-- Article en cours de construction --
Enjeux de l'application du RGPD à l'école
L'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a instauré un cadre juridique unifié au sein de l'Union européenne pour la protection des données personnelles, en particulier à l’école.
Dans le contexte scolaire, cette réglementation revêt une importance particulière. Les écoles collectent et traitent quotidiennement une multitude de données personnelles concernant les élèves, les parents, les agents de l’éducation nationale, les agents territoriaux et intervenants extérieurs,ci-après dénommées « les personnes concernées », telles que les informations d'identification, les productions scolaires.
Garantir la confidentialité de ces informations est essentiel pour préserver la vie privée des individus et maintenir un climat de confiance au sein de la communauté éducative.
Dès leur collecte, l’exploitation, transfert, stockage et destruction ou archivage, constituent des traitements de données personnelles. Le RGPD fait porter la responsabilité des traitements des données à caractère personnel du 1er degré sur le DASEN. En tant que Responsable des traitements, le DASEN détermine les pratiques licites, loyales, transparentes et sécurisées que doivent adopter les écoles.
Les personnes concernées ont des droits (d’accès et d’information, de rectification, d’opposition, d’effacement, de limitation, …). Le responsable de traitement est garant de l’exercice de ces droits.
La mise en œuvre du RGPD à l’école offre l’opportunité aux enseignants de sensibiliser les élèves aux enjeux de la protection des données dès leur plus jeune âge, contribuant ainsi à leur formation en tant que citoyens numériques éclairés.
Définitions
Donnée personnelle
Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation ou un identifiant en ligne.
Le cas particulier des données sensibles :
Le traitement des données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que des données génétiques, biométriques, concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique est interdit.
Destinataire
Personne, service public ou autre organisme qui reçoit la communication de données personnelles.
Consentement
Manifestation de volonté libre, spécifique, éclairée et univoque par laquelle une personne accepte, par une déclaration ou par un acte positif clair, que des données personnelles la concernant fassent l'objet d'un traitement.
Selon le traitement, le responsable de traitement doit solliciter le consentement des personnes concernées.
Sous-traitant
Service ou partenaire ou prestataire qui traite des données personnelles pour le compte du responsable de traitement. À l’école, la sous-traitance se caractérise par l’externalisation d’une prestation (cas des ENT et de tous les services en ligne) dans lesquels des données personnelles sont traitées.
Violation de données personnelles
Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou autrement traitées, ou l'accès non autorisé à de telles données.
Traitement
Toute opération ou ensemble d'opérations effectuées sur des données personnelles, que ce soit par des procédés automatisés ou non, quel qu’en soit le support (numérique ou « papier ») telles que la collecte, l'enregistrement, l'organisation, la conservation, la modification, l'extraction, la consultation, l'utilisation, la communication, la diffusion ou la destruction.
Responsable de traitement
Personne physique ou morale, autorité publique, service ou autre organisme qui détermine les finalités (*) et les moyens (**) du traitement des données personnelles. Pour le premier degré, le DASEN, par délégation du recteur, est le responsable de tous les traitements réalisés dans les écoles.
(*) Objectifs spécifiques pour lesquels des données personnelles sont collectées et traitées.
(**) Ressources allouées pour la mise en œuvre du traitement des données personnelles.
Registre de traitement
Document obligatoire tenu par le responsable de traitement, qui recense l’ensemble des traitements de données personnelles mis en œuvre sous la forme de fiches de traitement. Ces fiches décrivent notamment les finalités, les catégories de données collectées, les personnes concernées, les destinataires des données, la durée de conservation et les mesures de sécurité mises en place. Dans le contexte de premier degré, ce registre départemental permet au DASEN de maîtriser et de garantir la transparence des traitements réalisés (sur son champ territorial de compétence) et de démontrer sa conformité en cas de contrôle. La plateforme Ouranos (disponible depuis le PIA) permet une consultation et une tenue facilitée et accompagnée de ce registre.
Base légale du traitement
Pour l’application du principe de licéité, tout traitement doit répondre d’une base légale qui autorise le responsable de traitement à collecter et utiliser des données personnelles.
Délégué à la protection des données (DPD)
Personne désignée pour veiller au respect du RGPD au sein d'une organisation, informer et conseiller le responsable de traitement ou le sous-traitant, et être le point de contact de l'autorité de contrôle.
Le DPD est nommé au niveau académique. Il est mutualisé au bénéfice de chaque Responsable de traitement.
Il peut être sollicité pour toutes questions relatives à la protection des données à caractère personnel à l’adresse : delegue-protection-donnees [at] ac-grenoble.fr
Quelques cas d’école
Au travers de ces "cas d'école", nous vous proposons quelques questions qui constituent un point de départ pour aborder les problématiques RGPD à l’école.
Si les écoles collectent des données pour alimenter des applications locales ou des services numériques ou réutilisent des données extraites des applications métiers, il s’agit de traitements à part entière qui doivent être recensés. En revanche, le périmètre fonctionnel des applications métiers nationales ou académiques (ONDE, AFFELNET, LSU, LPI, …) est défini par les directions métiers de l’administration centrale ou du rectorat qui en sont les responsables de traitement et en assument la responsabilité. Les écoles n’ont pas à déclarer les traitements associés, dans la mesure où ils sont exploités conformément à leur documentation et n’ont pas été modifiés au niveau de l’école.
Dans la mesure où il implique la collecte de données relatives à l’identité et à la vie scolaire des élèves, un tel fichier, qu’il soit ou non diffusé sur le réseau local de l’école, constitue un traitement de données à caractère personnel au sens du RGPD. Comme tout traitement de données à caractère personnel mis en œuvre dans une école, il doit donc faire l’objet d’une inscription dans le registre de traitement départemental.
Il est essentiel que les caractéristiques du traitement soient portées à la connaissance des personnes concernées dans les conditions prévues par les articles 13 et 14 du RGPD. Elles doivent être informées de l’identité et des coordonnées du responsable de traitement et du délégué à la protection des données, des finalités, de la base juridique du traitement, du caractère obligatoire ou facultatif du recueil des données et des conséquences pour la personne en cas de non-fourniture des données, des destinataires, de la durée de conservation des données, du droit des personnes concernées (opposition, accès, rectification, effacement, limitation), du droit d’introduire une réclamation (plainte) auprès de la CNIL.
Au sens de l’article 28 du RGPD, un prestataire qui édite un ENT ou un outil de gestion de vie scolaire et qui accède aux données à caractère personnel (notamment lorsqu’il propose l’hébergement de telles données) est considéré comme un sous-traitant.
En conséquence, une convention de sous-traitance doit être conclue entre le responsable de traitement et le sous-traitant. Le responsable de traitement doit en effet s’assurer que le sous-traitant présente des garanties suffisantes au regard du RGPD. Pour les prestataires conventionnés et pour lesquels une fiche de traitement a pu être renseignée dans le registre de traitement, les écoles doivent simplement déclarer leur utilisation via la plateforme Ouranos. Pour tout autre prestataire, leur usage ne peut être déclaré et envisagé avant conventionnement et inscription au registre de traitement.
(*) : Liste des ENT et suites de vie scolaire concernées sur le site de la DRANE [A voir].
Dans la mesure où elle implique la collecte de données relatives à l’identité des élèves, une fiche de suivi constitue un traitement de données à caractère personnel. Dès lors, ce traitement propre à l’école doit, avant sa mise en œuvre, faire l’objet d’une analyse au regard des exigences du RGPD et être inscrit sur le registre de traitement du département.
Il est notamment nécessaire de faire preuve d’une vigilance particulière si le fichier comporte des champs de commentaires libres. La CNIL rappelle que les appréciations mentionnées dans les champs libres doivent toujours être objectives et jamais excessives ou insultantes, et ne pas comporter de données sensibles. Par exemple, lorsqu’il s’agit de suivre des élèves présentant des troubles, les données de santé les concernant constituent des données sensibles, dont le traitement est en principe interdit, sauf exception prévue par le RGPD concernant les traitements mis en œuvre par les acteurs de santé dont ne font pas partie un enseignant ou un directeur.
En application de l’article 5 du RGPD, la durée de conservation des données ne devrait pas excéder celle nécessaire au regard des finalités pour lesquelles les données sont traitées. Il faudrait, par conséquent, que le responsable de traitement soit en mesure de justifier la conservation pluriannuelle des fichiers.
Enfin, les personnes concernées devraient être dûment informées des caractéristiques du traitement dans les conditions prévues aux articles 13 et 14 du RGPD.
Au-delà des ces quelques cas, nous vous proposons une FAQ qui recense les questions récurrentes autour du RGPD, dans les domaines suivants :
• Questions d’ordre administratif
• Questions relatives aux usages pédagogiques
• Questions relatives aux relations avec les représentants légaux des élèves
Cette documentation et FAQ ont été produites par le Groupe Académique RGPD, regroupant le DPD de l’Académie, des CPD numériques et ERUN de chaque département.