La France s’est lancée dans un ambitieux projet de Plan Numérique à l’école et Microsoft France a souhaité apporter son soutien aux acteurs de l’e-Education. Un partenariat a alors été conclu entre ce dernier et le Ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche (ci après dénommé « Ministère de l’éducation nationale »).
Un premier recours en suspension provisoire contre ce partenariat a été intenté auprès du juge des référés du Tribunal de Grande Instance de Paris en aout 2016. Plusieurs associations, regroupées au sein du collectif EduNathon, sont à l’origine de ce recours estimant que le partenariat était entaché d’illicéité. Cependant, à défaut de preuve de la condition d’urgence ainsi que du caractère illicite du partenariat, le juge a débouté l’ensemble des associations et celles-ci n’ont obtenu qu’un état de l’exécution du contrat de partenariat et la réponse à plusieurs de leurs questions.
Le 3 novembre 2016, le collectif EduNathon traine le partenariat devant la Commission Nationale de l’Informatique et des Libertés (CNIL) ainsi que devant le Ministère de l’Education Nationale ciblant, cette fois, la question des données personnelles. Dès sa conclusion, le partenariat prévoyait « l’adhésion à une « charte de confiance » en cours de rédaction sous l’égide des services de l’Etat permettant d’assurer la protection de la vie privée et des données personnelles des élèves et des enseignants ». Ce point pose aujourd’hui problème étant donné qu’aucune démarche des parties ne permet de traduire l’exécution de cette charte de confiance.
Pourtant, un tel texte est d’une grande nécessité au vu des programmes prévus dans les autres axes du partenariat. En effet, via l’adhésion à plusieurs services Microsoft, les données des élèves et des enseignants se trouvent largement exploitées. De plus, dans sa lettre adressée à la Commission Nationale de l’Informatique et des Libertés, le collectif EduNathon souligne que
La seconde lettre adressée au Ministère de l’éducation nationale insiste sur le fait que ce sujet est d’autant plus délicat qu’il concerne des données personnelles dites sensibles parce que les risques portant sur l’exploitation et le stockage des données visent notamment les données personnelles d’enfants.
C’est pourquoi, dans ces deux lettres, EduNathon insiste sur la nécessité d’élaborer et de valider la « charte de confiance ». Il exprime également sa volonté de connaître le contenu de la charte ainsi que sa conformité aux recommandations de la Commission Nationale de l’Informatique et des Libertés en matière de données personnelles. Cette dernière a rédigé un guide sur la sécurité des données personnelles s’adressant « à tout responsable de traitement ainsi qu’à toute personne disposant d’un minimum de connaissances informatiques et souhaitant évaluer le niveau de sécurité dont doit bénéficier tout traitement de données à caractère personnel ».
La Commission renvoie à la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 qui établit le cadre légal à respecter dans ce domaine. L’article 34 de la loi impose au responsable du traitement
« de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ».
A l’heure actuelle, la charte serait toujours en négociation entre les différents acteurs et, une fois rédigée, sa conformité devra être évaluée au regard de la législation sous peine de voir une nouvelle action intentée contre le partenariat.