Prends GAR à toi : comment Ed protège les données personnelles de vos élèves

En 1875, le public de l’Opéra-Comique entend pour la première fois le fameux « Prends garde à toi » de Carmen issu de sa chanson L’amour est un oiseau rebelle, hit de l’opéra de Bizet. Cent quarante ans plus tard, Stromae s’en inspire pour mettre en garde contre les dangers de l’oiseau bleu de Twitter (désormais X).

Des oiseaux, des hommes, des liaisons dangereuses…

Vous imaginez la pression, quand notre équipe et son oiseau mascotte ont dû se frotter aux exigences du GAR, l’institution du ministère de l’Éducation, en charge de protéger les données personnelles des profs et des élèves sur tout le territoire français… La petite ritournelle de Stromae et Bizet s’est mise à nous hanter !

Heureusement, c’est une histoire qui finit bien. Et pour vous la raconter, on a demandé à Jonathan Banon, l’un des fondateurs de Ed, de revenir sur cet épisode marquant dans la construction de notre assistant IA pour les profs.

Interview

Ed : Commençons par les bases : c’est quoi exactement le RGPD ?

Jonathan : Le RGPD, c’est le Règlement Général sur la Protection des Données. Il encadre la manière dont les entreprises et institutions collectent, stockent et utilisent les données personnelles.

Ed : Pourquoi c’est un sujet particulièrement important dans le secteur de l’éducation ?

Jonathan : Quand on travaille pour développer un projet en relation avec le secteur de l’éducation, les données sont considérées comme des éléments très sensibles, notamment en raison du fait que l’on traite des données d’élèves mineurs.

Ensuite, il faut réfléchir au cryptage de ces données et à un accès restreint aux bases de données pour décourager les tentatives de piratage ou limiter la défaillance.

Il y a trois niveaux de criticité :

• La nature de la donnée : savoir qu’un élève est en 3e, ce n’est pas très grave. Mais connaître son prénom, son collège et sa classe, là, c’est critique.
  
  
• L’âge des élèves : les mineurs, surtout ceux de moins de 13 ans, bénéficient d’une protection renforcée (par exemple, ils ne peuvent pas s’inscrire sur les réseaux sociaux).
  
  
•  La masse de données concernées. Si je te donne la fiche d’identité d’une personne, c’est grave, mais si je te donne celle de 10 000 élèves, c’est très sensible.
  À notre échelle chez Ed, on a une centaine d’établissements (environ 20 000 élèves), c’est déjà une responsabilité.

Toutes ces informations sont des facteurs supplémentaires de risque et de sévérité qui renforcent le contrôle de la protection des données personnelles.

Ed : Qui contrôle qu’une solution comme Ed est conforme et éligible à traiter de telles données ?

Jonathan : En France, c’est le GAR (Gestionnaire d’Accès aux Ressources), une autorité tierce en charge de la protection des données, qui dépend du Ministère de l’Éducation.

Il centralise et protège toutes les données des enseignants et élèves sur le territoire français (noms, prénoms, classes, niveaux, matières, etc.) d’une part et il est la porte d’entrée des élèves et des professeurs vers les solutions numériques agréées par l’Éducation nationale d’autre part. Plus précisément, il permet l’accès à ces solutions numériques depuis les ENT des établissements.

Ed : Peux-tu définir ENT pour ceux qui ne sont pas familiers avec le terme ?

Jonathan : L’ENT c’est l’Espace Numérique de Travail. Dans cet espace, tu vas retrouver un ensemble de services et de ressources numériques choisis et mis à disposition de tous les acteurs de la communauté éducative d'un établissement scolaire. 

Mais pour faire partie de ces ressources, il faut être accrédité par le GAR et interconnecté.

Ed : Comment fait-on pour être accrédité par le GAR ?

Jonathan : C’est tout un processus. Il y a deux grosses étapes.

Tu commences par approcher le Ministère de l’Éducation et présenter ta solution. À ce moment-là, le GAR vérifie que l’usage de l’IA dans ta solution est « raisonné ».

Si ton projet met les élèves face à des IA type ChatGPT, c’est le rejet d’office. Pourquoi ? Parce que tu fais fuiter les données d’élèves directement dans des IA dont tu n’es pas propriétaire et dont tu ne maîtriseras plus le traitement. Tu ne peux pas non plus t’assurer de la sécurité des conversations entre les élèves et ces modèles. Or on l’a vu dans l’actualité, ces conversations peuvent être dangereuses pour de jeunes publics.

Ed : Comment Ed a réussi à franchir cette étape ?

Jonathan : On avait des arguments clés :

• D’abord, notre IA est un outil pour les enseignants. Si on utilise de l’IA pour notre solution, les élèves n’y sont jamais directement exposés ;
  
  
• Ensuite, on a mis en place des processus d’anonymisation des copies, qui permettent de ne pas envoyer de données personnelles aux IA externes qu’on utilise pour traiter les copies. Par exemple, sur une copie scannée, les nom(s) et prénom(s) de l’élève apparaissent. Pour l’éviter, on a un système qui permet de les “blanchir” directement sur le scan. Les noms et prénoms disparaissent : remplacés par un carré blanc.
  
  
• L’écriture manuscrite des élèves est également une donnée biométrique à protéger. Pour la protéger, on va créer ce qu’on appelle un jumeau numérique. Ce jumeau réécrit l’image scannée en texte brut. Grâce à ce processus, l’IA voit uniquement des blocs de textes.

Ed : Ok, c’est plus clair. Et la deuxième étape ?

Jonathan : La deuxième étape est de se connecter avec le GAR pour pouvoir accéder aux données des élèves ; et ce n’est pas un petit sujet !

Le GAR ne distribue pas ses données à la légère. C’est à toi de préciser ce dont tu as besoin, et surtout pourquoi. Chaque donnée doit être justifiée, usage à l’appui. C’est une vraie porte de coffre-fort.

Pour convaincre, tu dois faire une déclaration où tu explicites l’hébergement des données, les sous-traitants, les processus techniques mis en place pour la protection de chaque donnée.

Ed : J’imagine qu’une fois interconnecté c’est terminé ?

Jonathan : Toujours pas ! Il faut encore passer un test de conformité.

Via de faux profils de profs et d’élèves, le GAR regarde ce qui se passe quand il se connecte sur nos ressources (il vérifie notamment des paramètres comme les cookies ou l’absence de renvoi vers des sites externes, l’ENT étant un espace sécurisé).

Et comme pour un contrôle fiscal, tu vas avoir des retours et des corrections à apporter à ton projet. Une fois arrivé au bout de l’audit de conformité, tu es accrédité par le GAR et tu peux entrer dans l’ENT.

Ed : Et c’est notre cas ?! 

Jonathan : Absolument !

Ed : Mais finalement, qu’est-ce que ça change pour les établissements ?

Jonathan : Tout !

Pour les établissements, les profs et les élèves, cela facilite énormément l’accès à notre solution.

Et pour le chef d’établissement : le traitement des données personnelles nécessaires au fonctionnement de la ressource numérique n’est plus de sa responsabilité mais de celle du ministère de l’Éducation nationale. Ça fait une sacrée différence !

Ed : Merci Jonathan pour tes réponses !

Epilogue

Carmen disait : « L’amour est enfant de Bohème, il n’a jamais connu de loi. »...

Chez Ed, on le préfère un peu réglementé pour protéger les profs, les élèves, et leurs données.

Obtenir l’accréditation du GAR, anonymiser les copies, créer des jumeaux numériques, garantir un usage raisonné de l’IA… c’est notre manière de concilier innovation, éducation et responsabilité.