cnil_gibii.htm                                                   Jacques MAUGER                        9/03/2005

Document de travail, soumis à discussion.

Problèmes juridiques liés à Gibii et plus généralement à l'emploi de la base GEP.

Les interlocuteurs TICE, dans le cadre de l'emploi de Gibii ou de IACA, peuvent être amenés à utiliser la base GEP. Certains ont fait eux-mêmes des extractions de champs de la base GEP afin d'alimenter IACA ou Gibii. La même situation peut se produire avec d'autres applications intranet ou extranet utilisant des données nominatives extraites des fichiers de gestion de l'établissement. Dans certains cas, il semblerait que l'intégralité de la base GEP ait été sortie physiquement de l'établissement. Dans au moins un cas, un interlocuteur TICE s'est vu reprocher par son chef d'établissement le fait d'avoir accédé à la base GEP pour en extraire des données pour Gibii.

Quelques remarques pour situer le problème

• La base GEP contient des données nominatives protégées par la loi "Informatique & Libertés" (voir ci-dessous le document loi78_17.pdf). Les fichiers contenant ces données doivent être déclarés. Les traitements automatisés d'informations nominatives sont strictement réglementés. De toute évidence, Gibii fait du traitement automatisé d'informations nominatives.
• La norme simplifiée n°29 (voir les références ci-dessous) "concernant les traitements automatisés d'informations nominatives relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d'enseignement secondaire du secteur public et privé" inclut la gestion des notes.
  
• Le document cnil_clg_lacroix.pdf disponible sur le site de la CNIL donne un exemple de déclaration de traitement d'informations nominatives avec GiBii, dans le cas où la base est gérée en interne.
  
• L'accès à la base GEP est réservé par la norme 29  à "l'équipe administrative de l'établissement", dont l'interlocuteur TICE ne fait pas partie en général.
• Parfois, l'interlocuteur TICE, également administrateur réseau, est la seule personne de l'établissement techniquement capable de faire une extraction de la base GEP pour récupérer les données nécessaires à GiBii ou à une autre application, ce qui suppose l'accès à une machine du réseau administratif et à l'intégralité de la base.
• Les chefs d'établissement d'Aix-Marseille auraient reçu au printemps 2004 des consignes leur enjoignant de veiller à la sécurité des informations nominatives gérées par l'établissement.

Par conséquent, dans le cas particulier de Gibii

• Si l'application est installée en interne, l'établissement doit faire une déclaration à la CNIL par Internet ou par courrier, conformément à la norme simplifiée n°29. Voir le détail de la procédure sur le site de la CNIL http://www.cnil.fr.
• Si l'application est hébergée par un Point AC@R, c'est le Point AC@R qui se charge de la déclaration. Voir par exemple http://acar.ac-aix-marseille.fr/orange/article.php3?id_article=7
• Plutôt que de faire lui-même une extraction de la base GEP, l'interlocuteur TICE doit demander le fichier résultant d'une extraction ne comportant que les champs nécessaires. Cette extraction doit être explicitement autorisée par le chef d'établissement.

Pour en savoir plus

• Pages juridiques d'Educnet :http://www.educnet.education.fr/juri/default.htm
• Serveur national sur la sécurité des systèmes d'information : http://www.ssi.gouv.fr/fr/reglementation/europe.html

Références

cnil_clg_lacroix.pdf : exemple de déclaration de traitement d'informations nominatives avec GiBii (sur le site de la CNIL)

loi78_17.pdf : loi "Informatique et Libertés" de janvier 1978 portant création de la Commission Nationale de l'Informatique et des Libertés (CNIL)

norme_29.pdf : norme simplifiée N°29 - délibération n° 86-115 du 2 décembre 1986 concernant les traitements automatisés d'informations nominatives relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d'enseignement secondaire du secteur public et privé.

Guide juridique du chef d'établissement, en particulier la fiche 21 http://www.education.gouv.fr/sec/chefdet/fiche21.pdf

Note de service n° 87-099 du 31 mars 1987 : http://www.crdp.ac-grenoble.fr/edition/cederom/vm/demo/html/T5_2_2.htm

Gérard Puimatto, Sécurité et respect de la loi, 2002 http://io.crdp.ac-aix-marseille.fr/doc_docIndex/ChartesInternet/securite_et_respect_de_la_loi.doc (plus accessible à cette adresse) local