Des données personnelles issues du fichier Base élèves dévoilées au grand jour sur internet

Début janvier 2011, les parents d’élèves de l’école élémentaire Joliot Curie de Sartrouville (Yvelines) ont eu la désagréable surprise de découvrir que des données personnelles concernant leurs enfants et eux-mêmes (nom, prénom, date de naissance, adresse des deux parents), originellement collectées et conservées dans le fichier Base élèves 1^er degré (BE1D), étaient accessibles sur le site de l’Inspection de l’Education nationale de Sartrouville. Suite à leur réaction auprès de l’inspecteur de circonscription concerné, le lien (pointant vers une feuille de calcul type Excel hébergé sur le site www.ien-sartrouville.ac-vers…) permettant d’accéder à ces éléments, après avoir simplement tapé les mots clés « Base élèves » dans un moteur de recherche, a été désactivé. Des copies de ces listings ont pu être consultées par des membres du CNRBE avant que le lien ne soit désactivé.

La FCPE de Sartrouville, alertée, a publié sur son blog le 10 février 2011 un communiqué dévoilant les faits et posant un certain nombre de questions sur la sécurisation de ce dispositif. Lire la suite de cette entrée »

L’insuffisante sécurisation des données collectées est l’un des quatre motifs pour lesquels 2103 parents d’élèves ont déjà déposé plainte contre X au pénal dans toute la France entre mars 2009 et juin 2010. Ces plaintes ont toutes été classées sans suite par le Parquet de Paris en juillet 2010, notamment au prétexte que le ministère de l’Education nationale (MEN) aurait toujours manifesté sa « préoccupation » de sécuriser les données de Base élèves, et donc que le délit ne serait pas caractérisé pour « défaut d’intention pénale du responsable du traitement ». Le Parquet a malgré tout reconnu une faille de sécurité importante.

« L’incident » de Sartrouville conforte donc les nombreux parents qui, soutenus par le CNRBE et le Syndicat des Avocats de France, sont toujours décidés à contester ce classement sans suite en saisissant un juge d’instruction tout en incitant les parents à poursuivre leur opposition jusqu’au tribunal administratif.

Cette divulgation accidentelle de données personnelles à Sartrouville bat en effet en brèche ce que le MEN assène sans relâche aux opposants au fichier Base élèves et aux parlementaires qui s’inquiètent entre autres de la sécurisation de ce dispositif :

« Les données issues de cette application sont sécurisées et leur accès est limité aux acteurs directement concernés. (…) Un dispositif d’authentification forte consistant en une clé remise personnellement à chaque directeur d’école ou agent de mairie désigné par le maire garantit la sécurité et la confidentialité des données. Seules la possession de cette clé et celle d’un mot de passe personnel permettent d’accéder à la « Base élèves 1^er degré ». Ce dispositif représente un niveau maximal dans le domaine de la sécurité informatique. » (réponse du Ministre de l’Education Nationale à la question écrite du député Joël Giraud publiée au JO du 04/01/2011, page 57.)

Malgré ce « dispositif de niveau maximal dans le domaine de la sécurité informatique », les données concernant les enfants de Sartrouville se sont retrouvées divulguées suite à une simple erreur de manipulation, sans que la bonne foi des personnels concernés puisse être mise en cause. Il est donc parfaitement légitime de se demander quelle protection ce dispositif pourrait offrir face à une introduction malveillante dans le système !

De plus, le MEN clame sans cesse que depuis l’arrêté du 20 octobre 2008, toutes les données « sensibles » ont été retirées de la Base élèves 1^er degré, et que ne subsistent dans le fichier que des données « anodines ».

Quand bien même ces données sembleraient « anodines » à certains, elles n’en restent pas moins des données personnelles : au nom de quoi des parents devraient-ils accepter de courir le risque de voir leur adresse, leur situation matrimoniale (en cas d’adresse différente par exemple), leur numéro de téléphone ou celui de leur voisin (personne à appeler en cas d’urgence et/ou autorisée à prendre l’enfant à la sortie), renseignements qu’ils ont donnés aux enseignants de leur enfant en toute confiance, étalés sur une page internet suite à une erreur de manipulation, simplement parce qu’ils ont inscrit leur enfant à l’école ? [1]

Plus que jamais, le Collectif National de Résistance à Base Elèves (CNRBE) demande que tout système de fichier centralisé et partageable regroupant des renseignements personnels sur tous les enfants de France soit abandonné. Les données nominatives doivent rester dans les écoles.