Règlement général sur la protection des données (RGPD) publié le 15/11/2018

Pages : 123

Quels sont les principes associés à la protection des données personnelles ?

On distingue 6 grands principes :

Le principe de licéité

Un traitement de données à caractère personnel est licite s’il est conforme au droit donc aux deux lois applicables en France (RGPD et Loi Informatique et Libertés modifiée et promulguée le 21 juin 2018). C’est l’article 6 du RGPD qui donne les 6 conditions de licéité du traitement.

Dans l’éducation nationale la condition remplie selon l’article 6 du RGPD et qui nécessite le traitement de données à caractère personnel est souvent l’exécution d’une mission d’intérêt public.

Le principe de finalité

Les données personnelles ne peuvent être collectées et traitées que pour des finalités déterminées, c’est-à-dire des raisons explicites et légitimes. C’est le responsable du traitement qui détermine la finalité de la collecte.

Dans l’éducation nationale, la finalité peut être la communication d’informations aux familles sur un voyage scolaire par exemple via un blog. Mais pour respecter le principe de sécurité mettre un mot de passe pour que seuls les parents et élèves aient accès aux données (photographies...) est une finalité en soi.

Le principe de minimisation des données

Les données recueillies sur un sujet doivent être

« adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.c).

Ainsi les données recueillies (quantité, qualité) ne doivent être traitées et collectées que si cela s’avère nécessaire.

Dans l’éducation nationale, le recueil du numéro de sécurité sociale, sur une fiche d’inscription à l’école, et qui, en l’occurrence, n’est pas un prérequis pour une admission en urgence à l’hôpital, doit questionner sur la pertinence de la finalité.

Le principe de respect des durées de conservation

Les données recueillies ne doivent être conservées que pour la durée nécessaire à la finalité.

Dans l’éducation nationale, la durée de conservation est fixée dans le code de l’éducation. Par exemple, les sanctions (blâme, avertissements, mesure de responsabilisation) sont effacées du dossier administratif de l’élève à la fin de l’année scolaire. De même des textes (BO n°24 du 16 juin 2005) concernent l’archivage des procès-verbaux des conseils d’administration existent.

Le principe de sécurité

Le responsable du traitement des données personnelles doit mettre en place les mesures de sécurité pour préserver :

  • l’intégrité : pas de modification non désirée des données ;
  • la disponibilité : pas d’accès illégitime aux données ;
  • la confidentialité : pas de divulgation à des tiers non légitimes, sinon c’est une violation de la sécurité dont les conséquences peuvent porter lourdement atteinte à la vie privée et aux libertés des personnes concernées.

En amont d’un traitement, il est important de définir quels seront les destinataires des données, par exemple en interne dans une entreprise.

Dans l’éducation nationale, sont destinataires de certaines données par exemple en vue d’attribuer des bourses, des collectivités territoriales.

 la traçabilité  : en cas d’incident, il est essentiel d’avoir les traces permettant de gérer l’incident.
En conformité avec le RGPD, toute violation de données à caractère personnel doit être obligatoirement déclarée à la CNIL dans les 72 h après l’incident.

Dans l’éducation nationale, une violation peut être la perte d’une clé USB, non protégée par un mot de passe, contenant les dates de naissance des élèves et leurs notes.

Le principe de droit des personnes

La mise en place du RGPD a pour finalités de responsabiliser davantage les acteurs de ce traitement, et de renforcer et de donner plus de droits aux personnes dont le droit à l’oubli évoqué à l’article 17 paragraphe 3 alinéa C du RGPD. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque un des motifs décrit à l’article 17 s’applique. Ce droit à l’oubli peut ne pas s’appliquer dans la mesure où le traitement est nécessaire, (notamment dans le cadre d’une mission d’intérêt public ou d’autres motifs décrits dans l’article 17 paragraphe 3).

Quand au nouveau droit, le droit à la portabilité, selon l’article 20 paragraphe 3 du RGPD, il ne s’applique pas dans le cadre scolaire car le responsable de traitement agit dans le cadre d’une mission d’intérêt public.

Pour en savoir plus

 Parcours magistère en auto-formation : Les données à caractère personnel au cœur des établissements.
 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

« Précédente123
Sur une seule page
 Plan du site
 Contact
 Accessibilité
 Mentions légales
 Traitement des données