L'académie de Versailles et JeValide

Comme vous le savez surement, depuis le mois de février l’académie de Versailles a émis un avis sur JeValide afin de suivre le nouveau règlement Européen RGPD qui s’occupe de la protection des données des personnes pour promouvoir l’économie numérique.

RGPD s’occupe de la protection des données des personnes physiques, et de la libre circulation de ces données dans l’union et avec les pays tiers afin de promouvoir l’économie numérique.

Je ne comprends toujours pas pourquoi cet avi a été émis par Versailles, JeValide est surement la solution la moins dangeureuse au sujet de la protection des données personnelles et donc l'outil qui répond le mieux à la RGPD.

Les données dans mes applications

J’ai toujours fait attention à ne surtout pas avoir accès aux données des utilisateurs de mes applications. Ainsi, mes applications fonctionnent de façon totalement autonome (même sans aucune connexion) et ne transmettent jamais de données sur internet à part les envois que vous pouvez faire par exemple pour l’envoi des bilans aux parents.

Même lors de l’envoi des PDF aux parents, mes applications n’envoient rien sur mes serveurs, mais utilisent le système de mail configuré par l’utilisateur. Ce système peut tout à fait utiliser les serveurs de l’académie comme je l’ai expliqué dans cet article.

Du point de vue RGPD, il n’y a donc aucun reproche possible quant au stockage des données personnelles avec mes applications, et d’ailleurs l’académie de Versailles n’a fait aucune remarque là dessus.

Les détails

L’académie de Versailles a donc motivé son interdiction pour d’autres raisons que le stockage de données. En février, après leur interdiction il m’ont demandé pour lever cette interdiction de procéder à deux petites modifications de l’application.

1. La fiche des élèves. J’avais en effet mis en place une fiche exhaustive contenant toutes les demandes qui m’avaient été faites durant ces dernières années de développement. RGPD stipule qu’une base ne doit contenir que ce qui est utile aux traitement des données qui seront faits. Donc, par exemple, le téléphone des parents n’apparaissant pas dans les bilans, la fiche élève dans JeValide ne doit pas contenir ces champs.
2. Les mots de passe des PDF. En effet, les PDF étant envoyés par email, il est possible qu’ils passent par des réseaux non sécurisés et l’académie de Versailles considérait qu’il fallait un mot de passe pour empêcher la lecture par des personnes mal intentionnées qui pourraient lire le message à l’insu de l’enseignant et des parents.

C’est tout.

Seuls ces deux points semblaient empêcher la validation de l’application.

Je trouve personnellement que ces deux points sont sujets à caution,

• la fiche de l’élève est remplie par l’enseignant comme bon lui semble (aucun champ n’est obligatoire),
• le mot de passe, c’est trop de sécurité. Le risque qu’une personne mal intentionnée pirate des mails et lise des PDF est faible, mais le risque que des parents ne puissent pas lire le PDF car ils ont oublié le mot de passe est fort ! Où est l’avantage ? La RGPD dit qu'il faut une sécurité proportionnée aux risques.

C’est pourquoi j’ai décidé de mettre une option « Conformité à la RGPD » qui permet d’activer ou non les modifications demandés par l’académie de Versailles.

Avocats

L’application a été mise à jour avec les modifications demandées par l’académie de Versailles. Je pensais que la levée de l’interdiction suivrait immédiatement. Mais le RSSI de Versailles m’a indiqué qu’il faisait appel à une société d’avocats pour verrouiller la validation de l’application. Ce cabinet d’avocats a mis plusieurs semaines pour donner ses recommandations. Il y avait :

1. Des messages d’alerte, par exemple lorsque l’on touchait à l’option « Conformité à la RGPD », ce que j’ai mis en place immédiatement.
2. L’ajout de mentions légales en début des PDF pour les parents et des PDF par items. Cette demande était plus complexe, car ce texte était bien spécifique à l’académie de Versailles, JeValide est entièrement paramétrable et je ne peux pas mettre un texte spécifique à un client dedans ! J’ai donc ajouté le code pour mettre une mention légale (modifiable) mais proposé à l’académie de Versailles de faire une application spéciale « JeValide Académie de Versailles » afin d’intégrer au plus près leur désidérata.

JeValide Académie de Versailles

L’idée de faire « JeValide Académie de Versailles » est de ne pas polluer « JeValide » avec les demandes de l’académie de Versailles et de faire peut-être une application plus simple. Ainsi, l’envoi de mails aurait pu être fait par les serveurs de l’académiei (pour plus de sécurité), l’application intègrerait les mentions légales mais sans modification possible (pour la légalité), la base des items aurait pu être décidée par l’académie (rendant plus simple des transferts d’élèves), etc… L’idée semblait plaire à l’académie et ils m’ont dit qu’ils signeraient une convention avec moi pour cette application.

La bêta de « JeValide Académie de Versailles » est disponible depuis début mai.

CastSoftware

C’est alors que l’académie de Versailles m’a indiqué qu’ils souhaitaient profiter de la RGPD pour mettre en place une procédure de validation de code des outils qu’ils utilisaient. Il est à préciser que cet audit n'a rien à voir avec la RGPD, c'est une volonté de l'académie de Versailles d'avoir plus de contrôle sur les applications qu'ils acceptent.

J’ai demandé à l’académie de Versailles de lever leur interdiction sur « JeValide », tout en disant que « JeValide Académie Versailles » suivrait et serait l’application compatible à utiliser à Versailles. C’était important pour moi, car d’autres académies prennent appui sur l’interdiction de Versailles pour interdire aussi « JeValide » alors que les dernières versions répondent entièrement aux demandes de Versailles. Malheureusement l’académie de Versailles a refusé de lever l’interdiction afin de me forcer à accepter l'audit de CastSoftware.

L’idée de la validation Cast est de leur donner les sources de l’application (j’étais réticent à le faire pour des raisons de secret industriel), et cette société regarde si votre application est bien écrite. Suite à la pression du temps qui passe et de l'argent qui manque (baisse des ventes de JeValide), j’ai fini par accéder à leur demande.

J’innov

Ce qui nous emmène à J’innov… Un salon organisé par l’académie de Versailles où le RSSI de Versailles a présenté « les chemins de la conformité » et où j’ai été invité à témoigner de ce qui s’était passé depuis l’interdiction, et de comment en suivant le chemin balisé de l’académie de Versailles mon application était maintenant conforme à la nouvelle norme européenne. La validation de mon code par CastSoftware étant intervenu le 4 juin, et le salon ayant lieu le 5 juin, je m’attendais à la levée de l’interdiction le 6 juin. Il n’en fût rien.

Convention

Le RSSI de l’académie de Versailles m’a dit de ne pas m’inquiéter : « le temps administratif est long ». Mais la suite a été que la convention pour « JeValide Académie Versailles » avait une nouvelle clause… qui était que CastSoftware devait faire un audit tous les ans de l’application.

J’ai demandé une nouvelle fois à l’académie de Versailles de lever leur interdiction sur « JeValide », les modifications demandées pour la RGPD, pour les avocats, ayant été faites, la validation de code ayant révélé un très bon programme (selon leurs critères), et J’innov s’étant bien passé. L’académie a refusé, arguant que l’on attendait la proposition de Cast.

Il s’agit là pour CastSoftware d’une rente de situation soutenu par un service public.

9 juillet 2018 : Depuis, l'écriture de cet article, l'académie m'a contacté pour indiquer qu'ils n'étaient pas attaché à CastSoftware et que d'autres sociétés d'audit conviendraient tout aussi bien. Cette information ne m'était pas connu au moment de la rédaction de cet article.

11 juillet : Une solution open-source serait acceptable aussi pour ces rapports sur la qualité du code. Comme les outils de développement d'Apple en comprennent déjà un, j'ai demandé à ce que l'académie valide l'utilisation de celui-ci ce qui éviterait de passer par un tiers.

13 juillet : Un rajout vient d'apparaître dans la convention ! en cas d’évolution de la politique générale de protection des données de l’académie nécessitant un nouvel examen de conformité, le partenaire s’engage à respecter le cahier des charges qui lui sera éventuellement soumis. Ce qui revient à leur donner un chèque en blanc. Je ne peux évidemment pas m'engager à respecter un cahier des charge qui n'est pas encore là et qui ne dépend que d'eux.

Car si je comprends tout à fait que l'Académie demande un audit pour une application portant leur logo, il est anormal que la levée de l'interdiction de JeValide soit associée à la convention. C'est, il me semble, un abus de pouvoir.

Evidemment, je ne peux que refuser ce qui s'apparente pour moi à du racket, et je ne signerai donc pas de convention avec l'académie de Versailles.

Conclusion

Les écoles de l’académie de Versailles ne pourront donc pas utiliser JeValide l’année prochaine à moins de surprises au cours de l’été. Aucun reproche n'a plus été fait par l'académie de Versailles au sujet de JeValide et de la RGPD. Toute cette histoire me laisse supposer que le but, dès le départ, était d'empêcher l'entrée de JeValide dans les écoles. Pourquoi ? Je ne sais pas, mais pas à cause de la RGPD en tout cas.

A tous ceux à qui j’ai dit que cette interdiction ne durerait pas, je tiens à présenter mes excuses. Je vous assure que j’ai cru à leur discours, j’ai cru le RSSI/DSI de Versailles lorsqu’il m’a dit dans les yeux qu’il n’y avait plus d’obstacle à la levée de l’interdiction. Je suis vraiment désolé pour tout ceux qui pourraient être dans la panade en m’ayant cru lorsque je disais que cette interdiction serait levée. J’espère que votre confiance en mes applications ne sera pas ébranlée par cette histoire rocambolesque.

Emmanuel CROMBEZ