🟧 DĂ©libĂ©ration CNIL du 8 juin 2023 portant adoption d’une recommandation relative aux modalitĂ©s de mise en Ɠuvre des dispositifs de tĂ©lĂ©surveillance pour les examens en ligne

Références

NOR : CNIL2323406X
Source : JORF n°0203 du 2 septembre 2023, texte n° 63

En-tĂȘte

La Commission nationale de l’informatique et des libertĂ©s,
Vu le rĂšglement (UE) 2016/679 du parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractĂšre personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es) ;
Vu le code de l’Ă©ducation, notamment son article D. 611-12 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment son article 8-I-2°-b ;

Article

AprĂšs avoir entendu le rapport Mme Sylvie Robert, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertĂ©s a constatĂ©, notamment depuis la crise sanitaire liĂ©e au covid-19, l’augmentation du recours au passage d’examens Ă  distance sous forme numĂ©rique dans les Ă©tablissements d’enseignement supĂ©rieur publics et privĂ©s. Cette modalitĂ© d’examen s’accompagne du souhait par les Ă©tablissements de recourir Ă  des outils de tĂ©lĂ©surveillance afin d’organiser la validation des enseignements Ă  distance, telle qu’autorisĂ©e et encadrĂ©e depuis 2017.
En effet, l’article D. 611-12 du code de l’Ă©ducation prĂ©voit que les modalitĂ©s d’examen (en prĂ©sence ou Ă  distance, sous forme numĂ©rique ou non) doivent ĂȘtre arrĂȘtĂ©es dans chaque Ă©tablissement d’enseignement supĂ©rieur au plus tard Ă  la fin du premier mois de l’annĂ©e d’enseignement et ne peuvent ĂȘtre modifiĂ©es en cours d’annĂ©e. Ce mĂȘme article prĂ©voit que l’organisation d’examens Ă  distance sous forme numĂ©rique doit ĂȘtre garantie par : « 1° La vĂ©rification que le candidat dispose des moyens techniques lui permettant le passage effectif des Ă©preuves ; 2° La vĂ©rification de l’identitĂ© du candidat ; 3° La surveillance de l’Ă©preuve et le respect des rĂšgles applicables aux examens ».
Les établissements ayant recours à des outils de télésurveillance, par nature intrusifs, la CNIL rappelle les obligations qui découlent du RGPD et incite au respect de bonnes pratiques.
En prĂ©ambule, la Commission remarque que la validation des enseignements Ă  distance peut, dans une certaine mesure, porter atteinte au principe d’Ă©galitĂ© des chances entre les candidats en introduisant des biais socio-Ă©conomiques dans les conditions de leur Ă©valuation. En effet, un systĂšme d’enseignement et d’Ă©valuation Ă  distance entraĂźne la disparition du nivellement des conditions matĂ©rielles assurĂ© par la nĂ©cessitĂ© d’ĂȘtre prĂ©sent physiquement dans les lieux de l’Ă©preuve. Cela peut avoir pour consĂ©quence de pĂ©naliser les candidats rĂ©sidant en zone blanche, ou ne disposant pas d’une piĂšce au calme, d’un bureau, d’un ordinateur suffisamment performant, etc. DĂšs lors, de maniĂšre gĂ©nĂ©rale, et quel que soit le dispositif utilisĂ©, la tĂ©lĂ©surveillance devrait ĂȘtre exempte de tout biais discriminatoire quant Ă  l’origine des Ă©tudiants concernĂ©s. Il convient en particulier de prendre en compte la situation des personnes handicapĂ©es (par exemple avec un logiciel d’agrandissement et de lecture d’Ă©cran).
Par ailleurs, la mise en Ɠuvre d’une tĂ©lĂ©surveillance qui se voudrait aussi performante que la surveillance habituellement rĂ©alisĂ©e dans les locaux d’examen impliquerait le recours Ă  des moyens informatiques particuliĂšrement intrusifs. Il faut souligner que l’organisation d’une Ă©preuve Ă  distance conduit gĂ©nĂ©ralement l’Ă©tablissement Ă  surveiller un terminal informatique privĂ©, Ă  l’intĂ©rieur d’un local privĂ©. Par ailleurs, cette tĂ©lĂ©surveillance est nĂ©cessairement imparfaite, ne serait-ce que parce que le dispositif ne peut pas surveiller l’intĂ©gralitĂ© du local oĂč se trouve le candidat (notamment les toilettes).
A l’inverse, l’organisation d’examens Ă  distance peut avoir des consĂ©quences bĂ©nĂ©fiques, par exemple sur la diversitĂ© gĂ©ographique et sociale des candidats. Il arrive en effet que des candidats renoncent Ă  participer Ă  des Ă©preuves du fait de l’Ă©loignement gĂ©ographique du centre d’examen. L’organisation d’examen Ă  distance peut favoriser l’accĂšs Ă  la formation continue et Ă  la formation professionnelle. De mĂȘme, l’organisation d’Ă©preuves Ă  distance peut permettre Ă  un candidat d’obtenir certaines qualifications alors qu’il poursuit ses Ă©tudes ou effectue un stage dans une autre ville ou Ă  l’Ă©tranger. Elle peut Ă©galement faciliter le passage d’un examen pour un candidat en situation de handicap. Ainsi, l’organisation d’Ă©preuves Ă  distance peut s’avĂ©rer pertinente dans certains cas spĂ©cifiques, ou dans certains contextes particuliers (crise sanitaire notamment).
A ce titre, la Commission rappelle qu’il existe des modalitĂ©s d’examen compatibles avec une validation Ă  distance et permettant d’attester des compĂ©tences d’un Ă©tudiant sans recourir Ă  de la tĂ©lĂ©surveillance (mĂ©moire de fin d’Ă©tudes, soutenance de projet, etc.) ou permettant de limiter le caractĂšre intrusif du dispositif employĂ© (examen oral, examen Ă  livre ouvert, passage de l’examen dans des locaux dĂ©diĂ©s, etc.). Ces modalitĂ©s devraient ĂȘtre privilĂ©giĂ©es lorsque cela est possible.
Face Ă  l’absence d’encadrement spĂ©cifique des dispositifs de tĂ©lĂ©surveillance utilisĂ©s dans le cadre du passage d’examens ou de concours Ă  distance, qui relĂšve en partie de l’autonomie des Ă©tablissements d’enseignement, et dans l’objectif de garantir la conformitĂ© de ces dispositifs au rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) et Ă  la loi « Informatique et LibertĂ©s », de maintenir la confiance entre les Ă©tudiants et les Ă©tablissements d’enseignement supĂ©rieur et de favoriser les bonnes pratiques en matiĂšre d’inclusion numĂ©rique et de traitement de donnĂ©es Ă  caractĂšre personnel, la Commission Ă©met les recommandations suivantes.
Recommande :

Article 1

Principes gĂ©nĂ©raux sur le recours Ă  la tĂ©lĂ©surveillance d’examen.
La prĂ©sente recommandation concerne la mise en Ɠuvre de dispositifs de tĂ©lĂ©surveillance pour les examens en ligne pour tout type d’examen ou certification, organisĂ©e par un Ă©tablissement public ou un organisme privĂ©.
Un Ă©tablissement ou un organisme dĂ©cidant de recourir Ă  une solution de tĂ©lĂ©surveillance est responsable du traitement qui sera mis en Ɠuvre. Il lui incombe de se montrer vigilant en utilisant des solutions Ă©prouvĂ©es et rĂ©putĂ©es sĂ»res, et en testant en amont des Ă©preuves les dispositifs envisagĂ©s pour la tĂ©lĂ©surveillance dans les diffĂ©rents cas pouvant se prĂ©senter (faible bande passante entre le candidat et le serveur, perte temporaire de connexion Ă  internet du candidat, compatibilitĂ© avec les terminaux et systĂšmes d’exploitation utilisĂ©s par les candidats, etc.)
De plus, le recours Ă  des outils de tĂ©lĂ©surveillance doit respecter les principes du RGPD et de la loi « Informatique et LibertĂ©s », quelles que soient les technologies utilisĂ©es. A cet Ă©gard, l’Ă©tablissement doit se rapprocher de son dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es afin de s’assurer de la conformitĂ© du dispositif de tĂ©lĂ©surveillance Ă  la rĂšglementation relative Ă  la protection des donnĂ©es Ă  caractĂšre personnel.
Les principes suivants devront notamment ĂȘtre pris en compte :

– l’obligation d’information ;
– le respect des droits des personnes concernĂ©es, en particulier le droit d’accĂšs ;
– la limitation des traitements de donnĂ©es Ă  caractĂšre personnel Ă  des fins prĂ©cises et dĂ©terminĂ©es ;
– le principe de minimisation des donnĂ©es traitĂ©es ;
– le principe de sĂ©curitĂ© et de confidentialitĂ© des donnĂ©es ;
– le principe de proportionnalitĂ© et de pertinence ;
– la limitation de la durĂ©e de conservation des donnĂ©es ;
– la limitation des transferts de donnĂ©es en dehors du territoire de l’Union europĂ©enne selon les conditions dĂ©finies par le RGPD.

Concernant le devoir d’information, bien que l’article D. 611-12 du code de l’Ă©ducation dispose que les modalitĂ©s d’examen doivent ĂȘtre arrĂȘtĂ©es dans chaque Ă©tablissement d’enseignement supĂ©rieur au plus tard Ă  la fin du premier mois de l’annĂ©e d’enseignement, la Commission encourage vivement les Ă©tablissements Ă  communiquer les modalitĂ©s d’examen envisagĂ©es ainsi que les dispositifs susceptibles d’ĂȘtre employĂ©s pour la tĂ©lĂ©surveillance suffisamment Ă  l’avance pour permettre aux Ă©tudiants de faire leur choix de formation en toute connaissance de cause.
Au surplus, au regard des difficultĂ©s que peut prĂ©senter le passage d’examens Ă  distance (risque de dysfonctionnement du matĂ©riel, Ă©tudiant ne disposant pas du matĂ©riel nĂ©cessaire ou d’une connexion adaptĂ©e, modalitĂ©s d’examen non compatibles avec un handicap de l’Ă©tudiant, Ă©tudiant ne disposant pas d’un environnement adaptĂ© au passage de l’examen, etc.), les Ă©tablissements devraient informer leurs Ă©tudiants aussi tĂŽt que possible et de façon prĂ©cise sur les modalitĂ©s organisationnelles et techniques de passage des examens. Ils devraient envisager des mesures permettant de pallier ces difficultĂ©s (prĂȘt de matĂ©riel adaptĂ© par exemple) et prĂ©voir aussi souvent que possible une possibilitĂ© de passage de l’examen en prĂ©sentiel, Ă©tant prĂ©cisĂ© que l’organisation de deux modalitĂ©s distinctes pour passer l’examen devra respecter l’Ă©galitĂ© de traitement entre les candidats.
Il convient pour le responsable de traitement, avec l’appui du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es, le cas Ă©chĂ©ant, de procĂ©der Ă  une analyse et Ă  une rĂ©flexion prĂ©alables Ă  toute dĂ©cision d’organiser un examen Ă  distance impliquant une tĂ©lĂ©surveillance, en tenant compte des risques rĂ©els de fraude et des consĂ©quences de celle-ci, afin d’Ă©viter de recourir Ă  des outils excessivement intrusifs au regard de l’enjeu et des risques.
En tout Ă©tat de cause, et comme rappelĂ© ci-avant, l’accĂšs de l’Ă©tudiant Ă  ses donnĂ©es collectĂ©es dans le cadre de la tĂ©lĂ©surveillance doit toujours ĂȘtre garanti.
Par ailleurs, les responsables de traitement, ainsi que leurs éventuels sous-traitants, ne devraient pas utiliser les données pour une finalité autre que celle pour laquelle elles ont été collectées initialement.
Le recours Ă  l’Ă©valuation Ă  distance nĂ©cessitant la mise en Ɠuvre d’une tĂ©lĂ©surveillance ne doit pas constituer une alternative de confort destinĂ©e uniquement Ă  rendre moins contraignante ou moins coĂ»teuse pour l’Ă©tablissement l’organisation de la validation des compĂ©tences des candidats. Le dĂ©roulement des Ă©preuves dans un local soumis Ă  une surveillance humaine demeure souvent la façon la plus appropriĂ©e de garantir l’absence de fraude lors d’un examen.
Lorsqu’il est pertinent, le passage de certaines Ă©preuves Ă  distance devrait ĂȘtre une facultĂ© offerte aux Ă©tudiants et non une obligation. Ainsi, lorsqu’un Ă©tablissement dĂ©cide de recourir au passage d’un examen Ă  distance avec tĂ©lĂ©surveillance, la Commission recommande qu’une alternative en prĂ©sentiel soit systĂ©matiquement proposĂ©e aux candidats. L’organisation de deux modalitĂ©s de passage de l’examen doit se faire en respectant l’Ă©galitĂ© de traitement entre les candidats.
L’absence d’alternative en prĂ©sentiel devrait ĂȘtre rĂ©servĂ©e Ă  des cas spĂ©cifiques. Cela peut notamment ĂȘtre admis pendant une crise sanitaire. Par ailleurs, il existe des Ă©tablissements ayant fait du distanciel l’essence mĂȘme de leur organisation, qu’il s’agisse de l’enseignement des matiĂšres ou du passage d’examen. DĂšs lors, une mĂȘme apprĂ©ciation ne saurait s’appliquer uniformĂ©ment Ă  toutes les formations, et celles dont l’organisation est fondĂ©e exclusivement sur l’offre de cours et l’organisation d’examens Ă  distance devraient pouvoir maintenir ce modĂšle de fonctionnement. Les modalitĂ©s d’examen, et notamment de tĂ©lĂ©surveillance, devraient alors ĂȘtre connues des Ă©tudiants au moment de leur inscription Ă  la formation. L’information sur les modalitĂ©s d’examen pourra notamment ĂȘtre faite au moment oĂč l’Ă©tudiant se renseigne sur la formation.
Enfin, la Commission estime que le recours Ă  des outils de surveillance d’examens Ă  distance n’a pas vocation Ă  ĂȘtre plus efficace qu’une surveillance d’examens en prĂ©sentiel, ni mĂȘme Ă  garantir un niveau de surveillance Ă©quivalent.

Article 2

Sur la base légale.
Les bases lĂ©gales appropriĂ©es permettant de fonder les traitements de donnĂ©es impliquĂ©s dans la tĂ©lĂ©surveillance d’examens Ă  distance doivent ĂȘtre dĂ©terminĂ©es dans les conditions prĂ©vues Ă  l’article 6 du RGPD.
Les Ă©tablissements d’enseignement supĂ©rieur qui poursuivent une mission d’intĂ©rĂȘt public, peuvent se fonder sur l’exĂ©cution d’une mission d’intĂ©rĂȘt public au sens du e du 1 d l’article 6 du RGPD.
Par ailleurs, en cas d’absence de dispositions lĂ©gales permettant de recourir au e du 1 de l’article 6 du RGPD, les Ă©tablissements ont la possibilitĂ© de fonder les traitements de tĂ©lĂ©surveillance d’examen sur le contrat, au sens du b du 1. de l’article 6 du RGPD, Ă  condition que les modalitĂ©s d’examen soient fixĂ©es dans celui-ci, et donc connues de l’Ă©tudiant avant son inscription.
Les autres bases lĂ©gales apparaissent moins appropriĂ©es pour l’organisation d’examen. Le consentement nĂ©cessite qu’une alternative en prĂ©sentiel soit proposĂ©e au candidat, sans consĂ©quence nĂ©gative pour lui s’il la choisit. En outre, le consentement doit pouvoir ĂȘtre retirĂ©, ce qui implique que le candidat puisse modifier son choix. De mĂȘme, l’intĂ©rĂȘt lĂ©gitime implique la possibilitĂ© de s’opposer au traitement, ce qui apparaĂźt difficile Ă  gĂ©rer dans le cadre de l’organisation d’un examen.

Article 3

Sur l’application de l’article 82 de la loi « Informatique et LibertĂ©s ».
L’article 82 de la loi « Informatique et LibertĂ©s » impose, pour les opĂ©rations de lecture/Ă©criture sur l’Ă©quipement terminal de l’utilisateur d’un service via un rĂ©seau de tĂ©lĂ©communications ouvert au public, de recueillir le consentement de l’utilisateur, sauf « si l’accĂšs aux informations stockĂ©es dans l’Ă©quipement terminal de l’utilisateur ou l’inscription d’informations dans l’Ă©quipement terminal de l’utilisateur :

« – soit, a pour finalitĂ© exclusive de permettre ou faciliter la communication par voie Ă©lectronique ;
« – soit, est strictement nĂ©cessaire Ă  la fourniture d’un service de communication en ligne Ă  la demande expresse de l’utilisateur ».

Comme Ă©noncĂ© dans la FAQ « Cookies et autres traceurs », les dispositifs mis en Ɠuvre sur des rĂ©seaux inaccessibles au public, comme des intranets ou des extranets reposant sur un rĂ©seau privĂ© virtuel (VPN), ne sont a priori pas soumis Ă  cet article.
Les responsables de traitement devront analyser si les solutions techniques envisagĂ©es pour l’organisation d’examens Ă  distance relĂšvent de cet article.
En l’espĂšce, le recueil d’un consentement au sens du RGPD au dĂ©but de l’examen semble difficilement compatible avec le passage de l’examen, qui ne peut se tenir sans surveillance. Dans le cas oĂč l’article 82 est applicable, le candidat doit ĂȘtre informĂ© de ce que la connexion Ă  la plateforme d’examen en ligne peut nĂ©cessiter certaines formes de tĂ©lĂ©surveillance, conformĂ©ment Ă  l’article D. 611-12 du code de l’Ă©ducation. Les modalitĂ©s de tĂ©lĂ©surveillance utilisĂ©es et la nature des donnĂ©es collectĂ©es devraient ĂȘtre rappelĂ©es avant la connexion Ă  la plateforme.
Dans ces conditions, il pourra ĂȘtre considĂ©rĂ© que les opĂ©rations de lecture et d’Ă©criture dans le terminal du candidat qui demande Ă  accĂ©der au service de communication en ligne permettant de passer l’Ă©preuve Ă  distance, sont strictement nĂ©cessaires Ă  sa fourniture.

Article 4

Sur la proportionnalitĂ© des technologies utilisĂ©es pour prĂ©venir les fraudes Ă  l’examen.
Observations générales applicables à tous les dispositifs :
Les Ă©tablissements d’enseignement supĂ©rieur doivent procĂ©der Ă  une analyse prĂ©alable de la proportionnalitĂ© des dispositifs envisagĂ©s, en associant si possible les responsables pĂ©dagogiques, les reprĂ©sentants des Ă©tudiants et, le cas Ă©chĂ©ant, le dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es. Cette analyse devrait tenir compte notamment compte de la nature, de la durĂ©e, et de l’importance des examens concernĂ©s. Un test des dispositifs envisagĂ©s devrait ĂȘtre effectuĂ© en amont de l’examen sur un panel reprĂ©sentatif du matĂ©riel utilisĂ© par les candidats aux Ă©preuves.
Au regard du caractĂšre intrusif des dispositifs de tĂ©lĂ©surveillance, le responsable du traitement devra rĂ©aliser, conjointement avec son dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es, et avant la mise en Ɠuvre du traitement, une analyse d’impact relative Ă  la protection des donnĂ©es (AIPD), Ă  moins que le dispositif utilisĂ© n’engendre pas de risques Ă©levĂ©s pour les droits et libertĂ©s des Ă©tudiants.
Sur l’analyse de la proportionnalitĂ© des dispositifs de tĂ©lĂ©surveillance :
L’analyse de l’efficacitĂ© et de la proportionnalitĂ© d’un dispositif de tĂ©lĂ©surveillance d’examen doit se faire globalement et non mesure par mesure. A cet Ă©gard, un dispositif ne permettant pas de prĂ©venir efficacement la fraude apparait par nature disproportionnĂ©. En outre, si un juste Ă©quilibre ne peut ĂȘtre trouvĂ© entre efficacitĂ© de la tĂ©lĂ©surveillance et intrusivitĂ© du dispositif employĂ©, il faudrait envisager d’organiser l’Ă©preuve en prĂ©sentiel ou de privilĂ©gier une autre forme d’examen. A cet Ă©gard, il faut souligner que le choix du type d’Ă©preuve (composition ou QPC, questions identiques pour tous les candidats ou non, temps accordĂ© pour rĂ©pondre Ă  chaque question, etc.) constitue l’un des Ă©lĂ©ments Ă  mobiliser pour Ă©viter les fraudes.
Par ailleurs, en vertu du principe de proportionnalitĂ©, le choix des outils de tĂ©lĂ©surveillance doit s’apprĂ©cier au regard du contexte et de l’enjeu de l’Ă©preuve. A titre d’exemple, une surveillance renforcĂ©e parait appropriĂ©e pour le passage d’un concours d’entrĂ©e dans une Ă©cole. En revanche, un examen prĂ©sentant un enjeu faible, dans le processus de validation de la formation d’un Ă©tudiant, tel qu’un examen blanc, devrait ĂȘtre effectuĂ© sans tĂ©lĂ©surveillance.
Au regard de ce qui précÚde, les modalités suivantes semblent proportionnées pour des examens nécessitant une télésurveillance renforcée :

– la tĂ©lĂ©surveillance vidĂ©o et audio du candidat en temps rĂ©el pendant la durĂ©e de l’examen par les personnes chargĂ©es de la tĂ©lĂ©surveillance, sans conservation des donnĂ©es, sauf en cas de suspicion de fraude ;
– la tĂ©lĂ©surveillance de l’activitĂ© du candidat en temps rĂ©el via un partage d’Ă©cran, sans conservation des donnĂ©es, sauf en cas de suspicion de fraude ;
– le contrĂŽle de l’activitĂ© du candidat via une plateforme en ligne permettant de dĂ©tecter voire de bloquer l’accĂšs Ă  d’autres onglets ;
– la vĂ©rification ponctuelle en dĂ©but d’Ă©preuve de l’environnement de l’Ă©tudiant via sa camĂ©ra par une personne chargĂ©e de la tĂ©lĂ©surveillance sans conservation de donnĂ©es, sauf en cas de suspicion de fraude ;

Sur les dispositifs de télésurveillance procédant à des analyses automatiques :
Certains dispositifs de tĂ©lĂ©surveillance proposent d’avoir recours Ă  l’analyse automatique, soit de l’environnement du candidat (dĂ©tection d’un niveau sonore anormal, de la prĂ©sence d’une tierce personne dans la piĂšce, etc.), soit de son comportement (frĂ©quence de frappe, direction du regard, Ă©motions, etc.).
Ces dispositifs prĂ©sentent un caractĂšre particuliĂšrement intrusif. Par ailleurs, il est ressorti des travaux menĂ©s par la CNIL et de la consultation qu’elle a effectuĂ©e que ceux de ces dispositifs qui cherchent Ă  repĂ©rer des comportements du candidat s’apparentant Ă  de la fraude prĂ©sentent un risque Ă©levĂ© de faux positifs. Cela peut nuire au bon dĂ©roulement de l’examen et parfois troubler les Ă©tudiants, qui risquent de se focaliser sur l’adoption d’un comportement « normal » face Ă  l’outil de tĂ©lĂ©surveillance plutĂŽt que de se concentrer sur l’examen. Par consĂ©quent, eu Ă©gard au principe de nĂ©cessitĂ© et de proportionnalitĂ©, la CNIL recommande de ne pas recourir Ă  des dispositifs de tĂ©lĂ©surveillance procĂ©dant Ă  des analyses automatiques du comportement des candidats.
En revanche, les dispositifs repĂ©rant certains Ă©vĂ©nements dans l’environnement du candidat (comme l’entrĂ©e d’une tierce personne dans la piĂšce oĂč il passe l’examen) apparaissent plus fiables et moins intrusifs. Au cas par cas, lorsque le nombre de candidats est important, il peut ĂȘtre envisagĂ© de recourir Ă  des dispositifs d’analyse automatique de l’environnement du candidat, Ă  condition que ce dispositif soit suffisamment fiable. Ces dispositifs ne doivent jamais conduire Ă  une dĂ©cision automatique ayant un effet immĂ©diat pour le candidat : leur seul rĂŽle est d’attirer l’attention d’un surveillant sur une situation potentiellement anormale ; conformĂ©ment Ă  l’article 22 du RGPD, il est nĂ©cessaire qu’une vĂ©rification humaine ait lieu systĂ©matiquement avant toute dĂ©cision ou modification des conditions d’examen du candidat afin de confirmer la suspicion de fraude.
Un Ă©tablissement souhaitant recourir Ă  ces dispositifs devrait rĂ©aliser des tests prĂ©alables afin d’en vĂ©rifier la fiabilitĂ© et documenter la nĂ©cessitĂ© de ce dispositif pour l’examen concernĂ©.
Ainsi, Ă  titre d’exemple, un examen ne devrait pas ĂȘtre interrompu, pour un candidat, en raison de la seule dĂ©tection automatique d’un niveau sonore anormal. En revanche, il peut ĂȘtre proportionnĂ© d’alerter un surveillant qu’un niveau sonore anormal a Ă©tĂ© mesurĂ© et de lui proposer de rĂ©Ă©couter cet Ă©vĂ©nement, notamment lorsque le nombre d’Ă©tudiants Ă  surveiller en mĂȘme temps est important.
Sur les dispositifs de télésurveillance procédant à une collecte incidente de données :
Certains dispositifs prĂ©sentent un risque de collecte incidente de donnĂ©es Ă  caractĂšre personnel concernant les candidats, leurs proches ou leur environnement. Les Ă©tablissements doivent informer les Ă©tudiants sur ces risques et sur les moyens d’Ă©viter une telle collecte, en leur conseillant notamment de s’isoler, dans la mesure du possible, dans une piĂšce calme et neutre, de façon Ă  ne pas porter atteinte au droit Ă  la vie privĂ©e des autres personnes qui pourraient se trouver dans la piĂšce.
Sur les dispositifs de vĂ©rification de l’identitĂ© du candidat comportant un traitement de donnĂ©es biomĂ©triques :
Les Ă©tablissements organisant des examens Ă  distance ont l’obligation vĂ©rifier l’identitĂ© des candidats, conformĂ©ment au cadre juridique portant sur l’organisation des Ă©preuves.
La vĂ©rification de l’identitĂ© du candidat peut ĂȘtre opĂ©rĂ©e par un rapprochement documentaire effectuĂ© par un surveillant lors d’un entretien en visioconfĂ©rence. Par ailleurs, le recours Ă  un dispositif de vĂ©rification automatisĂ© Ă  distance, par comparaison d’un justificatif d’identitĂ© avec le visage du candidat peut parfois ĂȘtre justifiĂ©, notamment si le nombre d’Ă©tudiants est trĂšs important.
Ce dispositif conduit Ă  traiter des donnĂ©es biomĂ©triques au sens de l’article 9 du RGPD et pourrait ĂȘtre mis en Ɠuvre :

– soit en demandant le consentement des personnes concernĂ©es ; une alternative doit alors ĂȘtre disponible (il peut ĂȘtre proposĂ© aux candidats de se rendre sur la session d’examen en ligne en avance afin de laisser au surveillant le temps de procĂ©der Ă  un rapprochement documentaire, par exemple) ;
– soit s’il est fondĂ© sur un motif d’intĂ©rĂȘt public important g du 2 de l’article 9 du RGPD). Il doit alors ĂȘtre strictement encadrĂ© par un texte et une intervention humaine doit ĂȘtre possible en cas de difficultĂ© de l’Ă©tudiant Ă  s’authentifier.

A cet Ă©gard, le recours Ă  des traitements biomĂ©triques de vĂ©rification d’identitĂ©, dans le cadre de l’application des a et g du 2 de l’article 9 du RGPD, devrait rĂ©pondre aux conditions cumulatives suivantes :

– une seule vĂ©rification d’identitĂ© est effectuĂ©e avant ou pendant l’examen ;
– l’examen concerne un nombre d’Ă©tudiants trĂšs important compte tenu de la nature de l’Ă©preuve (par exemple, une certification obligatoire concernant tous les Ă©tudiants d’un Ă©tablissement) rendant difficile la vĂ©rification individuelle par les surveillants ;
– une alternative est toujours disponible (par exemple, un rapprochement documentaire effectuĂ© par un surveillant lors d’un entretien en ligne individuel) pour les candidats ne pouvant pas ou ne parvenant pas Ă  obtenir un contrĂŽle automatique de leur identitĂ© ;
– dans la mesure oĂč le consentement de l’Ă©tudiant serait recueilli au moment du dĂ©clenchement du dispositif, l’Ă©tablissement devra informer en amont (par exemple, quelques semaines avant l’Ă©preuve) des modalitĂ©s prĂ©cises du recueil du consentement de l’Ă©tudiant portant sur le recours Ă  la reconnaissance faciale pour la vĂ©rification d’identitĂ©.

Ce type de dispositif ne doit, en aucun cas, conduire Ă  la constitution de bases de donnĂ©es de gabarits biomĂ©triques au sein des Ă©tablissements d’enseignement supĂ©rieur ou des prestataires de tĂ©lĂ©surveillance d’examens. Le recours Ă  des prestataires spĂ©cialisĂ©s dans la vĂ©rification d’identitĂ© Ă  distance, conformĂ©ment aux recommandations de la CNIL, devrait ĂȘtre privilĂ©giĂ©.
Les dispositifs comportant un traitement de donnĂ©es biomĂ©trique ne devraient ĂȘtre mis en Ɠuvre pour d’autres fins que celles visant la vĂ©rification d’identitĂ©.
Sur la conservation des données collectées par les dispositifs de télésurveillance :
Lorsque les dispositifs envisagĂ©s pour la tĂ©lĂ©surveillance d’examens Ă  distance conduisent Ă  une conservation de donnĂ©es Ă  caractĂšre personnel, le responsable de traitement, le cas Ă©chĂ©ant avec son dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es, doit fixer, avant sa mise en Ɠuvre, les conditions d’accĂšs Ă  ces donnĂ©es et leur durĂ©e de conservation ou les critĂšres permettant de la dĂ©finir, en fonction du type d’information enregistrĂ©e et de la finalitĂ© du traitement.
En cas de suspicion de fraude, la durĂ©e de conservation des donnĂ©es ne devrait pas excĂ©der les dĂ©lais lĂ©gaux des procĂ©dures disciplinaire ou contentieuse qui pourraient ĂȘtre engagĂ©es, et qui est en principe de deux mois.
Sur les dispositifs nĂ©cessitant l’installation de logiciels dĂ©diĂ©s au passage d’examen Ă  distance :
Certains dispositifs de tĂ©lĂ©surveillance nĂ©cessitent l’installation sur le terminal des candidats d’un logiciel dĂ©diĂ© ou d’une extension de navigateur. De tels dispositifs, par exemple un logiciel empĂȘchant l’ouverture de toute application ou de toute page internet en dehors de ce qui est strictement nĂ©cessaire au passage de l’examen, peuvent avoir l’avantage de n’entraĂźner aucune collecte supplĂ©mentaire de donnĂ©es Ă  caractĂšre personnel (« privacy by design »). Cependant, le responsable de traitement devrait s’assurer que ces dispositifs n’engendrent pas un traitement inĂ©gal entre les Ă©tudiants (par exemple si le logiciel Ă  installer n’est pas compatible avec certains ordinateurs, navigateurs ou systĂšmes d’exploitation). Il est Ă©galement impĂ©ratif que soit garantie l’absence de rĂ©utilisation des donnĂ©es par l’Ă©diteur du logiciel.

Article 5

Sur le transfert de donnĂ©es en dehors du territoire de l’Union europĂ©enne.
Le recours Ă  des sous-traitants, en particulier Ă©trangers, peut impliquer un transfert de donnĂ©es en dehors de l’Union europĂ©enne. La CNIL rappelle que le transfert de donnĂ©es hors de l’Union europĂ©enne (UE) et de l’Espace Ă©conomique europĂ©en n’est possible qu’Ă  condition de s’assurer d’un niveau de protection des donnĂ©es suffisant et appropriĂ©. Ces transferts doivent ĂȘtre encadrĂ©s en utilisant les outils juridiques prĂ©vus par la rĂ©glementation.

Article 6

Sur la sĂ©curitĂ© des traitements de tĂ©lĂ©surveillance d’examen.
Le responsable de traitement doit, conformĂ©ment au principe de « privacy by design », se rapprocher de son dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es en amont de la dĂ©cision de mettre en place tout dispositif de tĂ©lĂ©surveillance, afin d’identifier les mesures organisationnelles et techniques permettant de garantir un niveau de sĂ©curitĂ© adaptĂ© au traitement, conformĂ©ment Ă  l’article 32 du RGPD.
A ce titre, les donnĂ©es Ă  caractĂšre personnel collectĂ©es doivent ĂȘtre chiffrĂ©es Ă  l’aide d’algorithmes rĂ©putĂ©s forts, aussi bien durant leur transfert qu’au repos.
L’accĂšs en lecture aux donnĂ©es collectĂ©es doit par ailleurs ĂȘtre restreint aux seules personnes ayant un intĂ©rĂȘt Ă  en connaĂźtre en raison de leurs fonctions (par exemple, les surveillants, les professeurs ou le conseil de discipline concernĂ©s). Cet accĂšs devrait avoir lieu depuis des locaux dĂ©diĂ©s et des terminaux spĂ©cifiques Ă  la tĂ©lĂ©surveillance, afin de minimiser le risque de violation de donnĂ©es.
Les opĂ©rations de modification ou de suppression de donnĂ©es collectĂ©es dans le cadre de la tĂ©lĂ©surveillance d’examens devraient ĂȘtre proscrites si elles concernent des procĂ©dures disciplinaires ou contentieuses en cours. Elles devraient, par ailleurs, ĂȘtre rĂ©servĂ©es aux administrateurs du systĂšme d’information.
Une journalisation des accĂšs aux donnĂ©es Ă  caractĂšre personnel doit Ă©galement ĂȘtre mise en place, conformĂ©ment aux recommandations de la CNIL Ă  ce sujet (dĂ©libĂ©ration n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative Ă  la journalisation). En effet, la journalisation participe, par sa capacitĂ© dissuasive, Ă  la sĂ©curitĂ© du traitement et au maintien de l’intĂ©gritĂ© des donnĂ©es collectĂ©es. Les journaux d’accĂšs aux donnĂ©es doivent disposer d’une durĂ©e de conservation propre, gĂ©nĂ©ralement comprise entre six mois et un an.
Dans le cas oĂč le passage d’examen Ă  distance nĂ©cessite l’installation d’un logiciel spĂ©cifique sur le terminal personnel des candidats, cette installation ne devrait pas engendrer de risques de sĂ©curitĂ©. Les logiciels nĂ©cessitant des privilĂšges Ă©levĂ©s lors de leur utilisation ou la dĂ©sactivation des mesures de protection des terminaux (antivirus, par exemple) doivent ainsi ĂȘtre Ă©vitĂ©s. Le responsable de traitement doit Ă©galement s’assurer que les terminaux peuvent ĂȘtre facilement remis dans leur Ă©tat initial aprĂšs le passage de l’examen ou Ă  la fin de l’annĂ©e universitaire (dĂ©sinstallation du logiciel et suppression de toutes les traces et configurations laissĂ©es par son installation). Les solutions dont le code source est librement accessible (open-source) devraient ĂȘtre privilĂ©giĂ©es et l’intĂ©gritĂ© du logiciel vĂ©rifiĂ©e avant toute collecte de donnĂ©es Ă  caractĂšre personnel.
La présente délibération sera publiée au Journal officiel de la République française.

Date et signature(s)

La présidente,
M.-L. Denis