
« Je suis estomaquée de la légèreté avec laquelle sont traitées certaines données. » Si Noria Belgherri, agente à la direction de l’Education au conseil départemental de Seine-Saint-Denis, est en colère, c’est qu’elle ne comprend pas le peu de cas fait à ses multiples alertes. En novembre 2022, la femme d’une quarantaine d’années est sollicitée pour encadrer un appel à projet de la région Île-de-France, qui cherche des subventions du fonds social européen (FSE). L’idée est de financer des projets éducatifs destinés à des élèves exclus temporairement de leur établissement – notamment le dispositif ACTE, qui existe depuis 2008. Mais elle réalise que la collectivité territoriale amasse des informations très approfondies sur ces élèves de Seine-Saint-Denis via leur certificat de scolarité : leur nationalité, celle de leurs parents, leur appartenance à une éventuelle minorité ethnique – il faut cocher une case pour indiquer si la personne est « en situation de minorité » ou appartient à « une communauté marginalisée » – , leur comportement en classe, le fait d’être porteur de handicap ou non, leur absentéisme, leur niveau de français, leur environnement familial. Le tout nominativement. Des données personnelles, et même sensibles, qui n’étaient pas demandées avant cet appel à projet en 2021.
L’affaire est sérieuse et concentre de nombreuses problématiques : celle d’une collecte de données sans consentement, aggravée par des risques multiples de fuites, qui auraient des conséquences potentiellement lourdes pour ces enfants. Et ce, alors qu’il est interdit en France de traiter des données « à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique », selon la loi. Les alertes de Noria Belgherri posent également la responsabilité de la région dirigée par Valérie Pécresse, bien embêtée. Contactés, les attachés presse nous ont ironiquement adressé par erreur leurs échanges internes, dont celui-ci :
« StreetPress, c’est un peu poubelle mais on ne peut pas ne rien dire du tout. Qu’est-ce qu’on a à dire sur le fond ? »
Les attachés presse de Valérie Pécresse, du conseil régional d’Île-de-France, nous ont ironiquement adressé par erreur leurs échanges internes. /
Crédits : DR
Absence de consentement
« De 2021 à 2024, ces données ont été recueillies sans consentement », avance Noria Belgherri. Or, recueillir des données personnelles sans le consentement des intéressés est un délit au regard du règlement général sur la protection des données (RGPD). Contacté, le conseil départemental reconnaît que, pendant cette période :
« Le consentement des parents n’a pas toujours été demandé de manière systématique ou explicite. »

Recueillir des données personnelles sur des élèves sans le consentement des parents est un délit au regard du règlement général sur la protection des données (RGPD). /
Crédits : Shérine Azoug
Ou il a été recueilli par les établissements ou partenaires locaux « sans qu’un formulaire unique ou standardisé ne formalise cette démarche ». Si désormais, après avoir alerté son service et d’autres directions, une « communication » est exigée auprès « de leur public, de leurs partenaires et collaborateurs », comme le précise la convention collective signée le 2 octobre 2024, c’est sans aucune précision des modalités. Boualem Hamadache, travailleur social et secrétaire général du syndicat SUD, croit même savoir que le « consentement formalisé des parents n’est toujours pas recueilli ». A sa connaissance, le CD93 aurait simplement formalisé un courrier d’information aux parents, mais impossible de savoir s’il est envoyé systématiquement.
Au-delà du consentement, Noria Belgherri a eu peur d’une fuite des données. Car ces informations ont été stockées un certain temps dans les dossiers partagés de la collectivité, et donc ont été potentiellement accessibles à des milliers de personnes, dans une chaîne de transmission allant des établissements dont les élèves étaient exclus aux structures d’accueil, avant de revenir vers le conseil départemental et la région Île-de-France, jusqu’au FSE. Le 93 reconnaît que la sécurité entourant ces données a été insuffisante. Cependant, il affirme que « l’accès aux données concernées a été rapidement bloqué ». Noria Belgherri pointe en retour les 21 jours passés entre la découverte des fichiers – le 19 juin 2023 – et l’accès coupé le 13 juillet : « Ce n’est pas ce qu’on peut appeler “rapide”. » Devant la gravité des faits, le département assure que « les données sont depuis transférées et stockées de manière sécurisée, via des outils conformes aux normes actuelles ». Des améliorations qui « garantissent une gestion conforme au RGPD ».
Confidentialité des informations
« Que des données aussi sensibles aient pu transiter à travers différentes institutions, avec les aléas que cela suppose, le risque qu’elles soient divulguées et répandues, ce n’est pas acceptable », s’offusque Boualem Hamadache. « En 2021-2022, nous avons atteint un paroxysme avec des cas de figure de jeunes filles entrées dans des pratiques prostitutionnelles et dont les informations nominatives étaient accessibles. Si elles peuvent ressurgir dans des vies adultes à l’occasion d’une faille informatique, cela peut briser des vies. » Cette fois-ci, l’existence de listes est fermement démentie par le département. Pour autant, le soupçon de publics particulièrement vulnérables fait dire au syndicaliste qu’il existe un « deux poids deux mesures ».
« Imagine-t-on la même collecte de données dans des établissements du 7e arrondissement, sans le consentement clair des parents ? »
D’ailleurs, « cette question est au cœur de notre indignation : ce sont des parents qui n’exercent pas toutes les voies de recours qui existent ». En cause, le manque d’informations, d’accès aux outils juridiques, parfois même à la maîtrise de la langue française.

Appartenance à une minorité ethnique, environnement familial, handicap… Plusieurs données sensibles concernant des collégiens exclus de leur établissement en Seine-Saint-Denis ont été collectées par la région Île-de-France. /
Crédits : Shérine Azoug
Dans un contexte d’extrême-droitisation croissante en France, comme en Europe, comment ne pas avoir renouvelé d’efforts pour que ces données ne tombent pas entre de mauvaises mains ? « Elles pourraient être récupérées à des fins électoralistes par des personnes ayant accès aux administrations, ou travaillant en lien avec le personnel administratif. Il existe un risque que les chiffres soient ainsi détournés de leur utilisation première », met en garde Nadia El Mrabet, enseignante-chercheuse à l’Ecole des Mines de Saint-Etienne, notamment en cryptologie. Une inquiétude partagée par Corinne Henin, une experte en cybersécurité :
« Certains groupes politiques pourraient se baser sur ces données pour extraire des statistiques douteuses basées sur un lien entre leur origine et leur exclusion d’un établissement scolaire. »
D’autres risques, au long cours, sont possibles pour ces collégiens et collégiennes. « La plupart des employeurs ne vont pas aller jusqu’à chercher des infos précises sur un candidat sur Internet, ils vont se borner au prénom et au nom de famille. Mais il y a un risque pour les entreprises qui utilisent l’intelligence artificielle, qui pourraient naviguer sur Internet et récupérer ces infos. L’algorithme est tout sauf neutre », met en garde Corinne Henin. Des données qui, dans la nature, pourraient aussi intéresser des assureurs, des databrokers ou permettre de cibler des personnes en situation de « précarité, demande permis de séjour ou leur faire croire qu’elles peuvent gagner de l’argent ou un iPhone ».
Une politique trop zélée
« Le traitement des données sensibles est interdit sauf dérogation dans des cas très précis », précise Corinne Henin, notamment quand elle s’inscrit dans une idée d’utilité sociale. Noria Belgherri reconnaît « la pertinence de ces programmes », avec une « intention vertueuse ». Mais quand bien même cette collecte s’y inscrirait d’un point de vue strictement réglementaire, la quadra’ reste convaincue que ces bonnes intentions ne peuvent pas se faire « à ce prix ». Le conseil départemental affirme que collecter ces données est une condition indispensable « pour bénéficier du financement du FSE. L’anonymisation des données n’est pas possible dans ce cadre, car elle empêcherait la vérification demandée par le FSE ». Un avis que ne partage pas Boualem Hamadache :
« Il est légitime que le FSE essaie de s’assurer que les deniers publics européens sont bien utilisés mais des statistiques anonymisées suffiraient sûrement. »
Au-delà du département, c’est la position de la région qui interpelle. Dans un courrier datant de juin 2024, le Conseil de l’Europe explique que l’initiative de collecter ces données avec un tel degré de précisions revient bien à la région. « Il nous semble effectivement que certaines informations demandées dans la fiche 4.a vont au-delà des informations strictement nécessaires à la collecte de données requises par la réglementation européenne applicable », peut-on y lire. Alors pourquoi l’institution dirigée par Valérie Pécresse aurait-elle fait du zèle ? Si ce n’est par idéologie, peut-être par praticité, imagine Corinne Henin. Puisqu’il est « coûteux en temps et en énergie à la fois pour la personne qui répond et pour la personne qui demande » de réaliser ces collectes, autant demander plus d’informations d’un coup, « au cas où », explique-t-elle.
Contactée à maintes reprises, la région n’a répondu que quelques lignes à StreetPress après leur bourde initiale. Cette dernière a simplement assuré que « la collecte, la conservation et l’utilisation des données sont encadrées par des règles strictes pour garantir la protection des données personnelles des enfants en difficulté scolaire ». Tant pis pour « le fond », leurs motivations, les questions soulevées et les inquiétudes de Noria Belgherri. Pour Boualem Hamadache :
« De la part d’une puissance publique importante comme la région Île-de-France, la situation est édifiante alors que la sécurité informatique devrait être une priorité. »
La lenteur des réactions
Grâce au travail de longue haleine mené par Noria Belgherri et son syndicat, quelques améliorations ont été apportées en Seine-Saint-Denis. « Le conseil départemental reconnaît que les exigences initiales du FSE incluaient des champs non pertinents pour le dispositif ACTE », nous glisse le service de communication. « Depuis septembre 2023, un effort a été fait pour limiter les données transmises au strict nécessaire. » Le département est également en discussion avec la région Île-de-France, autorité de gestion des fonds, pour simplifier les exigences, notamment en remplaçant les certificats de scolarité par d’autres documents. À partir de l’année scolaire 2024-2025, un nouveau formulaire d’information sera mis en œuvre. « En attendant, la protection des données est assurée via un coffre-fort numérique avec un accès limité, et des mesures d’anonymisation sont en cours, en particulier pour les données concernant des mineurs », continue le conseil départemental.
Noria Belgherri confirme que certaines informations ne sont plus demandées dans le cadre du programme ACTE. Sur les formulaires, des cases ont été grisées. Mais « quid des enfants des autres départements ? » À sa connaissance, celui de Seine-Saint-Denis est le seul « à avoir réagi » :
« Ailleurs, les collectes peuvent continuer sans nuance. »
La quadragénaire regrette la tiédeur des réactions face à ces manquements aux droits de l’enfant, notamment de la Défenseuse des droits. L’organisation a répondu à StreetPress qu’elle se positionnera une fois que la CNIL – le gendarme des données personnelles français – rendra ses conclusions. En mai 2024, après que la CNIL a été saisie, une délégation se rend dans les locaux du conseil départemental. D’après Boualem Hamadache, « elle est venue faire des contrôles informatiques pour mesurer l’ampleur des failles, face à des dossiers consultables par des centaines de personnes ». Contactée, l’autorité a confirmé ce contrôle, sans pouvoir en dire plus : « Le dossier est toujours en cours d’instruction. »
Le conseil départemental avance une version beaucoup plus rassurante : la visite de la CNIL aurait permis de confirmer leurs bonnes pratiques, notamment grâce à l’utilisation d’un canal sécurisé, utilisé depuis fin 2023. Une réponse qui ne règle pas le principal problème selon Noria Belgherri :
« C’est la nature même des données qui pose question. »
L’agente est « épuisée » par ce combat. Elle s’inquiète d’autant plus que, face à la baisse des dotations de l’État, les communes et les départements qui financent les programmes de lutte contre le décrochage scolaire vont être tentés d’aller « chercher le FSE géré par la région », envisage-t-elle. Au risque de mettre à nouveau sous le tapis toute précaution concernant les données personnelles.
Illustration en Une et dans l’article de Shérine Azoug .