Dans le contexte de crise sanitaire liée au Covid-19, certains établissements d’enseignement supérieur souhaitent recourir à des outils numériques de télésurveillance afin d’organiser des examens à distance (voir À l'université, des télé-examens télé-surveillés).
La CNIL a donc décidé de rappeler les règles applicables, dès lors qu'il s'agit de traitements de données personnelles soumis au RGPD et à la loi informatique et libertés, et de proposer des conseils pour les établissements et les étudiants concernés.
Le consentement doit, pour constituer une base légale valable, être notamment libre, c’est-à-dire ni contraint ni influencé (par exemple par la position d’autorité du responsable de traitement). L’étudiant doit notamment se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.
Le responsable du traitement peut cependant, précise la CNIL, procéder à ce type de traitement en s’appuyant sur une autre base légale, comme l’exécution d’une mission d’intérêt public. L’étudiant pourra cela dit et à tout moment s’opposer au traitement, pour des raisons tenant à sa situation particulière qu’il devra exposer.
Dans ce cas, le responsable ne traitera plus ces données, à moins qu’il démontre qu’existent des motifs légitimes et impérieux pour le traitement, qui prévalent sur les intérêts et les droits et libertés de l’étudiant, ou pour la constatation, l’exercice ou la défense de droits en justice.
D'autre part, les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs.
Par exemple, les traitements suivants n’apparaissent pas disproportionnés :
- la surveillance vidéo en temps réel pendant la durée de l’examen ;
- la prise de photographies ou de flux vidéo ou sons de manière ponctuelle ou aléatoire.
En revanche, n’apparaissent a priori pas proportionnés au regard de la finalité poursuivie :
- les dispositifs de surveillance permettant de prendre le contrôle à distance de l’ordinateur personnel de l’étudiant (notamment pour vérifier l’accès aux courriels ou aux réseaux sociaux) ;
- les dispositifs de surveillance reposant sur des traitements biométriques (exemple : reconnaissance faciale via une webcam).
Par ailleurs, dès lors que le dispositif de télésurveillance est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées », une analyse d’impact relative à la protection des données (AIPD) doit être réalisée par le responsable de traitement. En particulier, l’utilisation de technologies innovantes (exemples : recours à l’oculométrie (eye tracking), algorithmes et intelligence artificielle) devra faire l’objet d’une telle analyse.
Avoir recours à une solution technique extérieure à l’établissement implique en outre pour le responsable de traitement de respecter les obligations en matière de recours à des sous-traitants et notamment de contractualiser avec eux.