Décision n° MED-2017-053 du 30 août 2017 mettant en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation
Après avoir été saisie d’une plainte contre le traitement mis en place sur la plateforme « Admission Post-Bac » (APB), procédure qui pour objet le recueil et le traitement des vœux des candidats à une admission en première année d’une formation post-baccalauréat, la CNIL a décidé d’effectuer en mars 2017 des contrôles afin de s’assurer de la conformité du dispositif à la Loi Informatique et Libertés.
Néanmoins, plusieurs manquements ont été notés.
Dans un premier temps, la CNIL relève un manquement à l’article 10 de la Loi Informatique et Libertés interdisant le fait de prendre une décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé.
Or, pour certains traitements et, notamment pour les formations non sélectives (par exemple universités), un algorithme établit un profil de personnes à partir de plusieurs critères d’importance décroissante et les candidats se trouvant dans une situation identique se voient attribuer par l’algorithme un nombre aléatoire permettant de les classer, sans que les établissements ne puissent se prononcer sur l’admission, ou intervenir dans le traitement.
Ainsi, en l’absence d’intervention humaine manuelle dans la prise de décision, la CNIL conclut qu’il y a violation de l’article 10 de la Loi Informatique et Libertés.
La CNIL a également constaté un manquement à l’obligation d’information des candidats auprès desquels sont recueillies des données à caractère personnel. En effet, au moment où les candidats s’inscrivent sur la plateforme, aucune information relative notamment à l’identité du responsable de traitement, à la finalité du traitement ou aux droits dont disposent les personnes concernées (accès, rectification) n’est fournie et ce, en violation de l’article 32 de la Loi Informatique et Libertés.
Enfin, alors que l’article 39 de la Loi Informatique et Libertés dispose que les personnes qui exercent leur droit d’accès doivent pouvoir obtenir « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé », la procédure de droit d’accès sur la plateforme ne permet pas aux personnes concernées d’obtenir des informations précises quant à l’algorithme et son fonctionnement.
C’est pour ces différents manquements que la Présidente de la CNIL a décidé de mettre en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation, de se mettre en conformité avec la Loi Informatique et Libertés dans un délai de trois mois.
La CNIL a d’ailleurs décidé de rendre publique cette mise en demeure, par délibération du 7 septembre 2017, compte tenu du nombre important de personnes concernées par ce traitement (853.262 candidats en 2017) et de l’impact de celui-ci sur leur parcours.
