours, une lycéenne de l'établissement scolaire privé Rocroy Saint-Vincent de Paul, à Paris, a révélé un changement du règlement intérieur de l'établissement. À compter de la rentrée, chaque collégien et lycéen devra porter sur lui un porte-clef fourni à l'établissement par la start-up française New School et qui permettra de localiser l'élève via une puce Bluetooth intégrée.

La Quadrature du Net, l’association de défense des droits et libertés des citoyens sur Internet, a livré son analyse juridique et technique de ce système, concluant à son illégalité.

Comment fonctionne le porte-clef ?

L'établissement scolaire a expliqué que le porte-clef obligatoire lui sera fourni par New School, une start-up française soutenue notamment par Apple et mise en avant en 2016 par Qwant.

Le porte-clef intègre une puce Bluetooth, gérée par un logiciel fourni par une autre start-up française, Ubudu, qui a annoncé sa collaboration avec New School depuis 2016.

Sur son site, Ubudu se décrit ainsi : « Ubudu est la solution RTLS de prochaine génération, qui piste, analyse et détecte biens et personnes sur des lieux industriels ou de services : aéroports, usines, hôpitaux, magasins, centres sportifs ou de loisir, etc. Ubudu fonctionne uniquement avec des petits tags ou smartphones échangeant des signaux radio avec des capteurs fixes, et un serveur de localisation qui calcule et traite la position ».

Dans sa documentation technique, Ubudu décrit un de ces tags, le tag BLE (Bluetooth Low Energy) : « utilisez des tags BLE si vous avez de nombreux biens à pister et n'avez pas besoin d'une précision en deçà de 1-2m. [...] Des exemples de mise en œuvre comprennent la solution de service en salle de McDonalds ou le badge étudiant New School (voir photo). Vous pouvez aussi utiliser des équipements iBeacon standards, dont nous recommandons ceux de haute qualité, tels que ceux de EM Microelectronics ».

Parmi les puces EM Microelectronics auxquelles renvoient Ubudu se trouve la puce EMBC01. La fiche technique de cette puce indique qu'elle peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu'elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois.

La Quadrature pense que cette puce (recommandée par Ubudu, partenaire de New School), ou une puce similaire, est celle intégrée dans le porte-clef New School. En effet, la documentation commerciale de New School indique que « la durée de vie de nos porte-clés connectés est d’environ 13 mois », ce qui correspond à la durée de 12,5 mois de la puce EMBC01. De même, après prise de contact avec New School, des journalistes ont expliqué que, « à en croire ses développeurs, cette clef [...] dispose d’une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l’extérieur » - la même portée que la puce EMBC01.

Enfin, la puce qui apparaît sur plusieurs photo du porte-clef New School est identique à l'image de la puce EMBC01 diffusée par EM Microelectronics dans sa documentation.


Le porte-clef New School émet donc constamment, une fois par seconde et pendant 13 mois, un identifiant unique, propre à chaque porte-clef et, ainsi, à chaque enfant. Cet identifiant peut être capté par les smartphones situés dans un rayon de plusieurs dizaines de mètres.

Dans son règlement intérieur, l'établissement Rocroy explique que le port constant du porte-clef par les enfants permettra « de s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité ». Comme le détaille New School dans sa documentation, les professeurs et encadrants, munis de smartphone, pourront recevoir l'identifiant unique émis par chaque porte-clef et, ainsi, contrôler la présence des porte-clefs environnants (et, par là, en théorie, de chaque enfant dont le nom et la photo sont associés à chaque identifiant Bluetooth dans la base de données New School).

Charlemagne/EcoleDirecte

Dans sa documentation, New School explique que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : [...] chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte ».

Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l'entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d'une sécurité d'un autre âge...


Pour la création d'un nouveau profil, c'est l'administrateur qui choisit lui-même le mot de passe pour chaque utilisateur. Pour qu'un utilisateur récupère son mot de passe, celui-ci lui est alors envoyé en clair par email. Si le mot de passe peut lui être envoyé de la sorte, c'est manifestement qu'il est conservé en clair sur le serveur... contrairement aux recommandations élémentaires de la CNIL.

La Quadrature estime que faire reposer l'identification de données de localisation d'enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C'est pourtant ce qu'explique faire New School.

Des affirmations incohérentes

Dans un communiqué réagissant à la polémique naissante, l'établissement Rocroy explique, tentant d'être rassurant, que « le bluetooth ne s’active que lorsque l’enseignant fait l’appel. Le reste du temps, les porte-clés s’éteignent automatiquement ».

Pour la Quadrature, cette affirmation rend absurde la durée de vie de 13 mois du porte-clef annoncée par New School dans la documentation. Au regard de l'état de l'art des puces Bluetooth (tel qu'il en ressort des caractéristiques de la puce EMBC01), une puce qui serait activée une poignée de minutes seulement par jour (le temps de faire l'appel) aurait une durée de vie de plusieurs années et n'aurait pas besoin d'être renouvelée tous les 13 mois.

Ce renouvellement de la puce aurait pu être justifié par le passage d'une année à l'autre par chaque enfant, mais le délai de renouvellement aurait alors été de 12 mois et non de 13. Le renouvellement de la puce n'est donc justifiable que par une seule raison : la puce est activée de façon constante, 24h/24, même en dehors des 8 heures de classe quotidiennes (sans quoi la durée de vie annoncée serait triple, de l'ordre de 39 mois).


Par ailleurs, l'idée que la puce n'émette qu'au moment de l'appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n'importe quand, il n'y a pas d'appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au du CDI.

L'affirmation de l'établissement Rocroy semble donc fausse. L’association estime que les conséquences seraient lourdes. Certes, l'identifiant unique émis par le porte-clef n'indique pas directement le nom d'un élève. Mais qu'importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l'identifiant étant unique), au simple moyen d'un smartphone (EM Microelectronics fournit même une application à cette fin), n'importe où, même en dehors de l'école, pour peu qu'on se trouve dans un rayon de 75 mètres de l'enfant.

Si l'établissement ne fournit pas d'informations nouvelles permettant de contredire cette hypothèse, l’association a promis de la vérifier en pratique à la rentrée devant son lycée, qui n'est pas très loin de ses locaux.

Par ailleurs, dans son communiqué de presse, l'établissement prétend que le porte-clef « n’utilise pas la géolocalisation, et ne permet donc pas de connaître la position ou les déplacements des élèves ».

Pourtant, ce n'est pas ce que révèle la fiche de l'application New School qui sera utilisée sur smartphone par le personnel de l'établissement afin de détecter les porte-clefs à proximité. Au moment de son installation, l'application demande de pouvoir transmettre à New School la géolocalisation précise du smartphone, notamment par GPS. Or, la géolocalisation du smartphone permettra aussi de géolocaliser les portes

Un système illégal

Le port obligatoire du porte-clef New School par chaque enfant semble illicite du simple fait que l'information fournie par l'établissement sur l'interruption automatique du porte-clef serait fausse, alors que le règlement général sur la protection des données (RGPD) exige une information loyale.

De plus, quand bien même cette information serait juste (si le porte-clef n'émettait pas constamment), le système serait illicite pour d'autres raisons.

D'abord, le RGPD exige que tout traitement de données personnelles soit fondé sur une base légale : le consentement, la nécessité de fournir un service public ou la nécessité de poursuivre un « intérêt légitime ».

Ici, les enfants ne peuvent donner aucun consentement valide au traçage : ils n'ont pas le choix de l'accepter pour aller en cours et ne peuvent l'accepter qu'en même temps qu'ils acceptent l'ensemble du règlement intérieur. Leur consentement, qui ne serait ni libre ni spécifique, ne serait jamais reconnu comme valide par la CNIL.


S'agissant de la nécessité de fournir un service public ou de poursuivre un intérêt légitime (tel que faire l'appel des élèves), il faut d'abord démontrer que le système est « nécessaire ». En droit, ceci implique notamment qu'il n'existe aucun autre système alternatif qui, atteignant les mêmes objectifs, cause des risques moins élevés en matière d'atteinte aux libertés fondamentales. Ici, l'appel des enfants à l'oral remplit les mêmes objectifs sans poser de risque pour la vie privée. Le fait que le traçage par localisation automatique des enfants simplifie l'appel des élèves ne saurait le rendre « nécessaire », surtout au regard des risques importants qu'il cause quant à la traçabilité constante de la position de chaque enfant.

Toutefois, ce débat sur la « nécessité » a déjà été tranché par le groupe de l'article 29 (G29, l'institution qui réunissait les CNIL des 28 États membres de l'Union européenne et qui est devenu le Comité européen de la protection des données depuis le 25 mai 2018).

Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment.

Dans notre cas, à l'inverse, l'établissement Rocroy sanctionne les enfants qui s'opposerait au pistage en refusant de porter le porte-clef. L'obligation de le porter est donc illicite de ce seul fait.

Par ailleurs, peu importe la base légale du traitement de données personnelles, le RGPD exige que celui-ci soit accompagné d'un certain nombre d'informations. Le responsable de traitement doit indiquer :
  • son identité et ses coordonnées ;
  • les finalités poursuivies ;
  • l’étendue des droits de la personne concernée ;
  • si les données sont transmises à des tiers, l'identité de ces destinataires ou la catégorie de ces destinataires ;
  • la condition de licéité remplie par le traitement – en précisant, selon le cas, l'intérêt légitime défendu ou la possibilité de retirer le consentement donné ;
  • la durée de conservation des données ;
  • l'existence d'un transfert de données en dehors de l’Union, en précisant les garanties encadrant ce transfert ;
  • l’existence d'une prise de décision automatisé.

Dans notre cas, l'établissement n'a fourni aucune de ces informations, si ce n'est, éventuellement, certaines des finalités envisagées (s'agissant des élèves, « s’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité »), sans qu'on ne sache toutefois si ces finalités sont exhaustives.

Les autres informations sont simplement absentes, rendant le système illicite de ce seul fait.

Enfin, comme vu plus haut, les obligations de sécurité imposées par le RGPD ne sont pas respectées puisque le système New School repose sur le système complètement obsolète de Charlemagne/EcoleDirecte.

Source : analyse de la Quadrature

Et vous ?

Que pensez-vous d'un tel système ?
Pour ou contre le traçage des enfants ?
Avez-vous déjà tracé vos enfants en utilisant par exemple la localisation GPS de leur téléphone mobile ?
Avez-vous déjà installé ou pensé à installer un logiciel de traçage sur le mobile de votre conjoint à son insu pour le tracer 24h/24 ?

Voir aussi :

Le Parlement ratifie l'interdiction des téléphones portables dans les écoles et collèges, les lycées sont concernés sans y être obligés
Parcoursup : la validation sur l'application mobile écrase les voeux de certains lycéens, l'application souffrirait-elle d'un bogue ?
Un lycée chinois se sert de la reconnaissance faciale pour déterminer l'attention des élèves pendant les cours, afin d'améliorer l'enseignement
Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation
Donald Trump souhaite rencontrer l'industrie du jeu vidéo à la Maison-Blanche, après la fusillade survenue dans un lycée en Floride

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Tartare2240
Membre averti https://www.developpez.com
Le 31/07/2018 à 12:53
Dégueulasse. J'ai pas d'autres mots.
Avatar de Aspartame
Membre actif https://www.developpez.com
Le 31/07/2018 à 13:28
l'idée est assez bonne , mais elle doit être complétée par le port obligatoire de l'uniforme ( à rayures blanches et noires ) ...
Avatar de phylaine
Nouveau membre du Club https://www.developpez.com
Le 31/07/2018 à 13:51
Et qu'est-ce qui interdit qu'un élève porte deux badges-USB au moment de l'appel ?
/troll -
L'idéal c'est peut être de les faire implanter sous la peau, dès la naissance, il suffit d'ajouter une prise pour le rechargement.
- \troll
Avatar de Washmid
Membre averti https://www.developpez.com
Le 31/07/2018 à 13:51
Immonde. Et j'espère que les élèves majeurs pourront déposer plainte pour violation de la vie privée. Un an d'emprisonnement et 45.000 euros d'amende.

(j'ai un peu peur que les mineurs n'aient pas cette marge de manœuvre, malheureusement).
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 31/07/2018 à 13:51
Incroyable... J'avais déjà vu un article sur ce lycée mais sans plus d'informations sur la technologie.
Là c'est du vrai flicage et avec des problèmes de sécurité monstre...
Avatar de arond
Membre expérimenté https://www.developpez.com
Le 31/07/2018 à 13:54
Citation Envoyé par Stéphane le calme Voir le message
...
C'est illégale ou pas ?

[troll]
Surtout que le port du porte clef est obligatoire on n'a pas dis que la batterie ne devait pas être déchargée. Amis bidouilleurs
[/troll]
Avatar de François DORIN
Rédacteur https://www.developpez.com
Le 31/07/2018 à 13:59
Attention, ce qui suit ne reflète aucunement ce que je pense de ce système (chacun sa position, et je pense ici qu'une grande majorité, dont je fais parti, pensera la même chose).

Si la prise de position de la quadrature du net est très bien, son argumentation est malgré tout bancale sur plusieurs points.

Déjà, les confusions entre légales, loyal, légitime, etc... Une collecte peut être légitime, mais illégale. Légal, mais illégitime. Légal, légitime, mais déloyal. etc... Bref, on attend plus de rigueur sur ce point. Rapidement, pour comprendre les différences :
  • légal : qui repose sur une loi
  • légitime : qui se justifie
  • loyal : plus difficile à définir en 2 mots, mais qu'on pourrait résumer en "ne pas détourner des informations de leur objectif initial"


Ensuite, les établissements ont des responsabilités, concernant notamment la présence des élèves au sein de leur établissement, et pas uniquement en cours. Si l'appel à l'oral permet effectivement de résoudre le soucis pour la présence en cours, il ne répond en rien à la présence au sein de l'établissement. La notion est donc potentiellement justifiable (mais c'est à l'établissement d'apporter toutes les preuves nécessaires pour cette justification).

En cas d'intérêt légitime (dont la preuve est, je le rappelle, à fournir par l'établissement), le consentement n'est pas requis. Seulement l'information des élèves, avec un droit d'opposition.

Enfin, et je suis très étonné du manque de cette information par la Quadrature du Net, qui tourne son argumentation sur le consentement : le consentement des mineurs ne peut être donné par le mineur lui-même qu'à partir de 16 ans. Donc, dans de nombreux cas, le consentement doit être donné par les parents (ou tout autre représentant légal).

La Quadrature du Net rappelle cependant avec justesse les obligations, notamment d'information, concernant le Responsable de Traitement, en listant les différents éléments sur lesquels il a l'obligation de communiquer. Il manque juste le DPO (le Délégué à la Protection des Données), car en supposant que le lycée est public, le lycée est tenu d'en avoir un.

Enfin, ce passage :
Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment.
Il fait sans doute référence à l'Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents du 16 mai 2011, qui concerne les dispositifs de géolocalisation des dispositifs mobiles intelligents.

Je ne suis pas vraiment certains que cela rentre dans ce cas (le porte clé est-il un dispositif mobile intelligent, qui représente généralement plutôt un smartphone ?) ni même de géolocalisation (qui est limitée techniquement au sein de l'établissement). De plus, le document ne relate pas la possibilité de s'opposer au traçage, mais à la possibilité d'effacer les données de géolocalisation (suppression de l'historique).
Avatar de shadowmoon
Membre émérite https://www.developpez.com
Le 31/07/2018 à 14:20
Citation Envoyé par François DORIN Voir le message
, car en supposant que le lycée est public, le lycée est tenu d'en avoir un.
Pour rappel l'établissement scolaire Rocroy Saint-Vincent de Paul, à Paris regroupe un collège et un lycée "catholique" privé.

Je pense donc que le directeur et son équipe dirigeante n'ont pas pris cette décision sur un "coup de tête".

A mon avis, ce choix, murement réfléchi, est avant tout "politique", pour satisfaire les parents d'élèves responsables des associations les plus influentes : APEL, équipe de sport, groupe littéraire, club de théâtre ou autre.

[edit]

Citation Envoyé par arond Voir le message

[troll]
on n'a pas dis que la batterie ne devait pas être déchargée. Amis bidouilleurs.
[/troll]
Et, dans un autre ordre d'idée, les "amis" peuvent aussi être prêteurs

[/edit]
Avatar de ShigruM
Nouveau Candidat au Club https://www.developpez.com
Le 31/07/2018 à 14:21
il est important de préciser que c'est une école privée
Une école privée a le droit de le faire. Si les clients (les parents) souhaitent le faire alors l'école le fera.

Peut importe les raisons, je ne suis pas la pour juger, je ne connais pas le contexte de cette l'école.
Si la majorité des parents y sont favorable/demandeur de ce dispositif, alors cela peut justifier ce dispositif.

Mais je le répète, ce n'est pas une école publique, attention à l'amalgame. !
Avatar de Conan Lord
Membre expert https://www.developpez.com
Le 31/07/2018 à 14:21
Citation Envoyé par François DORIN Voir le message

Déjà, les confusions entre légales, loyal, légitime, etc... Une collecte peut être légitime, mais illégale. Légal, mais illégitime. Légal, légitime, mais déloyal. etc... Bref, on attend plus de rigueur sur ce point. Rapidement, pour comprendre les différences :
  • légal : qui repose sur une loi
  • légitime : qui se justifie
  • loyal : plus difficile à définir en 2 mots, mais qu'on pourrait résumer en "ne pas détourner des informations de leur objectif initial"

Ce que je comprends de l'article, c'est que "loyal" et "légitime" s'entendent tel que défini par le RGPD.
Citation Envoyé par François DORIN Voir le message

Ensuite, les établissements ont des responsabilités, concernant notamment la présence des élèves au sein de leur établissement, et pas uniquement en cours. Si l'appel à l'oral permet effectivement de résoudre le soucis pour la présence en cours, il ne répond en rien à la présence au sein de l'établissement. La notion est donc potentiellement justifiable (mais c'est à l'établissement d'apporter toutes les preuves nécessaires pour cette justification).
Un élève n'est plus sous la responsabilité du lycée s'il sort de son enceinte (sauf les rares élèves qui n'ont pas l'autorisation de sortie de leurs parents). La légitimité du traçage généralisé est donc plus que douteuse.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web