ūüüß D√©lib√©ration CNIL du 8 juin 2023 portant adoption d’une recommandation relative aux modalit√©s de mise en Ňďuvre des dispositifs de t√©l√©surveillance pour les examens en ligne

Références

NOR : CNIL2323406X
Source : JORF n¬į0203 du 2 septembre 2023, texte n¬į 63

En-tête

La Commission nationale de l’informatique et des libert√©s,
Vu le r√®glement (UE) 2016/679 du parlement europ√©en et du Conseil du 27 avril 2016 relatif √† la protection des personnes physiques √† l’√©gard du traitement des donn√©es √† caract√®re personnel et √† la libre circulation de ces donn√©es, et abrogeant la directive 95/46/CE (r√®glement g√©n√©ral sur la protection des donn√©es) ;
Vu le code de l’√©ducation, notamment son article D. 611-12 ;
Vu la loi n¬į 78-17 du 6 janvier 1978 modifi√©e relative √† l’informatique, aux fichiers et aux libert√©s, notamment son article 8-I-2¬į-b ;

Article

Après avoir entendu le rapport Mme Sylvie Robert, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :
La Commission nationale de l’informatique et des libert√©s a constat√©, notamment depuis la crise sanitaire li√©e au covid-19, l’augmentation du recours au passage d’examens √† distance sous forme num√©rique dans les √©tablissements d’enseignement sup√©rieur publics et priv√©s. Cette modalit√© d’examen s’accompagne du souhait par les √©tablissements de recourir √† des outils de t√©l√©surveillance afin d’organiser la validation des enseignements √† distance, telle qu’autoris√©e et encadr√©e depuis 2017.
En effet, l’article D. 611-12 du code de l’√©ducation pr√©voit que les modalit√©s d’examen (en pr√©sence ou √† distance, sous forme num√©rique ou non) doivent √™tre arr√™t√©es dans chaque √©tablissement d’enseignement sup√©rieur au plus tard √† la fin du premier mois de l’ann√©e d’enseignement et ne peuvent √™tre modifi√©es en cours d’ann√©e. Ce m√™me article pr√©voit que l’organisation d’examens √† distance sous forme num√©rique doit √™tre garantie par : ¬ę 1¬į La v√©rification que le candidat dispose des moyens techniques lui permettant le passage effectif des √©preuves ; 2¬į La v√©rification de l’identit√© du candidat ; 3¬į La surveillance de l’√©preuve et le respect des r√®gles applicables aux examens ¬Ľ.
Les établissements ayant recours à des outils de télésurveillance, par nature intrusifs, la CNIL rappelle les obligations qui découlent du RGPD et incite au respect de bonnes pratiques.
En pr√©ambule, la Commission remarque que la validation des enseignements √† distance peut, dans une certaine mesure, porter atteinte au principe d’√©galit√© des chances entre les candidats en introduisant des biais socio-√©conomiques dans les conditions de leur √©valuation. En effet, un syst√®me d’enseignement et d’√©valuation √† distance entra√ģne la disparition du nivellement des conditions mat√©rielles assur√© par la n√©cessit√© d’√™tre pr√©sent physiquement dans les lieux de l’√©preuve. Cela peut avoir pour cons√©quence de p√©naliser les candidats r√©sidant en zone blanche, ou ne disposant pas d’une pi√®ce au calme, d’un bureau, d’un ordinateur suffisamment performant, etc. D√®s lors, de mani√®re g√©n√©rale, et quel que soit le dispositif utilis√©, la t√©l√©surveillance devrait √™tre exempte de tout biais discriminatoire quant √† l’origine des √©tudiants concern√©s. Il convient en particulier de prendre en compte la situation des personnes handicap√©es (par exemple avec un logiciel d’agrandissement et de lecture d’√©cran).
Par ailleurs, la mise en Ňďuvre d’une t√©l√©surveillance qui se voudrait aussi performante que la surveillance habituellement r√©alis√©e dans les locaux d’examen impliquerait le recours √† des moyens informatiques particuli√®rement intrusifs. Il faut souligner que l’organisation d’une √©preuve √† distance conduit g√©n√©ralement l’√©tablissement √† surveiller un terminal informatique priv√©, √† l’int√©rieur d’un local priv√©. Par ailleurs, cette t√©l√©surveillance est n√©cessairement imparfaite, ne serait-ce que parce que le dispositif ne peut pas surveiller l’int√©gralit√© du local o√Ļ se trouve le candidat (notamment les toilettes).
A l’inverse, l’organisation d’examens √† distance peut avoir des cons√©quences b√©n√©fiques, par exemple sur la diversit√© g√©ographique et sociale des candidats. Il arrive en effet que des candidats renoncent √† participer √† des √©preuves du fait de l’√©loignement g√©ographique du centre d’examen. L’organisation d’examen √† distance peut favoriser l’acc√®s √† la formation continue et √† la formation professionnelle. De m√™me, l’organisation d’√©preuves √† distance peut permettre √† un candidat d’obtenir certaines qualifications alors qu’il poursuit ses √©tudes ou effectue un stage dans une autre ville ou √† l’√©tranger. Elle peut √©galement faciliter le passage d’un examen pour un candidat en situation de handicap. Ainsi, l’organisation d’√©preuves √† distance peut s’av√©rer pertinente dans certains cas sp√©cifiques, ou dans certains contextes particuliers (crise sanitaire notamment).
A ce titre, la Commission rappelle qu’il existe des modalit√©s d’examen compatibles avec une validation √† distance et permettant d’attester des comp√©tences d’un √©tudiant sans recourir √† de la t√©l√©surveillance (m√©moire de fin d’√©tudes, soutenance de projet, etc.) ou permettant de limiter le caract√®re intrusif du dispositif employ√© (examen oral, examen √† livre ouvert, passage de l’examen dans des locaux d√©di√©s, etc.). Ces modalit√©s devraient √™tre privil√©gi√©es lorsque cela est possible.
Face √† l’absence d’encadrement sp√©cifique des dispositifs de t√©l√©surveillance utilis√©s dans le cadre du passage d’examens ou de concours √† distance, qui rel√®ve en partie de l’autonomie des √©tablissements d’enseignement, et dans l’objectif de garantir la conformit√© de ces dispositifs au r√®glement g√©n√©ral sur la protection des donn√©es (RGPD) et √† la loi ¬ę Informatique et Libert√©s ¬Ľ, de maintenir la confiance entre les √©tudiants et les √©tablissements d’enseignement sup√©rieur et de favoriser les bonnes pratiques en mati√®re d’inclusion num√©rique et de traitement de donn√©es √† caract√®re personnel, la Commission √©met les recommandations suivantes.
Recommande :

Article 1

Principes g√©n√©raux sur le recours √† la t√©l√©surveillance d’examen.
La pr√©sente recommandation concerne la mise en Ňďuvre de dispositifs de t√©l√©surveillance pour les examens en ligne pour tout type d’examen ou certification, organis√©e par un √©tablissement public ou un organisme priv√©.
Un √©tablissement ou un organisme d√©cidant de recourir √† une solution de t√©l√©surveillance est responsable du traitement qui sera mis en Ňďuvre. Il lui incombe de se montrer vigilant en utilisant des solutions √©prouv√©es et r√©put√©es s√Ľres, et en testant en amont des √©preuves les dispositifs envisag√©s pour la t√©l√©surveillance dans les diff√©rents cas pouvant se pr√©senter (faible bande passante entre le candidat et le serveur, perte temporaire de connexion √† internet du candidat, compatibilit√© avec les terminaux et syst√®mes d’exploitation utilis√©s par les candidats, etc.)
De plus, le recours √† des outils de t√©l√©surveillance doit respecter les principes du RGPD et de la loi ¬ę Informatique et Libert√©s ¬Ľ, quelles que soient les technologies utilis√©es. A cet √©gard, l’√©tablissement doit se rapprocher de son d√©l√©gu√© √† la protection des donn√©es afin de s’assurer de la conformit√© du dispositif de t√©l√©surveillance √† la r√®glementation relative √† la protection des donn√©es √† caract√®re personnel.
Les principes suivants devront notamment être pris en compte :

– l’obligation d’information ;
– le respect des droits des personnes concern√©es, en particulier le droit d’acc√®s ;
Рla limitation des traitements de données à caractère personnel à des fins précises et déterminées ;
Рle principe de minimisation des données traitées ;
Рle principe de sécurité et de confidentialité des données ;
Рle principe de proportionnalité et de pertinence ;
Рla limitation de la durée de conservation des données ;
– la limitation des transferts de donn√©es en dehors du territoire de l’Union europ√©enne selon les conditions d√©finies par le RGPD.

Concernant le devoir d’information, bien que l’article D. 611-12 du code de l’√©ducation dispose que les modalit√©s d’examen doivent √™tre arr√™t√©es dans chaque √©tablissement d’enseignement sup√©rieur au plus tard √† la fin du premier mois de l’ann√©e d’enseignement, la Commission encourage vivement les √©tablissements √† communiquer les modalit√©s d’examen envisag√©es ainsi que les dispositifs susceptibles d’√™tre employ√©s pour la t√©l√©surveillance suffisamment √† l’avance pour permettre aux √©tudiants de faire leur choix de formation en toute connaissance de cause.
Au surplus, au regard des difficult√©s que peut pr√©senter le passage d’examens √† distance (risque de dysfonctionnement du mat√©riel, √©tudiant ne disposant pas du mat√©riel n√©cessaire ou d’une connexion adapt√©e, modalit√©s d’examen non compatibles avec un handicap de l’√©tudiant, √©tudiant ne disposant pas d’un environnement adapt√© au passage de l’examen, etc.), les √©tablissements devraient informer leurs √©tudiants aussi t√īt que possible et de fa√ßon pr√©cise sur les modalit√©s organisationnelles et techniques de passage des examens. Ils devraient envisager des mesures permettant de pallier ces difficult√©s (pr√™t de mat√©riel adapt√© par exemple) et pr√©voir aussi souvent que possible une possibilit√© de passage de l’examen en pr√©sentiel, √©tant pr√©cis√© que l’organisation de deux modalit√©s distinctes pour passer l’examen devra respecter l’√©galit√© de traitement entre les candidats.
Il convient pour le responsable de traitement, avec l’appui du d√©l√©gu√© √† la protection des donn√©es, le cas √©ch√©ant, de proc√©der √† une analyse et √† une r√©flexion pr√©alables √† toute d√©cision d’organiser un examen √† distance impliquant une t√©l√©surveillance, en tenant compte des risques r√©els de fraude et des cons√©quences de celle-ci, afin d’√©viter de recourir √† des outils excessivement intrusifs au regard de l’enjeu et des risques.
En tout √©tat de cause, et comme rappel√© ci-avant, l’acc√®s de l’√©tudiant √† ses donn√©es collect√©es dans le cadre de la t√©l√©surveillance doit toujours √™tre garanti.
Par ailleurs, les responsables de traitement, ainsi que leurs éventuels sous-traitants, ne devraient pas utiliser les données pour une finalité autre que celle pour laquelle elles ont été collectées initialement.
Le recours √† l’√©valuation √† distance n√©cessitant la mise en Ňďuvre d’une t√©l√©surveillance ne doit pas constituer une alternative de confort destin√©e uniquement √† rendre moins contraignante ou moins co√Ľteuse pour l’√©tablissement l’organisation de la validation des comp√©tences des candidats. Le d√©roulement des √©preuves dans un local soumis √† une surveillance humaine demeure souvent la fa√ßon la plus appropri√©e de garantir l’absence de fraude lors d’un examen.
Lorsqu’il est pertinent, le passage de certaines √©preuves √† distance devrait √™tre une facult√© offerte aux √©tudiants et non une obligation. Ainsi, lorsqu’un √©tablissement d√©cide de recourir au passage d’un examen √† distance avec t√©l√©surveillance, la Commission recommande qu’une alternative en pr√©sentiel soit syst√©matiquement propos√©e aux candidats. L’organisation de deux modalit√©s de passage de l’examen doit se faire en respectant l’√©galit√© de traitement entre les candidats.
L’absence d’alternative en pr√©sentiel devrait √™tre r√©serv√©e √† des cas sp√©cifiques. Cela peut notamment √™tre admis pendant une crise sanitaire. Par ailleurs, il existe des √©tablissements ayant fait du distanciel l’essence m√™me de leur organisation, qu’il s’agisse de l’enseignement des mati√®res ou du passage d’examen. D√®s lors, une m√™me appr√©ciation ne saurait s’appliquer uniform√©ment √† toutes les formations, et celles dont l’organisation est fond√©e exclusivement sur l’offre de cours et l’organisation d’examens √† distance devraient pouvoir maintenir ce mod√®le de fonctionnement. Les modalit√©s d’examen, et notamment de t√©l√©surveillance, devraient alors √™tre connues des √©tudiants au moment de leur inscription √† la formation. L’information sur les modalit√©s d’examen pourra notamment √™tre faite au moment o√Ļ l’√©tudiant se renseigne sur la formation.
Enfin, la Commission estime que le recours √† des outils de surveillance d’examens √† distance n’a pas vocation √† √™tre plus efficace qu’une surveillance d’examens en pr√©sentiel, ni m√™me √† garantir un niveau de surveillance √©quivalent.

Article 2

Sur la base légale.
Les bases l√©gales appropri√©es permettant de fonder les traitements de donn√©es impliqu√©s dans la t√©l√©surveillance d’examens √† distance doivent √™tre d√©termin√©es dans les conditions pr√©vues √† l’article 6 du RGPD.
Les √©tablissements d’enseignement sup√©rieur qui poursuivent une mission d’int√©r√™t public, peuvent se fonder sur l’ex√©cution d’une mission d’int√©r√™t public au sens du e du 1 d l’article 6 du RGPD.
Par ailleurs, en cas d’absence de dispositions l√©gales permettant de recourir au e du 1 de l’article 6 du RGPD, les √©tablissements ont la possibilit√© de fonder les traitements de t√©l√©surveillance d’examen sur le contrat, au sens du b du 1. de l’article 6 du RGPD, √† condition que les modalit√©s d’examen soient fix√©es dans celui-ci, et donc connues de l’√©tudiant avant son inscription.
Les autres bases l√©gales apparaissent moins appropri√©es pour l’organisation d’examen. Le consentement n√©cessite qu’une alternative en pr√©sentiel soit propos√©e au candidat, sans cons√©quence n√©gative pour lui s’il la choisit. En outre, le consentement doit pouvoir √™tre retir√©, ce qui implique que le candidat puisse modifier son choix. De m√™me, l’int√©r√™t l√©gitime implique la possibilit√© de s’opposer au traitement, ce qui appara√ģt difficile √† g√©rer dans le cadre de l’organisation d’un examen.

Article 3

Sur l’application de l’article 82 de la loi ¬ę Informatique et Libert√©s ¬Ľ.
L’article 82 de la loi ¬ę Informatique et Libert√©s ¬Ľ impose, pour les op√©rations de lecture/√©criture sur l’√©quipement terminal de l’utilisateur d’un service via un r√©seau de t√©l√©communications ouvert au public, de recueillir le consentement de l’utilisateur, sauf ¬ę si l’acc√®s aux informations stock√©es dans l’√©quipement terminal de l’utilisateur ou l’inscription d’informations dans l’√©quipement terminal de l’utilisateur :

¬ę – soit, a pour finalit√© exclusive de permettre ou faciliter la communication par voie √©lectronique ;
¬ę – soit, est strictement n√©cessaire √† la fourniture d’un service de communication en ligne √† la demande expresse de l’utilisateur ¬Ľ.

Comme √©nonc√© dans la FAQ ¬ę Cookies et autres traceurs ¬Ľ, les dispositifs mis en Ňďuvre sur des r√©seaux inaccessibles au public, comme des intranets ou des extranets reposant sur un r√©seau priv√© virtuel (VPN), ne sont a priori pas soumis √† cet article.
Les responsables de traitement devront analyser si les solutions techniques envisag√©es pour l’organisation d’examens √† distance rel√®vent de cet article.
En l’esp√®ce, le recueil d’un consentement au sens du RGPD au d√©but de l’examen semble difficilement compatible avec le passage de l’examen, qui ne peut se tenir sans surveillance. Dans le cas o√Ļ l’article 82 est applicable, le candidat doit √™tre inform√© de ce que la connexion √† la plateforme d’examen en ligne peut n√©cessiter certaines formes de t√©l√©surveillance, conform√©ment √† l’article D. 611-12 du code de l’√©ducation. Les modalit√©s de t√©l√©surveillance utilis√©es et la nature des donn√©es collect√©es devraient √™tre rappel√©es avant la connexion √† la plateforme.
Dans ces conditions, il pourra √™tre consid√©r√© que les op√©rations de lecture et d’√©criture dans le terminal du candidat qui demande √† acc√©der au service de communication en ligne permettant de passer l’√©preuve √† distance, sont strictement n√©cessaires √† sa fourniture.

Article 4

Sur la proportionnalit√© des technologies utilis√©es pour pr√©venir les fraudes √† l’examen.
Observations générales applicables à tous les dispositifs :
Les √©tablissements d’enseignement sup√©rieur doivent proc√©der √† une analyse pr√©alable de la proportionnalit√© des dispositifs envisag√©s, en associant si possible les responsables p√©dagogiques, les repr√©sentants des √©tudiants et, le cas √©ch√©ant, le d√©l√©gu√© √† la protection des donn√©es. Cette analyse devrait tenir compte notamment compte de la nature, de la dur√©e, et de l’importance des examens concern√©s. Un test des dispositifs envisag√©s devrait √™tre effectu√© en amont de l’examen sur un panel repr√©sentatif du mat√©riel utilis√© par les candidats aux √©preuves.
Au regard du caract√®re intrusif des dispositifs de t√©l√©surveillance, le responsable du traitement devra r√©aliser, conjointement avec son d√©l√©gu√© √† la protection des donn√©es, et avant la mise en Ňďuvre du traitement, une analyse d’impact relative √† la protection des donn√©es (AIPD), √† moins que le dispositif utilis√© n’engendre pas de risques √©lev√©s pour les droits et libert√©s des √©tudiants.
Sur l’analyse de la proportionnalit√© des dispositifs de t√©l√©surveillance :
L’analyse de l’efficacit√© et de la proportionnalit√© d’un dispositif de t√©l√©surveillance d’examen doit se faire globalement et non mesure par mesure. A cet √©gard, un dispositif ne permettant pas de pr√©venir efficacement la fraude apparait par nature disproportionn√©. En outre, si un juste √©quilibre ne peut √™tre trouv√© entre efficacit√© de la t√©l√©surveillance et intrusivit√© du dispositif employ√©, il faudrait envisager d’organiser l’√©preuve en pr√©sentiel ou de privil√©gier une autre forme d’examen. A cet √©gard, il faut souligner que le choix du type d’√©preuve (composition ou QPC, questions identiques pour tous les candidats ou non, temps accord√© pour r√©pondre √† chaque question, etc.) constitue l’un des √©l√©ments √† mobiliser pour √©viter les fraudes.
Par ailleurs, en vertu du principe de proportionnalit√©, le choix des outils de t√©l√©surveillance doit s’appr√©cier au regard du contexte et de l’enjeu de l’√©preuve. A titre d’exemple, une surveillance renforc√©e parait appropri√©e pour le passage d’un concours d’entr√©e dans une √©cole. En revanche, un examen pr√©sentant un enjeu faible, dans le processus de validation de la formation d’un √©tudiant, tel qu’un examen blanc, devrait √™tre effectu√© sans t√©l√©surveillance.
Au regard de ce qui précède, les modalités suivantes semblent proportionnées pour des examens nécessitant une télésurveillance renforcée :

– la t√©l√©surveillance vid√©o et audio du candidat en temps r√©el pendant la dur√©e de l’examen par les personnes charg√©es de la t√©l√©surveillance, sans conservation des donn√©es, sauf en cas de suspicion de fraude ;
– la t√©l√©surveillance de l’activit√© du candidat en temps r√©el via un partage d’√©cran, sans conservation des donn√©es, sauf en cas de suspicion de fraude ;
– le contr√īle de l’activit√© du candidat via une plateforme en ligne permettant de d√©tecter voire de bloquer l’acc√®s √† d’autres onglets ;
– la v√©rification ponctuelle en d√©but d’√©preuve de l’environnement de l’√©tudiant via sa cam√©ra par une personne charg√©e de la t√©l√©surveillance sans conservation de donn√©es, sauf en cas de suspicion de fraude ;

Sur les dispositifs de télésurveillance procédant à des analyses automatiques :
Certains dispositifs de t√©l√©surveillance proposent d’avoir recours √† l’analyse automatique, soit de l’environnement du candidat (d√©tection d’un niveau sonore anormal, de la pr√©sence d’une tierce personne dans la pi√®ce, etc.), soit de son comportement (fr√©quence de frappe, direction du regard, √©motions, etc.).
Ces dispositifs pr√©sentent un caract√®re particuli√®rement intrusif. Par ailleurs, il est ressorti des travaux men√©s par la CNIL et de la consultation qu’elle a effectu√©e que ceux de ces dispositifs qui cherchent √† rep√©rer des comportements du candidat s’apparentant √† de la fraude pr√©sentent un risque √©lev√© de faux positifs. Cela peut nuire au bon d√©roulement de l’examen et parfois troubler les √©tudiants, qui risquent de se focaliser sur l’adoption d’un comportement ¬ę normal ¬Ľ face √† l’outil de t√©l√©surveillance plut√īt que de se concentrer sur l’examen. Par cons√©quent, eu √©gard au principe de n√©cessit√© et de proportionnalit√©, la CNIL recommande de ne pas recourir √† des dispositifs de t√©l√©surveillance proc√©dant √† des analyses automatiques du comportement des candidats.
En revanche, les dispositifs rep√©rant certains √©v√©nements dans l’environnement du candidat (comme l’entr√©e d’une tierce personne dans la pi√®ce o√Ļ il passe l’examen) apparaissent plus fiables et moins intrusifs. Au cas par cas, lorsque le nombre de candidats est important, il peut √™tre envisag√© de recourir √† des dispositifs d’analyse automatique de l’environnement du candidat, √† condition que ce dispositif soit suffisamment fiable. Ces dispositifs ne doivent jamais conduire √† une d√©cision automatique ayant un effet imm√©diat pour le candidat : leur seul r√īle est d’attirer l’attention d’un surveillant sur une situation potentiellement anormale ; conform√©ment √† l’article 22 du RGPD, il est n√©cessaire qu’une v√©rification humaine ait lieu syst√©matiquement avant toute d√©cision ou modification des conditions d’examen du candidat afin de confirmer la suspicion de fraude.
Un √©tablissement souhaitant recourir √† ces dispositifs devrait r√©aliser des tests pr√©alables afin d’en v√©rifier la fiabilit√© et documenter la n√©cessit√© de ce dispositif pour l’examen concern√©.
Ainsi, √† titre d’exemple, un examen ne devrait pas √™tre interrompu, pour un candidat, en raison de la seule d√©tection automatique d’un niveau sonore anormal. En revanche, il peut √™tre proportionn√© d’alerter un surveillant qu’un niveau sonore anormal a √©t√© mesur√© et de lui proposer de r√©√©couter cet √©v√©nement, notamment lorsque le nombre d’√©tudiants √† surveiller en m√™me temps est important.
Sur les dispositifs de télésurveillance procédant à une collecte incidente de données :
Certains dispositifs pr√©sentent un risque de collecte incidente de donn√©es √† caract√®re personnel concernant les candidats, leurs proches ou leur environnement. Les √©tablissements doivent informer les √©tudiants sur ces risques et sur les moyens d’√©viter une telle collecte, en leur conseillant notamment de s’isoler, dans la mesure du possible, dans une pi√®ce calme et neutre, de fa√ßon √† ne pas porter atteinte au droit √† la vie priv√©e des autres personnes qui pourraient se trouver dans la pi√®ce.
Sur les dispositifs de v√©rification de l’identit√© du candidat comportant un traitement de donn√©es biom√©triques :
Les √©tablissements organisant des examens √† distance ont l’obligation v√©rifier l’identit√© des candidats, conform√©ment au cadre juridique portant sur l’organisation des √©preuves.
La v√©rification de l’identit√© du candidat peut √™tre op√©r√©e par un rapprochement documentaire effectu√© par un surveillant lors d’un entretien en visioconf√©rence. Par ailleurs, le recours √† un dispositif de v√©rification automatis√© √† distance, par comparaison d’un justificatif d’identit√© avec le visage du candidat peut parfois √™tre justifi√©, notamment si le nombre d’√©tudiants est tr√®s important.
Ce dispositif conduit √† traiter des donn√©es biom√©triques au sens de l’article 9 du RGPD et pourrait √™tre mis en Ňďuvre :

– soit en demandant le consentement des personnes concern√©es ; une alternative doit alors √™tre disponible (il peut √™tre propos√© aux candidats de se rendre sur la session d’examen en ligne en avance afin de laisser au surveillant le temps de proc√©der √† un rapprochement documentaire, par exemple) ;
– soit s’il est fond√© sur un motif d’int√©r√™t public important g du 2 de l’article 9 du RGPD). Il doit alors √™tre strictement encadr√© par un texte et une intervention humaine doit √™tre possible en cas de difficult√© de l’√©tudiant √† s’authentifier.

A cet √©gard, le recours √† des traitements biom√©triques de v√©rification d’identit√©, dans le cadre de l’application des a et g du 2 de l’article 9 du RGPD, devrait r√©pondre aux conditions cumulatives suivantes :

– une seule v√©rification d’identit√© est effectu√©e avant ou pendant l’examen ;
– l’examen concerne un nombre d’√©tudiants tr√®s important compte tenu de la nature de l’√©preuve (par exemple, une certification obligatoire concernant tous les √©tudiants d’un √©tablissement) rendant difficile la v√©rification individuelle par les surveillants ;
– une alternative est toujours disponible (par exemple, un rapprochement documentaire effectu√© par un surveillant lors d’un entretien en ligne individuel) pour les candidats ne pouvant pas ou ne parvenant pas √† obtenir un contr√īle automatique de leur identit√© ;
– dans la mesure o√Ļ le consentement de l’√©tudiant serait recueilli au moment du d√©clenchement du dispositif, l’√©tablissement devra informer en amont (par exemple, quelques semaines avant l’√©preuve) des modalit√©s pr√©cises du recueil du consentement de l’√©tudiant portant sur le recours √† la reconnaissance faciale pour la v√©rification d’identit√©.

Ce type de dispositif ne doit, en aucun cas, conduire √† la constitution de bases de donn√©es de gabarits biom√©triques au sein des √©tablissements d’enseignement sup√©rieur ou des prestataires de t√©l√©surveillance d’examens. Le recours √† des prestataires sp√©cialis√©s dans la v√©rification d’identit√© √† distance, conform√©ment aux recommandations de la CNIL, devrait √™tre privil√©gi√©.
Les dispositifs comportant un traitement de donn√©es biom√©trique ne devraient √™tre mis en Ňďuvre pour d’autres fins que celles visant la v√©rification d’identit√©.
Sur la conservation des données collectées par les dispositifs de télésurveillance :
Lorsque les dispositifs envisag√©s pour la t√©l√©surveillance d’examens √† distance conduisent √† une conservation de donn√©es √† caract√®re personnel, le responsable de traitement, le cas √©ch√©ant avec son d√©l√©gu√© √† la protection des donn√©es, doit fixer, avant sa mise en Ňďuvre, les conditions d’acc√®s √† ces donn√©es et leur dur√©e de conservation ou les crit√®res permettant de la d√©finir, en fonction du type d’information enregistr√©e et de la finalit√© du traitement.
En cas de suspicion de fraude, la durée de conservation des données ne devrait pas excéder les délais légaux des procédures disciplinaire ou contentieuse qui pourraient être engagées, et qui est en principe de deux mois.
Sur les dispositifs n√©cessitant l’installation de logiciels d√©di√©s au passage d’examen √† distance :
Certains dispositifs de t√©l√©surveillance n√©cessitent l’installation sur le terminal des candidats d’un logiciel d√©di√© ou d’une extension de navigateur. De tels dispositifs, par exemple un logiciel emp√™chant l’ouverture de toute application ou de toute page internet en dehors de ce qui est strictement n√©cessaire au passage de l’examen, peuvent avoir l’avantage de n’entra√ģner aucune collecte suppl√©mentaire de donn√©es √† caract√®re personnel (¬ę privacy by design ¬Ľ). Cependant, le responsable de traitement devrait s’assurer que ces dispositifs n’engendrent pas un traitement in√©gal entre les √©tudiants (par exemple si le logiciel √† installer n’est pas compatible avec certains ordinateurs, navigateurs ou syst√®mes d’exploitation). Il est √©galement imp√©ratif que soit garantie l’absence de r√©utilisation des donn√©es par l’√©diteur du logiciel.

Article 5

Sur le transfert de donn√©es en dehors du territoire de l’Union europ√©enne.
Le recours √† des sous-traitants, en particulier √©trangers, peut impliquer un transfert de donn√©es en dehors de l’Union europ√©enne. La CNIL rappelle que le transfert de donn√©es hors de l’Union europ√©enne (UE) et de l’Espace √©conomique europ√©en n’est possible qu’√† condition de s’assurer d’un niveau de protection des donn√©es suffisant et appropri√©. Ces transferts doivent √™tre encadr√©s en utilisant les outils juridiques pr√©vus par la r√©glementation.

Article 6

Sur la s√©curit√© des traitements de t√©l√©surveillance d’examen.
Le responsable de traitement doit, conform√©ment au principe de ¬ę privacy by design ¬Ľ, se rapprocher de son d√©l√©gu√© √† la protection des donn√©es en amont de la d√©cision de mettre en place tout dispositif de t√©l√©surveillance, afin d’identifier les mesures organisationnelles et techniques permettant de garantir un niveau de s√©curit√© adapt√© au traitement, conform√©ment √† l’article 32 du RGPD.
A ce titre, les donn√©es √† caract√®re personnel collect√©es doivent √™tre chiffr√©es √† l’aide d’algorithmes r√©put√©s forts, aussi bien durant leur transfert qu’au repos.
L’acc√®s en lecture aux donn√©es collect√©es doit par ailleurs √™tre restreint aux seules personnes ayant un int√©r√™t √† en conna√ģtre en raison de leurs fonctions (par exemple, les surveillants, les professeurs ou le conseil de discipline concern√©s). Cet acc√®s devrait avoir lieu depuis des locaux d√©di√©s et des terminaux sp√©cifiques √† la t√©l√©surveillance, afin de minimiser le risque de violation de donn√©es.
Les op√©rations de modification ou de suppression de donn√©es collect√©es dans le cadre de la t√©l√©surveillance d’examens devraient √™tre proscrites si elles concernent des proc√©dures disciplinaires ou contentieuses en cours. Elles devraient, par ailleurs, √™tre r√©serv√©es aux administrateurs du syst√®me d’information.
Une journalisation des acc√®s aux donn√©es √† caract√®re personnel doit √©galement √™tre mise en place, conform√©ment aux recommandations de la CNIL √† ce sujet (d√©lib√©ration n¬į 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative √† la journalisation). En effet, la journalisation participe, par sa capacit√© dissuasive, √† la s√©curit√© du traitement et au maintien de l’int√©grit√© des donn√©es collect√©es. Les journaux d’acc√®s aux donn√©es doivent disposer d’une dur√©e de conservation propre, g√©n√©ralement comprise entre six mois et un an.
Dans le cas o√Ļ le passage d’examen √† distance n√©cessite l’installation d’un logiciel sp√©cifique sur le terminal personnel des candidats, cette installation ne devrait pas engendrer de risques de s√©curit√©. Les logiciels n√©cessitant des privil√®ges √©lev√©s lors de leur utilisation ou la d√©sactivation des mesures de protection des terminaux (antivirus, par exemple) doivent ainsi √™tre √©vit√©s. Le responsable de traitement doit √©galement s’assurer que les terminaux peuvent √™tre facilement remis dans leur √©tat initial apr√®s le passage de l’examen ou √† la fin de l’ann√©e universitaire (d√©sinstallation du logiciel et suppression de toutes les traces et configurations laiss√©es par son installation). Les solutions dont le code source est librement accessible (open-source) devraient √™tre privil√©gi√©es et l’int√©grit√© du logiciel v√©rifi√©e avant toute collecte de donn√©es √† caract√®re personnel.
La présente délibération sera publiée au Journal officiel de la République française.

Date et signature(s)

La présidente,
M.-L. Denis