Comment Sécuriser un Espace Numérique de Travail ?

Les derniers chiffres du ministère de l’Éducation nationale et de la Jeunesse⁽¹⁾ rapportent que près de 24 000 écoles, la quasi-totalité des lycées et plus de 90 % des collèges publics utilisent un ENT (espace numérique de travail). L’application traite un volume massif de données personnelles.

Enseignants, personnels administratifs, responsables légaux et élèves – dont une large proportion d’enfants mineurs – sont concernés. Dans ce contexte, l’enjeu de sécurité des données est majeur. C’est pourquoi la mise en place des ENT s’inscrit dans un cadre réglementaire strict. Pour faciliter la tâche et s’assurer de sécuriser son espace numérique de travail, l’établissement est accompagné par son académie qui bénéficie elle-même du soutien financier et stratégique de la collectivité territoriale.

Espace Numérique de Travail ou ENT : définition officielle

“ La généralisation des ENT dans les établissements d'enseignement s'inscrit dans le cadre de la politique du numérique éducatif menée par le ministère de l'Éducation nationale et de la Jeunesse. Les services proposés par les plateformes permettent non seulement de tirer parti des nouvelles technologies pour faciliter l'enseignement, mais aussi de former les élèves aux usages du digital. ”

L’arrêté du 30 novembre 2006⁽²⁾ donne la définition suivante de l’ENT : « tout ensemble intégré de services numériques choisis et mis à disposition de tous les acteurs de la communauté éducative d’un ou plusieurs établissements de l’enseignement primaire, secondaire ou supérieur, dans un cadre défini par un schéma directeur des espaces numériques de travail (SDET) spécifique selon qu’il est mis en œuvre dans un établissement scolaire ou dans un établissement d’enseignement supérieur ; l’ENT constitue un point d’entrée unifié permettant à l’utilisateur d’accéder, selon son profil et son niveau d’habilitation, aux services et contenus numériques offerts ».

Concrètement, qu’est-ce qu’un ENT ?

Un ENT (espace numérique de travail) est une plateforme de services dématérialisés mise en place dans l’établissement scolaire, à disposition de l’ensemble de la communauté éducative : enseignants et personnels administratifs, élèves et étudiants, et parents d’élèves mineurs.

Chaque établissement choisit son fournisseur de services. Parmi les services inclus dans la plupart des ENT :

Des services pédagogiques : accès aux ressources en ligne, forum et blog d’école ou encore classe virtuelle.
Des services de communication : cahier de liaison et courrier électronique, notamment.
Des services d’accompagnement : gestion des absences, carnet de notes, emploi du temps et, plus généralement, stockage et partage de fichiers.

Concrètement, l’ENT se présente sous la forme d’un site web portail. L’utilisateur renseigne ses identifiants de connexion pour accéder à son espace, où il bénéficie de services dédiés en fonction de son profil utilisateur. Les utilisateurs de l’ENT sont : les enseignants et les personnels administratifs, les élèves, ainsi que leurs responsables légaux pour les élèves mineurs.

À quoi sert-il ?

L’ENT permet de digitaliser certains aspects de l’enseignement :

L’ENT remplace le support papier par le support numérique. Ex. : le carnet de correspondance de l’écolier ou le bulletin de notes du lycée sont établis et transmis au format numérique.
L’ENT dématérialise les ressources pédagogiques. Ex. : l’enseignement à distance est possible, en visioconférence.
L’ENT favorise la communication. Ex. : un espace communautaire peut permettre de discuter en ligne ; les enseignants peuvent partager des photos prises dans le cadre de projets ou d’activités scolaires.

Quels sont ses avantages ?

L’établissement n’a pas l’obligation de mettre en place un ENT. En pratique, pourtant, l’usage se répand. L’espace numérique de travail, en effet, offre des avantages notables :

Pour l’établissement, c’est la possibilité de centraliser et de fiabiliser les données indispensables à son fonctionnement. Ex. : l’établissement accède facilement aux coordonnées à jour du parent à contacter en cas d’accident d’un élève à l’école.
Pour les enseignants, l’ENT offre un gain de temps, notamment au moment de transmettre des informations.
Pour les étudiants, l’ENT participe à les familiariser aux usages du digital.

Sur ce dernier point : la généralisation des ENT dans les établissements d’enseignement s’inscrit dans le cadre de la politique du numérique éducatif menée par le ministère de l’Éducation nationale et de la Jeunesse. Les services proposés par les plateformes permettent non seulement de tirer parti des nouvelles technologies pour faciliter l’enseignement, et aussi de former les élèves aux usages du digital. Le récent contexte sanitaire a également démontré l’utilité des ENT pour assurer la continuité pédagogique en cas de fermeture des établissements.

Les types de risques liés à la protection des données

« Deux catégories de risques :

Des risques liés à l’intégrité des données.
Des risques liés à la sécurité des données personnelles. »

Avec un ENT, les données personnelles des utilisateurs circulent dans un environnement numérisé, fourni par un prestataire tiers. Deux catégories de risques numériques émergent dans ce contexte :

Des risques liés à l’intégrité des données : des cyberattaques, notamment, risquent de compromettre le système ; en cas de virus informatique, l’établissement perd ses données, ce qui altère son fonctionnement.
Des risques liés à la sécurité des données personnelles : dans la mesure où la plateforme est éditée par une entreprise commerciale privée, et non par l’établissement, il est important de s’interroger sur l’usage qui est fait des données.

Quelles sont les mesures prises par l’éditeur de la plateforme en matière de cybersécurité ? Qui accède aux données qui circulent via l’ENT ? Où les données personnelles des utilisateurs sont-elles hébergées ?

Les données pédagogiques sont d’autant plus sensibles qu’elles concernent des enfants mineurs. Illustration : le parent d’élève ne souhaite pas qu’une photo prise de son enfant lors d’une sortie à la plage paraisse malencontreusement sur un réseau social.

Pour assurer la fiabilité du système informatique et la maîtrise de l’utilisation des données personnelles, l’ENT est déployé dans un cadre de confiance, défini notamment par le SDET (schéma directeur des espaces numériques de travail) et le RGPD (règlement général sur la protection des données).

La garantie de protection des données des utilisateurs

“ Pour protéger les données personnelles qui transitent via l'ENT, l'établissement veille au respect du cadre réglementaire et met en place une charte de bonne conduite. ”

Si les élèves mineurs sont concernés au premier plan, les autres utilisateurs de l’ENT ont également intérêt à bénéficier de la protection de leurs données personnelles. L’enseignant, par exemple, ne souhaite sans doute pas que l’adresse de son domicile personnel soit divulguée à ses élèves.

Pour protéger les données personnelles qui transitent via l’ENT, l’établissement veille au respect du cadre réglementaire et met en place une charte de bonne conduite.

Bon à savoir :

Le chef d’établissement est accompagné par l’académie à toutes les étapes de déploiement de l’ENT, notamment sur le volet de la sécurité des données, via le délégué à la protection des données (DPD). L’académie à cet effet délivre l’information, assure les formations nécessaires et assiste l’établissement de manière globale.

Zoom sur les règles du cadre général pour sécuriser un espace numérique de travail

L’ENT, en matière de sécurité des données, doit respecter les normes suivantes :

Le RGPD, règlement général d’application contraignante à l’échelle européenne.
Les lignes directrices du S3IT (schéma stratégique des systèmes d’information et des télécommunications) et le SDET (schéma directeur des espaces numériques de travail).
Le SDASIN (schéma directeur académique des systèmes d’information et du numérique), un référentiel élaboré en collaboration entre l’académie et la collectivité territoriale.
Les règles spécifiques éventuellement imposées eu égard à la nature et au projet de l’établissement.

L’arrêté du 30 novembre 2006⁽²⁾ précise les modalités d’application des normes régissant la sécurité des données dans l’ENT :

L’ENT traite des données à caractère personnel : identifiants de connexion, mais aussi informations confidentielles de type identité, coordonnées, photo ou encore parcours scolaire ; dès lors, le chef d’établissement déclare le traitement à la CNIL (Commission nationale de l’informatique et des libertés) et signe un engagement de conformité.
Les destinataires n’ont accès aux données que conformément à leurs attributions, et à condition que le besoin soit justifié : le chef d’établissement, à cet égard, veille à paramétrer les droits d’accès aux données des différents utilisateurs. Ex. : l’élève peut accéder à sa fiche et au forum de discussion, mais n’accède pas aux données personnelles de l’enseignant.
Le chef d’établissement est responsable du traitement : de fait, il remplit son obligation d’information des utilisateurs « de la collecte et de la destination des données à caractère personnel les concernant » pour garantir leurs droits d’opposition et de rectification ; l’information est réalisée par voie d’affichage et est consultable depuis la page d’accueil du profil utilisateur de l’ENT.
Les données personnelles doivent être mises à jour annuellement et supprimées dans un délai de 3 mois à compter de la fin de la scolarité de l’élève.

Pour faciliter la tâche du chef d’établissement et assurer la sécurisation des données dans l’ENT, le ministère en charge de l’Éducation nationale met gratuitement à disposition des établissements le gestionnaire d’accès aux ressources numériques (GAR) dont la mise en œuvre est encadrée par l’arrêté du 18 décembre 2017⁽³⁾. Il s’agit d’un filtre sécurisant qui se superpose à la plateforme ENT au moment où l’utilisateur se connecte : l’accès aux ressources est alors garanti conforme aux normes régissant la sécurité des données. Cela signifie que les fournisseurs n’accèdent qu’aux données strictement nécessaires au fonctionnement des services et que la transmission des données est sécurisée et conforme aux droits des utilisateurs. La mise en place du GAR est facultative. En 2022, environ 12 000 écoles et 9 000 établissements du second degré⁽⁴⁾ ont choisi d’en bénéficier.

Comment mettre en place une charte de bonne conduite ?

La sécurité des données relève de la responsabilité du chef d’établissement, mais incombe également à l’ensemble des utilisateurs de l’ENT. C’est pourquoi la CNIL invite les chefs d’établissement à sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité. À titre d’exemple, une précaution de base consiste à ne pas divulguer ses identifiants de connexion à son espace personnel.

Concrètement, il s’agit pour le chef d’établissement d’élaborer et de diffuser une charte de bonne conduite.

1) Élaborer le contenu de la charte

Le chef d’établissement peut utiliser le modèle de charte proposé par son académie. Pour élaborer la charte, il est important de veiller aux points suivants :

Rappeler les règles d’ordre public. Ex. : interdiction de publier des propos injurieux ou discriminatoires, respecter les droits de propriété intellectuelle des utilisateurs et de l’éditeur de l’ENT.
Expliquer le mode de fonctionnement de la plateforme ENT : les utilisateurs doivent être en mesure d’utiliser l’espace numérique de travail, quel que soit leur niveau de digitalisation.
Interdire formellement toute manipulation de nature à mettre en péril l’intégrité du système informatique : il est possible de lister de manière non exhaustive les pratiques interdites. Ex. : ne pas introduire de virus.
Enjoindre les utilisateurs à notifier les brèches éventuelles dans la sécurité des données : la notification permet ainsi à l’établissement de réagir rapidement, le cas échéant.
Indiquer les droits des utilisateurs sur leurs données personnelles.
Inclure les mesures de bonne conduite spécifiques à la nature et au projet de l’établissement. Ex. : interdiction de publier la photo d’un élève mineur sans l’autorisation de son responsable légal.

2) La diffuser

L’accès à l’ENT doit être subordonné à l’acceptation et à la signature de la charte de bonne conduite par l’utilisateur. La charte, en outre, est diffusée par voie d’affichage au sein de l’établissement.

Sources :

L’état du déploiement des espaces numériques de travail | Éduscol
Arrêté du 30 novembre 2006 portant création, au sein du ministère de l’Éducation nationale et du ministère de l’Enseignement supérieur et de la Recherche, d’un traitement de données à caractère personnel relatif aux espaces numériques de travail (ENT)
Arrêté du 18 décembre 2017 relatif à la mise en œuvre par le ministère de l’Éducation nationale d’un traitement de données à caractère personnel dénommé « gestionnaire d’accès aux ressources » (GAR)
Connaître les établissements et écoles déployés | GAR

Dans le même
dossier