Tracking caché : PowerSchool paie 17,25 M$ pour des années de pistage d'élèves sur Naviance

25/5/26
👈 les autres actualités

PowerSchool, l'un des plus gros éditeurs de logiciels éducatifs américains, accepte de payer 17,25 millions de dollars pour clore une action collective. Le reproche n'est pas un piratage : c'est d'avoir laissé des mouchards publicitaires aspirer en silence les données de plus de 10 millions d'élèves sur sa plateforme d'orientation Naviance. Une affaire qui dit beaucoup de ce que le RGPD attend des outils numériques scolaires.

Ce qui s'est passé

Naviance est une plateforme utilisée par des millions de lycéens américains pour préparer leur orientation post-bac : tests d'intérêts, candidatures universitaires, échanges avec leurs conseillers. Selon la plainte, PowerSchool y avait intégré le traceur tiers Heap, qui enregistrait les frappes clavier, les clics, les mouvements de souris et jusqu'aux messages privés adressés aux conseillers d'orientation. Ces données étaient ensuite transmises à Google, Microsoft et Hotjar.

Le règlement, conclu avec PowerSchool et les écoles publiques de Chicago co-défenderesses, couvre toute personne s'étant connectée à Naviance entre le 18 août 2021 et le 23 janvier 2026 — une classe estimée à plus de 10 millions de personnes. Le montant, environ 15,75 millions d'euros, sera réparti au prorata entre les membres. L'audience d'approbation finale est fixée au 10 juin 2026. Pendant deux ans, PowerSchool s'interdit d'utiliser des traceurs de Heap, Google, Microsoft, Hotjar ou Gainsight dans Naviance, sauf validation de conformité. Cette affaire est distincte de la brèche de 2024 qui avait frappé l'entreprise : ici, aucune intrusion, mais une collecte délibérée et non maîtrisée.

Pourquoi c'est important

Le cas est instructif précisément parce qu'il ne s'agit pas d'une violation de données au sens classique. Personne n'a forcé de serrure. Le tracking était intégré au produit, activé par défaut, et invisible pour les élèves comme pour leurs établissements. Transposée en Europe, la situation ne relèverait pas des articles 33 et 34 du RGPD, mais d'un défaut plus fondamental : un traitement sans base légale valable (article 6), aggravé par le fait qu'il concerne des mineurs, dont les données bénéficient d'une protection renforcée (article 8).

Le point décisif tient à la répartition des rôles. L'établissement scolaire est responsable de traitement ; l'éditeur edtech n'est que sous-traitant. Or l'article 29 du RGPD est sans ambiguïté : un sous-traitant ne peut traiter les données que sur instruction documentée du responsable. Embarquer des mouchards qui réémettent les données vers des tiers, sans mandat, c'est sortir du cadre — et engager la responsabilité des deux parties. Les affaires se succèdent sur ce terrain : on l'a vu avec Navigate360 et la fuite BlueLeaks 2.0, puis en France avec la cyberattaque sur ÉduConnect. Le dénominateur commun n'est jamais l'établissement lui-même : c'est l'outil tiers mal encadré.

Ce que ça change pour les organisations

Pour un DPO, la leçon dépasse largement le secteur scolaire. Tout outil SaaS — plateforme RH, CRM, espace client, intranet — peut embarquer des traceurs analytics qui exfiltrent silencieusement des données vers des tiers. Trois actions concrètes s'imposent. D'abord, cartographier les traceurs de chaque outil tiers utilisé : un audit réseau ou un scan des balises révèle souvent des destinataires insoupçonnés. Ensuite, auditer ses sous-traitants et exiger la liste exhaustive de leurs propres sous-traitants ultérieurs, traceurs compris. Enfin, relire les clauses du DPA : un accord de traitement qui ne mentionne pas les outils analytics embarqués est un accord incomplet, donc inopposable en cas de contrôle. La logique est la même que celle rappelée par les contentieux bancaires américains : le donneur d'ordre reste exposé pour les choix techniques de son prestataire.

Ce que Leto pense de cette décision

Cette affaire devrait servir de signal d'alarme bien au-delà de l'edtech. Le risque le plus sous-estimé en matière de données n'est pas le pirate : c'est le traceur installé par défaut, légitimé par un contrat que personne n'a vraiment lu. Un règlement à 17 millions de dollars pour du « simple » analytics montre que la frontière entre mesure d'audience et surveillance illicite est plus mince qu'on ne le croit. Le bon réflexe n'est pas d'attendre l'incident, mais d'exiger de chaque éditeur une transparence totale sur ce qui sort réellement de son produit — et de refuser tout ce qui ne se justifie pas.

Sources : Bloomberg Law, ClassAction.org, K-12 Dive, DataBreaches.net.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026