La surveillance des examens via webcam atteint-elle à la vie privée ?
Dernière édition le 15 mai 2020 à 10:57 - Relecture par Lina Fourneau , correction par Anne Smadja , coordonné par Lina Fourneau
C'est à nuancer
En bref
Depuis la mi-avril, des étudiants de France et de Belgique dénoncent l'atteinte à la vie privée de la télésurveillance qui sera mise en place pour organiser leurs examens à distance. Si le caractère intrusif de ces logiciels est avéré, il peut pourtant être légitime, mais reste sujet à polémique.
🔴NON AUX EXAMENS TÉLÉSURVEILLÉS
— Solidaires Étudiant.e.s Rennes (@SESLRENNES) May 5, 2020
La gestion du passage des examens par l'université Rennes 1 est désastreuse ! Nous avons fait part à France bleu de notre opposition aux examens télésurveillés qui sont une grave atteinte à la vie privéehttps://t.co/M8R3KzPeAu
Pour certains étudiants, l'annonce de la surveillance des examens via webcam a été la goutte d'eau qui fait déborder le vase. Après une fin de semestre difficile, tant pour eux que pour le corps enseignant, ils voient cette nouveauté d'un très mauvais œil.
Mais que dit la loi à ce sujet ? Peut-on, légalement, surveiller un étudiant dans son environnement personnel avec la webcam de son ordinateur, tout en bloquant l'accès aux autres fonctionnalités de ce dernier ?
Pour Maître Wéry, avocat aux barreaux de Bruxelles et de Paris, les logiciels de télésurveillance des examens (TestWe, WISEflow, Blackckboard,…) sont «évidemment attentatoires à la vie privée». Mais selon ce spécialiste en droit des technologies, «la question n’est pas de savoir s’il y a une atteinte, mais plutôt de savoir si celle-ci est légitime ou pas».
D'après un récent sondage mené en Belgique par la** Fédération des étudiants francophones (FEF)**, 24 % des étudiants déclarent être concernés par ces examens «télésurveillés». Néanmoins, le cabinet de la ministre de l’Enseignement supérieur en Fédération Wallonie-Bruxelles affirme que «la plupart des établissements ont fait savoir qu’ils n’auraient pas recours à des logiciels anti-triche».
«Je ne sais pas dire si c’est attentatoire à la vie privée ou non»
Pour bien comprendre, nous nous sommes tournés vers ceux qui ont admis un recours à cette surveillance dans certains cas, à l'instar de l'**UCL **(université catholique de Louvain) ou de l'**IHECS **(Institut des hautes études des communications sociales).
A l’UCL la direction voulait faire les examens sur TestWe ou un autre programme où tu fais ton examen et ta webcam activé ça te prend en photo et les profs peuvent vérifier
— slayer (@aubin\_slayer) April 22, 2020
Pour Yves Deville, professeur à l’École polytechnique de Louvain et conseiller du recteur de l’UCL, le but est de mettre le plus d’outils possible à la disposition des professeurs pour organiser des examens équitables à distance, parmi lesquels des logiciels qui offrent aux enseignants la possibilité de surveiller les étudiants.
«L’université comprend et respecte le fait qu’un étudiant refuse qu’on s’introduise à son domicile via un logiciel. D’un point de vue légal, je ne sais pas dire si c’est attentatoire à la vie privée ou non. Mais nous proposons l'alternative de venir passer l’examen en présentiel à l’université, et ce avec les logiciels. Est-ce contraire au Règlement général sur la protection des données (RGPD) de surveiller un examen via la caméra d’un ordinateur à l’université ? Selon nos juristes, non.»
Maître Wéry détaille : «Dans ce cas-ci, l’atteinte n’est pas illégitime puisqu’a priori, elle respecte quatre conditions nécessaires, c'est-à-dire d'être prévu par un texte (un règlement d’université suffit), de répondre à un objectif admissible (ici, la lutte contre la fraude), d'être nécessaire et enfin, d'être proportionné à l'objectif.»
Et c’est précisément dans cette quatrième condition que réside toute la nuance. «La proportionnalité est un critère complètement subjectif, dépendant d’une infinité de paramètres et qui ne peut être évaluée qu’a posteriori. Mais le fait de proposer une alternative (présenter l’examen en présentiel, par exemple) à ceux qui ne supportent pas l’idée d’être surveillés chez eux, fait partie de l’appréciation de la proportionnalité.»
«Le jeu n’en vaut pas la chandelle»
L'université libre de Bruxelles (ULB) fait partie des institutions qui n’auront pas recours à ce type de méthode «anti-triche». Selon Éric Uyttebrouck, responsable du centre d’appui pédagogique de l’ULB, «Le jeu n’en vaut pas la chandelle. Ces logiciels n’empêcheront pas certains étudiants de tricher. À cela s’ajoute la question de la légalité. Pour prendre des photos de quelqu’un, il faut son consentement. Mais dans ce cas, comment peut-on considérer que le consentement de l’étudiant est non contraint et libre, s’il doit le donner pour passer son examen ?»
Sur cette question du consentement, la réponse de l’Autorité de protection des données (APD, Belgique) est claire : «Dans le cadre scolaire, vu qu’il existe une relation d’autorité entre l’établissement et l’étudiant, le consentement ne sera de surcroît probablement pas considéré comme valable. En effet, le consentement, pour être valable, doit être “libre”. Or, il ne peut que difficilement être librement donné dans le cadre d’une relation inégale (d’autorité).»
Cependant, le consentement de l'utilisateur n'est pas une base légale obligatoire. L'usage de logiciels de télésurveillance est légitime s'il peut reposer sur l'une des autres bases légales prévues par le RGPD, se reposant sur les quatre conditions énoncées plus tôt.
«Chaque étudiant est libre d’accepter la télésurveillance ou non»
Du côté de TestWe, principale entreprise proposant des logiciels anti-triche en France et en Belgique, Benoît Sillard se défend : «Chaque étudiant est libre d’accepter la télésurveillance ou non. Auquel cas, il peut faire son examen en présentiel ou ne pas le passer du tout, si ces conditions ne lui conviennent pas.»
Par ailleurs, il précise : «TestWe_ est un prestataire de services auprès des établissements d'enseignement supérieur. Ce n’est pas nous qui faisons passer les examens aux étudiants, mais bien les établissements, qui choisissent d’utiliser l’un ou l’autre de nos services.»_ Dans ce sens, le dirigeant de TestWe rappelle que ce sont ces mêmes établissements qui réceptionnent les données collectées sur les étudiants et en aucun cas l'entreprise de télésurveillance.
#Examens télésurveillés | @Universite\_Caen poursuit l'expérimentation
— CEMU (@CemuCaen) January 15, 2018
Une partie des étudiants #délocalisés ont la possibilité de passer les contrôles terminaux à distance grâce à @Managexam, entreprise basée à Montpellier.
➡Présentation en 180 s. https://t.co/8K2Q1rHEnL pic.twitter.com/TjogtgXepN
À l’université Caen Normandie, ce type de logiciel est bien connu. À tel point que dans une ordonnance du ministère français de l’Enseignement supérieur du 27 mars dernier, l’UniCaen et certains prestataires de services (dont **TestWe **) sont pris en exemple et recommandés dans une fiche intitulée «Évaluer et surveiller à distance».
En 2016, l’université normande avait obtenu le feu vert de la Commission nationale de l'informatique et des libertés (CNIL, France) pour une expérimentation de télésurveillance des examens dans le cadre de formations à distance.
Pierre Beust, le vice-président délégué aux transformations pédagogiques de l’UniCaen, explique :
«Depuis la mise en application du RGPD, quand un établissement veut engager un traitement de données à caractère personnel, il n’a plus à demander un avis préalable à la CNIL. Il doit cependant déclarer le traitement des données dans le registre de l’établissement. Ce registre local doit être instruit par une étude d’impact sur les utilisateurs avec une homologation du système de sécurité et d’information, précisant où, comment et combien de temps sont conservées les données.»
En Belgique, l’utilisation de ces logiciels est inédite et l’APD n’a donc pas encore été sollicitée sur le sujet, contrairement à son homologue français. Concernant le respect du RGPD, «il est de la responsabilité des établissements les utilisant de s’en assurer», rappelle Aurélie Waeterinckx pour l’APD.
La porte-parole confirme que l'APD a reçu de la part d’étudiants des demandes d’avis de la Commission vie privée sur l’utilisation de logiciels de télésurveillance. En effet, tout citoyen qui estime que ses droits sont menacés peut demander un avis ou porter plainte auprès de l’Autorité de protection des données. Cette dernière, avant de rendre son avis, récolte les arguments respectifs de la partie plaignante et de la partie défenderesse.
«Trouver des mesures pour amoindrir ces risques»
S’il faut donc patienter avant de recevoir les conclusions de l’Autorité de protection des données en Belgique, celle-ci estime nécessaire que des analyses d'impact de protection des données (AIPD) soient établies au préalable par les universités et les écoles utilisant des logiciels de télésurveillance. L‘analyse d’impact doit comprendre au moins une description complète du traitement, une évaluation de sa nécessité et de sa proportionnalité, ainsi qu'une évaluation des risques pour les droits et les libertés des personnes concernées et enfin, les mesures envisagées pour y faire face.
«Au bout de cette analyse, si les établissements se rendent compte qu’ils ne parviennent pas à réduire les risques d’atteinte aux droits des utilisateurs, ils doivent venir vers nous. Soit ce traitement n’a pas le droit d’avoir lieu parce que les risques restent trop élevés, soit on les aide à trouver des mesures pour amoindrir ces risques», détaille Aurélie Waeterinckx.
Par contre, si l’analyse d’impact ne révèle aucun risque, alors l’APD n'a pas lieu d'être consultée. À l’heure actuelle, aucune analyse d’impact n’est parvenue à l’Autorité de protection des données.
Quant à savoir si l’UCL a réalisé une analyse d’impact, Yves Deville, le conseiller du recteur répond : «Il y a eu une analyse du traitement. Une évaluation de la nécessité d’utiliser ces outils, y compris la question de la proportionnalité, a été analysée par les services juridiques de l’université. Les questions liées aux droits et aux libertés des personnes ont été traitées par notre responsable RGPD afin de vérifier et mettre en œuvre les mesures nécessaires qui assureront le respect du RGPD.»
Mais selon Pierre Beust, de l’UniCaen : «Le débat n’est pas juridique, ni éthique, car les conditions sont remplies. S’il y a débat, il est idéologique.»
De son côté, Élise Degrave, chercheuse en droit numérique à l’université de Namur (UNamur) est bien plus alarmante sur le sujet. Pour elle, ces logiciels de télésurveillance créent un effet de prison panoptique de Bentham.
«Cela induirait un climat de surveillance, comme dans un auditoire. L’étudiant peut se sentir surveillé, même si, de facto, il ne l’est pas nécessairement. Ce qui pose question, c’est qu’un logiciel automatisé relève des comportements suspects.»
Même son de cloche du côté d'Yves Roggeman, professeur d’informatique à l’ULB : «Au-delà du fait que ces logiciels ne sont pas infaillibles au piratage informatique, je crains des situations où un étudiant "innocent" serait accusé de tricherie. Ce serait extrêmement dérangeant.»
Mais Benoît Sillard de TestWe rétorque :
«Le logiciel agit comme les yeux d’un surveillant consultable en direct et/ou a posteriori, le choix étant laissé à l’institution. Il détecte quand l’étudiant n’est pas là, quand il y a quelqu’un à côté de lui, etc. S’il y a un comportement anormal, le logiciel envoie une indication via un système de pastille (orange ou rouge). Ensuite, c’est un être humain qui va consulter cette indication et qui jugera si le comportement était anormal ou pas.»
À l’UCL, Yves Deville se veut également rassurant : «Si un comportement anormal est détecté, le professeur pourra prendre contact avec l’étudiant pour que ce dernier puisse s’expliquer. Dans le cas où le professeur ne serait pas satisfait par ces explications, il pourra faire remonter le cas au président du jury, qui instruira la question afin que le jury tranche pour décider s’il y a eu tricherie ou non.»
Enfin, Pierre Beust, missionné depuis 2015 pour tester ce dispositif à l'UniCaen, relève une anecdote pour illustrer son propos : «Une fois, une étudiante s’est levée et s’est absentée quelques secondes. Son chat était rentré dans la chambre avec une souris morte dans la bouche. Le logiciel l’a rapporté, ce qui a ensuite été confirmé par l’étudiante. Fin de l’histoire !»
Selon cet expert, toute anomalie détectée par la caméra donne lieu à un échange entre l’étudiant et son professeur. Ainsi, le repérage des comportements suspects est automatisé, mais l'arbitrage final pour déterminer si l'étudiant a triché revient à un être humain.
Fiche Enquête
La fiche ci-dessous résume le parcours et la méthodologie employés pendant notre enquête.
Information
Vérifiée et à nuancer
Première apparition sur le web
Non renseigné
Dernière modification de la fiche de l'enquête
4 mai 2021 à 16:52
Lieu de publication constaté
Actions entreprises par les journalistes
-
Entretiens avec des décisionnaires et responsables d'universités et écoles belges et françaises utilisant un logiciel de télésurveillance pour leurs examens. Pierre Beust de l'Université de Caen Normandie et Yves Deville, conseiller du recteur de l'Université de Louvain-la-Neuve. Ils ont justifié en quoi l'utilisation de ces logiciels répondaient aux exigences juridiques du RGPD et à leurs exigences éthiques.
-
Entretien effectué avec le PDG de Testwe Benoît Sillard, principal logiciel utilisé par les hautes écoles/universités belges, sur des questions de légalité et sécurité de leur logiciel.
-
Nous avons confronté les informations récoltées avec les expertises de Me Etienne Wery, avocat spécialiste des questions de l'avènement du numérique, et Elise Debarge, chercheuse en droit numérique à l'Université de Namur.
-
Nous avons interrogé l'Autorité de Protection des Données (Belgique) au sujet de la compatibilité du fonctionnement de ces logiciels de télésurveillance avec le RGPD.
-
Nous attendons un retour de la CNIL, à ce même sujet.
-
Nous avons récolté les réponses de l'Université libre de Bruxelles qui refuse d'utiliser un logiciel de télésurveillance pour ses examens afin de comprendre ce qui posait problèmes de leur côté sur les terrains juridiques, éthiques et de la sécurité. Pour cela nous avons interrogé Éric Uyttebrouck, responsable du centre d’appui pédagogique, et Yves Roggeman, professeur d’informatique à l'ULB
Pistes et conclusions
Mi-avril l’UCL et l’IHECS (Belgique) ainsi que certains établissements supérieurs français annoncent le recours à des logiciels de télésurveillance (Testwe, Wiseflow, Blackboard, …) pour organiser leurs examens à distance. S’en ait suivi de nombreuses dénonciations d’ atteinte à la vie privée des étudiants.
Pour Me Wéry, avocat aux Barreaux de Bruxelles et de Paris, les logiciels de télésurveillance des examens via webcam sont bel et bien attentatoires à la vie privée. Mais selon le juriste en droit des technologies, la question est de savoir si cette atteinte est légitime ou pas.
Pour qu’une atteinte à la vie privée soit légitime, il faut qu’elle respecte quatres conditions nécessaires: le fait que ce soit prévu par un texte (un règlement d’université suffit), que cela réponde à un objectif admissible (ici, la lutte contre la fraude) et que ce soit nécessaire et, proportionné à cet objectif.
La proportionnalité est un critère subjectif, dépendant d’une infinité de paramètres et qui ne peut être évaluée qu’à posteriori. Mais le fait de proposer une alternative, comme donner la possibilité de présenter l’examen en présentiel (ce que propose l’UCL et l’IHECS), fait partie de l’appréciation de la proportionnalité.”
Dans cette affaire, le consentement pose également question. En effet, selon l’APD, le consentement pour être valable doit être “libre”. Or, il ne peut que difficilement être librement donné dans le cadre d’une relation inégale d’autorité entre un étudiant et son établissement.
Selon Testwe, principale entreprise qui propose des logiciels anti-triche en France et Belgique, chaque étudiant est libre d’accepter la télésurveillance ou non. Auquel cas, il peut faire son examen en présentiel ou ne pas le passer du tout, si ces conditions ne lui conviennent pas.
En France, dans une ordonnance du 27 mars dernier, le ministère français de l’enseignement supérieur recommandait l’utilisation de certains prestataires de services (dont Testwe) pour évaluer et surveiller les étudiants à distance. En effet, en 2016, l’Université de Caen avait obtenu le feu vert de la Commission nationale de l'informatique et des libertés (CNIL) pour une expérimentation de télésurveillance des examens.
À l’Université Caen Normandie, on connaît bien ce type de logiciel. À tel point que dans une ordonnance du ministère français de l’enseignement supérieur du 27 mars dernier, l’UniCaen et certains prestataires de services (dont Testwe) sont pris en exemple et recommandés dans une fiche intitulée “évaluer et surveiller à distance”. En 2016, l’université normande avait obtenu le feu vert de la Commission nationale de l'informatique et des libertés (CNIL, France) pour une expérimentation de télésurveillance des examens dans le cadre de formations à distance. Depuis la mise en application du RGPD, quand un établissement veut engager un traitement de données à caractère personnel, il n’a plus à demander un avis préalable à la CNIL. Il doit déclarer le traitement des données dans le registre de l’établissement. Ce registre local doit être instruit par une étude d’impact.
En Belgique, l’utilisation de ces logiciels est inédite et l’APD n’a donc pas encore rendu d’avis sur la question. Concernant le respect du RGPD, il est de la responsabilité des établissements les utilisant de s’en assurer. Cependant, l’APD estime nécessaire que des analyses d’impact (AIPD) soient établies au préalable par les universités et écoles utilisant des logiciels de télésurveillance. À l’UCL, une évaluation de la nécessité d’utiliser ces outils, y compris la question de la proportionnalité, a été analysée par les services juridiques de l’université. Les questions liées aux droits et libertés des personnes ont été traitées par le responsable RGPD de l’institution afin de vérifier et mettre en oeuvre les mesures nécessaires qui assureront le respect du RGPD.