Les logiciels de surveillance d'examens via webcam sont-ils attentatoires à la vie privée ?

Pour certains étudiants, l’annonce de la surveillance des examens via webcam est la goutte qui a fait déborder le vase. Après une fin de semestre compliquée, tant pour les étudiants que pour le corps enseignant, les étudiants, eux, voient cette nouveauté d’un très mauvais oeil.

Mais quelle est la vision de la justice à ce sujet ? Légalement est-il possible de surveiller un étudiant dans son environnement personnel par la webcam de son ordinateur, tout en bloquant l’accès à toutes les autres fonctionnalités de celui-ci ?

Pour Maître Wéry, avocat aux barreaux de Bruxelles et de Paris, les logiciels de télésurveillance des examens (Testwe, Wiseflow, Blackckboard, …) sont « évidemment attentatoires à la vie privée. » Mais selon ce spécialiste en droit des technologies, «la question n’est pas de savoir s’il y a une atteinte, mais plutôt de savoir si celle-ci est légitime ou pas.»

Dans un récent sondage mené en Belgique par la Fédération des étudiants francophones (FEF), 24 % des étudiants disent être concernés par ces examens « télé-surveillés ». Néanmoins, le cabinet de la ministre de l’Enseignement supérieur en Fédération Wallonie-Bruxelles se veut rassurant : «La plupart des établissements ont fait savoir qu’ils n’auraient pas recours à des logiciels anti-triche».

🔴NON AUX EXAMENS TÉLÉSURVEILLÉS

La gestion du passage des examens par l'université Rennes 1 est désastreuse ! Nous avons fait part à France bleu de notre opposition aux examens télésurveillés qui sont une grave atteinte à la vie privéehttps://t.co/M8R3KzPeAu

— Solidaires Étudiant.e.s Rennes (@SESLRENNES) May 5, 2020

“Je ne sais pas dire si c’est attentatoire à la vie privée ou non”

Pour bien comprendre, nous nous sommes tournés vers ceux qui ont admis un recours à cette surveillance dans certains cas, à l’instar d’UCL (Université catholique de Louvain) ou de l’IHECS (Institut des hautes études des communications sociales).

Pour Yves Deville, professeur à l’École polytechnique de Louvain et conseiller du recteur de l’UCL, le but est de mettre le plus d’outils possibles à la disposition des professeurs pour organiser des examens équitables à distance, parmi lesquels des logiciels qui offrent aux enseignants la possibilité de surveiller les étudiants.

A l’UCL la direction voulait faire les examens sur TestWe ou un autre programme où tu fais ton examen et ta webcam activé ça te prend en photo et les profs peuvent vérifier

— slayer (@aubin_slayer) April 22, 2020

« L’université comprend et respecte le fait qu’un étudiant refuse qu’on s’introduise dans son domicile via un logiciel. D’un point de vue légal, je ne sais pas dire si c’est attentatoire à la vie privée ou non. Mais nous proposons une alternative qui est de venir passer l’examen en présentiel à l’université, et ce dans les mêmes conditions. Est-ce que c’est contraire au Règlement général sur la protection des données (RGPD) de surveiller un examen via la caméra d’un ordinateur à l’université ? Selon nos juristes, non. »

Maître Wéry détaille : « Dans ce cas-ci, l’atteinte n’est pas illégitime puisqu’à priori, elle respecte quatre conditions nécessaires ; c’est-à-dire d’être prévu par un texte (un règlement d’université suffit), de répondre à un objectif admissible (ici, la lutte contre la fraude), d’être nécessaire et enfin proportionné à l’objectif. »

Et c’est précisément sur cette quatrième condition que réside toute la nuance. « La proportionnalité est un critère complètement subjectif, dépendant d’une infinité de paramètres et qui ne peut être évaluée qu’à posteriori. Mais le fait de proposer une alternative (présenter l’examen en présentiel, par exemple) à ceux qui ne supportent pas l’idée d’être surveillés chez eux, fait partie de l’appréciation de la proportionnalité. »

“Le jeu n’en vaut pas la chandelle”

L’Université libre de Bruxelles (ULB) fait partie des institutions qui n’auront pas recours à ce type de méthode « anti-triche ». Selon Éric Uyttebrouck, responsable du centre d’appui pédagogique de l’ULB, le jeu n’en vaut pas la chandelle. « Ces logiciels n’empêcheront pas certains étudiants de tricher. À cela s’ajoute la question de la légalité. Pour prendre des photos de quelqu’un, il faut son consentement. Mais dans ce cas, comment peut-on considérer que le consentement de l’étudiant est non-contraint et libre, s’il doit le donner pour passer son examen ? » 

Sur cette question du consentement, la réponse de l’Autorité de protection des données (APD, Belgique) est claire : « Dans le cadre scolaire, vu qu’il existe une relation d’autorité entre l’établissement et l’étudiant, le consentement ne sera de surcroît probablement pas considéré comme valable. En effet, le consentement pour être valable doit être “libre”. Or, il ne peut que difficilement être librement donné dans le cadre d’une relation inégale (d’autorité). »

Cependant, le consentement de l’utilisateur n’est pas une base légale obligatoire. L’usage de logiciels de télésurveillance est légitime s’il peut reposer sur l’une des autres bases légales prévues par le RGPD, se reposant sur les quatre conditions énoncées plus tôt.

“Chaque étudiant est libre d’accepter la télésurveillance ou non”

Du côté de Testwe, principale entreprise qui propose des logiciels anti-triche en France et Belgique, Benoît Sillard, insiste sur le choix offert à l’étudiant et l’existence d’une alternative. « Chaque étudiant est libre d’accepter la télésurveillance ou non. Auquel cas, il peut faire son examen en présentiel ou ne pas le passer du tout, si ces conditions ne lui conviennent pas. »

Par ailleurs, Benoît Sillard se défend de toute collecte de données. « Testwe est un prestataire de services auprès des établissements supérieurs. Ce n’est pas nous qui faisons passer les examens aux étudiants, mais bien les établissements, qui choisissent d’utiliser l’un ou l’autre de nos services. Ce sont ces établissements qui réceptionnent les données collectées sur les étudiants. »

À l’Université Caen Normandie, ce type de logiciel est bien connu. À tel point que dans une ordonnance du ministère français de l’Enseignement supérieur du 27 mars dernier, l’UniCaen et certains prestataires de services (dont Testwe) sont pris en exemple et recommandés dans une fiche intitulée Évaluer et surveiller à distance.

En 2016, l’université normande avait obtenu le feu vert de la Commission nationale de l’informatique et des libertés (CNIL, France) pour une expérimentation de télésurveillance des examens dans le cadre de formations à distance.

#Examens télésurveillés | @Universite_Caen poursuit l'expérimentation
Une partie des étudiants #délocalisés ont la possibilité de passer les contrôles terminaux à distance grâce à @Managexam, entreprise basée à Montpellier.
➡Présentation en 180 s. https://t.co/8K2Q1rHEnL pic.twitter.com/TjogtgXepN

— CEMU (@CemuCaen) January 15, 2018

Pierre Beust, le vice-président délégué aux transformations pédagogiques de l’UniCaen, explique :

« Depuis la mise en application du RGPD, quand un établissement veut engager un traitement de données à caractère personnel, il n’a plus à demander un avis préalable à la CNIL. Il doit cependant déclarer le traitement des données dans le registre de l’établissement. Ce registre local doit être instruit par une étude d’impact sur les utilisateurs avec une homologation du système de sécurité et d’information, précisant où, comment et combien de temps sont conservées les données. »

En Belgique, l’utilisation de ces logiciels est inédite et l’APD n’a donc pas encore dû rendre d’avis sur la question, contrairement à son équivalent français. Concernant le respect du RGPD, «il est de la responsabilité des établissements les utilisant de s’en assurer», rappelle la porte-parole de l’APD.

Aurélie Waeterinckx confirme que des messages d’étudiants ont été reçus concernant une demande d’avis de la Commission vie privée sur l’utilisation de logiciels de télésurveillance. En effet, tout citoyen qui estime que ses droits sont menacés, peut demander un avis ou porter plainte auprès de l’Autorité de protection des données. Cette dernière, avant de rendre son avis, récolte les conclusions de la partie plaignante et de la partie qui se défend. 

“Trouver des mesures pour amoindrir ces risques”

S’il faut donc patienter avant de recevoir les conclusions de l’Autorité de protection des Ddnnées en Belgique, celle-ci estime nécessaire que des analyses d’impact (AIPD) soient établies au préalable par les universités et écoles utilisant des logiciels de télésurveillance. L‘analyse d’impact doit comprendre au moins une description complète du traitement, une évaluation de sa nécessité et de sa proportionnalité ; ainsi qu’une évaluation des risques pour les droits et libertés des personnes concernées et enfin les mesures envisagées pour y faire face.

« Au bout de cette analyse, si les établissements se rendent compte qu’ils ne parviennent pas à réduire les risques d’atteinte aux droits des utilisateurs, ils doivent venir vers nous. Soit ce traitement n’a pas le droit d’avoir lieu parce que les risques restent trop élevés, soit on les aide à trouver des mesures pour amoindrir ces risques », détaille Aurélie Waeterinckx.

Par contre, si l’analyse d’impact ne révèle aucun risque, alors l’APD ne doit pas être consultée. À l’heure actuelle, aucune analyse d’impact n’est parvenue à l’Autorité de protection des données.

Quant à savoir si l’UCL a réalisé une analyse d’impact, Yves Deville, le conseiller du recteur répond : «Il y a eu une analyse du traitement. Une évaluation de la nécessité d’utiliser ces outils, y compris la question de la proportionnalité, a été analysée par les services juridiques de l’université. Les questions liées aux droits et libertés des personnes ont été traitées par notre responsable RGPD afin de vérifier et mettre en oeuvre les mesures nécessaires qui assureront le respect du RGPD.»

Mais selon Pierre Beust, de l’Université de Caen, «le débat n’est pas juridique, ni éthique, car les conditions sont remplies. S’il y a débat, il est idéologique.»

De son côté, Élise Degrave, chercheuse en droit numérique à l’Université de Namur (UNamur) est bien plus alarmante sur le sujet. Pour elle, ces logiciels de télésurveillance révèlent un effet de prison panoptique de Bentham.

« Cela induirait un climat de surveillance, comme dans un auditoire. L’étudiant peut se sentir surveillé, même si, de facto, il ne l’est pas nécessairement. Ce qui pose question, c’est qu’un logiciel automatisé relève des comportements suspicieux. »

Même son de cloche du côté d’Yves Roggeman, professeur d’informatique à l’ULB :

« Au-delà du fait que ces logiciels ne sont pas infaillibles au piratage informatique, je crains des situations où un étudiant « innocent » serait accusé de tricherie. Ce serait extrêmement dérangeant. »

Mais Benoît Sillard de Testwe rétorque :

« Le logiciel agit comme les yeux d’un surveillant consultable en direct et/ou à posteriori, le choix étant laissé à l’institution. Il détecte quand l’étudiant n’est pas là, quand il y a quelqu’un à côté de lui, etc. S’il y a un comportement anormal, le logiciel envoie une indication via un système de pastille (orange, rouge). Ensuite, c’est un être humain qui va consulter cette indication et qui jugera si le comportement est anormal ou pas. »

À l’UCL, Yves Deville se veut également rassurant.

« Si un comportement anormal est détecté, le professeur pourra prendre contact avec l’étudiant pour que ce dernier puisse s’expliquer. Dans le cas où le professeur ne serait pas satisfait par ces explications, il pourra faire remonter le cas au président de jury, qui instruira la question afin que le jury tranche s’il y a eu tricherie ou pas. »