La notion des données personnelles    Introduction A. Les données d'identification directe B. Les données d'identification indirecte C. Les données sensibles D. Les données anonymées	Télécharger la totalité du guide: Protection de la vie privée et des données personnelles (pdf 230 Ko) Sommaire en ligne

B. Les données d'identification indirecte

L'appréhension de données indirectement nominatives est moins évidente. Il convient d'avoir à l'esprit que cette définition est extrêmement large et que la catégorie est donc très accueillante, allant du numéro de téléphone ou de sécurité sociale à l'adresse ou au numéro de plaque d'immatriculation, en passant par la voix[135] ou l'adresse de courrier électronique. S'agissant d'applications à des fins pédagogiques et éducatives, l'attention doit plus particulièrement porter sur la question des numéros d'identification (1), des tests psychotechniques et psychologiques (2) et des données statistiques (3), voire des empreintes digitales (4) ou de la géométrie de la main (5).

1. NUMEROS D'IDENTIFICATION

La question des numéros d'identification unique est un des points névralgiques de la législation Informatique et Libertés. Elle est posée, pour l'enseignement et la recherche, tant à l'égard du NIR (1.1) que de toute forme de matricule étudiant (1.2).

1.1. NIR

RNIPP. L'article 18 de la loi de 1978 prévoit que " l'utilisation du répertoire national d'identification des personnes physiques en vue d'effectuer des traitements nominatifs est autorisée par décret en Conseil d'Etat pris après avis de la commission ". Le RNIPP, répertoire national des personnes physiques, géré par l'INSEE permet l'identification de tout Français au moyen d'un numéro de 13 chiffres, créé à partir de l'état civil. Ce numéro, appelé encore NIR (numéro d'inscription au répertoire), numéro INSEE, ou tout simplement numéro de sécurité sociale, est non seulement identifiant mais aussi signifiant.

La CNIL est extrêmement réticente à son utilisation, notamment dans le secteur de l'éducation nationale. Dans ses normes simplifiées, n° 29 et n° 33, relatives à la gestion de certains fichiers d'élèves[136], le recours au NIR n'est pas autorisé. De même, la CNIL s'est efforcée d'en limiter le recours, dans le secteur de l'enseignement et de la recherche, à des applications de protection sociale (a) ou d'appariement des fichiers (b).

a) Protection sociale

Traitement APOGEE. Dans le traitement " APOGéE ", visant la gestion administrative de la pédagogie et de la scolarité des étudiants de l'enseignement supérieur, le numéro de sécurité sociale des étudiants est "exclusivement utilisé pour leur immatriculation auprès des organismes de sécurité sociale et des mutuelles agissant comme centres payeurs de sécurité sociale[137] " . La CNIL, qui précise que l'Education nationale dispose désormais d'un identifiant propre [138], insiste sur le fait que le maintien du NIR ne s'explique " qu'au regard de la particularité de la protection sociale étudiante et notamment, de l'obligation faite aux établissements d'enseignement de transmettre le numéro de sécurité sociale aux organismes de sécurité sociale[139] ".

b) Appariement des fichiers

Exemple d'autorisation exceptionnelle : Pour effectuer un traitement automatisé d'informations nominatives sur un échantillon de jeunes sortant, en 1992, des classes de terminale et de l'enseignement supérieur, la CNIL a admis l'utilisation du NIR, sous la réserve que " le numéro INSEE ne sera utilisé que pour les opérations d'appariement entre les fichiers d'inscrits au baccalauréat et les fichiers d'inscrits aux universités gérés par la direction de l'Evaluation et de la Prospective ; qu'il ne sera pas conservé par le CEREQ après l'achèvement de ces opérations[140] ".

La CNIL a ainsi donné un avis favorable au projet de décret relatif à l'utilisation du NIR aux fins de constitution, par le CEREQ - Centre d'études et de recherches sur les qualifications - d'échantillons de jeunes sortant de classes terminales ou de l'enseignement supérieur, pour évaluer leur cheminement et leur insertion professionnelle. Cette autorisation a été accordée en considération du fait que la constitution de ces échantillons devait permettre la réalisation d'enquêtes de cheminement entrant dans la mission de service public du CEREQ et que le NIR ne pouvait être utilisé qu'à des fins statistiques et pendant une période limitée dans le temps[141].
69. Projet de loi. La même attention à l'utilisation du NIR est portée par le projet de loi n° 762 précité[142] qui prévoit également, une procédure d'autorisation par décret ou par arrêté pris en Conseil d'Etat après avis motivé et publié de la CNIL.

1.2. Matricule étudiant

La CNIL a toujours été extrêmement réservée sur l'usage du numéro d'identification au répertoire NIR. Dans sa délibération[143] de 1983 relative à l'utilisation du NIR, elle a recommandé que l'emploi du NIR, comme identifiant des personnes dans les fichiers ", ne soit ni systématique, ni généralisée" et qu'en conséquence, "les responsables de la conception d'applications informatiques se dotent d'identifiants diversifiés et adaptés à leurs besoins propres".

Traitement SAGACES. Le recours au NIR a été le principal " point d'achoppement " des discussions avec le ministère de l'Education nationale à propos du traitement " SAGACES " d'aide à la gestion des examens et concours scolaires. C'est ainsi que la CNIL avait émis un avis favorable au projet de décret relatif à l'utilisation du RNIPP, pendant une durée limitée de deux ans, en tenant compte de la " volonté du ministère de régulariser la situation à bref délai[144]". Il s'agissait de permettre le remplacement du traitement " EFU[145]" par le traitement " SISE ", faisant appel à un identifiant propre à l'éducation nationale et distinct du numéro INSEE .

Traitement SISE. Cet engagement de recourir à un identifiant distinct du NIR a été honoré par la mise en oeuvre du traitement " SISE " (enquête d'information sur le suivi des étudiants) destiné à obtenir des informations fiables et cohérentes sur les élèves et les étudiants des établissements d'enseignement supérieur, en vue de la répartition des moyens, de l'établissement de statistiques et d'études prospectives. Ainsi, la CNIL a émis un avis favorable au projet d'arrêté, en considérant que " le traitement SISE sera caractérisé par la mise en place d'un numéro matricule spécifique de l'étudiant distinct du numéro d'identification au répertoire[146] ". La structure de l'identifiant est de onze caractères dont un code géographique caractérisant sur deux caractères l'académie d'immatriculation, l'année d'attribution du numéro en deux caractères, un numéro d'ordre séquentiel en six caractères et la clé de contrôle codée en un caractère. Le recours au matricule est lui-même strictement limité aux besoins des traitements.

Identifiant national élève. Le traitement " SCOLARITé " a pour objet d'assurer la gestion administrative, pédagogique et financière des élèves par les établissements publics du second degré, la gestion académique et l'établissement de statistiques par les rectorats et les inspections d'académie, ainsi que la gestion prévisionnelle et la mise en oeuvre d'études statistiques par l'administration centrale. Ainsi pour ce traitement " Scolarité ", il a été prévu, à la demande de la CNIL, que les numéros matricules nationaux des élèves ne seraient pas transmis au niveau central, [147]. Le projet comprenait, en effet, la création de trois bases de données : la base élève au niveau de l'établissement scolaire (BEE), la base élève au niveau académique (BEA), la base centrale de pilotage (BCP) au niveau de l'administration centrale. On notera que l'identifiant attribué à chaque élève par le ministère est désormais dénommé " identifiant national élève ", INE[148].

E-learning. L'idée de matricules ou identifiants uniques[149] parcourt également les projets de " e-learning[150] ", dont il convient de maîtriser la portée et les finalités. Une légitime inquiétude demeure sur les risques de dérives marchandes de tels projets. Le projet de l'Organisation internationale de normalisation (ISO) serait, par exemple, d'imposer à tous les " apprenants " un numéro d'identification personnel, " simple human identifer ", dont l'objectif serait de " rendre capables les technologies de l'information d'avoir un accès rapide aux profils et préférences humains, tels les modes d'apprentissage, les capacités physiques, cognitives et les préférences culturelles[151]. Ce qui conduit J. Perriault, représentant de l'AFNOR, à exhorter les autorités françaises à ne pas céder face aux " marchands qui veulent utiliser l'e-learning pour se constituer des bases de données clients[152] "...
 

2. TESTS PSYCHOTECHNIQUES ET PSYCHOLOGIQUES

Tests. A propos des modalités de collecte d'informations nominatives en milieu scolaire et dans l'ensemble du système de formation, la CNIL a estimé[153] que les tests et épreuves à caractère psychotechnique ou psychologique constituaient une collecte de données personnelles au sens de la loi du 6 janvier 1978.

3. DONNEES STATISTIQUES

Statistiques. Aucune administration n'échappe à la production de données statistiques. Dans le secteur de l'enseignement et de la recherche, la mise en oeuvre de traitements automatisés a répondu, dans les années 1970, au souci de " déconcentrer la gestion " des ministères de l'Education Nationale et de l'Enseignement supérieur. Il en est résulté qu'il n'y a eu, selon la CNIL, " de remontée de données au niveau national que sous forme agrégée et statistique, aux fins d'information du pouvoir politique et pour permettre à l'administration centrale d'exercer ses missions normales d'évaluation et de pilotage[154] " .

Données agrégées. Toutefois, il faut reconnaître que " des données statistiques agrégées à un niveau insuffisant permettent indirectement l'identification des personnes physiques auxquelles elles s'appliquent[155] ". Il importe donc d'opérer une juste appréciation du risque d'identification d'une personne dans certaines masses d'information. Si cette question n'a pas semblé poser de problèmes pour les traitements de gestion, elle a, en revanche, conduit la CNIL à de nombreuses discussions avec l'INSEE, notamment à propos de l'utilisation, pour la recherche scientifique, des données issues du recensement.

Exemple du recensement. En effet, à l'issue des exploitations statistiques des résultats du recensement, l'INSEE diffuse des fichiers de données individuelles, des listes ou des tableaux. L'INSEE, pour le recensement de 1999, s'est engagée à ne céder aucun fichier de données individuelles ou " fichier-détail " à un niveau d'agrégation inférieur à 50 000 habitants, sauf lorsque ceux-ci ne comporteront que des informations sur le logement. Ainsi, le niveau d'agrégation des " résultats se présentant sous forme de fichiers détails (c'est-à-dire de questionnaires individuels comportant pour tout élément d'identification la zone géographique dans laquelle est située l'adresse de la personne ayant répondu) " est passé de 5000 à 50000 habitants, pour empêcher une " ré-identification des personnes par croisement des fichiers d'adresses[156] ".

Choix des niveaux d'agrégation. Pour les " fichiers-tableaux ", les tableaux prédéfinis correspondent à la population de la commune d'environ 5000 habitants ou à celle de quartiers fixes d'environ 2000 habitants s'ils ne comportent pas de variables relatives à la nationalité, ni aux migrations . Quand ils en comportent, ils sont cédés à un " niveau d'agrégation équivalent à la population de la commune pour les communes de plus de 5000 habitants ou à celle de zones infra-communales fixes résultant du regroupement de trois quartiers fixes de 2000 habitants soit environ 6000 habitants[157] ".

Seuils. Cette appréciation du caractère indirectement nominatif des données agrégées est souvent contestée par les chercheurs. A cet égard, pour le recensement de 1990, le Conseil d'Etat a considéré que " la protection du secret statistique et du secret de la vie privée " ne justifiait pas " la fixation générale d'un seuil minimal d'agrégation de 5000 habitants pour les communes dont la population dépasse ce chiffre, sans aucune différenciation tenant à la nature des informations recueillies et aux différents supports contenant les données du recensement général de la population de 1990[158] " .

4. EMPREINTES DIGITALES

Biométrie. Les empreintes digitales constituent des données indirectement nominatives. Le recours à ce procédé d'identification de la personne, par biométrie[159], doit être limité au strict nécessaire, dans le souci du principe de finalité et de proportionnalité[160]. La CNIL relève, à ce sujet, combien " la prise de l'empreinte digitale est, dans l'inconscient collectif, ressentie comme une intrusion particulièrement indiscrète dans l'intimité de la personne[161] ( ...) ". Elle s'est d'ailleurs opposée à la collecte des empreintes digitales des élèves et du personnel d'un collège aux fins de faciliter leur accès à la cantine scolaire.

Empreintes digitales. La Commission considère " qu'à la différence d'autres données biométriques, les empreintes digitales laissent des traces qui peuvent être exploitées à des fins d'identification des personnes à partir des objets les plus divers que l'on a pu toucher ou avoir en main " et que " la constitution d'une base de données d'empreintes digitales est dès lors susceptible d'être utilisée à des fins étrangères à la finalité recherchée par sa création ". Elle ajoute que " si la constitution de bases de données biométriques y compris d'empreintes digitales peut être justifiée dans certaines circonstances particulières où l'exigence de sécurité et d'identification des personnes est impérieuse, sa mise en oeuvre dans un collège, à l'égard notamment de mineurs et aux seules fins de contrôler l'accès à la cantine scolaire est excessive au regard de la finalité poursuivie[162] ". Comme le souligne un auteur, aucune disposition, dans ce dossier, " ne permettait de garantir que cette finalité soit limitativement respectée[163] ".

Contrôle d'accès. A l'inverse, la commission a admis la mise en place d'un système de contrôle d'accès biométrique par reconnaissance des empreintes digitales, mis en place par l'Académie de Lille, pour le contrôle de l'accès à l'imprimerie des sujets d'examens, aux salles fortes, aux coffres et salles d'archives[164]. Elle a rejeté, en revanche, le projet de contrôle biométrique du personnel, aux fins de permettre l'accès rapide et sécurisé aux bâtiments de la cité académique[165].

5. GÉOMÉTRIE DE LA MAIN

Contour de la main. Autre forme de donnée biométrique, le recours à la technique de la reconnaissance du contour de la main a été autorisé par la CNIL, pour un traitement de gestion des accès au restaurant scolaire des élèves et des personnels du collège Joliot Curie de Carqueiranne. Cette technique permet de " s'assurer que les données nécessaires au contrôle de l'accès ne sont ni perdues, ni échangées et que seules les personnes habilitées peuvent accéder au service[166] ". La CNIL observe que le contour de la main contrairement aux empreintes digitales, ne laisse pas de trace et limite les " risques d'utilisation des données à des fins étrangères à la finalité poursuivie par le traitement ".