03 62 84 51 46 ou 06 78 84 62 12

Rgpd et établissement scolaire

La rentrée a sonné et comme chaque année, vous allez collecter de nombreuses données sur vos élèves. Êtes-vous certain de votre établissement scolaire a mis en place toutes les mesures pour les traiter en conformité avec le RGPD ? Écoles ou établissements scolaires, je vous livre 8 bonnes pratiques à suivre pour protéger au mieux les données de vos élèves !

8 bonnes pratiques pour mettre mon établissement scolaire en conformité avec le RGPD

1. Obtenir le consentement

Lorsque vous recueillez les données de vos élèves, assurez-vous de recueillir leur consentement. Il dépend de leur âge. En France, l’âge de la majorité numérique est fixé à 15 ans. Les élèves âgés de 15 ans ou plus peuvent donc consentir eux-mêmes au traitement de leurs données. Entre 13 et 15 ans, vous devez recueillir le consentement à la fois de l’enfant et du titulaire de l’autorité parentale. Pour les enfants en-dessous de 13 ans, les titulaires de l’autorité parentale doivent obligatoirement consentir au traitement des données.

2. Collecter uniquement les données utiles

Il s’agit là du principe de minimisation. Quelle que soit la finalité poursuivie, seules les informations strictement nécessaires doivent être demandées à vos élèves ou à leurs parents. Sachez également que vous ne pouvez pas exiger n’importe quelle information ! Par exemple, les établissements scolaires sont autorisés à demander la catégorie socio-professionnelle des parents, utilisée à des fins de statistiques. En revanche, vous ne pouvez exiger de connaître leur statut marital. De même, les attestations d’assurance scolaires sont nécessaires pour l’inscription à des activités telles les sorties, les voyages, et ne peuvent être exigées s’il n’y a pas d’activités prévues.

3. Déclarez les données sensibles auprès de la CNIL

Votre établissement traite nécessairement des données sensibles. Les démarches déclaratives auprès de la CNIL sont obligatoires pour leur traitement. Sont considérées comme sensibles les données biométriques (comme les empreintes digitales) ou encore les images de vidéosurveillances. On peut encore citer l’appartenance d’un parent à une association (hors association publique), un régime alimentaire relevant d’une religion (halal, casher…), la nature d’un handicap, d’une déficience ou d’une maladie, ou encore un justificatif d’absence à caractère religieux (pour le ramadan par exemple).

4. Utiliser les outils adéquats

Le choix des logiciels et plateformes en ligne utilisés comme supports administratifs ou éducatifs est important. En effet, vous devez éviter à tout prix l’utilisation commerciale des informations concernant vos élèves. Vous devez donc privilégier l’usage de logiciels recommandés ou développés par le Ministère de l’éducation nationale. Vous pouvez retrouver la liste sur Eduscol. Les cours à distance, qui ont fortement augmenté avec la crise sanitaire, doivent quant à eux être dispensés via des logiciels libres de droits. Si vous utilisez des logiciels autres que ceux recommandés, privilégiez des outils hébergés au sein de l’Union Européenne, sans utilisation commerciale des données de vos élèves. Si vos élèves sont mineurs, informez leurs parents de cette utilisation et informez dans tous les cas la direction de votre établissement.

5. Sécuriser les données collectées

Mots de passe, antivirus : vous devez prendre toutes les mesures de sécurité ad hoc pour stocker de façon sécurisée les données de vos élèves et les protéger dans leur activité pédagogique. Pensez à limiter l’accès aux données aux seules personnes autorisées. Une bonne sécurisation passe également par la mise en place de pseudonymes pour les élèves et leurs enseignants lors des connexions aux outils numériques. On oublie souvent que les données ne peuvent être stockées indéfiniment ! Veuillez à ce que les données collectées soient supprimées ou archivées selon la réglementation lorsqu’elles ne sont plus utiles.

6. Mettre en place un registre des activités de traitement

Le registre des activités de traitement est un document obligatoire pour l’ensemble des organismes qui traient des données personnelles. Les écoles et établissements scolaires ne font pas exception. Ce document est un outil de pilotage et de démonstration de votre conformité au RGPD, qui a pour objectif de décrire précisément comment vous traitez les données personnelles au sein de votre établissement. Vous devez y faire figurer les parties prenantes qui interviennent dans le traitement des données (représentant, sous-traitants, etc.) ; les catégories de données traitées ; leur utilisation ; qui peut y accéder ; à qui elles sont communiquées ; combien de temps vous les conservez ; comment elles sont sécurisées.

7. Sensibilisez vos élèves

Les jeunes, et particulièrement les adolescents, n’ont souvent pas conscience des enjeux de la protection de leurs données. Il convient donc de les sensibiliser à ce sujet. Vous pouvez organiser des sessions d’information en classe, rédiger un document dédié ou utiliser Cyber Chronix, un serious-game lancé en 2018 par le Centre commun de recherche (JRC), service scientifique interne de la Commission européenne. Tous les principes de base (doit à l’oubli, violation des données…) y sont abordés de façon ludique.

8. Nommez un DPO

La nomination d’un DPO (Délégué à la protection des données) est obligatoire pour toute autorité ou organisme publics (collectivités territoriales, État, établissements publics, etc.). Vous pouvez nommer pour votre établissement un DPO externe, ou le DPO de votre académie. Ce dernier est le point de contact privilégié de l’autorité de contrôle (CNIL), avec laquelle il communique sur les questions relatives aux traitements mis en œuvre au sein de son académie. Chaque année, il présente au Recteur un rapport qui rend compte de son action. Vous pouvez retrouver les coordonnées des Délégués à la protection des données de toutes les académies sur le site education.gouv.fr.

Établissement scolaire et conformité RGPD ?

Il ne vous reste plus qu’à suivre ces 8 bonnes pratiques, vous aideront à protéger au mieux les données personnelles collectées au sein de votre établissement. Pour toute question ou conseil, je suis à votre écoute !

Share This