Votre enfant se connecte à l’ENT de son lycée en Île-de-France pour consulter ses notes ou échanger avec un enseignant. Derrière cette interface familière, des dizaines d’informations personnelles circulent : nom, classe, résultats scolaires, messages aux professeurs. Qui y a accès ? Où sont-elles stockées ? Et surtout, comment sont-elles protégées ? La réponse tient en trois mécanismes complémentaires que cet article détaille, du plus concret au plus technique.
Données collectées par l’ENT scolaire : ce qui est stocké, et rien de plus
Quand un établissement ouvre un compte sur l’ENT, il transmet un nombre limité d’informations : nom, prénom, classe, profil (élève, parent, enseignant). Ces données proviennent directement de l’annuaire de l’établissement scolaire.
A découvrir également : Classe de Segpa et harcèlement scolaire : quels risques et quelles protections ?
Ensuite, l’utilisation quotidienne génère d’autres contenus : messages envoyés via la messagerie, documents déposés dans un espace de travail, consultations du cahier de textes. Tout cela constitue des données personnelles au sens du RGPD.
Vous avez remarqué que certains champs du profil restent vides par défaut ? C’est volontaire. Depuis les lignes directrices CNIL sur la protection des données des mineurs, les ENT limitent les champs obligatoires au strict nécessaire. Cette logique porte un nom : la minimisation des données. L’idée est simple : moins on collecte d’informations, moins on s’expose en cas de problème.
Lire également : Comment passer sereinement à ELGEAWEB Connexion v3 sans bloquer l'activité ?
Concrètement, des fonctionnalités comme certaines statistiques fines de navigation ou de comportement sont désormais désactivées par défaut. Un établissement peut les activer, mais il doit alors le justifier.
Hébergement cloud souverain et ENT en Île-de-France : où vont les données
Savoir quelles données sont collectées, c’est une chose. Savoir où elles sont physiquement stockées, c’est une question tout aussi concrète pour la sécurité.
Les contenus déposés sur un ENT ne sont pas dispersés sur des serveurs étrangers. Les données sont hébergées sur des serveurs situés en France, conformément aux exigences du Schéma Directeur des Espaces Numériques de Travail (SDET) défini par l’Éducation nationale.
Pourquoi le lieu d’hébergement compte autant
Un hébergement hors Union européenne expose les données à des législations extraterritoriales. Le Cloud Act américain, par exemple, permet aux autorités américaines de demander l’accès à des données stockées par un prestataire américain, même si les serveurs sont en Europe.
Pour éviter ce risque, plusieurs collectivités franciliennes exigent désormais dans leurs marchés publics un hébergement qualifié SecNumCloud ou équivalent « cloud de confiance ». Cette qualification, délivrée par l’ANSSI, garantit un niveau de sécurité technique et juridique supérieur. Elle certifie que le prestataire n’est pas soumis à une juridiction non européenne.
Pour un parent ou un enseignant, cela signifie que les relevés de notes, les échanges internes et les données d’identité de chaque élève restent sous contrôle juridique français.
RGPD appliqué à l’ENT : droits des familles et obligations de l’établissement
Le RGPD n’est pas qu’un sigle affiché en bas d’une page de connexion. Il impose des obligations très concrètes à l’établissement scolaire, qui est le responsable du traitement des données personnelles.
- L’établissement doit informer les familles de la nature des données collectées, de leur finalité et de la durée de conservation, dès l’ouverture du compte ENT.
- Chaque parent peut demander à consulter les données personnelles de son enfant, aux rectifier ou aux faire supprimer, en s’adressant directement à l’établissement.
- Après la fermeture d’un compte (départ de l’élève, fin d’année scolaire selon les cas), les données personnelles sont supprimées automatiquement dans un délai défini, souvent fixé à quelques mois.
L’opérateur de l’ENT n’exploite pas commercialement les données. Les éditeurs conformes au SDET s’engagent à n’en faire aucun autre usage que le fonctionnement du service. Pas de publicité ciblée, pas de revente, pas de profilage marketing.
Différence entre confidentialité et sécurité dans ce contexte
La confidentialité définit qui a le droit de voir quoi. Sur un ENT, un parent ne voit que les informations de son propre enfant. Un enseignant accède aux élèves de ses classes, pas aux autres.
La sécurité, elle, concerne les moyens techniques pour empêcher un accès non autorisé : chiffrement des connexions, authentification par identifiants personnels, détection d’intrusions. Les deux se complètent : la confidentialité fixe les règles, la sécurité les fait respecter.
Identifiants ENT et cybersécurité : les réflexes à adopter en famille
La majorité des incidents de sécurité sur les ENT ne viennent pas d’une faille technique du service. Ils proviennent d’un usage imprudent des identifiants : mot de passe partagé entre camarades, connexion sur un ordinateur public sans déconnexion, identifiant noté sur un carnet accessible.
Des comptes ENT compromis peuvent servir à diffuser des messages frauduleux ou menaçants au sein d’un établissement. L’origine de ces incidents est souvent la même : des identifiants élèves récupérés par des logiciels malveillants ou du hameçonnage.
Quelques pratiques concrètes réduisent fortement ce risque :
- Choisir un mot de passe propre à l’ENT, différent de ceux utilisés sur les réseaux sociaux ou les jeux en ligne.
- Ne jamais transmettre ses identifiants par messagerie instantanée, même à un ami.
- Vérifier l’adresse du site avant de saisir son mot de passe : les pages de hameçonnage imitent l’apparence de l’ENT mais utilisent une URL différente.
- Se déconnecter systématiquement après chaque session sur un appareil partagé.
L’établissement a un rôle dans cette prévention. Certains collèges et lycées franciliens organisent désormais des sessions de sensibilisation à la fraude numérique, intégrées au programme d’éducation aux médias et à l’information.
Conformité SDET et audits : le cadre de confiance de l’Éducation nationale
Le SDET est le référentiel national qui encadre les ENT sur les plans fonctionnel, technique et juridique. Pour être déployé dans un établissement public, un ENT doit s’y conformer. Ce cadre couvre la gestion des profils, les droits d’accès, les conditions d’hébergement et les règles de suppression des données.
Les contrôles de conformité portent sur la robustesse du chiffrement, la bonne application des règles d’accès et la suppression effective des comptes inactifs.
La combinaison de ce cadre réglementaire, de l’hébergement souverain et de la minimisation des données forme un dispositif cohérent. Il n’élimine pas tout risque, mais il place les ENT franciliens parmi les services numériques éducatifs les mieux encadrés. Le maillon restant à renforcer au quotidien, c’est l’usage : la vigilance sur les identifiants, côté élèves comme côté familles, reste le complément indispensable de toute architecture technique.
