Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018, est le nouveau cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à caractère personnel. Il a pour objectifs de :
- donner aux citoyens de l’Union européenne plus de visibilité et de contrôle sur leurs données à caractère personnel ;
- permettre à l’administration de maîtriser le cycle de vie des données et de pouvoir les transmettre sur simple demande.
Le RGPD concerne les entreprises, les associations, les collectivités locales et toutes les entités du service public. Les services de l’éducation nationale ainsi que les écoles, collèges et lycées, les universités doivent l’appliquer.
Le RGPD simplifie les démarches et responsabilise tous les acteurs : les déclarations auprès de la CNIL disparaissent et sont remplacées par l’obligation de documenter sa conformité (la CNIL conserve toutefois un droit de contrôle sur le respect de cette procédure et sur l’application de la loi).
Les écoles, les collèges et les lycées doivent être capables de garantir et de prouver que leurs traitements de données à caractère personnel sont conformes et sécurisés.
La "Petite Loi" du 14 mai 2018 et la Loi n° 2018-493 du 20 juin 2018 relatives à la protection des données personnelles, modifient la loi Informatique et libertés du 6 janvier 1978, et complètent le RGPD.
Qu’est-ce qu’un traitement de données à caractère personnel ?
Un traitement est une opération ou un ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Qu’est-ce qu’une donnée à caractère personnel ?
Est considérée comme "donnée à caractère personnel" toute information permettant de faire le lien directement ou indirectement avec une personne physique. Le texte ne précise pas le type de support (numérique ou papier) : "Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne". Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de naissance, mais aussi un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse Ip, un historique de navigation, une géolocalisation, une photographie, un avatar.
Comment s’applique le RGPD selon les différents types de données à caractère personnel ?
Tout traitement de données concernant les élèves (résultats scolaires, professions des parents, revenus du foyer, pays de naissance, vaccinations, allergies si elles sont conséquentes en milieu scolaire…), parents ou personnels, doit dorénavant être inscrit sur un registre interne à l’école ou à l’établissement, et maintenu à jour.
La Loi Informatique et libertés du 6 janvier 1978 est ainsi modifiée, dans son article 8, par les lois du 14 mai 2018 et du 20 juin 2018 : "Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique."
Ainsi les démarches déclaratives auprès de la CNIL restent obligatoires pour le traitement de données dites sensibles, comme par exemple les données biométriques (empreintes digitales pour le passage à la cantine) et les vidéos captées par des caméras dans l’enceinte de l’établissement. Sont également sensibles : l’appartenance syndicale d’un enseignant ou d’un parent à une association (quand elle n’est pas publique), le régime alimentaire s’il révèle une religion (halal, casher…), la nature d’un handicap, d’une déficience ou d’une affection, un justificatif d’absence à caractère religieux (ramadan…).
Qu’en est-il des statistiques ?
Le secret statistique est également régi par l’obligation de conformité aux règles encadrant les traitements de données à caractère personnel (Secret statistique et protection des données - INSEE 2017). Il est interdit de publier des données qui permettraient une identification indirecte d’une personne ou même, sans pouvoir l’identifier, d’obtenir une information à son sujet.
Quels sont les droits des membres de la communauté scolaire ?
Droit d’information : toute personne a le droit de connaitre les données collectées (qui la concernent) et la finalité de leur traitement.
Consentement / Droit d’opposition : toute personne a le droit de s’opposer au traitement de ses données à caractère personnel, ou de retirer son consentement à tout moment, pour des motifs légitimes, sauf si le traitement répond à une obligation d’intérêt public (éducation, santé…).
Droit de rectification : toute personne peut demander à corriger certaines informations la concernant.
Protection des mineurs de moins de 15 ans : lorsque le mineur est âgé de moins de 15 ans, le consentement au traitement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale, pour les traitements réalisés sur un(des) service(s) de la société de l’information (réseaux sociaux, drives, blog, site web…). Ce double consentement est exigé par la loi "Informatique et libertés" du 14 mai 2018.
La majorité numérique en France
La loi "Informatique et liberté" du 14 mai 2018 fixe l’âge de la majorité numérique à 15 ans en France : un mineur peut consentir seul à un traitement de données à caractère personnel, à compter de l’âge de quinze ans. Il peut alors retirer son accord et demander l’effacement de ses données, sauf pour un traitement d’intérêt public (éducation, santé…).
Droit d’accès : toute personne peut accéder à l’ensemble des informations la concernant, et en obtenir une copie. Le responsable de traitement est tenu de répondre à cette demande dans un délai de deux mois.
Portabilité : les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituées sous forme structurée, exportables et importables sur un service analogue. Ce droit ne s’applique pas au traitement nécessaire à une mission d’intérêt public (éducation, santé) ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement (traitement mis en œuvre par le ministère, un service académique, ou bien le chef d’établissement ou le DASEN dans l’exercice de leur fonction).
Réparation du préjudice : toute personne ayant subi des dommages matériels ou moraux du fait d’un traitement de données inadapté pourra demander réparation. Une association de protection des données, ou bien un groupe de parents, pourra entamer un recours collectif.
Droit à l’oubli : dès lors qu’une personne estime qu’une information affichée sur une plateforme ou par un moteur de recherche porte atteinte à sa réputation ou à sa vie privée, il peut demander à ce que cette information soit effacée de la plateforme ou des résultats du moteur de recherche (déréférencement).
Quelles sont les obligations à respecter dans le traitement des données à caractère personnel ?
Les traitements des données à caractère personnel doivent respecter les règles suivantes :
Transparence : le responsable de traitement doit informer, en des termes clairs et simples, aisément compréhensibles par les personnes concernées, de l’utilisation de leurs données à caractère personnel.
Licéité : le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes :
- la personne concernée, ou l’élève mineur (moins de 15 ans) et son responsable parental, a /ont consenti au traitement des données pour la(les) finalité(s) indiquée(s)
- le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
- le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (éducation, santé…).
Consentement : avant de procéder au recueil de données à caractère personnel, le responsable de traitement doit obtenir le consentement des personnes concernées. La preuve du consentement doit être matérialisée. Toutefois dans le cadre d’une mission d’intérêt public (éducation, santé…), le consentement parental n’est pas requis pour pouvoir collecter, traiter et conserver les données des élèves, dès lors que l’application utilisée est conforme au RGPD. Ainsi, si le traitement est mis en œuvre par le ministère, un service académique, ou bien le chef d’établissement ou le DASEN dans l’exercice de leur fonction, ce consentement n’est pas nécessaire sur les outils de gestion de la vie scolaire, sur le réseau pédagogique de l’école ou de l’établissement, sur l’ENT et ses différentes fonctionnalités (forums, groupes collaboratifs…).
L’offre directe de services de la société de l’information pour les mineurs de moins de 15 ans : la nécessité du "double consentement conjoint"
En ce qui concerne les traitements effectués sur un(des) service(s) de la société de l’information, la loi Informatique et libertés du 14 mai 2018 exige :
- le consentement explicite des élèves de plus de 15 ans.
- le "double consentement conjoint" (élève - parents) pour les élèves de moins de 15 ans.
Les activités pédagogiques doivent respecter ce consentement ou double consentement si elles conduisent à un traitement de données à caractère personnel sur des réseaux sociaux, des drives, blogs, sites web, webjournal, webtélé, webradio…
Limitation des finalités : les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites, légitimes.
Minimisation des données : seules peuvent être collectées les données adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des missions de l’établissement pour lesquelles elles sont traitées.
Sécurité et confidentialité : les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident. Les serveurs doivent être protégés en lieu sûr, répliqués, et visibles seulement des personnes habilitées.
Durée de conservation : une durée maximale de conservation des données doit être définie. Cette durée varie selon les différents objectifs (en base active) et les éventuelles obligations légales de conservation. Une fois que l’objectif poursuivi par la collecte des données est atteint, celles-ci doivent être supprimées sur toute la chaîne de sauvegarde, ou bien archivées (en archivage administratif ou définitif), selon les règles les concernant.
Les enjeux de la protection des données au sein de l'éducation
Le règlement général sur la protection des données (RGPD) crée un cadre de confiance et renforce les droits des usagers quant à l’utilisation de leurs données à caractère personnel. Dans le domaine de l’éducation il ne s’agit pas de se priver des innovations technologiques si elles apportent une réelle plus-value pédagogique mais il convient de ne pas transiger sur les principes éthiques. Dans chaque académie un délégué à la protection des données (DPD) veille au respect du cadre légal concernant la protection des données.
[Infographie] 10 principes clés pour protéger les données de vos élèves
Au-delà de son appui essentiel à une gestion plus efficiente des systèmes éducatifs, le numérique bouleverse l'accès à la connaissance et offre des possibilités nouvelles pour enseigner et apprendre. Sous réserve d’une protection rigoureuse, les données à caractère personnel des élèves peuvent être utilisées pour améliorer l’individualisation des parcours de formation et des apprentissages, mettre en œuvre une évaluation plus performante de leur acquis, offrir aux enseignants de nouveaux outils pédagogiques et aux chefs d’établissement des services de vie scolaire répondant mieux aux attentes des familles.
Le règlement général européen sur la protection des données (RGPD) et les dernières dispositions de la loi du 6 janvier 1978 dite "Informatique et Libertés" renforcent la protection de ces données afin que leur usage soit respectueux du droit des personnes.
Les développements en cours dans le domaine de l’éducation, spécialement ceux mettant en œuvre des techniques d’intelligence artificielle, imposent une attention encore plus vive. Il ne s’agit pas de se priver des innovations technologiques si elles apportent une réelle plus-value pédagogique mais il convient de ne pas transiger sur les principes éthiques, tout particulièrement lorsqu’il s’agit de personnes mineures.
L’infographie "10 principes clés pour protéger les données de vos élèves" a pour ambition d’aider les enseignants à utiliser le numérique dans leur pédagogie en s’assurant que les données personnelles de leurs élèves sont bien protégées.
Les délégués à la protection des données (DPD)
Les délégués à la protection des données (DPD) veillent au respect du cadre légal concernant la protection des données au sein d'une organisation.
Dans l'éducation nationale, un DPD veille, dans chaque académie, au respect du RGPD par les les responsables des traitements de données personnelles mis en œuvre dans l'académie, les écoles ou les établissements, et par les sous-traitants et prestataires prenant part à ces traitements. Le DPD est associé à la mise en place de tout nouveau traitement ou à toute modification d'un traitement en cours et doit donner son avis ou faire des recommandations.
Les missions principales du Délégué à la protection des données en académie sont :
- Veiller au respect du cadre légal : le DPD veille en toute indépendance au respect du RGPD et plus largement de l'ensemble des normes applicables par les responsables des traitements ou des sous-traitants en matière de protection des données à caractère personnel. Ses analyses et conseils s'étendent aux sous-traitants et prestataires prenant part aux traitements mis en place par les responsables de traitement. Il est obligatoirement consulté avant la mise en œuvre d'un nouveau traitement ou la modification substantielle d'un traitement en cours et peut faire toute recommandation aux responsables de traitement de l'administration centrale des deux ministères.
- Alerter les responsables de traitement : Le DPD informe sans délai les responsables de traitement de tout risque que le non-respect de ses recommandations ou toute initiative des utilisateurs ou de concepteurs de traitements feraient courir à l'institution. Il veille à formaliser une procédure pour informer directement les responsables de traitement d'une non-conformité majeure.
- Analyser, investiguer, auditer et contrôler : Le DPD pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité au RGPD, de mettre en évidence les éventuelles non-conformités, de vérifier la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles. Il est en relation avec le DPD ministériel sur ces questions.
- Établir et maintenir une documentation sur les traitements effectués : Le DPD s'assure de l'existence d'une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements) et de sa bonne conservation et veille à son accessibilité par l'autorité de contrôle (CNIL).
- Assurer la médiation avec les personnes concernées : Le DPD reçoit les réclamations éventuelles des personnes concernées par les traitements et veille au respect du droit des personnes. Il traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement en lien avec les services académiques.
- Accompagner et sensibiliser : le DPD assure une mission d'information et de sensibilisation des services académiques au travers notamment d'actions de formation et de diffusion de supports de communication sur la protection des données personnelles.
- Interagir avec l'autorité de contrôle : Le DPD est, pour l'académie, le point de contact privilégié de l'autorité de contrôle (Cnil), avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre.
- Présenter un rapport annuel au recteur : Le DPD rend compte de son action en présentant chaque année un rapport au Recteur
Des questions à se poser
- jusqu’à quand ai-je besoin de données à caractère personnel pour atteindre l’objectif fixé ?
- ai-je des obligations légales de conservation de ces données pendant un certain temps
- dois-je conserver certaines données à caractère personnel en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
- jusqu’à quand puis-je faire valoir ce recours en justice ?
- quelles sont les règles de suppression et/ou d’archivage (durée) de ces données à caractère personnel ?
Qui est le responsable de traitement des données ?
Le responsable du traitement est "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement". Il s’agit de la personne qui détermine la réponse aux questions suivantes : à quoi va servir le traitement ? Comment l’objectif fixé sera atteint ?
Pour les applications nationales et académiques, le responsable de traitement est :
- au niveau ministériel : le ministre (directeurs par délégation).
- au niveau académique : le recteur, ou les chefs de service rectoraux et DASEN par délégation.
- au niveau d’un EPLE : le chef d’établissement.
- au niveau d’une école primaire : le DASEN (ni les directeurs d’école, ni les IEN n’ont le statut de personne morale).
- pour l’enseignement privé sous contrat avec l’état : le directeur de l’établissement.
Les traitements effectués par les enseignants
Tous les traitements réalisés sur les outils de l’école, du collège ou du lycée – ou fournis par l’établissement - (ordinateur, clé Usb, ENT…), ou/et partagés dans le cadre du travail, doivent figurer sur le registre de l’établissement.
Les professeurs ne peuvent se retrancher derrière leur liberté pédagogique et doivent être transparent à l’égard du responsable des traitements de l’établissement : certains outils utilisés par les enseignants, dans le cadre de leur liberté pédagogique, peuvent conduire à un traitement de données personnelles de leurs élèves (adresses internet utilisées pour s’inscrire à certains services…) à reporter sur le registre de l’école ou de l’établissement. De même, un professeur qui transmet à une plateforme de travail collaboratif (de type Pad hors ENT par exemple) ou par un système de communication (Skype, Msn, Hangout…) des données d’élèves, doit en informer le responsable des traitements pour renseigner le registre. Des listes de notes ou de compétences et des données récoltées auprès de parents, stockées sur un support, même personnel, constituent également un traitement à répertorier, de manière générique, dans le registre.
Les risques en cas de manquement éventuel au RGPD
Le responsable du traitement peut encourir un risque de sanction (CNIL, administrative ou pénale) en cas de non-respect du RGPD (formalités préalables…).
Les amendes ne sont pas applicables aux traitements mis en œuvre par l’État et ses services déconcentrés, ou par les chefs d’établissement et DASEN lorsqu’ils mettent en œuvre un traitement au nom de l’État ou en qualité de représentant de l’État. La CNIL n’a pas tranché, en cas de traitement au nom de l’EPLE ou de l’école, mais les chefs d’établissements et DASEN seront protégés.
Le chef d’établissement ne peut être tenu pour responsable d’un défaut de protection des données dans un traitement personnel effectué par un enseignant, s’il n’en avait pas connaissance.
Que faire en cas de violation de données à caractère personnel ?
La violation de données à caractère personnel doit être communiquée par le responsable de traitement :
à l’autorité de contrôle, la CNIL, dans un délai de 72 heures (week-end compris) après en avoir pris connaissance. Si ce délai est dépassé avec un risque pour les droits et libertés des personnes, la notification doit être accompagnée des motifs du retard.
à chaque personne concernée dans les meilleurs délais.
Le responsable de traitement coopère alors avec les représentants de la CNIL, à la demande de celle-ci.
Quelles sont les précautions à prendre en cas de sous-traitance ?
Lorsque le responsable du traitement fait appel à des sous-traitants ou des prestataires, il doit s’assurer que ces derniers présentent des garanties suffisantes de mise en œuvre des mesures techniques et organisationnelles appropriées, de manière à ce que chaque traitement réponde aux exigences du RGPD.
"Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement." Le contrat, ou l’autre acte juridique, se présente sous une forme écrite, y compris en format électronique. L’application, par un sous-traitant ou d’un prestataire, d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir d’élément pour démontrer l’existence des garanties suffisantes.
"Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données sont imposées à cet autre sous-traitant. Lorsque ce dernier ne remplit pas ses obligations, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations".
Les sous-traitants proposant des logiciels de vie scolaire possèdent souvent eux-mêmes des sous-traitants (hébergement des données…). Le responsable de traitement a intérêt de demander au sous-traitant la cartographie de la circulation des données.
Quel est le contenu du contrat ou d’un autre acte juridique avec le sous-traitant ou le prestataire ?
Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant ou le prestataire :
- ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
- veille à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une obligation de confidentialité
- prend toutes les mesures requises en matière de sécurité du traitement des données
- respecte les conditions requises pour recruter un autre sous-traitant
- aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes éventuelles des personnes concernées
- aide le responsable du traitement à garantir la sécurité, compte tenu de la nature du traitement et des risques
- selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation de ces données
- met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour permettre la réalisation d’audits ou d’inspections par le responsable du traitement ou un autre auditeur qu’il a mandaté.
Ressources
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 - CNIL
"Petite Loi" du 14 mai 2018 - Assemblée nationale
Loi n° 2018-493 du 20 juin 2018 - Légifrance
Mise en œuvre du RGPD
Le parcours m@gistère "Les données à caractère personnel au cœur des établissements" a été conçu en direction des responsables de traitement que sont les DASEN pour le premier degré et les chefs d’établissements pour le second degré.
Toutefois, ce parcours est ouvert à tout personnel désireux de s’informer et de se former sur la mise en place du RGPD dans l’éducation nationale.
Quel est le contenu de cette formation ?
Ce parcours se décline en trois modules :
Présenter le nouveau cadre législatif et ses évolutions
faire le point sur la mise en place du RGPD
réfléchir aux enjeux de la protection des données des élèves, mais aussi des personnels
Expliciter les mesures à prendre pour être conforme
- identifier les traitements en établissement
- s’approprier le registre des traitements
- définir et expliciter le rôle des responsables de traitement
Proposer des pistes d’action à destination des équipes éducatives, des personnels, des élèves et de leurs représentants
Quelles sont les modalités de ce parcours ?
La mise en œuvre du parcours est de trois heures, en auto-formation.
Ce parcours sera accessible depuis l’onglet "Se former" de la page d’accueil devotre compte m@gistère.
Ressource dans les écoles et les EPLE : Un manuel pour l’appliquer
Pour répondre aux principales questions relatives à l’application du RGPD, Réseau Canopé édite "Les Données à caractère personnel - Comprendre et appliquer les nouvelles réglementations dans les établissements scolaires"
MENJ
Éduscol
CNIL
La mallette des parents
Mise à jour : mai 2023