Le règlement de 17,25 millions de dollars de PowerSchool concernant le suivi des élèves par Naviance

Le règlement de 17,25 millions de dollars de PowerSchool concernant le suivi des élèves par Naviance

Un règlement de recours collectif de 17,25 millions de dollars contre PowerSchool attire une attention renouvelée sur une pratique dont de nombreuses familles ignoraient l’existence : la surveillance silencieuse et continue des élèves à travers les plateformes mêmes que les écoles leur demandent d’utiliser. Le procès visait Naviance, un outil largement utilisé pour l’orientation universitaire et professionnelle, et alléguait que la plateforme intégrait des logiciels de suivi tiers qui collectaient les frappes, les clics et les communications privées des élèves sans consentement entre 2021 et 2026. Cette affaire est l’un des exemples les plus clairs à ce jour de la manière dont les défaillances en matière de confidentialité liées au suivi des données des élèves dans les technologies éducatives peuvent persister des années avant que quiconque ne soit tenu responsable.

Ce que Naviance collectait réellement — et pendant combien de temps

Naviance n’est pas un outil de niche. Utilisé par des millions d’élèves du secondaire à travers les États-Unis, il sert de plateforme centrale pour le suivi des candidatures universitaires, les évaluations de carrière et la planification académique. Parce que les écoles l’imposent, les élèves et les familles n’ont généralement pas d’autre choix que de l’utiliser.

Selon le procès, le suivi intégré dans Naviance allait bien au-delà des analyses standard. Des logiciels tiers auraient capturé des données au niveau des frappes, ce qui signifie que chaque caractère tapé par un élève pouvait être enregistré. Les clics, les schémas de navigation et les communications privées auraient également été collectés. Ce type de collecte de données n’est pas passif. Il est granulaire, comportemental et, dans de nombreux cas, bien plus révélateur qu’une simple trace de connexion.

Le plus frappant est peut-être la chronologie. Le suivi allégué s’étendait de 2021 à 2026, une période de cinq ans durant laquelle des millions d’élèves ont pu voir des informations sensibles collectées à leur insu ou à l’insu de leurs parents ou tuteurs. Aucun consentement n’a été obtenu. Aucune information claire n’a été fournie. La surveillance était, par conception, invisible.

Pourquoi les plateformes imposées par les écoles sont un angle mort pour la vie privée des élèves

Lorsqu’une entreprise commercialise une application grand public et y intègre des traceurs, les utilisateurs ont au moins la possibilité théorique de refuser. Lorsqu’une école impose une plateforme, cette possibilité disparaît. Les élèves doivent utiliser l’outil pour faire leurs devoirs, soumettre des candidatures ou accéder à des ressources. Cela crée un problème fondamental de consentement que les lois existantes peinent à résoudre pleinement.

Des cadres fédéraux comme la FERPA (loi sur les droits éducatifs et la vie privée des familles) et la COPPA (loi sur la protection de la vie privée des enfants en ligne) offrent certaines protections de base, mais ils n’ont pas été conçus pour la complexité des écosystèmes modernes de technologies éducatives. Une école peut passer un contrat avec un fournisseur. Ce fournisseur peut intégrer du code tiers. Ces tiers peuvent collecter des données. Chaque étape peut techniquement respecter les règles existantes tout en permettant que les données des élèves parviennent à des entités dont les familles n’ont jamais entendu parler.

C’est cette dynamique qui rend l’affaire PowerSchool importante au-delà du montant financier. C’est un exemple documenté de l’écart entre la conformité juridique et une véritable transparence. Le fait que le suivi allégué ait duré cinq ans sans avis public souligne à quel point les parents et les élèves ont généralement peu de visibilité sur ce que font réellement les plateformes scolaires.

Ce problème ne se limite pas au suivi passif. Comme l’a démontré la violation de Canvas par ShinyHunters, l’exposition des données des élèves couvre à la fois la surveillance secrète et les cyberattaques actives. Lorsque près de 275 millions de dossiers d’élèves ont été mis en danger par cet incident, cela a renforcé le fait que le secteur des technologies éducatives est confronté à des vulnérabilités venant de plusieurs directions simultanément.

Comment fonctionne le suivi caché des frappes et des communications

Pour les lecteurs peu familiers avec les mécanismes techniques, il est utile de comprendre comment ce type de suivi fonctionne en pratique. Les scripts de suivi tiers sont généralement intégrés par les développeurs de la plateforme lors de la conception. Lorsqu’un utilisateur charge une page, ces scripts s’exécutent automatiquement en arrière-plan. L’utilisateur ne voit rien d’anormal.

Les scripts d’enregistrement des frappes peuvent capturer la saisie en temps réel, enregistrant ce qu’une personne tape avant même qu’elle n’appuie sur envoyer. Les outils de rejeu de session peuvent enregistrer les mouvements de souris, le comportement de défilement et les schémas de clics pour reconstituer exactement ce qu’un utilisateur a fait pendant une session. L’interception des communications peut se produire lorsque les messages envoyés via le système interne d’une plateforme transitent par une infrastructure tierce avant d’atteindre leur destinataire.

Rien de tout cela ne nécessite un accès spécial à l’appareil. Cela se produit à l’intérieur du navigateur, au sein de la plateforme elle-même. Les logiciels antivirus standard ne le signalent pas. Les contrôles parentaux ne le bloquent pas. Même les extensions de navigateur axées sur la vie privée peuvent ne pas l’intercepter si les scripts sont profondément intégrés dans le code de la plateforme.

C’est pourquoi le consentement et la divulgation au niveau des contrats, entre les écoles et les fournisseurs, sont si importants. Au moment où un élève ouvre Naviance, le pipeline de données est déjà en place.

Ce que les familles peuvent faire pour limiter la surveillance des technologies éducatives

Le règlement PowerSchool ne sera pas le dernier du genre. L’adoption des technologies éducatives continue de s’étendre et les incitations financières à monétiser les données comportementales restent fortes. Cela dit, les familles ne sont pas totalement démunies.

Demandez l’inventaire des données. En vertu de la FERPA, les parents d’élèves de moins de 18 ans ont le droit de demander l’accès aux dossiers éducatifs. Les écoles devraient également pouvoir fournir une liste des fournisseurs tiers avec lesquels elles partagent les données des élèves. Demander cette liste signale aux écoles que les familles sont attentives.

Examinez les politiques technologiques de l’école chaque année. De nombreux districts mettent à jour leurs politiques d’utilisation acceptable et de confidentialité des données au début de chaque année scolaire. Lire ces documents, même de façon synthétique, peut révéler quelles plateformes sont utilisées et quelles pratiques de données sont divulguées.

Utilisez des protections au niveau du navigateur lorsque c’est possible. Bien que les familles ne puissent pas toujours se désengager des plateformes imposées par l’école, les élèves qui utilisent des appareils personnels pour leurs travaux scolaires peuvent bénéficier de navigateurs ou d’extensions axés sur la vie privée qui limitent l’exécution de scripts tiers, dans la mesure où ces outils n’interfèrent pas avec le fonctionnement requis des plateformes.

Impliquez les conseils scolaires et les administrateurs. La protection la plus efficace à long terme vient de la responsabilité institutionnelle. Les questions posées par les parents lors des réunions du conseil scolaire au sujet des contrats des fournisseurs et des audits de données créent une pression pour une supervision plus rigoureuse.

Restez informés des incidents liés aux technologies éducatives. L’affaire PowerSchool et la fuite de Canvas par ShinyHunters font partie d’un schéma plus large. Comprendre que les violations de données des élèves et la surveillance sont des problèmes récurrents, et non des événements isolés, est le fondement pour exiger de meilleures protections.

Le règlement de 17,25 millions de dollars contre PowerSchool est un résultat significatif, mais sa réelle importance réside dans ce qu’il révèle des pratiques courantes du secteur. Si une plateforme utilisée par des millions d’élèves pendant cinq ans a pu intégrer des logiciels de suivi non divulgués, la question à se poser n’est pas seulement ce que faisait Naviance, mais ce que d’autres plateformes éducatives pourraient être en train de faire en ce moment même. Les familles, les éducateurs et les décideurs politiques ont tous un rôle à jouer pour exiger des réponses avant le prochain règlement, et non après.