Protégeons les données de nos élèves

RGPD : Enseignants, tous concernés !

Académie Sécurité numérique

Mis à jour le mercredi 26 octobre 2022

RGPD : enseignants, tous concernés !

Passer à l’action en 4 étapes - CNIL
étape 1 : constituer un registre de traitement des données étape 2 : faire le tri des données étape 3 : respecter le droit des personnes étape 4 : sécuriser les données

Le Règlement général pour la protection des données, est un règlement européen applicable depuis le 25 mai 2018 dans toute l’Union Européenne. Ce texte vise à renforcer la protection des données à caractère personnel [1].

En tant qu’enseignant vous êtes donc confrontés à deux situations :

  • Vous êtes usagers de services ou applications nécessitant des traitements de données à caractère personnel, le RGPD vous apporte des éléments renforçant la protection de vos données ;
  • Vous êtes prescripteurs de services ou applications à destination de vos élèves ou collègues, vous devez signaler ces traitements de données s’ils impliquent des données à caractère personnel auprès du chef d’établissement pour les EPLE et de l’IEN de la circonscription pour les écoles. Ces traitements s’ils sont conformes au RGPD seront inscrits au registre de l’EPLE ou de l’académie pour les écoles.

Pour information, pour un EPLE, le responsable des traitements est le chef d’établissement. Pour une école, Monsieur le Recteur est responsable. Dans les deux cas de figure, les responsables de traitement s’appuient sur un conseiller qui est le délégué à la protection des données (DPD [2], ou DPO [3] en anglais).

Afin de vous accompagner à la fois pour faire respecter vos droits et vérifier que les services que vous mettez en œuvre pour vos élèves sont conformes, le ministère et Canopé ont créé un parcours de formation sur M@gistère et un guide :

RGPD : une protection pour les usagers !

La loi informatique et liberté du 6 janvier 1978 et ses modifications apportaient déjà un cadre de protection aux usagers. Le RGPD renforce ce cadre en obligeant les responsables des traitements de données à plus de transparence et de respect de la vie privée.
L’usager est donc en droit de maîtriser ses données personnelles [4].

Quels sont les droits de tous les usagers ?

Un organisme qui collecte des informations sur vous doit vous fournir une information claire sur l’utilisation de vos données et sur l’exercice de vos droits !

Refuser l’utilisation de vos données. Vous pouvez vous opposer à tout moment à ce qu’un organisme utilise certaines de vos données. Attention, ce droit possède des limites, notamment dans le cas de traitements nécessaires à une mission de service public.

Connaître les données qu’un organisme détient sur vous. Vous pouvez demander à un organisme s’il détient des données sur vous (site web, magasin, banque...) et demander à ce que l’on vous les communique pour en vérifier le contenu.

Corriger vos informations. Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant. Il permet d’éviter qu’un organisme n’utilise ou ne diffuse des informations erronées sur vous.

Le déréférencement d’un contenu dans un moteur de recherche. Vous pouvez demander aux moteurs de recherche de ne plus associer un contenu qui vous porte préjudice à votre nom et prénom.

Supprimer vos données en ligne. Vous avez le droit de demander à un organisme l’effacement de données à caractère personnel vous concernant.

Obtenir et réutiliser une copie de vos données. Le droit à la portabilité vous offre la possibilité de récupérer une partie de vos données dans un format lisible par une machine. Libre à vous de stocker ailleurs ces données portables ou les transmettre facilement d’un système à un autre, en vue d’une réutilisation à d’autres fins.

La collecte et l’analyse de l’activité des personnes permettent de construire des profils pour mieux cerner votre personnalité, vos habitudes d’achat ou vos comportements. Parfois, des décisions sont prises automatiquement à partir de ce profilage, sans l’intervention d’un humain.

Au-delà des données à caractère personnel exploitées par ces traitements, l’usager doit rester vigilant et se poser la question :

Est-ce que ces données personnelles sont nécessaires au bon fonctionnement de ce service ? Par exemple, est-ce que mon adresse mail personnelle est utile pour valider mon inscription si je ne veux pas recevoir d’offres promotionnelles ?

Cela amène la notion de règles auxquelles doit se conformer un organisme mettant en œuvre ces traitements de données (voir les 8 règles d’or ci-dessous). La connaissance de tous ces éléments doit nous permettre d’utiliser ces services en conscience et confiance, avec le recul nécessaire.

Il est à noter que certains aménagements sont possibles selon des contextes définis par le règlement européen lui-même. Par exemple lorsqu’un traitement de données est utilisé de manière directe pour exécuter une obligation de service public, il ne peut y avoir d’utilisation du droit à la portabilité ou du droit à l’oubli (effacement). C’est le cas pour les données liées à l’inscription des élèves dans une école ou un EPLE par exemple.

RGPD : comment le respecter ?

Illustration
8 règles d’or

Illustration de couleur dorée : chiffre 8 sur un socle, entouré d’une couronne de lauriers

Le RGPD encadre la collecte, l’utilisation et la conservation des données personnelles par 8 règles d’or (à parcourir ci-après) auxquelles tout organisme privé ou public doit se conformer. Ces règles constituent un gage juridique pour les responsables de traitements et un facteur de transparence et de confiance pour les usagers.
Il n’est pas demandé à l’enseignant de vérifier cela, mais d’être sensible à la conformité au RGPD du service ou de l’application qu’il souhaite utiliser avec ses élèves.

Le traitement est licite s’il remplit une des conditions suivantes :
  • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; Ce consentement doit être positif, une action de la personne est nécessaire (pas de case pré cochée !) ;
  • le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; C’est le cas pour la gestion des élèves, les évaluations et le cahier de textes au regard du code de l’éducation ;
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
    Dans le cadre des services utilisés par les élèves, deux conditions sont donc possibles, le consentement (attention, pour les mineurs, les responsables légaux doivent consentir aux traitements) et la mission d’intérêt public.

Les données personnelles collectées ne peuvent être traitées que pour une finalité définie précisément et légitime.

Seules les données nécessaires pour atteindre la finalité peuvent être collectées et traitées

Les données sensibles ne peuvent être collectées et traitées que dans certaines conditions

Les données doivent être archivées, supprimées ou anonymisées dès que la finalité pour laquelle elles ont été collectées est atteinte.

Au regard des risques, des mesures doivent être mises en œuvre pour s’assurer de la sécurité des données traitées.

Les personnes doivent être informées de l’utilisation des données les concernant et de la manière d’exercer leurs droits.

Les personnes bénéficient de nombreux droits qui leur permettent de garder la maîtrise de leurs données.

Les enseignants doivent consulter leur hiérarchie avent toute mise en œuvre de traitement de données. Tout traitement de données personnelles mise en œuvre sans l’accord de ladite hiérarchie fait peser une responsabilité.

RGPD : comment éduquer ?

Suite à l’application du RGPD, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été modifiée. Notamment la déclaration d’un âge légal pour consentir un traitement de données à caractère personnel :

En application du 1 de l’article 8 du règlement (UE) 2016/679 du 27 avril 2016, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans.
Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.
Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne.

Une précision, à partir de quinze ans, un mineur peut consentir uniquement à un traitement de données relatif à l’inscription à un service en ligne de type offre directe de service de la société de l’information. Pour tous les autres traitements, le mineur de 15 ans ou plus reste soumis à l’autorisation de ses responsables légaux ; tout au plus le mineur devra exprimer lui aussi son consentement mais ce dernier ne pourra prévaloir.

L’éducation à un usage citoyen, responsable et éthique des services numériques constitue une priorité d’action, tout particulièrement auprès des jeunes en âge de créer des comptes personnels.
La protection des données et de la vie privée constitue un volet clé de l’éducation au médias et à l’information. En ce sens, les personnels éducatifs ont un rôle essentiel à jouer dans cette éducation citoyenne au numérique.
Acquérir une connaissance et une compréhension critiques des droits et responsabilités, développer auprès des jeunes une démarche réflexive sur les usages qui sont faits des données personnelles, sensibiliser sur les risques et enseigner les pratiques permettant de se mouvoir dans l’environnement numérique avec confiance, lucidité et dans le respect des droits de chacun : tels sont en effet les objectifs de formation à atteindre. La CNIL en lien avec le ministère propose un référentiel de formation en ce sens.

RGPD : concrètement !

Pour bien commencer : se questionner !

Au delà de la nécessaire définition de ce qu’est une donnée personnelle, quatre aspects essentiels :

  • la nature des données récoltées,
  • la finalité du traitement,
  • le consentement éclairé (Avant de demander l’autorisation de procéder à un traitement de données tout responsable de traitement doit toujours détailler les données qu’il compte utiliser, la finalité pour laquelle il veut les utiliser et comment il entend s’en servir),
  • la minimisation du recueil de données au strict minimum utile.

Pour mieux comprendre : les CGU !

Une réflexion doit également être amorcée quant aux conditions générales d’utilisation des services les plus communs, non professionnels, qui sont utilisés. En effet, ces CGU ne sont pas toujours simple à comprendre pour les non-initiés. Voici quelques outils en lignes qui visent à aider les utilisateurs :

Une règle essentielle, avant d’utiliser un service avec vos élèves, rapprochez-vous de votre hiérarchie afin de vérifier ou faire vérifier sa conformité au RGPD.

Une proposition de méthodologie d’expertise

Fiche de bons réflexes

Fiche réflexe - Personnel de la communauté éducative

Situation : j’envisage de collecter des informations
1. Pas de données à caractère personnel : avoir uniquement des exigences en matière de sécurité numérique
2. Données à caractère personnel : mise en place de la chaine des bons réflexes.

La chaine de bon réflexes :
1. Je consulte le chef d’établissement qui demande une analyse par le DPO académique
2. En cas de refus de celui-ci, je cherche une autre alternative conforme au RGPD
3. Si le traitement est autorisé, je réalise une inscription au registre d’activité de l’établissement
4. J’informe les utilisateurs de ce traitement
5. J’efface les données à caractère personnel à la fin du traitement

Pour aller plus loin

Dans le cadre de la Continuité pédagogique, le groupe RGPD a rédigé un article et des fiches sur le choix des services en ligne dans le respect des données à caractère personnel des usagers.

En complément, dans le cadre de la continuité pédagogique, la CNIL publie des conseils.

Portfolio

Les données personnelles ?

[1Qu’est-ce qu’une donnée à caractère personnel ?

Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Ces données peuvent être issues de différents supports, papier,  fichier informatique, photo, enregistrement audio ou vidéo …
Les données directement identifiantes sont par exemple, le nom, le prénom, le mail nominatif, une photo …
Les données indirectement identifiantes sont par exemple un numéro d'enregistrement d'une fiche nominative, un numéro de téléphone … Toutes données qui par croisement avec une autre base peuvent identifier une personne.
Une troisième catégorie étant les combinaisons d'informations qui peuvent permettre d'identifier une personne.]] des personnes physiques et responsabilise les acteurs qui collectent, traitent, analysent, stockent les informations.
{Définition donnée par le RGPD, article 4}

[2DPD : Délégué à la Protection des Données

[3DPO : data protection officer

Dans la même rubrique

Article rédigé par Fabrice Lemoine, Caroline Pras-Pesce