Délibération de la CNPD n^o 2021/​622 du 11 mai 2021

La Commission Nationale de protec­tion des données portu­gaise (CNPD) a rendu une déci­sion à la suite d’une plainte dépo­sée contre l’Université do Minho (Portugal) concer­nant l’utilisation de deux appli­ca­tions impo­sées par l’ins­ti­tu­tion pour passer des examens à distance. La CNPD a statué avant la tenue de la session d’examens en cause.

La plainte visait l’utilisation des appli­ca­tions « Respondus Lockdown Browser » et « Respondus Monitor ». L’Université, respon­sable du trai­te­ment, a passé un contrat de licence conte­nant un Data Protection Agreement avec le sous-trai­tant états-unien Respondus Inc., pour utili­ser ses deux appli­ca­tions lors de sessions d’examen.

Les deux appli­ca­tions s’intègrent aux divers systèmes d’apprentissage à distance exis­tant dans l’institution. Le système d’évaluation infor­ma­tique présente deux composantes :

1. un navi­ga­teur inter­net, Respondus Lockdown Browser, qui bloque l’ordinateur et empêche les étudiants d’utiliser d’autres appli­ca­tions et certaines fonc­tion­na­li­tés sur leur ordi­na­teur pendant la durée de l’examen ;
2. Respondus Monitor qui est un système de surveillance de l’étudiant qui analyse les données chaque seconde selon trois vecteurs concur­rents. Il recourt à la détec­tion faciale, des mouve­ments et de la lumi­no­sité pour analy­ser l’étudiant et son envi­ron­ne­ment d’examen. Le système récolte des infor­ma­tions sur le dispo­si­tif de l’étudiant et en iden­ti­fie les tendances (pattern). Enfin, il analyse l’interaction de l’étudiant avec l’examen et compare les réponses entre étudiants. Un compte-rendu est ensuite envoyé à l’enseignant détaillant l’évaluation de chaque étudiant en leur attri­buant à chacun une valeur rela­tive au risque de la surve­nance de fraude.

Dans sa déci­sion, la CNPD constate que l’utilisation de ces appli­ca­tions par l’Université est suscep­tible de violer divers prin­cipes du RGPD, à savoir les prin­cipes de fina­lité, de licéité, de mini­mi­sa­tion des données et de proportionnalité.

Premièrement, la CNPD constate qu’en tant que respon­sable du trai­te­ment, l’Université ne respecte pas le prin­cipe de fina­lité de l’art. 5 par. 1 let. b RGPD, qui exige de déter­mi­ner de manière précise et expli­cite le(s) but(s) pour lequel des données sont récol­tées. La CNPD observe que les cas où les appli­ca­tions sont suscep­tibles d’être utili­sées sont peu clairs et donc peu prévi­sibles. Cette absence de critères précis et homo­gènes crée un risque de discri­mi­na­tion entre étudiants, car le choix d’utiliser ou non les appli­ca­tions dépend de la volonté de chaque enseignant.

Deuxièmement, l’autorité portu­gaise relève que le motif justi­fi­ca­tif invo­qué par l’Université pour l’utilisation de ces appli­ca­tions ne peut être l’intérêt légi­time de l’art. 6 par. 1 let. f RGPD. En tant qu’institution ayant pour mission la pour­suite d’intérêts publics, seuls des inté­rêts léga­le­ment inscrits sont invo­cables. La CNPD ajoute que, quand bien même l’Université invo­que­rait l’intérêt public à la réali­sa­tion des examens, les condi­tions ne seraient pas remplies.

Pour cela, l’Université aurait dû démon­trer l’impossibilité de faire passer ses examens d’une autre manière (en présen­tiel ou d’autres moyens qui n’impliqueraient pas le trai­te­ment d’autant de données person­nelles). Ensuite, il aurait fallu démon­trer que les inté­rêts privés des personnes concer­nées ne prévalent pas. En l’espèce, aucune démons­tra­tion d’une quel­conque pesée des inté­rêts n’a été opérée par le respon­sable du trai­te­ment (art. 5 par. 2 et 24 par. 1 et 2 RGPD). Elle en conclut donc à un trai­te­ment dénué de base légale.

Troisièmement, l’art. 5 par. 1 let. c RGPD énonce le prin­cipe de mini­mi­sa­tion en ce sens que les données récol­tées doivent être adéquates, perti­nentes et limi­tées à ce qui est néces­saire au regard des fina­li­tés visées. Selon la CNPD, le respon­sable du trai­te­ment traite, en plus de la détec­tion et de la recon­nais­sance faciale, des données biomé­triques sous forme de pattern par l’utilisation de la souris, du clavier ou encore des mouve­ments corpo­rels de l’étudiant.

Cette récolte inten­sive de données vise à défi­nir, par des moyens auto­ma­ti­sés, un profil de l’étudiant et à lui attri­buer une valeur. Elle relève aussi que malgré le fait que l’enseignant prenne une déci­sion a poste­riori sur la valeur qui lui est présen­tée, cette « inter­ven­tion humaine » n’est pas suffi­sante pour faire perdre le carac­tère auto­ma­tisé du trai­te­ment. C’est pour­quoi il s’agit d’un trai­te­ment de données sensibles aux yeux de la CNPD. À défaut d’une justi­fi­ca­tion de sa licéité, il se révèle non néces­saire, exces­sif et viole donc l’art. 5 par. 1 let. c RGPD.

Ensuite, la CNPD consi­dère de manière diffé­rente la posi­tion de Respondus Inc. dans le cadre de l’utilisation des données récol­tées à ses propres fins pour amélio­rer ses services. L’entreprise états-unienne agit alors comme respon­sable du trai­te­ment. Cependant, ce trai­te­ment est déployé sans consen­te­ment valable de l’étudiant et donc sans base juri­dique valable. Aux termes des art. 6 par. 1 let. a et art. 4 par. 11 RGPD, le consen­te­ment doit prendre la forme d’une mani­fes­ta­tion de volonté, libre, spéci­fique, éclai­rée et univoque. Les condi­tions géné­rales des deux appli­ca­tions prévoient que l’étudiant doit obli­ga­toi­re­ment les accep­ter pour accé­der à l’examen. Cela rend le consen­te­ment inva­lide, car il n’est ni libre ni spéci­fique. Par consé­quent, Respondus Inc. traite ces données en viola­tion du prin­cipe de licéité de l’art. 5 par. 1 let, a RGPD.

Finalement, concer­nant le trans­fert de données vers les États-Unis, la CNPD retient que ni le Privacy Shield ni les SCCs utili­sés n’étaient valides. Se basant sur l’arrêt Schrems II (cf. swiss​pri​vacy​.law/17), la CNPD constate qu’ils n’offrent pas un niveau adéquat de protec­tion des données. Selon la CNPD, il aurait fallu mettre en place des mesures supplé­men­taires pour garan­tir un niveau plus élevé.

La CNPD conclut que l’utilisation des deux appli­ca­tions Respondus viole les dispo­si­tions du RGPD et ordonne à l’Université de deman­der la suppres­sion de toutes les données person­nelles qui auraient déjà été récol­tées par Respondus Inc.

En Suisse, le préposé gene­vois à la protec­tion des données et à la trans­pa­rence a émis une recom­man­da­tion vali­dant le recours à un logi­ciel « anti-triche » asso­ciant données biomé­triques, intel­li­gence arti­fi­cielle et enre­gis­tre­ment vidéo et sonore afin de surveiller les examens et confir­mer l’identité des étudiants à l’Université de Genève. Selon cette recom­man­da­tion, le recours à un tel logi­ciel devait répondre à certaines condi­tions notam­ment liées à la typo­lo­gie des examens (fraude facile à réali­ser) et au nombre de candi­dats à l’examen concerné (plus de 200 personnes).

Dans sa contri­bu­tion sur swiss​pri​vacy​.law, le Prof. Alexandre Flückiger a conclu qu’à défaut d’une base légale formelle claire, une telle surveillance néces­site un consen­te­ment expli­cite, libre et éclairé des personnes exami­nées. Il a cepen­dant noté que si le raison­ne­ment du préposé gene­vois soule­vait des inter­ro­ga­tions, il s’inscrivait dans le cadre très parti­cu­lier de la pandé­mie. La recom­man­da­tion aurait selon lui été diffé­rente dans un autre contexte (cf. swiss​pri​vacy​.law/42).