Protégeons les données de nos élèves

RGPD : tous concernés

Mis à jour le dimanche 25 août 2024

L’éducation à un usage citoyen, responsable et éthique des services numériques constitue une priorité d’action, tout particulièrement auprès des jeunes en âge de créer des comptes personnels.

La protection des données et de la vie privée constitue un volet clé de l’éducation au médias et à l’information. En ce sens, les personnels éducatifs ont un rôle essentiel à jouer dans cette éducation citoyenne au numérique.
RGPD : Passer à l’action en 4 étapes

RGPD : Passer à l’action en 4 étapes - Transciption

 1. Constituez un registre de vos traitements de données

 2. Faites le tri dans vos données

 3. Respectez les droits des personnes

 4. Sécurisez vos données

Le Règlement général pour la protection des données, est un règlement européen applicable depuis le 25 mai 2018 dans toute l’Union Européenne. Ce texte vise à renforcer la protection des données à caractère personnel [1].

En tant qu’enseignant vous êtes donc confrontés à deux situations :

  • Vous êtes usagers de services ou applications nécessitant des traitements de données à caractère personnel, le RGPD vous apporte des éléments renforçant la protection de vos données ;
  • Vous êtes prescripteurs de services ou applications à destination de vos élèves ou collègues, vous devez signaler ces traitements de données s’ils impliquent des données à caractère personnel auprès du chef d’établissement pour les EPLE et de l’IEN de la circonscription pour les écoles. Ces traitements s’ils sont conformes au RGPD seront inscrits au registre de l’EPLE ou de l’académie pour les écoles.

Pour un EPLE, le responsable des traitements est le chef d’établissement ; pour une école, c’est Monsieur le Recteur. Dans les deux cas de figure, les responsables de traitement s’appuient sur un conseiller qui est le délégué à la protection des données (DPD), ou Data protection officer (DPO) en anglais.

RGPD : une protection pour les usagers !

La loi informatique et liberté du 6 janvier 1978 et ses modifications apportaient déjà un cadre de protection aux usagers. Le RGPD renforce ce cadre en obligeant les responsables des traitements de données à plus de transparence et de respect de la vie privée.
L’usager est donc en droit de maîtriser ses données personnelles [2] et il dispose de droits auxquels les organismes mettant en œuvre ces traitements de données doivent se conformer.

La connaissance de tous ces éléments doit nous permettre d’utiliser ces services en conscience et confiance, avec le recul nécessaire.

Quels sont les droits de tous les usagers ?

Un organisme qui collecte des informations sur vous doit vous fournir une information claire sur l’utilisation de vos données et sur l’exercice de vos droits !

Refuser l’utilisation de vos données. Vous pouvez vous opposer à tout moment à ce qu’un organisme utilise certaines de vos données. Attention, ce droit possède des limites, notamment dans le cas de traitements nécessaires à une mission de service public.

Connaître les données qu’un organisme détient sur vous. Vous pouvez demander à un organisme s’il détient des données sur vous (site web, magasin, banque...) et demander à ce que l’on vous les communique pour en vérifier le contenu.

Corriger vos informations. Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant. Il permet d’éviter qu’un organisme n’utilise ou ne diffuse des informations erronées sur vous.

Le déréférencement d’un contenu dans un moteur de recherche. Vous pouvez demander aux moteurs de recherche de ne plus associer un contenu qui vous porte préjudice à votre nom et prénom.

Supprimer vos données en ligne. Vous avez le droit de demander à un organisme l’effacement de données à caractère personnel vous concernant.

Obtenir et réutiliser une copie de vos données. Le droit à la portabilité vous offre la possibilité de récupérer une partie de vos données dans un format lisible par une machine. Libre à vous de stocker ailleurs ces données portables ou les transmettre facilement d’un système à un autre, en vue d’une réutilisation à d’autres fins.

La collecte et l’analyse de l’activité des personnes permettent de construire des profils pour mieux cerner votre personnalité, vos habitudes d’achat ou vos comportements. Parfois, des décisions sont prises automatiquement à partir de ce profilage, sans l’intervention d’un humain.

Il est à noter que certains aménagements sont possibles selon des contextes définis par le règlement européen lui-même. Par exemple lorsqu’un traitement de données est utilisé de manière directe pour exécuter une obligation de service public, il ne peut y avoir d’utilisation du droit à la portabilité ou du droit à l’oubli (effacement). C’est le cas pour les données liées à l’inscription des élèves dans une école ou un EPLE par exemple.

RGPD : 8 règles d’or

8 règles d’or

Le RGPD encadre la collecte, l’utilisation et la conservation des données personnelles par 8 règles d’or auxquelles tout organisme privé ou public doit se conformer.

Le traitement est licite s’il remplit une des conditions suivantes :
  • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; Ce consentement doit être positif, une action de la personne est nécessaire (pas de case pré cochée !) ;
  • le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; C’est le cas pour la gestion des élèves, les évaluations et le cahier de textes au regard du code de l’éducation ;
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
    Dans le cadre des services utilisés par les élèves, deux conditions sont donc possibles, le consentement (attention, pour les mineurs, les responsables légaux doivent consentir aux traitements) et la mission d’intérêt public.

Les données personnelles collectées ne peuvent être traitées que pour une finalité définie précisément et légitime.

Seules les données nécessaires pour atteindre la finalité peuvent être collectées et traitées

Les données sensibles ne peuvent être collectées et traitées que dans certaines conditions

Les données doivent être archivées, supprimées ou anonymisées dès que la finalité pour laquelle elles ont été collectées est atteinte.

Au regard des risques, des mesures doivent être mises en œuvre pour s’assurer de la sécurité des données traitées.

Les personnes doivent être informées de l’utilisation des données les concernant et de la manière d’exercer leurs droits.

Les personnes bénéficient de nombreux droits qui leur permettent de garder la maîtrise de leurs données.

Ces règles constituent un gage juridique pour les responsables de traitements et un facteur de transparence et de confiance pour les usagers.

L’enseignant se doit d’être sensible à la conformité au RGPD du service ou de l’application qu’il souhaite utiliser avec ses élèves et consulter leur hiérarchie avant toute mise en œuvre de traitement de données.

Pour vous aider, vous pouvez utiliser la méthodologie suivante :
RGPD : Fiche réflexe - Personnels et communauté éducative - Académie de Versailles

RGPD : Fiche réflexe - Personnels et communauté éducative - Transciption

Le Règlement Général sur la Protection des Données (RGPD) encadre la collecte et les traitements des données à caractère personnel
Les données à caractère personnel ne peuvent être traitées qu’en vue d’une finalité déterminée, explicite et légitime au regard des missions de l’établissement.
Seules peuvent être collectées les données strictement nécessaires au regard de ce qui est nécessaire à la finalité du traitement.
La responsabilité de l’ensemble des traitements opérés incombe au recteur (services académiques et écoles) ou au chef d’établissement (EPLE).

💬 J’envisage de collecter des informations (pour un usage numérique ou autre…)

➡️ Des données à caractère personnel sont-elles traitées ?
• ❌ NON :
L’outil n’est pas concerné par le RGPD mais peut être concerné par les règles de sécurité informatique.
• ✅ OUI :
🔹 Pourquoi traitez-vous ces données personnelles ?
La notion de « bénéfice collectif » ou « intérêt pédagogique » ne peut à elle seule justifier un traitement de données à caractère personnel.
🔹 Consulter le chef d’établissement, l’ENI ou le service de service, en vue de son autorisation et de la mise en œuvre du traitement.
🔹 Le traitement est-il autorisé par le chef d’établissement, l’ENI ou le service ?
• ❌ NON :
🔺 Changer d’outil et trouver une solution conforme au RGPD…
• ✅ OUI :
✔️ Réaliser l’inscription au registre de l’établissement, de l’école ou de l’académie
✔️ Informer les utilisateurs (finalités du traitement, durée de conservation, base légale du traitement…)

🟦 Recueillir et conserver le consentement éclairé des utilisateurs
(et de leurs représentants légaux pour les mineurs) pour la mise en œuvre de ce traitement.
• ❌ En cas de retrait du consentement, suppression des données.

✅ Le traitement est-il réalisé sur une mission d’intérêt public ou une obligation légale ?
• ❌ NON :
🔄 Mettre en œuvre le recueil du consentement des personnes concernées.
• ✅ OUI :
✔️ Effacer les données à caractère personnel à la fin du traitement.

🔍 Analyse préalable, par les services académiques en lien avec le DPD :
• de la finalité des traitements
• des flux de données à caractère personnel
• de la sécurité mise en œuvre pour protéger ces données

📒 Définitions

 Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable : nom, prénom, n° d’identification, données de localisation, identifiant en ligne, un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…

 Le traitement des données
Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, interconnexion, limitation, effacement, destruction…

 Le registre des traitements
Un document recensant tous les traitements mis en œuvre dans un établissement, décrivant les données collectées, les finalités, les destinataires, la durée de conservation, les mesures de sécurité mises en œuvre, etc.


À noter qu’avant 15 ans un mineur est soumis à l’autorisation de ses responsables légaux : eux seuls peuvent consentir aux traitement de ses données. À partir de 15 ans et jusqu’à sa majorité, le jeune ne peut uniquement qu’à un traitement de données relatif à l’inscription à un service en ligne de type offre directe de service de la société de l’information.

RGPD : concrètement !

Pour bien commencer : se questionner !

Au-delà des données à caractère personnel exploitées par ces traitements, l’usager doit rester vigilant et se poser la question :

Est-ce que ces données personnelles sont nécessaires au bon fonctionnement de ce service ? Par exemple, est-ce que mon adresse mail personnelle est utile pour valider mon inscription si je ne veux pas recevoir d’offres promotionnelles ?

Pour en élaborer la réponse, il doit tenir compte de quatre aspects essentiels :

  • la nature des données récoltées,
  • la finalité du traitement,
  • le consentement éclairé (Avant de demander l’autorisation de procéder à un traitement de données tout responsable de traitement doit toujours détailler les données qu’il compte utiliser, la finalité pour laquelle il veut les utiliser et comment il entend s’en servir),
  • la minimisation du recueil de données au strict minimum utile.

Afin de vous accompagner à la fois pour faire respecter vos droits et vérifier que les services que vous mettez en œuvre pour vos élèves sont conformes, le ministère et Canopé ont créé un parcours de formation sur Magistère et un guide :

Pour mieux comprendre : les CGU !

Une réflexion doit également être amorcée quant aux conditions générales d’utilisation des services les plus communs, non professionnels, qui sont utilisés. En effet, ces CGU ne sont pas toujours simple à comprendre pour les non-initiés. Voici quelques outils en lignes qui visent à aider les utilisateurs :

Pour aller plus loin

[1Qu’est-ce qu’une donnée à caractère personnel ?

Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; 
Ces données peuvent être issues de différents supports, papier, fichier informatique, photo, enregistrement audio ou vidéo … 
Les données directement identifiantes sont par exemple, le nom, le prénom, le mail nominatif, une photo … 
Les données indirectement identifiantes sont par exemple un numéro d'enregistrement d'une fiche nominative, un numéro de téléphone … Toutes données qui par croisement avec une autre base peuvent identifier une personne. 
Une troisième catégorie étant les combinaisons d'informations qui peuvent permettre d'identifier une personne.]] des personnes physiques et responsabilise les acteurs qui collectent, traitent, analysent, stockent les informations. 
{Définition donnée par le RGPD, article 4}

Dans la même rubrique

Cybersécurité et parcours ELEA

Des parcours clé en main Les parcours Éléa proposés autour de la cybercitoyenneté et de la (…)

Sécurité numérique : l’affaire de tous

25 août 2024

Les acteurs de la cyber sécurité

La démocratisation d’Internet s’est accompagnée d’une envolée des pratiques cybercriminelles : (…)

Sécurité numérique : l’affaire de tous

25 août 2024

On se forme avec Hackropole

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) vient de dévoiler (…)

Sécurité numérique : l’affaire de tous

25 août 2024