RGPD : enseignants, tous concernés !
Le Règlement général pour la protection des données, est un règlement européen applicable depuis le 25 mai 2018 dans toute l’Union Européenne. Ce texte vise à renforcer la protection des données à caractère personnel [1].
En tant qu’enseignant vous êtes donc confrontés à deux situations :
- Vous êtes usagers de services ou applications nécessitant des traitements de données à caractère personnel, le RGPD vous apporte des éléments renforçant la protection de vos données ;
- Vous êtes prescripteurs de services ou applications à destination de vos élèves ou collègues, vous devez signaler ces traitements de données s’ils impliquent des données à caractère personnel auprès du chef d’établissement pour les EPLE et de l’IEN de la circonscription pour les écoles. Ces traitements s’ils sont conformes au RGPD seront inscrits au registre de l’EPLE ou de l’académie pour les écoles.
Pour information, pour un EPLE, le responsable des traitements est le chef d’établissement. Pour une école, Monsieur le Recteur est responsable. Dans les deux cas de figure, les responsables de traitement s’appuient sur un conseiller qui est le délégué à la protection des données (DPD [2], ou DPO [3] en anglais).
Afin de vous accompagner à la fois pour faire respecter vos droits et vérifier que les services que vous mettez en œuvre pour vos élèves sont conformes, le ministère et Canopé ont créé un parcours de formation sur M@gistère et un guide :
- L’article "Adoptez des réflexes pour le choix des services en ligne" ;
- Le guide Canopé "COMPRENDRE ET APPLIQUER LES NOUVELLES RÉGLEMENTATIONS DANS LES ÉTABLISSEMENTS SCOLAIRES " ;
- Le parcours M@gistère "Les données à caractère personnel au cœur des établissements".
RGPD : une protection pour les usagers !
La loi informatique et liberté du 6 janvier 1978 et ses modifications apportaient déjà un cadre de protection aux usagers. Le RGPD renforce ce cadre en obligeant les responsables des traitements de données à plus de transparence et de respect de la vie privée.
L’usager est donc en droit de maîtriser ses données personnelles [4].
Quels sont les droits de tous les usagers ?
Au-delà des données à caractère personnel exploitées par ces traitements, l’usager doit rester vigilant et se poser la question :
Cela amène la notion de règles auxquelles doit se conformer un organisme mettant en œuvre ces traitements de données (voir les 8 règles d’or ci-dessous). La connaissance de tous ces éléments doit nous permettre d’utiliser ces services en conscience et confiance, avec le recul nécessaire.
Il est à noter que certains aménagements sont possibles selon des contextes définis par le règlement européen lui-même. Par exemple lorsqu’un traitement de données est utilisé de manière directe pour exécuter une obligation de service public, il ne peut y avoir d’utilisation du droit à la portabilité ou du droit à l’oubli (effacement). C’est le cas pour les données liées à l’inscription des élèves dans une école ou un EPLE par exemple.
RGPD : comment le respecter ?
Illustration de couleur dorée : chiffre 8 sur un socle, entouré d’une couronne de lauriers
Le RGPD encadre la collecte, l’utilisation et la conservation des données personnelles par 8 règles d’or (à parcourir ci-après) auxquelles tout organisme privé ou public doit se conformer. Ces règles constituent un gage juridique pour les responsables de traitements et un facteur de transparence et de confiance pour les usagers.
Il n’est pas demandé à l’enseignant de vérifier cela, mais d’être sensible à la conformité au RGPD du service ou de l’application qu’il souhaite utiliser avec ses élèves.
- la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; Ce consentement doit être positif, une action de la personne est nécessaire (pas de case pré cochée !) ;
- le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
- le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
- le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; C’est le cas pour la gestion des élèves, les évaluations et le cahier de textes au regard du code de l’éducation ;
- le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Dans le cadre des services utilisés par les élèves, deux conditions sont donc possibles, le consentement (attention, pour les mineurs, les responsables légaux doivent consentir aux traitements) et la mission d’intérêt public.
Les enseignants doivent consulter leur hiérarchie avent toute mise en œuvre de traitement de données. Tout traitement de données personnelles mise en œuvre sans l’accord de ladite hiérarchie fait peser une responsabilité.
RGPD : comment éduquer ?
Suite à l’application du RGPD, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été modifiée. Notamment la déclaration d’un âge légal pour consentir un traitement de données à caractère personnel :
Une précision, à partir de quinze ans, un mineur peut consentir uniquement à un traitement de données relatif à l’inscription à un service en ligne de type offre directe de service de la société de l’information. Pour tous les autres traitements, le mineur de 15 ans ou plus reste soumis à l’autorisation de ses responsables légaux ; tout au plus le mineur devra exprimer lui aussi son consentement mais ce dernier ne pourra prévaloir.
L’éducation à un usage citoyen, responsable et éthique des services numériques constitue une priorité d’action, tout particulièrement auprès des jeunes en âge de créer des comptes personnels.
La protection des données et de la vie privée constitue un volet clé de l’éducation au médias et à l’information. En ce sens, les personnels éducatifs ont un rôle essentiel à jouer dans cette éducation citoyenne au numérique.
Acquérir une connaissance et une compréhension critiques des droits et responsabilités, développer auprès des jeunes une démarche réflexive sur les usages qui sont faits des données personnelles, sensibiliser sur les risques et enseigner les pratiques permettant de se mouvoir dans l’environnement numérique avec confiance, lucidité et dans le respect des droits de chacun : tels sont en effet les objectifs de formation à atteindre. La CNIL en lien avec le ministère propose un référentiel de formation en ce sens.
RGPD : concrètement !
Pour bien commencer : se questionner !
Au delà de la nécessaire définition de ce qu’est une donnée personnelle, quatre aspects essentiels :
- la nature des données récoltées,
- la finalité du traitement,
- le consentement éclairé (Avant de demander l’autorisation de procéder à un traitement de données tout responsable de traitement doit toujours détailler les données qu’il compte utiliser, la finalité pour laquelle il veut les utiliser et comment il entend s’en servir),
- la minimisation du recueil de données au strict minimum utile.
Pour mieux comprendre : les CGU !
Une réflexion doit également être amorcée quant aux conditions générales d’utilisation des services les plus communs, non professionnels, qui sont utilisés. En effet, ces CGU ne sont pas toujours simple à comprendre pour les non-initiés. Voici quelques outils en lignes qui visent à aider les utilisateurs :
- Quelles sont les mentions obligatoires sur un site internet ?
- RGPD : exemples de mentions d’information (Cnil)
- RGPD en pratique : communiquer en ligne (Cnil)
- TOSDR : un site (en anglais) pour aider à mieux comprendre les CGU de quelques services
- Privacyspy : un site (en anglais) pour aider à mieux comprendre les CGU de quelques services
Une règle essentielle, avant d’utiliser un service avec vos élèves, rapprochez-vous de votre hiérarchie afin de vérifier ou faire vérifier sa conformité au RGPD.
Une proposition de méthodologie d’expertise
Pour aller plus loin
- La mallette d’accompagnement des chefs d’établissement
- Présentation du RGPD sur le site de la CNIL
- RGPD : comprendre
- Le MOOC de la CNIL
- Educnum
- 10 principes clés pour protéger les données de vos élèves
- La mallette des parents - La protection des données des enfants
Dans le cadre de la Continuité pédagogique, le groupe RGPD a rédigé un article et des fiches sur le choix des services en ligne dans le respect des données à caractère personnel des usagers.
En complément, dans le cadre de la continuité pédagogique, la CNIL publie des conseils.