Le Règlement Général sur la Protection des Données (RGPD)

Mis à jour le lundi 19 février 2024 , par Guillaume Allemann

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018, est le nouveau cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à caractère personnel. Il a pour objectifs de :

  • Donner aux citoyens de l’Union Européenne plus de visibilité et de contrôle sur leurs données à caractère personnel ;
  • Permettre à « l’administration » de maîtriser le cycle de vie des données et de pouvoir les transmettre sur simple demande.
  • Le RGPD concerne les entreprises, les associations, les collectivités locales et toutes les entités du service public. Les services de l’éducation nationale ainsi que les écoles, collèges et lycées, les universités… doivent l’appliquer.

Le RGPD simplifie les démarches et responsabilise tous les acteurs : les déclarations auprès de la CNIL disparaissent et sont remplacées par l’obligation de documenter sa conformité (la CNIL conserve toutefois un droit de contrôle sur le respect de cette procédure et sur l’application de la loi).

Les écoles, les collèges et les lycées doivent être capables de garantir et de prouver que leurs traitements de données à caractère personnel sont conformes et sécurisés.

La loi du 14 mai 2018 et la Loi n° 2018-493 du 20 juin 2018 relatives à la protection des données personnelles, modifient la loi Informatique et libertés du 6 janvier 1978, et complètent le RGPD.

Qu’est-ce qu’un traitement de données à caractère personnel ?

Un traitement est une opération ou un ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Qu’est-ce qu’une donnée à caractère personnel ?

Est considérée comme « donnée à caractère personnel » toute information permettant de faire le lien directement ou indirectement avec une personne physique. Le texte ne précise pas le type de support (numérique ou papier) :

"Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de naissance, mais aussi un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse IP, un historique de navigation, une géolocalisation, une photographie, un avatar…"

Comment s’applique le RGPD selon les différents types de données à caractère personnel ?

Tout traitement de données concernant les élèves (résultats scolaires, professions des parents, revenus du foyer, pays de naissance, vaccinations, allergies si elles sont conséquentes en milieu scolaire…), parents ou personnels, doit dorénavant être inscrit sur un registre interne à l’école ou à l’établissement, et maintenu à jour.

La Loi Informatique et libertés du 6 janvier 1978 est ainsi modifiée, dans son article 8, par les lois du 14 mai 2018 et du 20 juin 2018 :

« Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Ainsi les démarches déclaratives auprès de la CNIL restent obligatoires pour le traitement de données dites sensibles, comme par exemple les données biométriques (empreintes digitales pour le passage à la cantine) et les vidéos captées par des caméras dans l’enceinte de l’établissement. Sont également sensibles : l’appartenance syndicale d’un enseignant ou d’un parent à une association (quand elle n’est pas publique), le régime alimentaire s’il révèle une religion (halal, casher…), la nature d’un handicap, d’une déficience ou d’une affection, un justificatif d’absence à caractère religieux (ramadan…).

Qu’en est-il des statistiques
Le secret statistique est également régi par l’obligation de conformité aux règles encadrant les traitements de données à caractère personnel (Secret statistique et protection des données – INSEE 2017). Il est interdit de publier des données qui permettraient une identification indirecte d’une personne ou même, sans pouvoir l’identifier, d’obtenir une information à son sujet.

Quels sont les droits des membres de la communauté scolaire ?

  • Droit d’information : Toute personne a le droit de connaitre les données collectées (qui la concernent) et la finalité de leur traitement.
  • Consentement / Droit d’opposition : Toute personne a le droit de s’opposer au traitement de ses données à caractère personnel, ou de retirer son consentement à tout moment, pour des motifs légitimes, sauf si le traitement répond à une obligation d’intérêt public (éducation, santé…).
  • Droit de rectification : Toute personne peut demander à corriger certaines informations la concernant.
  • Protection des mineurs de moins de 15 ans : Lorsque le mineur est âgé de moins de 15 ans, le consentement au traitement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale, pour les traitements réalisés sur un(des) service(s) de la société de l’information (réseaux sociaux, Drives, blog, site Web…). Ce double consentement est exigé par la Loi « Informatique et libertés » du 14 mai 2018

La majorité numérique en France
La loi « Informatique et liberté » du 14 mai 2018 fixe l’âge de la majorité numérique à 15 ans en France : Un mineur peut consentir seul à un traitement de données à caractère personnel, à compter de l’âge de quinze ans. Il peut alors retirer son accord et demander l’effacement de ses données, sauf pour un traitement d’intérêt public (éducation, santé…).

  • Droit d’accès : Toute personne peut accéder à l’ensemble des informations la concernant, et en obtenir une copie. Le responsable de traitement est tenu de répondre à cette demande dans un délai de deux mois.
  • Portabilité : Les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituées sous forme structurée, exportables et importables sur un service analogue. Ce droit ne s’applique pas au traitement nécessaire à une mission d’intérêt public (éducation, santé) ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement (traitement mis en œuvre par le ministère, un service académique, ou bien le chef d’établissement ou le DASEN dans l’exercice de leur fonction).
  • Réparation du préjudice : Toute personne ayant subi des dommages matériels ou moraux du fait d’un traitement de données inadapté pourra demander réparation. Une association de protection des données, ou bien un groupe de parents, pourra entamer un recours collectif.
  • Droit à l’oubli : Dès lors qu’une personne estime qu’une information affichée sur une plateforme ou par un moteur de recherche porte atteinte à sa réputation ou à sa vie privée, il peut demander à ce que cette information soit effacée de la plateforme ou des résultats du moteur de recherche (déréférencement).

Quelles sont les obligations à respecter dans le traitement des données à caractère personnel ?

Les traitements des données à caractère personnel doivent respecter les règles suivantes :

  • Transparence : Le responsable de traitement doit informer, en des termes clairs et simples, aisément compréhensibles par les personnes concernées, de l’utilisation de leurs données à caractère personnel.
  • Licéité : Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes :
  • La personne concernée, ou l’élève mineur (moins de 15 ans) et son responsable parental, a /ont consenti au traitement des données pour la(les) finalité(s) indiquée(s) ;
  • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (éducation, santé…).
  • Consentement : Avant de procéder au recueil de données à caractère personnel, le responsable de traitement doit obtenir le consentement des personnes concernées. La preuve du consentement doit être matérialisée. Toutefois dans le cadre d’une mission d’intérêt public (éducation, santé…), le consentement parental n’est pas requis pour pouvoir collecter, traiter et conserver les données des élèves, dès lors que l’application utilisée est conforme au RGPD. Ainsi, si le traitement est mis en œuvre par le ministère, un service académique, ou bien le chef d’établissement ou le DASEN dans l’exercice de leur fonction, ce consentement n’est pas nécessaire sur les outils de gestion de la vie scolaire, sur le réseau pédagogique de l’école ou de l’établissement, sur l’ENT et ses différentes fonctionnalités (forums, groupes collaboratifs…).

L’offre directe de services de la société de l’information pour les mineurs de moins de 15 ans : La nécessité du « double consentement conjoint »
En ce qui concerne les traitements effectués sur un(des) service(s) de la société de l’information, la Loi Informatique et libertés du 14 mai 2018 exige :

  • le consentement explicite des élèves de plus de 15 ans.
  • le « double consentement conjoint » (élève – parents) pour les élèves de moins de 15 ans.
    Les activités pédagogiques doivent respecter ce consentement ou double consentement si elles conduisent à un traitement de données à caractère personnel sur des réseaux sociaux, des Drives, blogs, sites Web, Webjournal, Webtélé, Webradio…
  • Limitation des finalités : Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites, légitimes.
  • Minimisation des données : Seules peuvent être collectées les données adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des missions de l’établissement pour lesquelles elles sont traitées.
  • Sécurité et confidentialité : Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident. Les serveurs doivent être protégés en lieu sûr, répliqués, et visibles seulement des personnes habilitées.
  • Durée de conservation : Une durée maximale de conservation des données doit être définie. Cette durée varie selon les différents objectifs (en base active) et les éventuelles obligations légales de conservation. Une fois que l’objectif poursuivi par la collecte des données est atteint, celles-ci doivent être supprimées sur toute la chaîne de sauvegarde, ou bien archivées (en archivage administratif ou définitif), selon les règles les concernant.

Des questions à se poser

  • Jusqu’à quand ai-je besoin de données à caractère personnel pour atteindre l’objectif fixé ?
  • Ai-je des obligations légales de conservation de ces données pendant un certain temps ?
  • Dois-je conserver certaines données à caractère personnel en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
  • Jusqu’à quand puis-je faire valoir ce recours en justice ?
  • Quelles sont les règles de suppression et/ou d’archivage (durée) de ces données à caractère personnel ?

Qui est le responsable de traitement des données ?
Le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Il s’agit de la personne qui détermine la réponse aux questions suivantes : A quoi va servir le traitement ? Comment l’objectif fixé sera atteint ?

Pour les applications nationales et académiques, le responsable de traitement est :

  • Au niveau ministériel : le ministre (directeurs par délégation).
  • Au niveau académique : le recteur, ou les chefs de service rectoraux et DASEN par délégation.
  • Au niveau d’un EPLE : le chef d’établissement.
  • Au niveau d’une école primaire : le DASEN (ni les directeurs d’école, ni les IEN n’ont le statut de personne morale).
  • Pour l’enseignement privé sous contrat avec l’état : le directeur de l’établissement.

Les traitements effectués par les enseignants
Tous les traitements réalisés sur les outils de l’école, du collège ou du lycée – ou fournis par l’établissement - (ordinateur, clé USB, ENT…), ou/et partagés dans le cadre du travail, doivent figurer sur le registre de l’établissement.

Les professeurs ne peuvent se retrancher derrière leur liberté pédagogique et doivent être transparent à l’égard du responsable des traitements de l’établissement :

Certains outils utilisés par les enseignants, dans le cadre de leur liberté pédagogique, peuvent conduire à un traitement de données personnelles de leurs élèves (adresses internet utilisées pour s’inscrire à certains services…) à reporter sur le registre de l’école ou de l’établissement. De même, un professeur qui transmet à une plateforme de travail collaboratif (de type Pad hors ENT par exemple) ou par un système de communication (Skype, MSN, Hangout…) des données d’élèves, doit en informer le responsable des traitements pour renseigner le registre. Des listes de notes ou de compétences et des données récoltées auprès de parents, stockées sur un support, même personnel, constituent également un traitement à répertorier, de manière générique, dans le registre.

Les risques en cas de manquement éventuel au RGPD
Le responsable du traitement peut encourir un risque de sanction (CNIL, administrative ou pénale) en cas de non-respect du RGPD (formalités préalables…).

Les amendes ne sont pas applicables aux traitements mis en œuvre par l’État et ses services déconcentrés, ou par les chefs d’établissement et DASEN lorsqu’ils mettent en œuvre un traitement au nom de l’État ou en qualité de représentant de l’État. La CNIL n’a pas tranché, en cas de traitement au nom de l’EPLE ou de l’école, mais les chefs d’établissements et DASEN seront protégés.

Le chef d’établissement ne peut être tenu pour responsable d’un défaut de protection des données dans un traitement personnel effectué par un enseignant, s’il n’en avait pas connaissance.

Que faire en cas de violation de données à caractère personnel ?
La violation de données à caractère personnel doit être communiquée par le responsable de traitement : -

  • à l’autorité de contrôle, la CNIL, dans un délai de 72 heures (week-end compris) après en avoir pris connaissance. Si ce délai est dépassé avec un risque pour les droits et libertés des personnes, la notification doit être accompagnée des motifs du retard.
  • à chaque personne concernée dans les meilleurs délais.
    Le responsable de traitement coopère alors avec les représentants de la CNIL, à la demande de celle-ci.

Quelles sont les précautions à prendre en cas de sous-traitance ?

Lorsque le responsable du traitement fait appel à des sous-traitants ou des prestataires, il doit s’assurer que ces derniers présentent des garanties suffisantes de mise en œuvre des mesures techniques et organisationnelles appropriées, de manière à ce que chaque traitement réponde aux exigences du RGPD.

« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. » Le contrat, ou l’autre acte juridique, se présente sous une forme écrite, y compris en format électronique. L’application, par un sous-traitant ou d’un prestataire, d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir d’élément pour démontrer l’existence des garanties suffisantes.

« Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données sont imposées à cet autre sous-traitant. Lorsque ce dernier ne remplit pas ses obligations, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations ».

Les sous-traitants proposant des logiciels de vie scolaire possèdent souvent eux-mêmes des sous-traitants (hébergement des données…). Le responsable de traitement a intérêt de demander au sous-traitant la cartographie de la circulation des données.

Quel est le contenu du contrat ou d’un autre acte juridique avec le sous-traitant ou le prestataire ?
Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant ou le prestataire :

  • ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
  • veille à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une obligation de confidentialité ;
  • prend toutes les mesures requises en matière de sécurité du traitement des données ;
  • respecte les conditions requises pour recruter un autre sous-traitant ;
  • aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes éventuelles des personnes concernées ;
  • aide le responsable du traitement à garantir la sécurité, compte tenu de la nature du traitement et des risques ;
  • selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation de ces données ;
  • met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour permettre la réalisation d’audits ou d’inspections par le responsable du traitement ou un autre auditeur qu’il a mandaté.

Les ressources

Le rapport de l’Inspection générale sur les “Données numériques à caractère personnel au sein de l’éducation nationale” (rapport IGEN-IGAENR n° 2018-016, février 2018) a été publié en août 2018. Il dresse un état des lieux de la gestion des données au sein de l’éducation nationale et analyse les problématiques soulevées dans le cadre de la mise en œuvre du RGPD. Il est accompagné de 17 propositions.

Un parcours M@gistère portant la mise en œuvre du cadre juridique du RGPD à l’École est disponible dans l’offre nationale en inscription libre.

Éduscol a publié une page de ressources dédiées à la mise en oeuvre du référentiel CNIL de formation des élèves à la protection des données personnelles.

Arte propose pour Éduthèque un reportage dans les couloirs de l’Union européenne, Democracy : la ruée vers les datas, sur l’élaboration d’une législation pour la protection des données personnelles.
disponible au téléchargement via éduthèque.

Le Réseau Canopé propose un « manuel » sur la protection des données à caractère personnel à l’intention des chefs d’établissement, afin de répondre aux principales questions auxquelles ils peuvent être confrontés

Le site La mallette des parents propose les fiches suivantes :

  1. La protection des données des enfants (partie "Parents")
    L’école a besoin de données indispensables sur votre enfant dans le cadre de sa scolarité. Le nouveau règlement européen sur la protection des données offre un cadre protecteur pour les citoyens. Vous êtes systématiquement informé de tout traitement de données à caractère personnel.
  1. La protection des données personnelles à l’École (partie "Professionnels de l’éducation nationale")
    Lors de différentes réunions avec les parents, la question de la protection des données personnelles peut être abordée tant sur le suivi administratif et pédagogique de l’élève que par celui de l’éducation aux médias et à l’information (EMI).

Cet article reprend une publication du site de l’académie de Clermont-Ferrand