NOUS AVONS LU ENT, le problème des données nominatives « Bureaux virtuels pour le scolaire » sur Éducnet. Responsable : Jean-Michel Leclercq. Le principe de l'ENT est que l'élève (ou l'enseignant) après s'être identifié pour se connecter au portail, accède à l'ensemble des services et ressources qui lui sont dédiés (principe du single-sign-on soit SSO). Il faut donc que les éditeurs s'interfacent avec l'ENT pour assurer un service SSO. Pour cet interfaçage, ils ont besoin de savoir qui se connecte à leurs services. Cela pourrait se faire sous la forme d'un jeton d'identification qui contiendrait de façon cryptée l'identifiant et le mot de passe de l'élève. Même si les informations étaient transmises en clair, on pourrait penser qu'un identifiant formé des n premières lettres du prénom d'un élève et des n premières de son prénom avec un mot de passe serait suffisant pour l'autorisation d'accès aux ressources. Mais les groupements d'éditeurs CNS et KNE demandent pour ouvrir un compte les informations nominatives des élèves. Les ENT (*) interfaçant des ressources éditoriales fournissent donc actuellement aux éditeurs, les noms, prénoms, établissement, classe des élèves, identifiants et mot de passe de connexion à l'ENT, parfois même les courriels. Quant aux éditeurs de logiciels de vie scolaire, ils ont bien entendu tous les aspects de la vie scolaire de l'élève sur leurs serveurs. Qu'en est-il de l'aspect réglementaire sur ces questions ? Si on lit le SDET, on remarque le peu de préconisations sur le sujet : les spécifications d'authentification, d'autorisation et de sécurité single-sign-on et « les aspects juridiques et réglementaires », sont des « travaux sont en cours »... (p. 51 et 69 de la version du SDET pour appel à commentaires). Ce qui en clair veut dire que si les fonctionnalités d'usage des ENT sont bien déterminées, si le fonctionnement technique a bien été résolu, le cadre réglementaire, en particulier en ce qui concerne la transmission des données nominatives des élèves, n'est pas défini. Pourtant au moins 5 académies (les deux les plus avancées sont Metz-Nancy et Strasbourg) sont au stade de la généralisation. Généralisation en dehors de tout cadre juridique ? (info sur le site d'Éducnet.) Dans le même temps, le ministère signe un accord-cadre avec la CNIL portant sur l'engagement d'un programme commun de sensibilisation et de formation auprès des enseignants, des élèves et des étudiants, à la protection de la vie privée et des données personnelles. Veut-on déplacer les responsabilités ? Sur quelle base réglementaire va se faire cette information ? Paris, 05 octobre 2006 - Schéma directeur des espaces numériques de travail (SDET) : - Annuaire ENT : - Accord MENSER/CNIL : NOTE ___________________ |