Retour à la section

Délibération n°2023-058 du 8 juin 2023

JORF n°0203 du 2 septembre 2023

Article 6

Article 6

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Sécurité des traitements de télésurveillance d'examen

Résumé Avant d'utiliser un système de télésurveillance pour les examens, il faut sécuriser les données, ne les rendre accessibles qu'aux personnes autorisées et ne pas les modifier pendant les enquêtes en cours.

Sur la sécurité des traitements de télésurveillance d'examen.
Le responsable de traitement doit, conformément au principe de « privacy by design », se rapprocher de son délégué à la protection des données en amont de la décision de mettre en place tout dispositif de télésurveillance, afin d'identifier les mesures organisationnelles et techniques permettant de garantir un niveau de sécurité adapté au traitement, conformément à l'article 32 du RGPD.
A ce titre, les données à caractère personnel collectées doivent être chiffrées à l'aide d'algorithmes réputés forts, aussi bien durant leur transfert qu'au repos.
L'accès en lecture aux données collectées doit par ailleurs être restreint aux seules personnes ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, les surveillants, les professeurs ou le conseil de discipline concernés). Cet accès devrait avoir lieu depuis des locaux dédiés et des terminaux spécifiques à la télésurveillance, afin de minimiser le risque de violation de données.
Les opérations de modification ou de suppression de données collectées dans le cadre de la télésurveillance d'examens devraient être proscrites si elles concernent des procédures disciplinaires ou contentieuses en cours. Elles devraient, par ailleurs, être réservées aux administrateurs du système d'information.
Une journalisation des accès aux données à caractère personnel doit également être mise en place, conformément aux recommandations de la CNIL à ce sujet (délibération n° 2021-122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation). En effet, la journalisation participe, par sa capacité dissuasive, à la sécurité du traitement et au maintien de l'intégrité des données collectées. Les journaux d'accès aux données doivent disposer d'une durée de conservation propre, généralement comprise entre six mois et un an.
Dans le cas où le passage d'examen à distance nécessite l'installation d'un logiciel spécifique sur le terminal personnel des candidats, cette installation ne devrait pas engendrer de risques de sécurité. Les logiciels nécessitant des privilèges élevés lors de leur utilisation ou la désactivation des mesures de protection des terminaux (antivirus, par exemple) doivent ainsi être évités. Le responsable de traitement doit également s'assurer que les terminaux peuvent être facilement remis dans leur état initial après le passage de l'examen ou à la fin de l'année universitaire (désinstallation du logiciel et suppression de toutes les traces et configurations laissées par son installation). Les solutions dont le code source est librement accessible (open-source) devraient être privilégiées et l'intégrité du logiciel vérifiée avant toute collecte de données à caractère personnel.
La présente délibération sera publiée au Journal officiel de la République française.

1 version

Historique des versions

Version 1

Sur la sécurité des traitements de télésurveillance d'examen.

Le responsable de traitement doit, conformément au principe de « privacy by design », se rapprocher de son délégué à la protection des données en amont de la décision de mettre en place tout dispositif de télésurveillance, afin d'identifier les mesures organisationnelles et techniques permettant de garantir un niveau de sécurité adapté au traitement, conformément à l'article 32 du RGPD.

A ce titre, les données à caractère personnel collectées doivent être chiffrées à l'aide d'algorithmes réputés forts, aussi bien durant leur transfert qu'au repos.

L'accès en lecture aux données collectées doit par ailleurs être restreint aux seules personnes ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, les surveillants, les professeurs ou le conseil de discipline concernés). Cet accès devrait avoir lieu depuis des locaux dédiés et des terminaux spécifiques à la télésurveillance, afin de minimiser le risque de violation de données.

Les opérations de modification ou de suppression de données collectées dans le cadre de la télésurveillance d'examens devraient être proscrites si elles concernent des procédures disciplinaires ou contentieuses en cours. Elles devraient, par ailleurs, être réservées aux administrateurs du système d'information.

Une journalisation des accès aux données à caractère personnel doit également être mise en place, conformément aux recommandations de la CNIL à ce sujet (délibération n° 2021-122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation). En effet, la journalisation participe, par sa capacité dissuasive, à la sécurité du traitement et au maintien de l'intégrité des données collectées. Les journaux d'accès aux données doivent disposer d'une durée de conservation propre, généralement comprise entre six mois et un an.

Dans le cas où le passage d'examen à distance nécessite l'installation d'un logiciel spécifique sur le terminal personnel des candidats, cette installation ne devrait pas engendrer de risques de sécurité. Les logiciels nécessitant des privilèges élevés lors de leur utilisation ou la désactivation des mesures de protection des terminaux (antivirus, par exemple) doivent ainsi être évités. Le responsable de traitement doit également s'assurer que les terminaux peuvent être facilement remis dans leur état initial après le passage de l'examen ou à la fin de l'année universitaire (désinstallation du logiciel et suppression de toutes les traces et configurations laissées par son installation). Les solutions dont le code source est librement accessible (open-source) devraient être privilégiées et l'intégrité du logiciel vérifiée avant toute collecte de données à caractère personnel.

La présente délibération sera publiée au Journal officiel de la République française.