7 min. de lecture

Conformité CNIL pour la télésurveillance des examens

Légal
Par Viktoria Schenk 23 août 2024
En septembre 2023, la Commission Nationale de l’Informatique et des Libertés (CNIL) a émis des recommandations pour la télésurveillance des examens en ligne afin de protéger les données personnelles des candidats. Ce document établit un cadre de bonnes pratiques visant à respecter les droits des étudiants tout en garantissant l’intégrité des examens, en conformité avec le Règlement Général sur la Protection des Données (RGPD). Cette thématique est un enjeu primordial pour Evaluo, qui s’est engagé dès ses débuts afin d’être capable de proposer des solutions 100% conformes et respectueuses des droits de chacun des utilisateurs.
Vous pouvez d’ailleurs retrouver nos engagements juste ici :

Ces recommandations mettent en lumière l’équilibre à trouver entre surveillance nécessaire et respect des droits fondamentaux. Cette juste proportionnalité des moyens n’est pas toujours si simple à trouver, entre le fonctionnement parfois opaque de certaines solutions et la complexité juridique de ces sujets relativement nouveaux. Aussi, nous vous proposons un bref résumé des principaux points de contrôle évoqués dans la recommandation de la CNIL sur la télésurveillance des examens en ligne.
Et pour encore plus de clarté, vous trouverez également une carte mentale récapitulative en fin d’article pour ne rien oublier 😉

En bref

Résumé de la délibération sur la télésurveillance des examens en ligne

  • La CNIL a adopté une recommandation sur la télésurveillance des examens en ligne.
  • Les établissements doivent respecter le RGPD et informer les étudiants des modalités d’examen.
  • La télésurveillance doit être proportionnée et éviter les biais discriminatoires.
  • Des alternatives en présentiel doivent être proposées lorsque possible.
  • Les données personnelles doivent être protégées et leur conservation limitée.
  • Les dispositifs intrusifs, notamment ceux utilisant des analyses automatiques, sont déconseillés.
Recommandations de la Commission sur les examens à distance

Quelles sont les recommandations de la Commission concernant le passage d'examens à distance ?

La CNIL formule plusieurs recommandations pour la mise en place d’examens à distance afin de garantir la protection des droits des étudiants :

  • Alternatives en présentiel : Les établissements doivent proposer systématiquement une option de passage d’examen en présentiel lorsque des examens à distance avec télésurveillance sont organisés. Cela permet aux étudiants n’ayant pas accès à un environnement adéquat de passer leurs épreuves dans des conditions justes.
  • Information préalable : Les modalités de surveillance des examens doivent être communiquées aux étudiants bien avant la date de l’examen. Cette transparence permet aux candidats de prendre des décisions éclairées sur leur participation aux examens.
  • Mesures d’accompagnement : Pour compenser les éventuelles inégalités d’accès aux équipements numériques ou à Internet, la CNIL encourage les établissements à mettre en place des dispositifs d’aide comme le prêt de matériel ou l’accès à des locaux adaptés.
Mise en œuvre de la télésurveillance conforme au RGPD

Comment la télésurveillance doit-elle être mise en œuvre pour respecter le RGPD ?

La mise en œuvre de la télésurveillance doit répondre aux exigences du RGPD pour assurer la protection des données personnelles :
  • Consultation du Délégué à la Protection des Données (DPD) : Avant d’implémenter un dispositif de télésurveillance, l’établissement doit consulter son délégué à la protection des données pour garantir la conformité.
  • Sécurité des données : Toutes les données personnelles collectées doivent être chiffrées, que ce soit durant leur transfert ou lors de leur stockage. Des mesures de sécurité techniques et organisationnelles appropriées doivent être mises en place pour éviter tout accès non autorisé.
  • Limitation des traitements : Les données collectées ne doivent être utilisées que pour les finalités définies initialement. Les étudiants doivent avoir accès à leurs données et être informés de l’usage qui en est fait.
Modalités de vérification de l'identité des candidats

Quelles sont les modalités de vérification de l'identité des candidats lors des examens à distance ?

Pour garantir que le bon candidat participe à l’examen, chez Evaluo nous dédions systématiquement des surveillants à cette tâche. L’identité des candidats est donc vérifiée manuellement soit en amont de l’épreuve dans le cas d’un examen en ligne en direct soit en vérification post examen lors d’un examen en différé.
Cependant, la CNIL propose plusieurs méthodes de vérification d’identité :

  • Rapprochement documentaire : Un surveillant peut vérifier l’identité du candidat par un entretien en visioconférence en comparant un justificatif d’identité.
  • Dispositif automatisé : Dans le cas d’examens à grande échelle, une vérification automatisée peut être utilisée pour comparer le justificatif d’identité au visage du candidat mais cela n’est pas recommandé. Cette méthode doit cependant être accompagnée d’une alternative manuelle pour les candidats qui en feraient la demande.
  • Consentement et alternatives : Les candidats doivent donner leur consentement pour ces vérifications, et ceux qui ne souhaitent pas utiliser les dispositifs automatisés doivent pouvoir bénéficier d’une alternative équitable.
Protection des données personnelles des candidats

Comment la CNIL propose-t-elle de protéger les données personnelles des candidats durant les examens à distance ?

La protection des données personnelles des candidats est une priorité pour la CNIL, qui recommande plusieurs mesures :

  • Information des étudiants : Les établissements doivent informer les candidats des risques de collecte incidente de données personnelles et des moyens d’éviter cette collecte. Ils doivent également communiquer sur la nature des données collectées, les finalités de cette collecte, et les risques associés.
  • Limitation de la conservation des données : La conservation des données doit être limitée au strict nécessaire. Sauf en cas de suspicion de fraude, aucune donnée ne doit être conservée au-delà de la durée nécessaire à l’examen.
  • Consentement et alternatives : Lors d’un examen en ligne avec télésurveillance, le consentement des candidats est obligatoire, et une méthode alternative doit être proposée pour ceux qui refusent. Idem pour l’utilisation de données biométriques, notamment lors de la vérification de l’identité des candidats.
Contribution de la journalisation à la sécurité du traitement

Comment la journalisation des accès aux données personnelles contribue-t-elle à la sécurité du traitement ?

La journalisation des données est l’ensemble du processus qui consiste à stocker et traiter les données personnelles, d’assurer une traçabilité des accès et des actions des différentes personnes accédant aux systèmes d’informations.
La CNIL insiste sur son importance pour renforcer la sécurité et la traçabilité des traitements :

  • Capacité dissuasive : La journalisation des accès aux données personnelles agit comme un moyen dissuasif contre les accès non autorisés.
  • Suivi des accès : Elle permet de suivre et d’enregistrer qui a accédé aux données, renforçant ainsi la traçabilité et la responsabilité.
  • Intégrité des données : En permettant une vérification continue, la journalisation aide à maintenir l’intégrité et la confidentialité des données collectées.
Risques associés aux dispositifs de télésurveillance

Quels sont les risques associés aux dispositifs de télésurveillance lors des examens ?

Plusieurs risques sont associés à la télésurveillance et sont notamment accrus par l’utilisation d’intelligence artificielle :

  • Faux positifs : Les dispositifs automatisés peuvent générer des alertes injustifiées, perturbant les étudiants. C’est pourquoi il est primordial qu’une vérification humaine soit mise en place en plus des alertes automatiques.
  • Intrusion dans la vie privée : La surveillance permanente peut être perçue comme une atteinte à la vie privée, impactant le confort des candidats.
  • Discrimination : Il existe un risque de biais discriminatoire, concernant notamment les étudiants en situation de handicap ou sans accès à un environnement d’examen adapté. Là encore, une surveillance humaine semble indispensable.
Encadrement du transfert de données par la CNIL

Comment la CNIL encadre-t-elle le transfert de données en dehors de l'Union européenne ?

Pour les transferts de données hors de l’Union européenne, la CNIL impose plusieurs exigences :

  • Niveau de protection suffisant : Les transferts ne sont autorisés que si le pays de destination offre un niveau de protection adéquat des données personnelles.
  • Outils juridiques : Les transferts doivent être encadrés par des outils tels que des clauses contractuelles types ou des décisions d’adéquation de la Commission européenne.
  • Surveillance des sous-traitants : La CNIL insiste sur la nécessité de s’assurer que les sous-traitants respectent également ces exigences de protection des données.

En conclusion, les recommandations de la CNIL sur la télésurveillance des examens à distance soulignent l’importance de concilier les nécessités de surveillance avec le respect des droits des candidats. Les établissements d’enseignement sont encouragés à mettre en œuvre ces directives pour garantir la conformité et protéger les droits des étudiants tout en assurant la sécurité des évaluations en ligne. Les recommandations formulées visent à garantir la sécurité des données personnelles tout en minimisant l’intrusion des dispositifs de télésurveillance. Il est essentiel que les établissements d’enseignement supérieur et les certificateurs mettent en œuvre ces directives pour assurer la conformité avec la législation en vigueur et protéger les droits des apprenants.

En clair

Téléchargez la carte mentale des recommandations pour une vision plus claire

Nous vous avons concocté une carte mentale pour vous aider à y voir encore plus clair et récapituler tous les points abordés dans cette recommandation de la CNIL pour la télésurveillance d’examen en ligne :