Cadre juridique
Méthode : Obtenir les autorisations nécessaires
Publication
Comme pour toute publication scolaire (journal, site internet, radio), l'autorisation du directeur de publication est indispensable. (chef d'établissement), ce qu'il ne faut pas confondre avec la responsabilité de traitement de DCP.
Droit à l'image et à la voix
Les autorisations de publication d'images (photographies et vidéos) et de sons sur lesquels l'élève mineur est reconnaissable sont à obtenir auprès de ses responsables légaux.
Traitement de données à caractère personnel
Les conditions générales de la plupart des réseaux sociaux, stipulent que l'âge minimum d'utilisation du service est fixée à 13 ans. Là aussi, il convient d'obtenir le consentement des responsables légaux lorsqu'on souhaite faire travailler des élèves à entre 15 et 18 ans sur un réseaux social - et aussi d'anticiper des solutions pédagogiques alternatives pour les élèves dont les responsables légaux refuseraient (entre 13 et 15 ans).
A noter que pour les élèves entre 13 et 15 ans, le double consentement est exigé : celui des responsables légaux, mais également celui de l'élève lui-même.
Bien penser également au filtrage dans l'établissement avant de se lancer...
Méthode : Point sur la création de comptes
La création de comptes nécessite une vigilance particulière, qu'il s'agisse de services libres ou propriétaires, gratuits ou payants. Aucune différence donc au niveau juridique entre l'utilisation des services Google et ceux de Framasoft, même en cas d'utilisation de pseudos.
La loi du 6 août 2004, substitue en effet la notion de DCP (“donnée à caractère personnel”) à celle d'”information nominative” (formulation de 1978). Cette notion de données à caractère personnel renvoie à «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » (article 2 de la loi du 6 janvier 1978 modifiée).
A. Création de comptes par les responsables légaux :
1. demande d'autorisation préalable aux responsables légaux des élèves entre 13 et 15 ans
2. information au chef d'établissement
3. anticipation pédagogique des refus
NB : à noter qu'un élève peut refuser de s'inscrire sur un service en ligne grand public (ce qui ne vaut pas pour les comptes professionnels / éducation).
B. Création de comptes par l'établissement :
Seulement si les services sont administrables (c'est à dire avec des services professionnels / éducation), comme Edmodo, Google+ avec G Suite ou Facebook avec Workplace :
1. déclaration normale à la CNIL jusqu'au 25 mai 2018 (ensuite, inscription au registre du DPD de rattachement)
2. information au CA de déclaration d'intention de traitement de DCP
3. dans un délai de 2 mois, création des comptes élèves par le référent numérique (dans le cas d'une procédure CNIL uniquement)
C. Utilisation d'un compte générique classe.
En fonction des usages, on peut aussi créer un compte de classe supervisé par l'enseignant et responsable de son utilisation.
A noter que cela n'autorise pas l'utilisation de pseudos, (cf loi de 2004).
Pour tout renseignement complémentaire, vous pouvez prendre contact avec la DACE (Département Aide et Conseil aux EPLE - dace.conseil@ac-lyon.fr), le service juridique du Rectorat dédié aux établissements avec qui la DANE travaille également.
Voir également le guide juridique proposé par le MEN (attention, le document est antérieur à la Loi Lemaire, et à la nouvelle modification de la Loi de 1978).
Rappel : Usurpation d'identité
Le fait d'utiliser le nom d'une personne ne constitue pas une infraction, si on se borne à l'utiliser.
L'usurpation d'identité n'est donc visée par la loi que lorsqu'elle sert à couvrir d'autres infractions.
Par ailleurs, le code civil prévoit :
Le délit d'escroquerie
Le fait d'utiliser un faux nom dans un acte administratif
L'usage de faux
Le droit traditionnel réprime donc déjà plusieurs types d'infraction basées sur l'usurpation d'identité
Source : Fabrice Mattatia, "Expliquer internet et la loi en milieu scolaire", CANOPE.
Texte légal : Gestion des données post mortem
Doit-on / peut-on supprimer le profil d'un individu décédé ?
Il n'y a aucun caractère obligatoire à suspendre ou supprimer le profil d'une personne décédée. Cela peut juste être troublant par exemple de continuer à recevoir des notifications d'anniversaire.
Avant la Loi pour une République Numérique (dite “Loi Lemaire” d'avril 2016), la Directive européenne n°95/46/CE du 24 octobre 1995, ne permettait pas d'offrir un cadre juridique commun au niveau européen concernant l'identité numérique post-mortem, et les héritiers d'une personne décédée devaient demander au responsable de la plateforme de supprimer ou de désactiver le compte de la personne décédée, mais ne pouvaient pas y accéder, afin de préserver la vie privée du défunt.
Aujourd'hui l'article 63 de la Loi pour une République Numérique (modification de l'article 40 de la Loi Informatique et Libertés) autorise désormais, les héritiers à accéder aux comptes du défunt “sauf directive contraire”.
Quelles sont les positions des plateformes ?
Les réseaux sociaux des grandes plateformes ont de toute façon intérêt à garder les profils de personnes mortes, dans le sens où cela contribue à grossir la base de données, condition essentielle pour développer des algorithmes évolutifs (Apprentissage Profond).
Pour autant, la plupart des géants du Net (Facebook, Instagram, Linkedin) proposent depuis plusieurs années des plateformes de signalement en cas de décès à destination des familles, même si ces procédures s'avèrent aujourd'hui assez fastidieuses dans la mesure où c'est aux proches du défunt de solliciter chaque réseau social et de fournir les justificatifs (cf sur le site de la CNIL - attention, le document date de 2014, et n'est donc partiellement pas à jour sur certaines informations).
Quelle est la position de la CNIL ?
La CNIL se refuse de prendre position en affirmant qu'elle « n'a pas vocation à arbitrer l'équilibre qui doit être trouvé entre les besoins de suppression de toutes traces de l'identité après la mort, et la volonté d'atteindre l'immortalité numérique en continuant à faire vivre l'identité au-delà de la mort. ». C'est le concept d'"éternité virtuelle" qui conduira selon elle à avoir plus de profils de gens décédés que de gens vivants.
La CNIL propose bien une fiche pratique, intéressante à lire, mais qui est partiellement obsolète puisqu'elle a été publiée avant la Loi Lemaire).
"Voir également les arrêts du Conseil d'Etat du 8 juin 2016 (n°386525) et du 7 juin 2017 (n°399446), pour des faits antérieurs à l'adoption du 40-1, mais la solution devrait être la même aujourd'hui avec le 40-1 dans des circonstances identiques." (Fabrice Mattatia, sur LinkedIn le 29 janvier 2018)
Remarque : Pistes de réflexion...
Doit-on garder le profil telle une trace de vie passée, en mémoire de l'individu physique ?
Si le profil était géré par un algorithme, doit-on l'arrêter ? Peut-on le garder ?
Doit-on faire valoir le droit au déférencement du profil et des données du défunt ?
Pourquoi faudrait-il supprimer toutes les traces numériques du défunt ? Supprimerait-on toutes les traces papier de ce même défunt ?