Enjeux de l'application du RGPD à l'école
L'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a instauré un cadre juridique unifié au sein de l'Union européenne pour la protection des données personnelles, en particulier à l’école.
Dans le contexte scolaire, cette réglementation revêt une importance particulière. Les écoles collectent et traitent quotidiennement une multitude de données personnelles concernant les élèves, les parents, les agents de l’éducation nationale, les agents territoriaux et intervenants extérieurs, ci-après dénommées « les personnes concernées », telles que les informations d'identification, les productions scolaires.
Garantir la confidentialité de ces informations est essentiel pour préserver la vie privée des individus et maintenir un climat de confiance au sein de la communauté éducative.
La collecte, l’exploitation, le transfert, le stockage et la destruction ou l'archivage, constituent des traitements de données personnelles. Le RGPD fait porter la responsabilité des traitements des données à caractère personnel du 1er degré sur le DASEN. En tant que responsable des traitements, le DASEN détermine les pratiques licites, loyales, transparentes et sécurisées que doivent adopter les écoles.
Les personnes concernées ont des droits (d’accès et d’information, de rectification, d’opposition, d’effacement, de limitation, …). Le responsable de traitement est garant de l’exercice de ces droits.
La mise en œuvre du RGPD à l’école offre l’opportunité aux enseignants de sensibiliser les élèves aux enjeux de la protection des données dès leur plus jeune âge, contribuant ainsi à leur formation en tant que citoyens numériques éclairés.
Définitions
Donnée personnelle
Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation ou un identifiant en ligne.
Le cas particulier des données sensibles :
Le traitement des données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que des données génétiques, biométriques, concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique est interdit.
Destinataire
Personne, service public ou autre organisme qui reçoit la communication de données personnelles.
Consentement
Manifestation de volonté libre, spécifique, éclairée et univoque par laquelle une personne accepte, par une déclaration ou par un acte positif clair, que des données personnelles la concernant fassent l'objet d'un traitement.
Selon le traitement, le responsable de traitement doit solliciter le consentement des personnes concernées.
Sous-traitant
Service ou partenaire ou prestataire qui traite des données personnelles pour le compte du responsable de traitement. À l’école, la sous-traitance se caractérise par l’externalisation d’une prestation (cas des ENT et de tous les services en ligne) dans lesquels des données personnelles sont traitées.
Violation de données personnelles
Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou autrement traitées, ou l'accès non autorisé à de telles données.
Traitement
Toute opération ou ensemble d'opérations effectuées sur des données personnelles, que ce soit par des procédés automatisés ou non, quel qu’en soit le support (numérique ou « papier ») telles que la collecte, l'enregistrement, l'organisation, la conservation, la modification, l'extraction, la consultation, l'utilisation, la communication, la diffusion ou la destruction.
Responsable de traitement
Personne physique ou morale, autorité publique, service ou autre organisme qui détermine les finalités (*) et les moyens (**) du traitement des données personnelles. Pour le premier degré, le DASEN, par délégation du recteur, est le responsable de tous les traitements réalisés dans les écoles.
(*) Objectifs spécifiques pour lesquels des données personnelles sont collectées et traitées.
(**) Ressources allouées pour la mise en œuvre du traitement des données personnelles.
Registre de traitement
Document obligatoire tenu par le responsable de traitement, qui recense l’ensemble des traitements de données personnelles mis en œuvre sous la forme de fiches de traitement. Ces fiches décrivent notamment les finalités, les catégories de données collectées, les personnes concernées, les destinataires des données, la durée de conservation et les mesures de sécurité mises en place. Dans le contexte de premier degré, ce registre départemental permet au DASEN de maîtriser et de garantir la transparence des traitements réalisés (sur son champ territorial de compétence) et de démontrer sa conformité en cas de contrôle. La plateforme Ouranos (disponible depuis le PIA) permet une consultation et une tenue facilitée et accompagnée de ce registre.
Base légale du traitement
Pour l’application du principe de licéité, tout traitement doit répondre d’une base légale qui autorise le responsable de traitement à collecter et utiliser des données personnelles.
Délégué à la protection des données (DPD)
Personne désignée pour veiller au respect du RGPD au sein d'une organisation, informer et conseiller le responsable de traitement ou le sous-traitant, et être le point de contact de l'autorité de contrôle.
Le DPD est nommé au niveau académique. Il est mutualisé au bénéfice de chaque Responsable de traitement.
Il peut être sollicité pour toutes questions relatives à la protection des données à caractère personnel à l’adresse : delegue-protection-donnees [at] ac-grenoble.fr
Quelques cas d’école
Au travers de ces "cas d'école", nous vous proposons quelques questions qui constituent un point de départ pour aborder les problématiques RGPD à l’école.
Au-delà des ces quelques cas, nous vous proposons une FAQ qui recense les questions récurrentes autour du RGPD, dans les domaines suivants :
• Questions d’ordre administratif
• Questions relatives aux usages pédagogiques
• Questions relatives aux relations avec les représentants légaux des élèves
Cette documentation et FAQ ont été produites par le Groupe Académique RGPD, regroupant le DPD de l’Académie, des CPD numériques et ERUN de chaque département.
