Madame, Monsieur,
L’éditeur de l’application Pronote a attiré notre attention au sujet d’une application appelée « Papillon » dont l’usage comporte certains risques.
Voici les recommandations qui nous été communiquées et que nous somes invités à vous transmettre :
« Depuis plusieurs semaines, une nouvelle application mobile appelée « Papillon » est téléchargeable gratuitement sur les stores Apple et Android.
Papillon n’est pas une application officielle d’Index Éducation. Son public est celui des élèves dans un premier temps.
Papillon est une application mobile qui permet aux élèves identifiés d’afficher, sur une autre interface que celle paramétrée par les établissements, les données de PRONOTE, mais aussi celles d’autres applications de vie scolaire (École directe, Skolengo, etc.), d’université et de cantine scolaire.
Pour cela, l’élève est reconnu grâce à ses informations de connexion habituelles (QR code PRONOTE, identifiant et mot de passe Educonnect, ENT, etc.).
Cette pratique n’est pas illégale en soi, car justifiée par le fait que l’utilisateur renseigne volontairement ses informations de connexion et aussi par le fait que Papillon n’a pas de finalité commerciale.
Néanmoins, son usage par les élèves pose des questions d’éthique et de protection des données.
En termes d’éthique, l’application Papillon permet le traitement automatique de données scolaires pour d’autres finalités que celles décidées par le chef d’établissement. L’utilisation de l’application Papillon permet aux élèves de contourner vos politiques pédagogiques en proposant par exemple le calcul d’une moyenne approximative à partir des notes affichées alors que la moyenne n’est pas publiée sur PRONOTE. De plus, les équipes de Papillon ont pour objectif de faire évoluer l’application Papillon en réseau social, entrainant des risques en termes d’usage et de confidentialité des données scolaires pour leurs utilisateurs.
Concernant la protection des données, les données hébergées par Index Éducation et les services PRONOTE sont sécurisés et ne sont pas altérés de quelque façon que ce soit. Ces services sont audités annuellement par des cabinets qualifiés par l’ANSSI (Agence Nationale de Sécurité et des Systèmes d’Informations de l’Etat) et font l’objet d’une surveillance accrue par les services de lutte contre la cybercriminalité d’Index Éducation en lien avec le Centre opérationnel de Cybersécurité de Docaposte et du Groupe La Poste.
En notre qualité de sous-traitant et en votre qualité de responsable de traitement au regard du Règlement Général pour la Protection des Données (RGPD), nous vous recommandons d’informer vos personnels de direction, vos enseignants, vos élèves et leur famille du statut non officiel de l’application Papillon et de ses potentielles dérives :
- L’application PRONOTE est la seule application de vie scolaire qualifiée SecNumCloud SaaS par l’État. Elle répond aux plus hautes exigences de sécurité et est la seule application respectant la politique pédagogique décidée par votre établissement ;
- Les identifiants (login et mots de passe) sont personnels et confidentiels. En les utilisant sur une application non officielle, l’élève prend le risque que ses données soient récupérées ou utilisées à son insu par des tiers à d’autres fins, telle que l’utilisation de sa messagerie ;
- Les traitements réalisés dans l’application Papillon pour contourner les dispositifs de PRONOTE tels que l’affichage de la moyenne générale n’a aucune valeur officielle et ne peut être qu’une estimation. En effet, certaines matières évaluées par compétences n’apparaissent pas sur cette application, ce qui fausse complètement le bilan de l’élève. »
Respectueusement,
Nicolas Brulé,
Principal
