Règlement général sur la protection des données

Depuis le 25 mai 2018, date d’entrée en vigueur du règlement général sur la protection des données (RGPD), les administrations (établissements scolaires, rectorat, inspection académique…), les entreprises, les associations… ont l’obligation de recenser et de sécuriser l’ensemble des traitements de données à caractère personnel réalisé en leur sein. Qu’il s’agisse de données concernant les élèves, les enseignants ou encore les personnels, il est nécessaire de disposer d’une vue d’ensemble des activités de traitement réalisées et d’intégrer la réflexion dans la mise en place de nouveaux traitements.

Cela implique dans les écoles et établissements scolaires :

• Que tous les outils utilsant des données personnelles et le traitement de celles-ci doivent être notifié dans un registre de traitement par le chef d’établissement (2nd degré) et le DASEN de l’académie (1er degré);
• De privilégier les outils hébérgeant des données de préférence en France et ne faisant pas d’usage des données d’élèves à un tiers.

Quelques rappels sur le règlement général sur la protection des données (RGPD)

Qu’est-ce que le Règlement Général sur la Protection des Données ?

Le Règlement général sur la protection des données (RGPD), entré en vigueur depuis le 25 mai 2018, est le nouveau cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à caractère personnel. Il a pour objectifs de :

• Donner aux citoyens de l’Union Européenne plus de visibilité et de contrôle sur leurs données à caractère personnel ;
• Permettre à « l’administration » de maîtriser le cycle de vie des données et de pouvoir les transmettre sur simple demande.

Le RGPD concerne les entreprises, les associations, les collectivités locales et toutes les entités du service public. Les services de l’éducation nationale ainsi que les écoles, collèges et lycées, les universités doivent l’appliquer.

Le RGPD simplifie les démarches et responsabilise tous les acteurs. Il y a obligation de documenter sa conformité (inscription au registre). En cas de perte de disponibilité, d’intégrité ou de confidentialité de données à caractère personnel, de manière accidentelle ou illicite, il faut alerter le RSSI et le DPD. Si l’incident constitue un risque au regard de la vie privée, le responsable de traitement devra le notifier à la CNIL dans un délai de 72 heures maximum. En cas de risque élevé, les personnes concernées devront être averties. 

Les écoles, les collèges et les lycées doivent être capables de garantir et de prouver que leurs traitements de données à caractère personnel sont conformes et sécurisés.

Qu’est-ce qu’une donnée à caractère personnel ?

Les données personnelles sont des informations qui permettent d’identifier ou de reconnaître directement ou indirectement une personne physique. Elles couvrent divers champs de la vie privée : il peut s’agir d’un nom, d’un pseudonyme, d’une adresse électronique ou physique, d’un numéro de carte de crédit ou de sécurité sociale, d’un historique de navigation web ou encore de données de géolocalisation…

Exemples de données à caractère personnel :

Identité	Communication	Santé	Contenus
Identifiant	Biométrie	Idéologie	Réseaux sociaux	Relation	Dossiers médicaux	Conversation	Média
Nom, e-mail, n° de téléphone, pseudo…	Empreintes, sexe, ADN, …	Intérêt, opinion politique/religieuse	Intérêt, groupe	Famille, amis, contact, …	Maladie, soins, traitements, …	SMS, Appels, métadonnées, …	Photos, vidéos, podcast, …

Localisation	Economie
Géolocalisation	Transaction/Revenu
Déplacement, habitude

Une donnée sensible est une donnée qui révèle les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne physique. Les données scolaires ne sont donc pas considérées comme des données sensibles dans leur ensemble, par contre certaines données scolaires peuvent bien évidemment être des données sensibles. Elles font l’objet d’une protection légale renforcée ; ainsi leur collecte et leur traitement ne peuvent se faire que dans certains cas très précis et doivent être justifiés au regard des objectifs recherchés (cf. art. 9 du RGPD).

Qu’est-ce qu’un traitement de donnée à caractère personnel ?

Un traitement est une opération ou un ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Le responsable des traitements de données

Le responsable de traitement est « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Pour l’Éducation nationale, il s’agit de la personne morale qui détermine la réponse aux deux questions suivantes :

• À quoi va servir le traitement ?
• Comment l’objectif fixé sera atteint ?

Qui est le responsable des traitements de données ?

• Au niveau Ministériel : le ministre (les directeurs exercent cette responsabilité par délégation);
• Au niveau académique : le recteur (les DASEN par délégation);
• Au niveau du premier degré : le DASEn par délégation du recteur – dans notre académie c’est le Recteur;
• Au niveau du second degré (EPLE) : le chef d’établissement
• Au niveau d’un établissement public dépendant du ministère de l’Education nationale (Réseau CANOPE, CNED, …)

Le responsable de traitement désigne un délégué à la protection des données personnelles chargé d’informer, de conseiller et de mettre en oeuvre la conformité au sein de l’organisme. Pour l’académie de Martinique, il peut être contacté par courriel à l’adresse : dpd@ac-martinique.fr

Les traitements effectuées par les enseignants

Tous les traitements réalisés dans le cadre professionnel par les enseignants au sein d’une école, d’un collège ou d’un lycée – fournis ou non par l’établissement -, ou/et partagés dans le cadre du travail, doivent figurer sur le registre de l’établissement ou le registre académique (1^er degré).

Les professeurs conservent leur liberté pédagogique mais se doivent d’être transparents à l’égard du responsable de traitement sur les traitements réalisés.

Certains outils (applications en ligne, logiciels…) utilisés par les enseignants, dans le cadre de leur liberté pédagogique, peuvent conduire à un traitement des données personnelles de leurs élèves (nom, prénom, adresses de messagerie…). Ces traitements doivent être autorisés et être inscrits au registre académique ou de l’établissement.

Un enseignant qui utiliserait une plateforme de travail collaboratif (ex. : Pad hors ENT) ou un système de communication (WhatsApp, Skype, MSN, Hangout…) traitant des données à caractère personnel d’élèves, doit en demander l’autorisation au responsable de traitement. Des listes de notes ou de compétences, des données récoltées auprès de parents, stockées sur un support, même personnel, autre que ceux mis à disposition par le ministère ou l’académie constituent un traitement à répertorier dans le registre.

Qu’est ce qu’un registre ?

Le registre des activités de traitement permet de recenser les traitements de données et de disposer d’une vue d’ensemble des activités intégrant des données personnelles.

En outre pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

• le cas échéant, le nom et les coordonnées du responsable du traitement mis en œuvre;
• les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
• les catégories de personnes concernées (client, prospect, employé, etc.);
• les catégories dedonnées personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
• les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
• les transfertsde données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
• les délais prévus pour l’effacementdes différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer;dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.

Quels sont les droits des personnels de l’établissement scolaire ou de l’école ?

Le RGPD et la loi du 20 juin 2018 relative à la protection des données personnelles contribuent à un au renforcement des droits des usagers concernant l’utilisation de leurs données personnelles. 

Les personnels disposent de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient les données les concernant : 

Droit d’information : Toute personne a le droit de connaitre les données collectées (qui la concernent) et la finalité de leur traitement.

Consentement / Droit d’opposition : Toute personne a le droit de s’opposer au traitement de ses données à caractère personnel, ou de retirer son consentement à tout moment, pour des motifs légitimes, sauf si le traitement répond à une obligation d’intérêt public (éducation, santé…).

Droit de rectification : Toute personne peut demander à corriger certaines informations la concernant.

Protection des mineurs de moins de 15 ans : Lorsque le mineur est âgé de moins de 15 ans, le consentement au traitement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale, pour les traitements réalisés sur un(des) service(s) de la société de l’information (réseaux sociaux, Drives, blog, site Web…). Ce double consentement est exigé par la Loi « Informatique et libertés » du 14 mai 2018

Droit d’accès : Toute personne peut accéder à l’ensemble des informations la concernant, et en obtenir une copie. Le responsable de traitement est tenu de répondre à cette demande dans un délai de deux mois.

Le droit de la portabilité : Les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituées sous forme structurée, exportables et importables sur un service analogue. Ce droit ne s’applique pas au traitement nécessaire à une mission d’intérêt public (éducation, santé) ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement (traitement mis en œuvre par le ministère, un service académique, ou bien le chef d’établissement ou le DASEN dans l’exercice de leur fonction).

Droit à l’oubli : Dès lors qu’une personne estime qu’une information affichée sur une plateforme ou par un moteur de recherche porte atteinte à sa réputation ou à sa vie privée, il peut demander à ce que cette information soit effacée de la plateforme ou des résultats du moteur de recherche (déréférencement).

Choisir une application, un service en ligne : points de vigilence RGPD

Points de vigilance dans le choix d’outils et de services numériques pour des usages pédagogiques

François Jourde, Coordinateur de l’éducation numérique, propose un document présentant les points de vigilance à considérer par les enseignants, les responsables et les administrations, ainsi que par les élèves. Cliquez ici pour accéder à celui-ci.

Le coin éducatif

Protéger sa vie privée (“Rire jaune”)

Dans sa vidéo, réalisée en partenariat avec la CNIL et la MGEN, le Youtubeur Kévin Tran (LeRireJaune, 3.7 millions d’abonnés) parle de la protection de la vie privée avec humour… et astuces pratiques !

“Connais-moi, échappe-moi”, un jeu d’évasion autour des données personnelles (DANE/CLEMI académie de Besançon) 

Escape game pour tout public (dès la classe de 4ème) qui vous propose de suivre les indices et traces physiques et numériques de votre kidnappeur. Celles-ci vous permettront de déverrouiller ses sacs, carnets et notes personnelles et de réussir à vous échapper.

Pour aller plus loin

35 questions/réponses pour comprendre et appliquer la nouvelle règlementation dans les établissements scolaires (CANOPE)

L’excellent “manuel” intitulé “Les données à caractère personnel”, proposé par CANOPE, sur la protection des données à caractère personnel à l’intention des chefs d’établissement, réalisé et diffusé par Réseau Canopé, a pour objectif de répondre aux principales questions auxquelles ils peuvent être confrontés au moment de la mise en oeuvre du Règlement général sur la protection des données (RGPD) et de l’application des nouvelles dispositions de la loi relative à l’informatique, aux fichiers et aux libertés modifiée le 6 août 2018 par la loi n° 2018-493 du 20 juin 2018, relative à la protection des données personnelles.

MOOC “L’atelier RGPD” (CNIL)

Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD. Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels.

“Democracy, la ruée vers les datas” (ARTE/EDUTHEQUE)

Le documentaire « Democracy, la ruée vers les datas » (Arte, 2016, 100 min) disponible via l’offre éduthèque, en version française et allemande, un reportage dans les couloirs de l’Union européenne sur l’élaboration d’une législation pour la protection des données personnelles, en lien avec la mise en place du Règlement général sur la protection des données.

Les données à caractère personnel (m@gistère)

Le coin des parents

La mallette des parents – “la protection des données personnelles des enfants” 

Ce site propose aux parents de nombreux repères et ressources pour accompagner leur(s) enfant(s) vers sa/leur réussite scolaire.