Pour la Quadrature du Net, le porte-clefs localisable imposé aux élèves d’un lycée est illégal

POLEMIQUE Après avoir enquêté, l’association de défense des droits et des libertés fondamentales à l’ère du numérique vient de considérer que le badge obligatoire permettrait de tracer en permanence les élèves, ce qui est illégal…

Marie De Fournas

— 

Un lycée. (Illustration)
Un lycée. (Illustration) — KONRAD K./SIPA
  • L’association pense que le dispositif imposé par le collège-lycée parisien à la rentrée est illégal.
  • La Quadrature du Net pense que la puce insérée dans le porte-clefs permettrait de tracer individuellement les élèves.
  • Les parents d’élèves sont invités par l’organisme à saisir la justice

Le 20 juillet dernier, une lycéenne a publié sur Twitter le nouveau règlement de son lycée. Un encadré y indique que les élèves recevront en début d’année « un porte-clés connecté (Bluetooth) » qu’ils devront avoir « en permanence sur eux ». Objectif du dispositif : « S’assurer de la présence de chacun d’eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité (incendie, PPMS). » Un débat sur la légalité de ce dispositif avait alors agité la toile.

20 Minutes avait alors contacté la lycéenne, mais également le lycée et l’entreprise fabriquant le porte-clefs afin d’obtenir plus d’informations. NewSchool qui fabrique ces badges avait alors assuré la légalité du dispositif et précisé travailler avec l’Education nationale et posséder un accord avec la CNIL. Contactée et relancée depuis plusieurs jours par 20 Minutes, la CNIL a indiqué qu'à ce stade, «elle ne dispose que des éléments dont elle a pris connaissance dans la presse». Ce qui signifie bien que la CNIL a découvert ce dispositif dans la presse. Ce lundi, la Quadrature du Net (QdN) a de son côté publié les résultats de son enquête et selon l’association de défense des libertés sur Internet, ces porte-clefs contraindraient illégalement des enfants à être tractables en permanence.

Tweet d'une lycéenne scolarisé à Rocroy Saint-Vincent de Paul à Paris
Tweet d'une lycéenne scolarisé à Rocroy Saint-Vincent de Paul à Paris - Capture Twitter

Le badge pourrait émettre en permanence

En croisant plusieurs informations et indices, la QdN pense avoir identifié la puce contenue dans les porte-clefs : la EMBC0, produite par la start-up française Ubudu. La fiche technique de cette puce indique qu’elle « peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu’elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois ». Comme avait expliqué à 20 Minutes NewSchool, ce badge est détectable via une application installée sur le portable des professeurs et qui leur permettra de faire l’appel en moins de 10 secondes.

Avec ces informations, l’association vient casser la défense du lycée qui a affirmé dans un communiqué que le Bluetooth du badge ne s’activait que lorsque l’enseignant faisait l’appel et que le reste du temps, les porte-clés s’éteignait automatiquement. Pour la Quadrature, si tel était le cas, la durée de vie du porte-clefs serait bien plus longue que 13 mois. « Par ailleurs, l’idée que la puce n’émette qu’au moment de l’appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accessible n’importe quand, il n’y a pas d’appel à y faire à un instant déterminé », ajoute l’association.

Possibilité de suivre à la trace les élèves ?

Si l’information est confirmée, cela signifie que, même si le porte-clefs n’indique pas le nom de l’élève, il est possible « de suivre à la trace chaque enfant de façon individualisée », au moyen d’un smartphone possédant l’appli, « n’importe où, même en dehors de l’école, pour peu qu’on se trouve dans un rayon de 75 mètres de l’enfant », conclue l’association.

Dans un second temps, la Quadrature remet en cause le niveau de sécurité du logiciel Charlemagne/EcoleDirecte avec lequel travail NewSchool et qui est censé protéger les données émises par le badge. L’association évoque des « fonctionnements d’une sécurité d’un autre âge » et juge « impensable » l’idée de faire « reposer l’identification de données de localisation d’enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent ».

Les parents d’élèves invités à saisir la justice

Enfin, la Quadrature rappelle que le RGPD exige que tout traitement de données personnelles soit notamment fondé sur le consentement. L’encadré étant présent dans le règlement intérieur, les élèves sont donc obligés de l’accepter. Le consentement n’est donc pas libre pour l’association.

L’association accuse l’établissement d’être trop flou sur les informations fournies et invite les élèves et parents d’élèves de l’établissement « à se saisir des éléments développés ici pour saisir la justice en référé afin de faire changer le règlement intérieur avant la rentrée ».