Re: [EDUC] PRONOTE et consors : Comment vous pouvez arrêter la privatisation des données personnelles et intimes des élèves par leurs Collèges et Lycées

[Fabrice Régnier <regnier.fab AT free.fr>]

Bonjour à tous,

Merci Samuel pour ce message. Quelle volonté !

Je suppose que c'est la même chose pour EcoleDirecte (utilisé dans l'école "privée" de ma fille) ?

Tiens nous au courant de la suite,

f.

Le 18/12/2018 à 17:21, Samuel Chopin a écrit :

Bonjour à toutes et tous, Humains avec ou sans enfants,

Vous n'avez plus envie que des patrons et des employés d'entreprises privés contrôlent et stockent toutes les informations intimes de votre enfant (ou de celui des autres) qui ont été numérisées durant toute sa vie scolaire (expressions écrites, photos, vidéos, absences, maladies, punitions, infractions, victime/bourreau d'harcèlement, bref le contenu de tous les messages personnels entre les élèves, les parents d'élèves et les profs, CPE, pions, etc.) ?

Vous commencez à vous demander si un service public qui ne contrôle plus ses moyens de communication et les données civiles personnelles et intimes que nous devons lui fournir est bien toujours un service public ?

Alors il est peut être possible d'agir très simplement grâce à la Loi Informatique et Libertés et au nouveau Règlement pour la Protection des Données (RGPD) européen.

Pour sortir les données personnelles et intimes de mon fils des serveurs et logiciels scolaires des entreprises privées (Pronote, etc.) et pour les faire remettre dans son établissement public, j'ai commencé par demander la suppression de ces données personnelles dans Pronote en exerçant mes droits dans le cadre du RGPD.

Si cela vous semble être une bonne action et pour avoir toutes les chances que la Loi soit appliquée, il est essentiel que vous soyez nombreux à ajouter votre grain de sable (ou celui de vos amis qui ont des enfants scolarisés) en faisant des demandes similaires.

Pour faire dérailler le système privatif, il suffirait juste d'un élève en moins par classe dans Pronote pour que tous les acteurs d'un établissement se retrouvent très vite concernés par la mise en place d'une solution alternative !

Voici ci-après dans ce courriel le récit de cette première démarche avec les arguments éthiques et juridiques que j'ai développé.
Vous trouverez aussi en Pièce Jointe une version PDF.

Libre à vous de copier ou de vous inspirer et de reformuler les arguments et les citations de cette démarche comme bon vous semble. 

Vous n'êtes absolument pas obligé de justifier l'application de vos droits, comme je l'ai fait, et vous pouvez juste vous contenter d'envoyer les simples demandes juridiques, que vous trouverez dans ce courriel (ou dans le PDF) dans le dernier message, adressé au Délégué à la Protection des Données de l'académie de Grenoble.

Mais si vous avez le temps, il me semble important de bien informer les usagers et les responsables d'établissement pour les convaincre des enjeux et de la nécessité d'agir ensemble.

Pour échanger, critiquer, encourager et raconter nos retours d'expériences dans les collèges et lycées de France et de Navarre, je suggère à mes connaissances d'utiliser la présente liste de diffusion publique du groupe Education de l'APRIL.


Bien à vous,

Samuel Chopin

-- 
« Lorsque vous dites 'le droit à la vie privée ne me préoccupe pas parce que je n'ai rien à cacher',
  cela ne fait aucune différence avec le fait de dire 'Je ne me soucis pas du droit à la liberté d'_expression_
  parce que je n'ai rien à dire', ou 'de la liberté de la presse parce que je n'ai rien à écrire'. »
  - Edward Snowden.

Demandes de suppression des données personnelles

d’un élève dans Pronote par un parent d’élève

Sujet :	Refus de l'utilisation de Pronote pour mon enfant
Date :	Wed, 17 Oct 2018 XXXX
De :	XXXX
Pour :	XXXX

Madame XXXX,
Principale Adjointe de la Cité scolaire XXXX

Copie aux contacts des associations de Parents d'élèves pour en informer le prochain conseil de classe et aux enseignants via l'ENT

Bonjour,

En vertu de la Loi française "Informatique et Libertés" et de la convention européenne RGPD, je vous prie de bien vouloir faire retirer toutes les données personnelles de mon fils, XXXX XXXX, qui seraient hébergés sur les serveurs d'une entreprise privée propriétaire du logiciel privatif Pronote au lieu d'être hébergés sur des serveurs publics de l'établissement ou du Rectorat/Ministère public.

Votre ministère public et votre établissement scolaire est responsable des données privées et intimes de nos enfants et n'a pas le droit de les divulguer à une entreprise privée, dont les stockages de données et les logiciels en licence privatrice ne sont par définition pas sécurisables par l'usager, en l'occurence la Cité scolaire XXXX.

Si l'établissement, les enseignants ou les associations de Parents d'élèves souhaitent des outils numériques "high tech", cela ne doit pas se faire aux dépends des libertés fondamentales des citoyennes aux profits d'entreprises privées collectant et revendant nos données personnelles, ou utilisant des logiciels non-Libres dont le fonctionnement est obscur, facilement piratable par des tiers malintentionnés (a fortiori dans le domaine de l'enfance) et dont la propriété n'est pas publique alors qu'ils sont commandés/achetés/loués par nos fonds publics.

En tant que parent d'élève et contribuable, je souhaiterai être informé de l'étude comparative des outils numériques disponibles qui a mené au choix du logiciel privatif Pronote aux dépends de logiciels Libres proposés par le ministère public (par exemple des services comme EOLE : https://pcll.ac-dijon.fr/eole/) ou par des entreprises privés ou des personnes individuelles mais dont le code et l'usage est en licence publique (par exemple : https://fr.wikipedia.org/wiki/Gepi )

Certaines personnes critiquent Pronote pour son aspect liberticide à l'intérieur même d'un établissement scolaire (par exemple ici : https://reporterre.net/Le-logiciel-Pronote-banalise-la ). Comprenez bien que mon propos n'est pas ici de débattre sur le fait que la direction et les enseignants sachent tout des élèves, ce que je conteste ici c'est que ces mêmes informations soient partagés, marchandisables et utilisables par des entreprises ou des individus privés non membres ou délégataires de la fonction publique !

Je suis sincèrement désolé de potentiellement importuner et remettre en question le travail bénévole ou salarié des personnes de bonne foi qui croyaient bien faire en déployant cette solution, mais je refuse que les données personnelles et intimes de mon fils soient vendues à des privés hors de tout contrôle de l'établissement et je refuse que l'éducation nationale soit complice et déresponsabilisée des données de nos enfants et gaspille de l'argent public dans des outils numériques qui ne restent pas la propriété ou la liberté d'usage du service public.

Nous ne pouvons pas continuer indéfiniment à renoncer à notre vie privée et à un service public neutre et désintéressé pour quelques facilités de conforts et gadgets technologiques ridicules et éphémères, et d'autant plus s'il existe des solutions publiques alternatives.
Je suis à la disposition des associations de parents d'élèves et du service informatique de l'établissement pour participer volontairement à l'élaboration de solutions numériques alternatives si besoin.

Veuillez agréer, Madame, l'_expression_ de mes cordiales salutations,

XXXX XXXX

-- « Lorsque vous dites 'le droit à la vie privée ne me préoccupe pas parce que je n'ai rien à cacher', cela ne fait aucune différence avec le fait de dire 'Je ne me soucis pas du droit à la liberté d'_expression_ parce que je n'ai rien à dire', ou 'de la liberté de la presse parce que je n'ai rien à écrire'. » - Edward XXXX.

==========================================

Sujet :	Re : IMPORTANT: Refus de l'utilisation de Pronote pour mon enfant
Date :	Fri, 30 Nov 2018 XXXX
De :	XXXX
Pour :	XXXX
Copie à :	XXXX

Bonjour Monsieur XXXX.

Je reviens vers vous, pour donner suite à votre mail du 17 octobre 2018.  Je l’ai transmis aux services du Rectorat afin d’avoir leur expertise à ce sujet. Je vous fais part des éléments de réponses qui m’ont été indiqués.

Sur le sujet de la protection des données : Index-Education, entreprise qui fournit Pronote, propose un hébergement avec une classification TIER3. Elle propose une identification sur le logiciel par l’échange d'un secret chiffré par l’empreinte d’une clé partagée mettant en œuvre les protocoles RSA 1024 bits et AES-CBC 128 bits. L’accès à l’interface web est avec une connexion sécurisée TLS v1 minimum avec un certificat 2048 bits signé en SHA-256. Elle assure une protection des logiciels grâce à des antivirus et une protection physique des locaux et des équipements grâce à des clés, sas de sécurité, vidéo-surveillance, alarme avec barrière périphérique infrarouge, local blindé anti-feu.

Ces données sont hébergées par Index-Education. Elles sont destinées uniquement à l’usage de l’établissement scolaire et au Ministère de l’éducation nationale. Elles ne sont pas vendues à des tiers.

Sur la question du choix de l'application Pronote, les applications que vous citez ne répondent pas au cahier des charges. Aucune ne permet de gérer l'emploi du temps de l'établissement. La remontée des évaluations des élèves en lien avec l'orientation et les examens semblent très instables voire non prises en compte.

De plus, il convient de se reporter au vote du Conseil d’Administration. Le CA a étudié les possibilités offertes : SIECLE ou Pronote. Compte tenu des fonctionnalités de l'application d’Index-Education (seule application connue à pouvoir répondre de manière satisfaisante au cahier des charges) et de la notoriété de celle-ci, le CA s'est prononcé favorablement. Pour rappel, le CA est représentatif de l'ensemble de la communauté éducative. Il y a eu vote à l'unanimité. L'acte établi a été réglementaire soumis au contrôle de légalité qui a validé ce choix.

Même si je comprends vos inquiétudes au sujet de la protection des données relatives à votre enfant, celles-ci sont en sécurité et sont maintenues dans l’application. Pronote remplit le cahier des charges relatif à leur protection et permet à l’établissement d’avoir un logiciel performant pour sa gestion administrative et pédagogique tout en préservant l’intégrité des données personnelles de votre enfant.

Veuillez agréer, Monsieur XXXX, l'_expression_ de mes sincères salutations.

XXXX XXXX,
Principale adjointe,
Cité scolaire XXXX

==========================================================

Sujet :	Re: Re : IMPORTANT: Refus de l'utilisation de Pronote pour mon enfant
Date :	Mon, 17 Dec 2018 XXXX
De :	XXXX
Pour :	XXXX
Copie à :	XXXX

Lundi 17 décembre 2018

Madame XXXX,

Principale Adjointe de la Cité scolaire XXXX

Copie à transmettre aux usagers concernés de Pronote dans l’établissement, parents d'élèves et personnels administratifs et enseignants, utilisant et alimentant la base de données de Pronote en données personnelles des élèves et de leurs représentants légaux

Bonjour Madame la Principale adjointe,

Je vous remercie pour votre sincère et aimable réponse à ma demande de suppression des données personnelles de mon fils dans le serveur et logiciel Pronote de l'entreprise privée Index-Education.
Je constate que vous avez essayé de me convaincre d'y renoncer et que vous refusez toujours de supprimer ces données.

Je vais développer ici pourquoi vous ne m'avez pas convaincu et la suite juridique potentielle qu'implique votre refus de les supprimer.

==========

Au sujet de la protection des données personnelles des élèves, votre réponse cite un extrait de liste technique typique de proposition commerciale à des client(e)s, suivis de deux conclusions typiques d'un(e) client(e) convaincu(e) :

> "Index Education, entreprise qui fournit Pronote, propose un hébergement avec une classification TIER3. Elle propose une identification sur le logiciel par l’échange d'un secret chiffré par l’empreinte d’une clé partagée mettant en œuvre les protocoles RSA 1024 bits et AES-CBC 128 bits. L’accès à l’interface web est avec une connexion sécurisée TLS v1 minimum avec un certificat 2048 bits signé en SHA-256. Elle assure une protection des logiciels grâce à des antivirus et une protection physique des locaux et des équipements grâce à des clés, sas de sécurité, vidéo-surveillance, alarme avec barrière périphérique infrarouge, local blindé anti-feu." > "Ces données sont hébergées par Index Education. Elles sont destinées uniquement à l’usage de l’établissement scolaire et au Ministère de l’éducation nationale. Elles ne sont pas vendues à des tiers." > "Même si je comprends vos inquiétudes au sujet de la protection des données relatives à votre enfant, celles-ci sont en sécurité et sont maintenues dans l’application. Pronote remplit le cahier des charges relatif à leur protection et permet à l’établissement d’avoir un logiciel performant pour sa gestion administrative et pédagogique tout en préservant l’intégrité des données personnelles de votre enfant."
Madame la Principale adjointe, je suis désolé, j'aimerai être rassuré par vos propos optimistes, mais mes inquiétudes sont toujours là car vous n'êtes actuellement malheureusement pas en mesure de certifier que les données de mon enfant sont maintenues dans l'application si le code source et donc les fonctionnalités de cette application vous est inconnu et impossible d'accès à vous, à tous les services informatiques du Rectorat et à tous les citoyens usagers, du fait de la licence privative de ce logiciel breveté.
Vous évoquez un cahier des charges relatif à la protection des données. Où est-il consultable ? Pourriez-vous en envoyer une copie aux parents d'élèves délégués et suppléants s'il vous plaît ? Cela permettrai peut être de mieux comprendre les critères qui vous permettent d'estimer Pronote comme "performant" et comme "préservant" de l'intégrité des données, au delà de simples phrases de présentation courte qu'on trouve aussi dans leur publicité commerciale accompagnée de liste technique de classifications, de protocoles et d'antivirus qui sont les mêmes que dans n'importe quel DataCenter du marché et qui n'engagent que les client(e)s qui y croient.

Madame la Principale adjointe, l'important ce ne seront jamais les performances fabuleuses des technologies numériques de sécurité les plus "smart" du moment, mais QUI possède le code pour les contrôler.

Si son code est privatif, la sécurisation d'un logiciel est privatisée.

Si son code est Libre/public, la sécurisation d'un logiciel est possible par un service public, et même par tout(e) citoyen(ne) vigilant(e) et compétent(e) en langage informatique au cas où le service public ferait défaut.

C'est pourquoi les licences et logiciels Libres/publics sont devenus un de nos derniers espoirs et atouts souvent efficace et toujours indispensable pour préserver la libre _expression_/communication et la vie privée intime des personnes, c'est à dire la démocratie, dans notre société numérisée actuelle.

Madame la Principale adjointe, ce n'est ni à vous d'essayer de prouver que le serveur et le logiciel Pronote, contrôlés par une entreprise privée et sous licence privative, sont sécurisés avec tous les moyens et technologies nécessaires, ...ni à moi de vous prouver le contraire : pour la simple et bonne raison que, vous comme moi, nous ne le pouvons pas techniquement et légalement dans le cadre de licences privatives.

Par conséquent, comme dans le domaine de la santé publique, face à un danger potentiel que nous ne maîtrisons pas, il convient d'appliquer le principe de précaution dans le domaine de l'éducation nationale pour protéger les données personnelles des élèves en n'utilisant que des outils que des informaticiens agents de droit public peuvent vérifier et contrôler, c'est à dire des logiciels aux codes ouverts, en licence libre/publique installés avec leurs données personnelles sur des serveurs physiquement situés dans des établissements publics de la République française.

Les éléments de réponse technique dont vous me faite part et qui vous ont été indiqués par "des services du Rectorat" sont donc parfaitement insuffisants et ces services, comme leurs responsables, restent dans votre réponse anonymes et donc sans aucune prise de responsabilité. C'est compréhensible : Il faut s'attendre à ce qu'il n'y ait aucun responsable informatique de l'académie de Grenoble et de n'importe quel service de l'Etat qui prendra le risque, comme vous le faites, de se porter, personnellement et au nom de son service, garant de la sécurité d'un serveur Pronote, parce que ce n'est pas leur mission de vérifier le code d'une entreprise privée et ensuite parce qu'ils ou elles n'ont tout simplement pas accès au code breveté et donc au fonctionnement de ce serveur et de ses données personnelles stockées.

Je sais que ces sujets sont très nouveaux (Publication de "1984" de Georges Orwell en 1949, Loi Informatique et Libertés en 1978...), que tout le monde adore refiler la patate chaude à son voisin depuis des années, qu'on ne peut pas tout savoir et que vous avez d'autres responsabilités souvent plus urgentes (je le reconnais volontiers) pour coordonner un établissement.

Néanmoins, lorsque dans votre réponse vous vous portez garante, personnellement et au nom de l'établissement d'enseignement public, de la sécurisation des données de nos enfants, qui sont dans un système de communication fermé et contrôlé par une entreprise privée, et donc de fait hors de votre contrôle et de celui du Ministère, vous outrepassez totalement votre domaine de compétence. Et je ne parle pas ici de compétences informatiques, mais de vos missions de service public.

=========

À propos des études comparatives de logiciels ayant mené au choix de Pronote vous dites que :

> "Le CA a étudié les possibilités offertes : SIECLE ou Pronote. Compte tenu des fonctionnalités de l'application d’Index Education (seule application connue à pouvoir répondre de manière satisfaisante au cahier des charges) et de la notoriété de celle-ci, le CA s'est prononcé favorablement." > "Sur la question du choix de l'application Pronote, les applications que vous citez ne répondent pas au cahier des charges. Aucune ne permet de gérer l'emploi du temps de l'établissement. La remontée des évaluations des élèves en lien avec l'orientation et les examens semblent très instables voire non prises en compte."

D'après votre réponse, votre étude comparative a donc porté uniquement sur 2 logiciels, "SIECLE" et "Pronote". Toujours d'après votre réponse, le cahier des charges de l'étude comparative se compose juste de deux fonctionnalités requises et d'un critère : - gérer l'emploi du temps de l'établissement - la remontée des évaluations des élèves en lien avec l'orientation et les examens - critère : la "notoriété" (?) Seulement deux fonctionnalités et un critère sont insuffisants pour établir un cahier des charges d'étude comparative, ou alors vous avez peut être omis de mettre en pièce jointe de votre courriel un document d'étude comparative avec son cahier des charges. Si c'est le cas, je vous prie de bien vouloir l'envoyer aux nouveaux parents d'élèves délégués et suppléants de cette année s'il vous plaît.

Je constate par ailleurs que le logiciel SIECLE (est-ce celui qui était déjà utilisé avant Pronote dans l'établissement ?) n'a pas de site officiel sur l'Internet et d'informations sur le code source téléchargeable. Cet outil très ancien ne semble plus maintenu et développé par aucune entreprise ou service public. Si le "choix" proposé aux membres du CA consistait obligatoirement, soit à rester avec un vieux vélo sans roues avec un guidon tordu, soit à s'acheter un vélo de marque tout neuf qui roule, ce n'est guère étonnant d'avoir eu un résultat de vote à l'unanimité pour Pronote.

En dehors de cette étude comparative entre SIECLE et Pronote, vous affirmez que "les applications que [je] cite ne répondent pas au cahier des charges". Je ne comprends pas bien : quelles sont nommément les applications que j'aurais citées et que vous avez testées en dehors de l'étude comparative et qui ne répondraient pas au cahier des charges après vos tests ? Pour rappel, j'ai cité un logiciel Libre/public de gestion scolaire intitulé GEPI (https://fr.wikipedia.org/wiki/Gepi) qui est intégré à un ENT Libre/public qui s'appelle ENVOLE (http://ent-envole.com) qui lui même s'installe sur un serveur académique Libre/Public qui s'appelle EOLE (https://pcll.ac-dijon.fr/eole). Est-ce que nous parlons bien de la même chose ? Pour pouvoir dire que cette proposition a pu être testée, je suppose que l'établissement est équipé d'un serveur EOLE (c'est souvent le cas pour l'équipe administrative) sur lequel vous auriez donc installé l'ENT ENVOLE avec l'aide ou la supervision des services informatiques du Rectorat. Est-ce bien cela ?

Actuellement, les services publics sont tenus à l'interopérabilité (http://references.modernisation.gouv.fr/interoperabilite) et sont seulement "conseillés" d'utiliser des Logiciels en Licences Libres/publics.
L'ensemble des textes et les recommandations d'utilisations de logiciels Libres sélectionnés, testés et utilisés par les services inter-ministériels de communication (le SILL) se trouvent ici (et on y trouve le serveur EOLE dont je parlais) : - http://references.modernisation.gouv.fr/socle-logiciels-libres

C'est un fait : l'établissement scolaire n'est actuellement pas obligé explicitement de choisir parmi des Logiciels en Licence Libre/publique et de suivre les recommandations de l'administration publique, et il peut donc toujours choisir des logiciels en licences privatives.
Mais l'établissement est quand même obligé de prendre en compte d'autres réglementations et considérations morales qui se superposent à son choix, comme la Loi Informatique et Liberté et maintenant le RGPD, la protection des mineurs, la publicité privée dans les outils pédagogiques, etc.
Finalement, tout dépend de ce que fait le logiciel choisi par l'établissement :
S'il s'agit d'un logiciel ayant pour vocation, par exemple, de régler le système de chauffage des salles de cours, qui n'est pas connecté au réseau informatique interne et à l'Internet et ne collecte pas de données personnelles des usagers, oui, peut être, pourquoi pas un logiciel privatif.
S'il s'agit d'un logiciel ou d'un système d'exploitation qui traitent les données personnelles des usagers et des employés, il n'y a pas de solution neutre, sécurisée et d'intérêt public autre que les logiciels dont le code (i.e. le fonctionnement) est ouvert (i.e. transparent) et dont cette ouverture est garantie par une licence Libre/public. Dans ce cas autant choisir parmi les logiciels Libres/publics testés et recommandés par des services publics experts (voir le lien vers le SILL ci-dessus).

En dehors de l'aspect des données personnelles, je voudrais souligner qu'il est beaucoup plus intéressant pour les services publics de se doter - voire de développer – des outils numériques sous licence Libre/publique.
En effet, dans le cas qui nous intéresse, s'il manque des fonctionnalités à GEPI que l'on ne trouve actuellement que dans Pronote, il est possible de se tourner vers le pôle de compétences Logiciels Libres du Ministère (https://pcll.ac-dijon.fr/pcll/). Ce dernier pourra les réaliser ou, s'il n'a pas le temps, ou les compétences, il pourra en confier la réalisation à un prestataire privé (et pourquoi pas Index-Education), tout en garantissant que la licence du logiciel reste libre/publique.

Tant que les services et les établissements publics n'investiront pas systématiquement dans les logiciels Libres/public (au lieu de faire des "partenariats privatif/public" avec Microsoft, Apple, etc. en leur offrant des espaces de publicité quotidienne, des subventions déguisées et des exonérations fiscales indécentes), les entreprises privées du logiciel privatif auront toujours un avantage déterminant de moyens par rapport aux communautés de citoyens et de services publics qui développent des systèmes et logiciels Libres/publics.
Dans ces conditions, les logiciels privatifs ont souvent une longueur d'avance sur les logiciels Libres/Public en terme de nouvelles fonctionnalités futiles ou utiles, d'ergonomie ou de simple design à la mode.
Il est donc aisé d’affirmer que Pronote a quelques fonctionnalités "indispensables" que n'ont pas les autres. Mais il suffit de quelques établissements scolaires qui, au lieu de payer leur Pronote, peuvent se payer ensemble pour le même prix une amélioration de leur logiciel Libres/Public, soit en missionnant un de leurs informaticiens développeurs ou ceux d'un service inter-académique comme EOLE, soit en faisant appel à une entreprise privée mais dont le cahier des charge stipule que le code produit sera en licence Libre/public, et qui bénéficiera alors à tous les établissements de France et pour toujours.

Il y a toutes sortes de solutions à mettre en place pour mutualiser un service de développement et de maintenance informatique pour des systèmes et logiciels Libres/public entre établissements. S'il n'y a pas de prestataire privé dans les parages, on peut toujours monter une SCIC avec le Rectorat et les collectivités locales dedans, tout est possible !
Et enfin, même si ...on est fauché, même si le Rectorat est (encore) radin, si les collectivités locales du moment sont actuellement de vulgaires dealers de produits Apple ou Microsoft, et même si aucun établissement autour de nous ne veut mutualiser de services informatiques, ...bref si on a l'impression frustrée d'être dans un pauvre établissement isolé de gueux condamnés à l'âge de pierre numérique qui utilise des logiciels Libres/publics "primitifs, ringards et pas jolis", il y a toujours un moment où il faut se poser la question essentielle sur qu'est-ce qui nous parait le plus important au fond de nous, dans nos valeurs et pour la société dans laquelle nous voulons vivre :
Qu'est-ce qui est le plus important entre la vie privée et intime de milliers d'enfants et "la remontée des évaluations des élèves en lien avec l'orientation et les examens qui semblent très instables voire non prises en compte" sans Pronote ?
Qu'est-ce qui est le plus important entre l'indépendance du service public d'enseignement à l’égard des entreprises privées de l'industrie du numérique et "gérer l'emploi du temps de l'établissement" sans Pronote ? (comment diantre font les autres établissements qui n'ont pas Pronote, alors ?)
Est-ce que l'impatience d'attendre l'arrivée d'une fonctionnalité ou d'un nouveau design cool et branchouille pour mon logiciel, ou pour ma tablette, justifie vraiment de basculer urgemment vers l'utilisation toxique de logiciels privatifs, ou de tablettes Apple fournies par le département de l'Isère (dont le coût de chacune aurait permis par ailleurs l'achat de 3 vrais ordinateurs portables par élève) ?
N'est-ce pas très cher payé que la fin programmée de la séparation du privé et de l'Etat (en vigueur depuis 1905), des libertés civiques, de la vie privée intime de nos enfants et de tous les citoyens, tout cela pour un peu de pacotilles technologiques (car la plupart des matériels, des logiciels et des droits d'usages privatifs sont loués ou périmés et rendus volontairement obsolètes au bout de deux-trois ans) ?



================ À propos de votre rappel sur la représentativité du Conseil d'Administration (CA) de l'établissement qui a décidé l'utilisation de Pronote, vous affirmez : > "Pour rappel, le CA est représentatif de l'ensemble de la communauté éducative. Il y a eu vote à l'unanimité. L'acte établi a été réglementaire soumis au contrôle de légalité qui a validé ce choix."

Je comprends vos inquiétudes si vous ressentez dans ma démarche une contestation juvénile du caractère représentatif de l'ensemble de la communauté éducative de ce CA. En réaction, vous légitimez de manière incongrue la décision (présentée comme définitive) du choix de Pronote par la légitimisation du CA.
Quoiqu'il en soit : un organe décisionnaire responsable ne peut pas figer ses décisions dans le marbre et dans le temps et doit nécessairement s'adapter à des situations et à des informations nouvelles.
La question n'est pas de vilipender le CA d'un établissement qui décide en 1957 à l'unanimité d'isoler le collège avec un revêtement en amiante. Ou un CA de 1975 de servir à la cantine des légumes arrosés de Round Up. Si les décideurs et les représentants des usagers/citoyens ne sont pas tous bien informés des enjeux et des réglementations au moment des faits, personne ne peut honnêtement critiquer les membres d'un CA de 2017 d'avoir voté à l'unanimité pour Pronote.
Mais il y aura une multitudes d'autres CA dans le futur, et ce sont ceux-là qui, espérons-le, prendront en compte la situation s'ils ont tous été dûment informés.
Dans les prochaines années 2020', il sera tout aussi inconscient de contester le danger que représente la privatisation du contrôle des systèmes de communication des services publics et de leur traitement des données civiles et de la vie privée et intime des citoyens que de contester le changement climatique.

J'espère aussi qu'au moment de voter, tous les membres de ces futurs Conseil d'Administration qui seront (encore, je l'espère aussi) membres de la fonction publique, se sentiront concernés par le sort de celles et ceux qui ne le sont pas et qui n'ont pas le même traitement et protection de leurs données personnelles :
En effet, vous bénéficiez, comme vos autres collègues de l'administration et comme les enseignants, d'un traitement de toutes vos données personnelles professionnelles effectué par le Rectorat de l'académie de Grenoble avec des logiciels sécurisés car libres/publics sur des serveurs situés dans des établissements publics qui sont parfaitement contrôlés par les services informatiques du rectorat.
Mais pas celles de mon fils, de tous les autres élèves et de leurs parents qui ont pourtant choisi en confiance l'enseignement public. Pourquoi les données intimes de nos enfants seraient hébergées au sein d’une entreprise privée hors de votre contrôle alors que les vôtres sont dans le service public ? Cela ne vous interpelle-t-il pas ? Pour ma part, je trouve cela injuste, en plus d'être dangereux pour le respect des données qu'on vous confie et pour la neutralité de l'Etat.

Pour conclure, Mme la Principale adjointe, vous ne m'avez ni rassuré ni convaincu de renoncer à ma demande.
Vous avez essayé, très aimablement et je vous en remercie, de me convaincre sur la forme, sur la technicité et sur votre simple bonne foi personnelle en une entreprise privée qui a l'air si bienveillante, alors que :
1) nos motivations ne sont pas sur la forme mais sur le fond : nous estimons que le contrôle des moyens de communication et des données civiles des citoyens dans les services publics doivent rester dans les services publics et que tout le monde doit y veiller, vous comme nous.
2) vos réponses techniques sont très insuffisantes ou caduques : il vous est techniquement et légalement impossible de contrôler le système de communication de Pronote et l'usage présent et futur des données et des méta-données que nous leur fournissons.

En conséquence de quoi, conformément au processus préconisé par la Commission Nationale Informatique et Libertés (CNIL), nous allons saisir le Délégué aux Données Personnelles de l'académie de Grenoble pour que la Cité Scolaire XXXX ordonne à son sous-traitant Index-Education (éditeur de Pronote) la suppression définitive sur ses serveurs et sur ses supports de sauvegardes de toutes les données personnelles de M. XXXX XXXX et de ses représentant légaux XXXX XXXX et XXXX XXXX.
Le cas échéant, nous porterons plainte après 15 jours auprès de la CNIL et apparemment, selon le RGPD, vous êtes la responsable du traitement des données concernées pour le collège.

À ce jour, c'est vrai, nous sommes seuls et insignifiants, mais j'espère qu'un jour viendra où d'autres parents d'élèves de l'enseignement public vous demanderons de retirer les données personnelles de leurs enfants des serveurs d'entreprises privées où elles n'ont rien à y faire, et que cela motivera les établissements scolaires, les collectivités locales et les académies qui ne le font toujours pas, à utiliser et à investir dans des outils numériques en licence Libre/public et dans des serveurs publics pour le plus grand bien commun de tous.

À toutes fins utiles et peut être à glisser dans un présentoire dans la salle des enseignants et au CDI pour sensibiliser aussi les élèves, qui sont les premiers concernés après tout, voici quelques ressources trouvées sur le site Web officiel de l'Académie de Grenoble (sic) :
RGPD… pour comprendre, un guide pratique pour les chefs d’établissement et les autres… : - http://www.ac-grenoble.fr/dane/?p=4196

Ce guide est en version page Web ici : - https://www.reseau-canope.fr/les-donnees-a-caractere-personnel/introduction.html/

et en version document PDF ici : - https://www.reseau-canope.fr/fileadmin/user_upload/Projets/RGPD/RGPD_WEB.pdf
On trouvera notamment (à la page 30 du document PDF) une réponse à la question "16. Doit-on effectuer des démarches particulières pour utiliser un logiciel de vie scolaire (gestion des absences, conception d’emploi du temps, etc.) développé par une entreprise privée ?".
Il y est stipulé que le RGPD et le droit à la suppression des données s'appliquent dans le cas de l'utilisation de sous-traitants privés pour le traitement de données de services publics.
Voilà ce qu'il faut communiquer dans les carnets de correspondance à tous les parents d'élève dès le début de l'année si on utilise Pronote :

"[...Par ailleurs, les personnes dont les données sont collectées doivent être informées des principales caractéristiques du traitement par le responsable de traitement, aux termes des articles 13 et 14 du RGPD. Elles doivent ainsi être informées de l’identité et des coordonnées du responsable de traitement, des coordonnées du délégué à la protection des données, des finalités du traitement, de sa base juridique, du caractère obligatoire ou facultatif du recueil des don­nées et des conséquences pour la personne en cas de non-fourniture de ces données, des destinataires des données collectées, de la durée de conservation de ces données. Enfin, les personnes dont les données sont collectées doivent être informées de leurs droits d’opposition, d’accès, de rectification, d’effacement, de limitation et de la possibilité dont elles disposent d’intro­duire une réclamation (plainte) auprès de la Commission nationale de l’informatique et des libertés (CNIL). Le cas échéant, les personnes dont les données sont collectées doivent également être informées de l’existence d’une prise de décision automatisée ou d’un profilage, des informations utiles à la com­préhension de l’algorithme et de sa logique, ainsi que des conséquences pour la personne, du droit de retirer son consentement à tout moment,...]"

D'ailleurs à propos, puisque apparemment, d'après ce texte, j'en ai le droit, et étant très curieux de savoir si votre sous-traitant Index-Education va partager avec nous tous le code de son logiciel privatif qui traite nos données, je vous fait également formellement la demande par la présente de m'informer "des informations utiles à la compréhension de l’algorithme et de sa logique".
Le cas échéant, il faudra envisager le choix d'un logiciel en licence Libre/publique pour avoir un code ouvert qui vous permettra d'honorer ce droit nouveau décidément bien fait. Plus je me renseigne sur le sujet, plus je m'étonne que les Lobby des grandes compagnies privées multi-anti-nationales qui désolent la France et surtout le reste du monde n'aient pas réussi à corrompre assez de parlementaires pour empêcher le vote du RGPD ! Peut être qu'ils arriveront à empêcher son application à la place. Agissons et voyons !

En recherchant, je suis aussi tombé sur un rapport inquiet et inquiétant sur le sujet (notamment le chapitre 5, page 35) de la part des services de l'inspection générale de l'administration de l'Education Nationale qui constate soucieusement le quasi-monopole de Pronote dans les établissements scolaires (d'où le critère de "notoriété" retenu, je suppose) : http://cache.media.education.gouv.fr/file/2018/69/2/IGEN-IGAENR-Rapport-2018-016-Donnees-numeriques-caractere-personnel-education-nationale-def_986692.pdf

Par ailleurs, j'attire aussi votre attention sur la nécessité de mise en conformité au RGPD du site de Pronote actuellement utilisé par l'établissement, avant d'effectuer d'autres plaintes à ce sujet, sur le fait que :
1) Le compte Pronote de mon fils, et donc potentiellement celui d'autres élèves, était préconfiguré par défaut au démarrage pour une collecte abusive de données : En allant dans l'interface "parent" de Pronote, dans l'onglet "Informations personnelles" puis "Compte Enfant", j'ai constaté que le droit à l'image était pré-coché par défaut et autorisait l'utilisation de la photographie de mon fils par Pronote en France sans que ni moi ni sa mère n'ayons été informé de cela. Le nombre de parents qui trouveront et comprendront la case à décocher restera en l'état improbable. Déjà pas ceux de la moitié de la classe qui ne s'y connecte jamais et continuent à lire le bon vieux carnet de correspondance.
2) Il n'y a pas la mention légale sur la première page d'accueil du site Pronote de l'établissement qui doit permettre à tous les parents d'élèves d'être informé de leur droit à supprimer les données personnelles de leur enfant des bases de données contrôlées par l'entreprise privée sous-traitante "Index-Education". Je vous la recopie tout de suite ci-après (cela ne me dérange pas, je commence à l'adorer) : "Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée et au règlement européen n°2016/679/UE du 27 avril 2016 (applicable dès le 25 mai 2018), vous bénéficiez d’un droit d’accès, de rectification, et d’effacement de vos données ou encore de limitation du traitement des données vous concernant. Vous pouvez, sous réserve de la production d’un justificatif d’identité valide, exercer vos droits en contactant le délégué à la protection des données de l’académie de Grenoble. : delegue-protection-donnees AT ac-grenoble.fr"
Veuillez agréer, Madame la Principale Adjointe, l'_expression_ de mes sincères, et peut être un peu espiègles parfois, mais néanmoins très respectueuses salutations,
XXXX XXXX Parent d'élève de la Xième Z

============================

Sujet :	Demandes d’application de la Loi Informatique et Libertés et du RGPD
Date :	Mon, 17 Dec 2018 XXXX
De :	XXXX
Pour :	delegue-protection-donnees AT ac-grenoble.fr
Copie à :	XXXX

XXXX XXXX

Représentant légal de l'élève XXXX XXXX scolarisé dans l'établissement "Cité Scolaire XXXX"

17 décembre 2018

OBJET : Demandes d’application de la Loi Informatique et Libertés et du RGPD

Madame ou Monsieur le ou la délégué(e) à la protection des données de l'académie de Grenoble

Bonjour, Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée et au règlement européen n°2016/679/UE du 27 avril 2016 (applicable dès le 25 mai 2018), je demande par la présente :

1) Que vous me transmettiez les informations utiles à la com­préhension de l’algorithme et de la logique des logiciels d'Index Education, et notamment Pronote, qui collectent les données des usagers élèves et représentant légaux d'élèves de l'établissement "Cité Scolaire XXXX", et que vous m'informiez ainsi de l’existence éventuelle d’une prise de décision automatisée ou d’un profilage.

2) Que l'établissement "Cité Scolaire "XXXX" ordonne à son sous-traitant Index-Education (éditeur de Pronote) la suppression définitive sur ses serveurs et sur ses supports de sauvegardes de toutes les données personnelles de XXXX XXXX (élève) et de XXXX XXXX (représentant légal de l'élève).

3) Que vous fassiez vérifier la légalité et le cas échéant corriger les configurations par défaut des comptes utilisateurs de Pronote dans les établissements de votre académie :

En effet, le compte Pronote de mon fils, et donc potentiellement celui d'autres élèves, était préconfiguré par défaut au démarrage pour une collecte abusive de données : En allant dans l'interface "parent" de Pronote, dans l'onglet "Informations personnelles" puis "Compte Enfant", j'ai constaté que le droit à l'image était pré-coché par défaut et autorisait l'utilisation de la photographie de mon fils par Pronote en France sans que ni moi ni sa mère n'ayons été informé de cela. Le nombre de parents qui trouveront et comprendront la case à décocher reste actuellement improbable.

4) Que vous fassiez mettre en conformité les pages d'accueil des sites Web Pronote des établissements de votre académie qui n'affichent actuellement pas la mention légale suivante qui doit permettre à tous les parents d'élèves d'être informés de leur droit à supprimer les données personnelles de leur enfant des bases de données contrôlées par une entreprise privée sous-traitante, comme "Index-Education" :

"Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée et au règlement européen n°2016/679/UE du 27 avril 2016 (applicable dès le 25 mai 2018), vous bénéficiez d’un droit d’accès, de rectification, et d’effacement de vos données ou encore de limitation du traitement des données vous concernant. Vous pouvez, sous réserve de la production d’un justificatif d’identité valide, exercer vos droits en contactant le délégué à la protection des données de l’académie de Grenoble. : delegue-protection-donnees AT ac-grenoble.fr"

5) Que vous fassiez mettre en conformité les informations et mentions légales dans les carnets de correspondance des établissements de votre académie (qui est le moyen de communication de référence vers les usagers parents d'élèves) qui n'ont toujours pas été mises depuis le début de l'année scolaire.

Celles-ci sont pourtant listées dans le guide pratique pour comprendre le RGPD pour les chefs d’établissement et les autres… sur le site officiel de votre académie (http://www.ac-grenoble.fr/dane/?p=4196), où il est stipulé (à la page 30 de la version PDF : https://www.reseau-canope.fr/fileadmin/user_upload/Projets/RGPD/RGPD_WEB.pdf) :

"[...Par ailleurs, les personnes dont les données sont collectées doivent être informées des principales caractéristiques du traitement par le responsable de traitement, aux termes des articles 13 et 14 du RGPD. Elles doivent ainsi être informées de l’identité et des coordonnées du responsable de traitement, des coordonnées du délégué à la protection des données, des finalités du traitement, de sa base juridique, du caractère obligatoire ou facultatif du recueil des données et des conséquences pour la personne en cas de non-fourniture de ces données, des destinataires des données collectées, de la durée de conservation de ces données. Enfin, les personnes dont les données sont collectées doivent être informées de leurs droits d’opposition, d’accès, de rectification, d’effacement, de limitation et de la possibilité dont elles disposent d’introduire une réclamation (plainte) auprès de la Commission nationale de l’informatique et des libertés (CNIL). Le cas échéant, les personnes dont les données sont collectées doivent également être informées de l’existence d’une prise de décision automatisée ou d’un profilage, des informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que des conséquences pour la personne, du droit de retirer son consentement à tout moment,...]"

J'ai contacté la Responsable du traitement des données de l'établissement de mon fils, Madame XXXX, Principale Adjointe du collège de la Cité scolaire XXXX, qui a refusé mes demandes.

Vous trouverez ci-après dans ce courriel, ainsi qu’une version PDF en Pièce-Jointe, les messages récapitulant les demandes de ma part et refus de sa part.
Je me tourne donc vers vous afin de faciliter l'application de la Loi et la sauvegarde du service public d'enseignement.
Je me tiens à votre disposition si nécessaire pour venir signer une version papier de la présente demande et pour présenter un justificatif d’identité valide au Rectorat de l'académie.
Sans application de la loi de votre part ou de celle du responsable de traitement des données, je procéderai à une plainte auprès de la Commission Nationale Informatique et Libertés.
Veuillez agréer, Madame ou Monsieur le ou la délégué(e) à la protection des données de l'académie de Grenoble, l'_expression_ de mes sincères salutations,

XXXX XXXX.

--
Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ

Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
http://listes.april.org/wws/info/educ