Le renforcement de la vie privée des étudiants aux États-Unis février 3, 2016
Si la France rêve d’une école connectée où les nouvelles technologies seraient les reines de l’apprentissage et où les élèves apprendraient à coder, les États-Unis s’inquiètent des possibles violations de la vie privée des étudiants par les appareils électroniques mis à leur disposition.
NB : Nous n’aborderons pas ici les bases de données étudiantes, malgré l’attrait du sujet. Celui-ci mériterait en effet un autre article.
Un constat alarmant
Avec la mise à disposition de Chromebooks, l’utilisation possible de spywares, la multiplication des publicités ou encore les possibilités pour certaines écoles de procéder à des « inspections » – un terme plus correct pourrait être « fouilles »-, de nombreux parents d’élèves et associations se sont inquiétés de possibles abus.
À titre d’exemple, l’ACLU mentionne – dans un rapport rendu public le 28 octobre 2015, disponible ici – une école ayant utilisé un spyware sur les ordinateurs mis à la disposition des étudiants afin de récupérer les correspondances et des captures d’écran. Les parents de deux étudiants poursuivirent l’école et obtinrent un dédommagement conséquent. Une autre école utilisa une application afin de connaître – en temps réel – l’historique web, la localisation, et la frappe clavier des étudiants (certaines fonctionnalités furent désinstallées par la suite). Ce même rapport souligne l’inquiétude des parents face à des technologies non maîtrisées, en citant une étude menée par le Future of Privacy Forum, indiquant que 87 % des parents interrogés « s’inquiètent que des données soient piratées ou volées ». Un parent d’élève, dans une tribune publiée par The Oregonian, n’hésitait pas à invoquer la Convention relative aux droits de l’enfant, dont l’article 16 dispose que :
1. Nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation. 2. L’enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.
Les exemples de violations de la vie privée sont nombreux : ainsi, en 2011, le principal d’une école du Minnesota avait réclamé le mot de passe du compte Facebook d’une élève en raison de la plainte d’un parent ayant pris connaissance des conversations privées de leur fils avec une élève de l’établissement. L’intéressée et ses parents, en invoquant le quatrième amendement, parvinrent à pousser l’école à la négociation. Pour rappel, le quatrième amendement protège notamment les citoyens américains contre les fouilles arbitraires :
Il ne sera pas porté atteinte au droit des citoyens d’être exempts de toute perquisition ou saisie déraisonnable concernant leur personne, leur domicile, les documents et biens leur appartenant ; aucun mandat de perquisition ne pourra être délivré s’il ne se fonde sur des motifs plausibles, s’il ne s’appuie sur des déclarations ou des affirmations sous serment et s’il ne mentionne de façon détaillée les lieux qui doivent faire l’objet de la perquisition et les personnes ou objets dont il faut s’assurer (traduction présente sur le site de la Documentation française, consultable à cette adresse).
Il est intéressant de noter que si le quatrième amendement ne contient pas explicitement le terme privacy, la Cour suprême reconnaît qu’il la protège, comme le montre l’arrêt Katz v. United States, (389 U.S. 347, 1967) : dans cet arrêt, Justice Stewart, chargé de communiquer l’opinion de la Cour, écrit ainsi que si le quatrième amendement ne peut consacrer un « droit constitutionnel général à la vie privée », il protège les « personnes, pas les lieux » : Justice Stewart conclut ainsi que ce que la personne « cherche à garder privé, même dans un lieu accessible au public, peut être protégé constitutionnellement » (l’arrêt peut être consulté ici). L’ACLU, dans une notice à destination des étudiants, relève que « le droit à la vie privée n’est pas mentionné par la Constitution [la privacy est par contre mentionnée dans les Constitutions de plusieurs États fédérés, comme la Californie ou la Floride, ndlr], mais la Cour suprême a affirmé que plusieurs amendements créaient ce droit ». En effet, la privacy est « diffusée » par plusieurs amendements. Certains auteurs relèvent ainsi que les premier, troisième, quatrième cinquième, neuvième et quatorzième amendements permettent une protection de la privacy. Cependant, ces amendements protègent plus que la vie privée : le quatrième protège en effet les citoyens des fouilles et saisies arbitraires (on parle de la nécessité d’une « probable cause » – en français, « motifs plausibles »). Au-delà de l’application du droit à la vie privée à des problématiques « numériques », et à titre anecdotique, il est intéressant de relever que les étudiants américains disposent de moins de protection contre les fouilles que les étudiants français : ainsi, l’ACLU, dans sa notice, souligne que « vous avez moins de vie privée dans l’école qu’à l’extérieur de l’école » : la lutte contre les stupéfiants justifierait ainsi la diminution des droits. Mais revenons au sujet de cet article.
Une étude du Pittsburgh Post-Gazette révèle que sur 31 « systèmes éducatifs » de Pennsylvanie, seuls 11 avaient mis en place des procédures permettant de s’assurer que les logiciels ou applications ne violaient pas la vie privée des étudiants. Sur son site, le journal publie également un tableau relatif aux pratiques des districts. Un de ces districts est salué par le journal, celui-ci imposant aux enseignants, avant toute utilisation d’un logiciel ou d’une application, de remplir un document qui sera transmis au district, qui procédera à l’examen du software et du respect de celui-ci de la vie privée et des lois fédérales. Le journal précise également que le district procède à l’envoi « de lettres à destination des parents, en réclamant la permission des parents afin d’utiliser les données de l’étudiant en vue de l’enregistrement de celui-ci sur des sites webs, comme Google, Dropbox ou ThinkCentral ». Enfin, ce district aurait banni « dans les écoles élémentaires » les Google Apps for Education, en raison d’un procès intenté à Google, la plainte indiquant que Google aurait procédé à l’analyse des e-mails des étudiants.
La contre-attaque des associations
De nombreuses associations ont ainsi décidé d’enquêter plus en profondeur : outre la fameuse ACLU, l’EPIC (Electronic Privacy Information Center, notamment auteur du Student Privacy Bill of Rights), l’EFF (Electronic Frontier Fondation), ou la Data Quality Campaign ont mené des enquêtes approfondies, parfois en réclamant des écoles les documents publics relatifs à la vie privée des étudiants. Une étude de la Data Quality Campaign relève ainsi qu’en 2014, 110 propositions de lois furent déposées dans 36 États ; à la fin de l’année, 24 propositions de lois furent votées dans 21 États. En 2015, 182 propositions furent déposées auprès de 46 assemblées fédérées. Sur ces 182 propositions, 28 furent adoptées. 15 États renforcèrent ainsi la vie privée des étudiants. L’association fournit également un tableau complet, permettant de mieux appréhender les problématiques prises en compte par les États fédérés (opt-out, guidelines, etc.).
En 2015, l’EFF a lancé une campagne nationale permettant aux étudiants et aux parents de contacter l’association afin d’alerter les pratiques des écoles. Cette enquête permet également à des lanceurs d’alerte d’attirer l’attention de l’EFF : ainsi, les directeurs d’établissement et les professeurs peuvent également contacter l’association. Cette dernière est même allée plus loin, en introduisant auprès de la FTC (Federal Trade Commission) une plainte contre Google, accusée de violer le Student Privacy Pledge, une charte développée par le Future of Privacy Forum par laquelle les signataires (les distributeurs d’appareils électroniques) s’engagent à respecter la vie privée des étudiants. Ainsi, 227 entreprises – comme Google (celle-ci ayant, au départ, refusé de signer le Pledge en raison de la conformité existante des produits développés par Google ; cf. l’article du Wall Street Journal cité en fin d’article), Apple, KhanAcademy – se sont engagées, par exemple, à ne pas vendre de données personnelles ou à ne pas utiliser un profil (crée à partir de données récoltées grâce à un service éducatif) pour de la publicité ciblée. Si, en France, la loi 78-17 instaure un cadre strict, la conception américaine est toute différente : ce Pledge est donc nécessaire afin de préserver la vie privée des étudiants. Par cette plainte, l’EFF réclame à la FTC l’application stricte du FTCA (Federal Trade Commission Act), dont la section 5 prévoit que :
The Commission is herevy empowered and directed to prevent persons, partnerships, or corporations […] from using unfait methodes of competition in or affecting commerce and unfait or deceptive acts or pratices in or affecting commerce.
Dans sa plainte, l’EFF vise tout particulièrement la collecte de données au-delà de ce qui est autorisé par le Pledge, collecte notamment opérée par Chrome Sync (Chrome étant le navigateur par défaut des Chromebooks). L’association parle ainsi de pratiques déloyales et de pratiques déceptives, et réclame, d’une part, la destruction de l’ensemble des données récoltées sans autorisation et non nécessaires au service éducatif, et, d’autre part, que Google avertisse les étudiants (« et, dans la mesure du possible, les parents ») de la collecte de données. Enfin, l’EFF estime que la FTC doit enjoindre Google à ne plus opérer de collecte, ou, à défaut, de se retirer du Pledge.
Google, dans un post de blog en date du 2 décembre 2015, a réagi, en rappelant « la manière dont nos produits fonctionnent, et comment nous protégeons les données des étudiants ». La firme souligne ainsi que les Google Apps for Education Core Services récoltent des données uniquement afin de permettre le fonctionnement de ces applications : « il n’y a donc pas de publicité dans ces Core Services, et les données des étudiants ne sont donc pas utilisées dans des buts publicitaires ». Enfin, Google se défend en affirmant que Chrome Sync « n’est pas connecté à une personne spécifique et n’est pas utilisé dans le but d’analyser le comportement des étudiants » ; les données de Chrome Sync ne permettraient ainsi pas « d’effectuer de la publicité ciblée ».
L’Université de Berkeley a également indiqué, le 1er février 2016, poursuivre Google, qui procéderait, selon l’université, à l’analyse des e-mails des étudiants.
Des réactions fédérales et fédérées
Le pouvoir législatif, qu’il soit fédéral ou fédéré, s’organise actuellement afin de renforcer la protection de la vie privée. Au niveau fédéral, nous pouvons citer le Student Digital Privacy and Parental Rights Act of 2015 (H.R. 2092 – « To require operators that provide online and similar services to educational agencies or institutions to protect the privacy and security of personally identifiable information, and for other purposes »), introduit le 29 avril 2015.
Cette loi, si elle était votée, interdirait la publicité ciblée, la vente de données à une tierce-partie, la collecte ou l’utilisation de données en-dehors de buts pédagogiques. La loi imposerait également la mise en place de procédures de sécurité, la suppression de données dans certaines hypothèses (par exemple si l’école le réclame) ou encore une notification en cas de « fuite » de données.
Toujours au niveau fédéral, nous pouvons citer le FERPA (Family Educational Rights and Privacy Act) de 1974 relatif à la confidentialité des données, ou encore le Student Privacy Protection Act (S. 1341) introduit au Sénat le 14 mai 2015.
Au niveau fédéré, nous pouvons signaler les actions de M. Duane Hall, membre de la Chambre des représentants de la Caroline du Nord, qui serait en train de rédiger une loi « empêchant le personnel d’une école de réclamer aux étudiants les noms d’utilisateurs et les mots de passe des réseaux sociaux tels que Facebook ou Twitter ». M. Duane Hall avait déjà tenté, avec plusieurs de ses collègues, de faire adopter par l’Assemblée de Caroline du Nord une loi (HB846 – Job and Education Privacy Act) visant à empêcher les employeurs et les universités de réclamer les noms d’utilisateurs et les mots de passe des réseaux sociaux et des comptes de messagerie électronique. De nombreux État s’intéressent actuellement au sujet (citons, en dernier exemple, l’État de Hawai : HB2513, « Protects student privacy with respect to electronic data », consultable ici).
Des personnalités politiques ont également réagi : l’EFF cite ainsi le sénateur Al Franken, qui, suite à la plainte déposée auprès de la FTC, a procédé à l’envoi d’une lettre à Google. Celle-ci traduit notamment l’inquiétude du sénateur tout en réclamant à Google des explications sur plusieurs points. L’Assemblée du Minnesota (État du sénateur Franken) aurait également introduit plusieurs propositions de lois afin de renforcer la vie privée.
Des voix s’élèvent cependant contre une trop grande protection de la vie privée. La privacy est en effet souvent confrontée à d’autres droits (par exemple, le droit de propriété) et accusée de freiner l’innovation. Un article publié dans The Hill expose ainsi que « si nous sommes tous d’accord sur les objectifs, il est ardu de développer une législation protégeant la vie privée des étudiants tout en maximisant l’efficacité éducative et l’encouragement à l’innovation ». Le journal, afin d’illustrer ses propos, cite l’exemple de la Louisiane, qui a adopté une loi « tellement restrictive que les écoles ne peuvent plus afficher les noms de leurs joueurs de football sur le grand écran durant un match », et cite également l’exemple « d’un intendant inquiet de publier le livre de l’école depuis que la loi interdit aux écoles de dévoiler le nom et les photos sans autorisation parentale ». Le journal estime ainsi que « nous n’avons pas à couper nos enfants du monde pour les protéger ». La lecture de l’article complet est vivement conseillé.
Ainsi, si certaines personnes rêvent d’une école connectée, d’autres rêvent d’une école connectée et protégeant la vie privée des étudiants – que ceux-ci soient mineurs ou majeurs. Aux États-Unis, le sujet est très régulièrement abordé par les médias. Dans tous les cas, les défendeurs de la privacy sont souvent confrontés aux défenseurs de l’innovation… même si la privacy et l’innovation peuvent habilement se combiner pour l’intérêt général.
Sources & Références :
*ANONYME, « OUR VIEW : Protect student privacy from school snoopers », www.yourdailyjournal.com, publié le 23 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://yourdailyjournal.com/opinion/editorials/21228/our-view-protect-student-privacy-from-school-snoopers>
*BARR (A.), « Google Changes Course, Signs Student Data Privacy Pledge », publié le 20 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://blogs.wsj.com/digits/2015/01/20/google-changes-course-signs-student-data-privacy-pledge/>
*BAUER-WOLF (J.), « Chromebooks in the clasroom : Student data privacy issues », www.fredericknewspost.com, publié le 31 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.fredericknewspost.com/news/education/funding/chromebooks-in-the-classroom-student-data-privacy-issues/article_e2caa052-191a-52e4-9d98-d058ce74330a.html>
*BROWN (E.) « UC-Berkeley students sue Google, alleging their emails were illegally scanned », www.washingtonpost.com, publié le 1er février 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.washingtonpost.com/news/grade-point/wp/2016/02/01/uc-berkeley-students-sue-google-alleging-their-emails-were-illegally-scanned/>
*BUTTAR (S.), GULLO (K.), « Senator Franken Concerned Over Google’s Treatment of Student Privacy », www.eff.org, publié le 16 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.eff.org/deeplinks/2016/01/senator-franken-concerned-over-googles-treatment-student-privacy>
*CONOLLY (K.), Public school students have a right to privacy (OPINION) », www.oregonlive.com, publié le 12 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.oregonlive.com/opinion/index.ssf/2016/01/public_school_students_have_a.html>
*GELMAN (A.), « Report From the Student Privacy Frontlines: 2015 in Review », www.eff.org, publié le 3 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : https://www.eff.org/deeplinks/2015/12/report-student-privacy-frontlines-2015-review>
*GILLULA (J.), « Google’s Student Tracking Isn’t Limited to Chrome Sync », publié le 2 décembre 201, consulté le 2 février 2016, disponible à l’adresse : <https://www.eff.org/deeplinks/2015/12/googles-student-tracking-isnt-limited-chrome-sync?from=student-privacy>
*HENNEY (M.), LORD (R.), Surveillance Society: Review shows few safeguards against student privacy leaks », www.post-gazette.com, publié le 24 août 2015, consutlé le 2 février 2016, disponible à l’adresse : <http://www.post-gazette.com/news/surveillance-society/2015/08/24/Surveillance-Society-Review-shows-few-safeguards-against-student-privacy-leaks/stories/201508240003>
*LAMBERT (B.), « Minnesota lawmakers introduce legislation to protect student privacy », www.minnpost.com, publié l 21 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.minnpost.com/glean/2016/01/minnesota-lawmakers-introduce-legislation-protect-student-privacy>
*ROCHELLE (J.), « The fact about student data privacy in Google Apps for Education and Chromebooks », www.googleforeducation.blogspot.fr, posté le 2 décembre 2015, consulté le 2 février 2016, disponible à l’adresse : <http://googleforeducation.blogspot.fr/2015/12/the-facts-about-student-data-privacy-in.html>
*SZABO (C.), « Student Privacy legislation requires a surgical approach », www.the hill.com, publié le 21 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://thehill.com/blogs/congress-blog/technology/266455-student-privacy-legislation-requires-a-surgical-approach>
WORF (L.), « NC lawmaker part of push to protect student privacy online », www.charlotteobserver.com, publié le 25 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.charlotteobserver.com/news/local/community/news-alliance/article56432400.html>
SItes Web :
*Congress.gov
*Data Quality Campaign : http://dataqualitycampaign.org/find-resources/student-data-privacy-legislation-2015/
*govtrack.us/
*Student Privacy Pledge, disponible à l’adresse : <https://studentprivacypledge.org/>
Pour consulter la -longue- liste des lois relatives aux interdictions de réclamer les mots de passe des étudiants, c’est par ici.