Le règlement général sur la protection des données (RGPD) est en vigueur depuis 2018. Il a vocation à s’appliquer à l’ensemble des acteurs présents en Europe et en dehors dès lors que sont en cause les données personnelles des européens.
Le RGPD s’applique indistinctement à tout type d’organisme : entreprises, auto-entrepreneurs, établissements publics y compris l’ensemble des établissements de l’éducation nationale. Le RGPD s’applique également dès lors qu’il est question de données personnelles, c’est-à-dire toutes les informations directes ou indirectes relatives à toutes personnes physiques identifiables. Cette définition inclut toutes les données relatives à une personne mineure pour lesquelles le RGPD prévoit une protection renforcée.
Dès lors, une attention particulière doit être portée à la protection des données personnelles des élèves, mais également des enseignants et des parents d’élèves.
Et le sujet d’autant plus important que les établissements scolaires utilisent de plus en plus d’outils informatiques, et en particulier depuis la crise du covid-19 qui a conduit beaucoup d’établissements à se munir d’outils technologiques pour assurer la continuité de l’enseignement à distance.
Pour toutes ces raisons, les directeurs d’établissements et personnels chargés de l’enseignement doivent redoubler de vigilance. Voici quelques clés 🔑
RGPD et éducation nationale : quels établissements sont concernés ?
L’ensemble des organismes collectant de la donnée sont concernés par le RGPD. Cela inclut l’ensemble des administrations, y compris l’éducation nationale.
Lorsqu’on parle d’éducation nationale, il convient de préciser que les établissements qui en dépendent sont les suivants : écoles maternelles, écoles élémentaires (primaire), collèges et lycées (secondaire).
Sont donc exclus de cette catégorie l’enseignement supérieur et les crèches qui n’en sont pas moins soumis au RGPD, mais dépendent d’un autre ministère et rencontrent des problématiques différentes liées à l’âge des élèves.
RGPD et éducation nationale : quelles données protéger ?
On entend par données personnelles, toutes les informations qui permettent d’identifier directement ou indirectement une personne physique. Il peut s’agir d’un nom, d’un pseudonyme, d’une adresse électronique ou physique, d’un numéro de carte de crédit ou de sécurité sociale, d’un historique de navigation web, d’une photographie, de données de géolocalisation ou encore d’un avatar.
Appliqué à l’éducation nationale, il peut s’agir des informations du formulaire de contact dans lequel les parents doivent fournir un certain nombre d’informations concernant leurs situations professionnelles, leurs coordonnées etc.
Beaucoup d’informations sont naturellement relatives aux élèves : notes obtenues, absences, retards des élèves, emploi du temps, cahiers de textes, informations de contact, dossiers disciplinaires etc. De plus, beaucoup d’établissements scolaires utilisent l’outil Pronote qui est un logiciel de gestion de la vie scolaire. Dans ce logiciel circulent toutes les informations sur le résultat des élèves, leurs emplois du temps, leurs devoirs, leurs absences etc.
L’ensemble de ces informations doivent être protégées au regard de la protection des données personnelles.
RGPD et éducation nationale : qui est le chef d’orchestre ?
Le responsable de traitement
L’article 4 du RGPD prévoit que le responsable du traitement des données est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Concrètement, c’est la personne qui décide quelles données sont collectées, comment, pourquoi, pour en faire quoi et combien de temps. C’est celui qui a le pouvoir de donner des instructions sur la manipulation des données. Et un grand pouvoir implique une grande responsabilité. La question est donc importante.
Dans l’éducation nationale, le responsable de traitement est désigné par la loi :
- Pour les collèges, lycées et établissements privés sous contrat : c’est le chef de l’établissement.
- Pour les écoles maternelles et élémentaires : c’est le DASEN (directeur académique des services de l’Education nationale) car le directeur de l’école n’a pas la personnalité morale.
On estime aujourd’hui que plus de 11400 personnes au sein du ministère de l’éducation nationale sont responsables des données personnelles. C’est à eux à qui revient la charge de déterminer les finalités et les modalités de traitement des données personnelles.
C’est la personne qui est responsable de la protection des données personnelles et de la conformité de l’organisme au RGPD.
Le délégué à la protection des données personnelles (DPO)
En vertu de l’article 37 du RGPD, les établissements publics ont l’obligation de désigner un délégué à la protection des données personnelles (DPO). C’est la personne qui veille à la conformité au RGPD. Un DPO est présent dans chaque académie.
Attention, le DPO n’est pas responsable de la protection des données personnelles, cette charge incombe au responsable de traitement. Le DPO a pour rôle d'assister le responsable de traitement dans cette tâche notamment par ses recommandations.
Plus largement, le DPO a pour mission de veiller à tous les aspects de la conformité :
Assurer la tenue du registre de traitement de données personnelles
C’est le document central dans la conformité RGPD. Le registre de traitements est un document qui décrit la manière dont sont effectués les traitements, c'est-à-dire l'utilisation des données personnelles.
Par exemple, concernant les informations relatives à la notation des élèves, un traitement doit renseigner les éléments suivants :
- Noms et coordonnées du responsable de traitement et DPO,
- Nom du traitement. Par exemple “notation des élèves de terminale S”.
- Finalité, c'est-à-dire l’objectif de la collecte de ces données. Par exemple : assurer le contrôle continu pour le baccalauréat.
- Base légale, c'est-à-dire le fondement juridique qui autorise le traitement de cette donnée : consentement, l’obligation légale, l’exécution d’un contrat, l’intérêt public (souvent réservé à des administrations), l’intérêt légitime (souvent réservé à des entreprises), et la sauvegarde de l'intérêt vital. Par exemple : dans notre cas, le relevé de note est imposé par la loi pour la note finale au baccalauréat. Donc la base légale est “obligation légale”.
- Durée de conservation des données. Par exemple : dans notre exemple, la loi elle-même peut imposer une assez longue durée de conservation des notes de terminale dans l’hypothèse d’une contestation des résultats obtenus au baccalauréat.
- Les personnes ayant accès à ces données (enseignants etc.)
- Et enfin, une description de la manière dont sont sécurisées les données.
Ce dernier élément concernant la sécurité des données est très important, notamment si les données sont transférées à un sous-traitant comme un logiciel (par exemple Pronote). Mais nous y reviendrons car il s’agit du sujet des sous-traitants de l’éducation nationale.
Veiller au respect du cadre légal de la conformité RGPD
Le DPO doit être consulté avant tout nouveau traitement de données personnelles envisagé par le responsable de traitement afin de délivrer ses avis et recommandations. Il vérifie la légalité de chaque traitement et la manière dont elles sont sécurisées.
Être l’interlocuteur privilégié
Le DPO est la personne à contacter si vous souhaitez être informé sur l’utilisation des données personnelles, obtenir une copie, demander leur modification ou même leur suppression.
Il est également chargé d'interagir avec les autorités contrôle, en l'occurrence la CNIL. Par exemple, si les systèmes informatiques d’un établissement scolaire sont piratés, l’ensemble des données personnelles est danger, le DPO est tenu d’en informer la CNIL dans les 72 heures, ainsi que les personnes à qui appartiennent ces données.
Présenter un rapport annuel au recteur
Le DPO est tenu de présenter annuellement un rapport au recteur décrivant les différentes actions qu’il a menées au cours de l’année écoulée.
RGPD et éducation nationale : soyez vigilant dans le choix de vos sous-traitants
Le sous-traitant est la personne ou l’organisme qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement.
En pratique, le sous-traitant est un prestataire de service. Il peut s’agir d’un outil informatique utilisé ou par exemple d’une entreprise chargée de composer les menus de la cantine scolaire.
Le responsable de traitement, en passant par un sous-traitant, lui transfère un ensemble de données personnelles. Par exemple, l’outil Pronote est le sous-traitant de beaucoup d'établissements de l’éducation nationale. Ce logiciel informatique est le lieu de beaucoup de transfert de données personnelles : notes obtenues, absences, retards des élèves, emploi du temps, cahiers de textes, informations de contact du personnel enseignant, parents, élèves etc.
Pour cette raison, le RGPD impose aux sous-traitants les mêmes obligations que le responsable de traitement en matière de protection des données personnelles.
Mais comme nous l’avons déjà précisé, le responsable de traitement reste la personne responsable de la protection des données personnelles. C’est donc à lui, avant de faire appel aux services d’un sous-traitant, de s’assurer qu’il peut valablement protéger ces données.
Comme tout autre acteur public, la conformité au RGPD est un élément à prendre en compte pour l’attribution d’un marché public. Des clauses spécifiques au RGPD doivent être intégrées dans le cahier des charges et, à terme, dans le contrat public.
Ces clauses spécifiques doivent respecter plusieurs éléments listés à l’article 28 RGPD :
- Les rapports entre les parties
- Leurs obligations respectives à l’égard de la protection des données personnelles.
- L’objet, la durée, la nature et la finalité du traitement
- Les catégories de données à caractère personnel et les catégories de personnes concernées.
- La manière dont sont gérés les exercices de droits.
- Surtout, la manière dont sont sécurisées les données.
Toute opération de traitement non prévue dans le contrat devra faire l’objet d’un avenant au contrat.
L’élément important à vérifier est la manière dont sont hébergées les données par le sous-traitant.
Par exemple, dans le cas de Pronote, il s’agit d’un organisme français dont les données sont hébergées en France. Sans avoir accès aux contrats que Pronote signe avec les établissements, il existe de bonnes chances pour que l’outil puisse assurer une protection des données personnelles dans la mesure où l’organisme est français et donc également soumise au RGPD.
Mais si un établissement scolaire décidait de passer par un outil comme Microsoft Teams pour assurer des cours à distance. Il s’agit d’un prestataire américain. Et même si les serveurs sont hébergés en France, il existe un risque important. En effet, le droit américain prévoit que les autorités américaines peuvent avoir accès aux données des entreprises US, peu importe où elles sont localisées. Et ça, ce n’est pas conforme au RGPD. La CNIL a eu l’occasion de le rappeler à de nombreuses reprises.
Par conséquent, soyez vigilant lors de l’utilisation d’outil américain car des transferts de données sont opérés vers les Etats-Unis ce qui met en danger les données personnelles et votre conformité RGPD. Vérifiez le contrat, la nature de l’entreprise et si le prestataire peut assurer une protection des données personnelles d’une manière suffisante.
RGPD et éducation nationale : quels sont les droits des personnes ?
L’un des piliers du RGPD est d’accorder des droits aux personnes dont les données sont collectées et utilisées. L’article 13 du RGPD en prévoit plusieurs :
- le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
- le droit de rectification permet la modification et la correction des données personnelles ;
- le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
- le droit à l’effacement permet d’obtenir l’effacement de ses données ;
- le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
- le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
Or dans le cas de l’éducation nationale il y a une subtilité : certains de ces droits sont fortement limités.
En effet, une grande majorité des données collectées par l’Etat et ses démembrements le sont en vertu de la loi ou pour l’exercice d’un service public. Et ce sont deux hypothèses dans lesquelles le responsable de traitement peut refuser la suppression des données personnelles car il existe un intérêt plus grand en balance : l'intérêt public ou une obligation légale.
Prenons le cas d’un élève qui change d’établissement scolaire. L’élève, ou le parent d’élève souhaite que son dossier scolaire (notation, appréciations, mesures disciplinaires etc.) soit détruit au profit d’un dossier vierge afin de garantir l’intégration dans le nouvel établissement. Dans cette hypothèse, le responsable de traitement (chef d’établissement) peut refuser une telle demande dans la mesure où il est tenu de garder une trace de ces éléments dans un dossier. Il ne peut ni supprimer ces éléments ni les modifier. Ce refus est motivé par la base légale du traitement : obligation légale ou intérêt public.
En revanche, l’élève ou le parent d’élève peut tout à fait demander une copie de ces éléments (droit à la portabilité) ou une information sur le contenu du dossier (droit d’accès).
RGPD et éducation nationale : une particularité liée à des données sur des mineurs
Le sujet de la protection des données personnelles dans l’éducation nationale appelle un autre sujet : celui de la protection des données de mineurs, notamment de moins de 15 ans.
En effet, l’un des objectifs initiaux du RGPD était de d’accorder une protection renforcée aux données personnelles des mineurs, notamment sur internet et les réseaux sociaux. La règle est que pour les mineurs de moins de 15 ans, le consentement ne peut être exprimé que par les parents.
Appliqué à notre cas, cela signifie que le responsable de traitement doit obtenir le consentement des parents pour traiter certaines données relatives à un élève de moins de 15 ans. Au-delà, on estime que le mineur est suffisamment mature pour donner librement son consentement.
Comme nous l’avons déjà vu, dans la majorité des cas, le responsable de traitement est tenu par la loi de récolter certaines données, ou pour l’exercice de sa mission de service public. Dans ces cas, il n’a pas besoin de recueillir le consentement des personnes.
Mais en ce qui concerne d’autres cas, le consentement est obligatoire.
Par exemple, concernant certaines activités pédagogiques utilisant des services web, le consentement des parents d’un enfant de moins de 15 ans doit être récolté.
Prenons un autre exemple : celui des données biométriques dans les cantines scolaires. Certains établissements scolaires ont mis en place un dispositif de reconnaissance biométrique pour l’accès par des élèves aux cantines scolaires. Concrètement, ce dispositif permet de scanner l’image de la main d’un élève pour accéder à la cantine.
💡Pour rappel, les données biométriques sont les données à caractère personnel résultant d’une caractéristique spécifique d’une personne qui permet de l’identifier. Par exemple, une image d’un visage sur un passeport.
Ce sont des données sensibles au sens de l’article 9 RGPD. C'est-à-dire qu’elles sont interdites de traitements sauf exceptions. Parmi ces exceptions il y a le consentement.
Mais comme nous l’avons vu, le consentement doit être recueilli d’une certaine manière en ce qui concerne les mineurs : les parents doivent donner leurs consentements.
Et parce qu’il s’agit de données sensibles, la CNIL a rappelé plusieurs éléments à propos de ce système :
- Les personnes concernées doivent être préalablement informées.
- Le responsable de traitement doit obtenir un consentement explicite (par les parents ou enfants de plus de 15 ans)
- Le responsable de traitement doit assurer une sécurité particulière de ces données (vérifier le sous-traitant etc.)
- Les personnes concernées peuvent retirer leurs consentements à tout moment et demander la suppression de ces données.
La CNIL a rappelé ces éléments dans un article détaillé. Par conséquent, soyez vigilant dans la manipulation de ces données, particulièrement en ce qui concerne des données sensibles sur des mineurs.