Qu'est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, est un texte de référence en matière de protection des données personnelles au sein de l'Union Européenne. Il vise à renforcer et unifier la protection des données pour les individus dans l'UE. Les établissements scolaires, en tant que collecteurs et gestionnaires de nombreuses données personnelles, sont particulièrement concernés par ce règlement.
Les principes fondamentaux du RGPD
- Licéité, loyauté et transparence : Les données doivent être traitées de manière légale, loyale et transparente par rapport à la personne concernée. Cela signifie que les établissements scolaires doivent informer les élèves, les parents et le personnel sur la manière dont leurs données sont utilisées.
- Limitation des finalités : Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
- Minimisation des données : Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
- Exactitude : Les données doivent être exactes et, si nécessaire, tenues à jour. Les écoles doivent donc mettre en place des mécanismes pour corriger ou supprimer les informations inexactes.
- Limitation de la conservation : Les données personnelles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
- Intégrité et confidentialité : Les données doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages d’origine accidentelle.
Application du RGPD en établissement scolaire
Les établissements scolaires collectent et traitent une multitude de données personnelles, telles que les informations sur les élèves (noms, adresses, dates de naissance), les résultats scolaires, les données de santé, et parfois même des données biométriques (par exemple pour les systèmes de cantine ou de contrôle d'accès). Ces collectes ne sont pas nécessairement numériques, il peut s'agir de listes ou de dossiers papier. Le chef d'établissement doit faire une déclaration au registre (tous les documents sont disponibles dans Accolad).
Le rôle du DPD en établissement scolaire
Le Délégué à la Protection des Données (DPD), lorsqu'il a été désigné par l'établissement, participe à la mise en œuvre du RGPD au sein de celui-ci. Grâce à ses actions de conseil et de sensibilisation, il contribue à instaurer une culture de protection des données, renforçant ainsi la confiance de la communauté éducative.
Le DPD a pour mission d'informer et de conseiller l'établissement, y compris le personnel, et parfois les élèves et leurs parents, sur leurs obligations en matière de protection des données. Il sensibilise aux bonnes pratiques et à l’importance de la protection des données.
Par ailleurs, il répond aux sollicitations des chefs d'établissements, aide à mettre l'établissement en conformité, et peut préconiser une étude d'impact sur la protection des données. Cela permet d'identifier et de minimiser les risques associés aux traitements de données personnelles sensibles. Mais il sert surtout de point de contact pour les personnes concernées (élèves, parents, personnel) qui souhaitent exercer leurs droits (accès, rectification, effacement, etc.) d'une part et d'autre part, pour l’autorité de protection des données, comme la CNIL en France. Il est important de le solliciter en cas de violation de données personnelles.
> Retrouvez en vidéo les conseils de notre DPD académique, Olivier Desportes (nécessite une authentification à Apps.education)
Conseils pour minimiser le recueil de données personnelles
Pour les enseignants, la gestion des données personnelles des élèves est un aspect crucial de leur mission, notamment en matière de conformité avec le RGPD. Voici quelques conseils pratiques pour minimiser le recueil de données personnelles et assurer une protection adéquate des informations des élèves :
1. Évaluer la nécessité de la collecte de données
Avant de collecter des données, les enseignants doivent se poser les questions suivantes :
Quelle est la finalité de cette collecte ? Ces données sont-elles strictement nécessaires pour atteindre cet objectif ? Existe-t-il une manière alternative de réaliser cette tâche sans collecter de données personnelles ?
2. Collecter le minimum de données
Adopter le principe de minimisation des données : ne collecter que les informations essentielles pour la tâche à accomplir, éviter de demander des informations sensibles (comme les données de santé) à moins que cela ne soit absolument indispensable et justifié.
3. Utiliser des applications nationales, les machines de l'établissement et des identifiants non nominatifs
Lorsque c'est possible, il est conseillé d'utiliser les applications et ressources du GAR dans l'ENT qui ont des accords passés directement avec le ministère concernant la limitation des données. Les Apps Educations également sont pratiques et proposent de nombreux services tant pour collaborer soit entre enseignants ou autres membres adultes de la communauté éducative, soit avec les élèves, ou bien pour mettre à disposition toutes sortes de documents et fichiers.
Pour vous connecter la première fois à AppsEducation, utilisez ce tutoriel.
Si toutefois les apps et outils proposés par le GAR ne répondent pas à votre besoin pédagogique ou professionnel, il est conseillé de faire travailler les élèves sans compte personnel sur les machines de l'établissement (de cette façon, il est impossible de lier une adresse IP à une personne).
Lorsque c'est possible, mieux vaut utiliser des identifiants anonymes ou des codes plutôt que des noms pour les travaux scolaires ou les évaluations. Cela permet de réduire le risque d’identification des élèves.
4. Informer les élèves et les parents
Assurer la transparence en informant les élèves et leurs parents sur les données collectées, les raisons de cette collecte, la manière dont ces données seront utilisées et les mesures de protection mises en place.
> Cliquer ici pour accéder à une exemple de demande d’Autorisation captation d’un mineur
5. Limiter l’accès aux données
Restreindre l'accès aux données personnelles aux seules personnes ayant besoin d'y accéder pour leur travail. Cela implique de stocker les données de manière sécurisée (attention aux listes papier perdues ou oubliées et aux clés USB), d'utiliser des mots de passe robustes et des systèmes d'authentification, de partager les informations uniquement avec des parties autorisées.
6. Sensibiliser et former
Participer ou organiser des sessions de formation sur la protection des données pour mieux comprendre les responsabilités et les bonnes pratiques. Informer également les élèves sur l’importance de la protection de leurs données personnelles. Des parcours Pix peuvent être utilisés à bon escient. Un exemple d'activité pour les élèves en cliquant ici.
7. Utiliser des plateformes sécurisées
Privilégier l'utilisation de plateformes éducatives sécurisées et conformes au RGPD pour la gestion des données et des activités pédagogiques en ligne. Éviter les outils et applications non vérifiés ou non conformes.
8. Éviter les données sensibles dans les communications
Dans les communications par email ou autres moyens, éviter de mentionner des informations personnelles sensibles. Utiliser des systèmes sécurisés pour les échanges d’informations confidentielles.
9. Procéder à une revue régulière
Effectuer régulièrement des revues des données collectées pour s'assurer qu'elles sont toujours nécessaires. Supprimer ou anonymiser les données qui ne sont plus nécessaires.
10. Prévoir des scénarios de réponse en cas de violation
Avoir un plan d'action en place en cas de violation de données pour réagir rapidement et efficacement, minimiser les impacts, et informer les autorités compétentes et les personnes concernées conformément aux exigences du RGPD. En informer le chef d'établissement et le DPD qui sont là pour vous aider et vous accompagner.
Accompagnement
La DRANE vous accompagne dans la Maison du Numérique. Nous vous proposons régulièrement des webinaires et leurs replays, des permanences et ateliers dans pour répondre à vos questions et vous montrer en direct les manipulations à effectuer si nécessaire ou des rendez-vous individuels de 20 minutes en visio.
Rester informé en s’abonnant à la lettre d’informations.
Sources et ressources
Accolad
https://accolad.ac-montpellier.fr/7e807e31-c544-4b8b-8daf-9232f8f80117
Un ensemble de ressources sur les droits et devoirs liés au numérique dans la Boite À Ressources de la DRANE : https://www.pearltrees.com/t/securite-devoirs-numerique/id23639762
Informations générales, guide pratique à télécharger et ateliers de formation de la CNIL : https://www.economie.gouv.fr/entreprises/reglement-general-protection-donnees-rgpd#RGPD_CNIL
Parcours M@gistère
Les données à caractère personnel au cœur des établissements : https://magistere.education.fr/dgesco/course/view.php?id=1425§ion=1
Conduire mes pratiques pédagogiques dans le cadre de la protection des données https://magistere.education.fr/ac-amiens/course/view.php?id=5382§ion=1
Mise à jour : octobre 2024