Le Conseil d’État a invalidé des éléments de la BE1D et BNIE

Le 19 juillet 2010, le Conseil d’État a invalidé sur plusieurs points les traitements de données à caractère personnel « Base élèves 1er degré » (BE1D) [1] et « Base nationale des identifiants des élèves » (BNIE) [2] du ministère de l’éducation nationale.

Ces deux bases de données permettent le suivi administratif et pédagogique des élèves des écoles maternelles et primaires.

La BNIE a pour objet de recenser l’ensemble des numéros uniques, internes au ministère, qui sont attribués aux élèves lors de leur première inscription, afin de faciliter la gestion administrative de leur dossier tout au long de leur scolarité.

A la suite des deux décisions du Conseil d’État du 19 juillet dernier, ces fichiers devront être modifiés afin d’assurer leur conformité à la loi « informatique et libertés » du 6 janvier 1978.

En ce qui concerne le fichier « Base élèves 1er degré »

• Le Conseil d’État a annulé les dispositions de l’arrêté du 20 octobre 2008 (BE1D Version 2) qui interdisent toute possibilité d’exercer le droit d’opposition de la loi Informatique et Libertés [3].

• Il a ensuite considéré que la BE1D, dans ses deux versions successives (2004 et 2008), procède à des rapprochements de données personnelles entre différents fichiers dont les objets sont connexes au sien. A ce titre, le Conseil d’État a sanctionné l’omission de la mention de ces rapprochements dans la déclaration CNIL de la BE1D.

• Enfin, le Conseil d’État a censuré la collecte, dans la première version du fichier, des données relatives à l’affectation des élèves en classes d’insertion scolaire (CLIS).

En effet, ces données permettent de connaître la nature de l’affection ou du handicap dont souffrent les élèves concernés et constituent par conséquent des données relatives à la santé, dont le traitement aurait dû être précédé d’une autorisation de la CNIL.

Concrètement, le traitement litigieux comportait, dans le cas où l’enfant est inscrit au sein d’une école primaire non spécialisée, la mention exacte de la catégorie de classe d’intégration scolaire (CLIS) identifiée par l’un des quatre chiffre codant le type de handicap ou de déficience des élèves en bénéficiant.

En revanche, depuis l’arrêté du 30 octobre 2008 (BE1D Version 2), l’enregistrement, des mentions génériques « hôpital », « établissement spécialisé » ou « CLIS » sans autre identification, ne peuvent, compte tenu de leur généralité, être regardées, à elles seules, comme relatives à la santé des élèves au sens de la loi du 6 janvier 1978.

Le Conseil d’État a donc enjoint au ministre de l’éducation nationale de supprimer pour la période antérieure à l’arrêté du 30 octobre 2008 dans le traitement “Base élèves 1er degré” la mention exacte de la catégorie de classe d’intégration scolaire identifiée.

En ce qui concerne le fichier « Base nationale des identifiants des élèves »

• Le Conseil d’État a constaté que ce fichier a été mis en œuvre avant la délivrance du récépissé de la déclaration CNIL, le 27 février 2007.

Il en conclut, comme pour la BE1D Version 1, que sa mise en œuvre avant cette date est donc irrégulière.

• Le Conseil d’État a jugé également que la durée de conservation des données de 35 ans n’est pas justifiée au regard des finalités du traitement.

Le Conseil d’État a enjoint par conséquent à l’administration de fixer, dans un délai de trois mois, une nouvelle durée de conservation, faute de quoi l’ensemble des données contenues dans le fichier devront être supprimées.

1. Conseil d’État, 19 juillet 2010, nos 317182 et 323441, M. F… et Mme C…
2. Conseil d’État, 19 juillet 2010, no 334014, M. F… et Mme C…
3. L’article 38 de la loi de 1978 donne à toute personne physique le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Précisions sur le traitement de données à caractère personnel relatives aux infractions

 En 2005, un agent assermenté de la société des auteurs, compositeurs et éditeurs de musique (SACEM) a procédé à la constatation d’actes de contrefaçon d’œuvres musicales commis sur Internet, par téléchargement et mise à disposition d’œuvres protégées sans l’autorisation des titulaires des droits sur celles-ci. Pour ce faire, l’agent a utilisé un logiciel de pair à pair et a sélectionné l’offre émanant d’un internaute, ce qui lui a permis d’obtenir son adresse IP et les coordonnées du fournisseur d’accès correspondant. Sur la base du procès-verbal ensuite dressé, la SACEM a porté plainte auprès des services de gendarmerie, qui ont adressé une réquisition au fournisseur d’accès pour identifier l’abonné utilisant l’adresse IP relevée par l’agent. L’abonné, poursuivi pour contrefaçon, a invoqué notamment une atteinte aux droits et garanties des libertés individuelles.

 Dans un arrêt rendu le 13 janvier 2009, la Cour de cassation estime que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par un agent assermenté rentrent dans les pouvoirs conférés à cet agent et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi de la loi relative à l’informatique, aux fichiers et aux libertés. Pascale Breton

Références :
 Cour de cassation, chambre criminelle, 13 janvier 2009 (pourvoi n° 08-84.088), SACEM et SDRM c/ M.
 C. S. - cassation de Cour d’appel de Rennes du 22 mai 2008 (renvoi devant la cour d’appel de Paris)