PowerSchool paie 17,25 M$ pour un traçage caché d'élèves : la leçon edtech pour les DPO européens

2/6/26
👈 les autres actualités

PowerSchool, l'un des plus gros éditeurs de logiciels scolaires aux États-Unis, vient d'accepter un règlement de 17,25 millions de dollars pour clore une class action retentissante. En cause : non pas un piratage, mais une collecte délibérée et silencieuse de données d'élèves via sa plateforme d'orientation Naviance, pendant plus de quatre ans. Pour les DPO européens, l'affaire est un cas d'école sur le traçage tiers caché — un risque qui n'a rien d'américain.

Ce qui s'est passé

Le 27 février 2026, un tribunal fédéral de l'Illinois a accordé l'approbation préliminaire au règlement de l'affaire Q.J. v. PowerSchool Holdings LLC. Le fonds de 17,25 millions de dollars couvre toute personne ayant utilisé la plateforme Naviance — un outil d'orientation scolaire et professionnelle — au moins une fois entre le 18 août 2021 et le 23 janvier 2026. Soit potentiellement plus de 10 millions d'élèves.

Le cœur de l'affaire n'est pas une faille de sécurité, mais un dispositif de traçage. Selon la plainte, du code analytique fourni par la société Heap Inc. était intégré dans Naviance. À chaque connexion d'un élève, ses communications, ses réponses à des questionnaires d'orientation, ses interactions comportementales et ses données personnelles étaient « interceptées, surveillées, capturées et transmises » aux serveurs de Heap. Les données collectées incluaient les noms, les numéros d'identification scolaire, les années de diplôme, des informations démographiques, des photographies et des réponses à des sondages sur les centres d'intérêt professionnels. Le tout sans information claire ni consentement des familles.

Au-delà de l'indemnisation, le règlement impose des mesures correctrices lourdes : suppression de toutes les données collectées (PowerSchool doit ordonner à Heap, Google, Microsoft et Hotjar de les effacer sous dix jours), interdiction de tout code de traçage tiers dans Naviance pendant deux ans, et création d'un comité de gouvernance chargé d'encadrer l'usage des technologies publicitaires.

Pourquoi c'est important pour les organisations européennes

L'affaire est américaine, mais le mécanisme est parfaitement transposable. Ce qui est ici sanctionné — un traçage comportemental tiers, intégré dans un outil métier, activé sans base légale ni transparence — tombe directement sous le coup du RGPD et de la directive ePrivacy. En droit européen, ce type de traceur exige un consentement préalable, libre et éclairé, exactement comme un cookie. La CNIL applique cette logique sans relâche, des outils de mesure d'audience aux pixels de suivi dans les emails, en passant par la non-conformité historique de Google Analytics que nous détaillons dans notre guide sur les alternatives analytics conformes.

Deux facteurs aggravants se cumulent ici. D'abord, les données concernent des mineurs, dont la protection est renforcée : l'article 8 du RGPD encadre strictement le consentement des enfants aux services numériques. Ensuite, le secteur éducatif manipule par nature des données sensibles à grande échelle, comme le rappelle notre guide sur le RGPD dans l'éducation nationale. Le précédent n'est d'ailleurs pas isolé : l'edtech américaine accumule les incidents, de la fuite Navigate360 touchant 7 300 écoles aux contentieux en cascade.

Ce que ça change concrètement

La leçon centrale est celle de la responsabilité du donneur d'ordre. Un établissement ou une entreprise qui déploie un outil tiers reste responsable de traitement : il ne peut pas se réfugier derrière l'opacité de son prestataire. Comme l'illustrent les contentieux américains contre les sous-traitants défaillants, le mécanisme se transpose en Europe via l'article 82 (responsabilité solidaire) et l'article 28 du RGPD (encadrement contractuel du sous-traitant).

Trois actions s'imposent pour les DPO. D'abord, cartographier les traceurs réellement actifs dans chaque outil métier — pas seulement sur le site vitrine, mais à l'intérieur des applications utilisées au quotidien. Beaucoup d'organisations ignorent les SDK analytiques embarqués dans leurs logiciels. Ensuite, exiger des garanties contractuelles précises et auditer leurs prestataires, démarche que détaille notre guide d'audit des sous-traitants. Enfin, revoir la granularité du consentement : un consentement global pour « améliorer le service » ne couvre jamais un traçage comportemental tiers.

Ce que Leto pense de cette décision

Cette affaire confirme une bascule : le traçage caché n'est plus un détail technique, c'est un risque juridique et financier de premier ordre. 17,25 millions de dollars répartis sur 10 millions d'élèves restent symboliques pour un acteur de cette taille — la vraie sanction est dans les mesures correctrices et l'atteinte réputationnelle. En Europe, l'addition serait probablement plus salée, car la CNIL et l'EDPB n'attendent pas qu'un dommage soit prouvé pour sanctionner un défaut de base légale. Le message pour les DPO est limpide : auditez ce qui tourne sous vos interfaces, pas seulement ce qui s'affiche dessus.

Sources : Site officiel du règlement Q.J. v. PowerSchool Holdings · ClassAction.org · DataBreaches.net

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026