Règlement général sur la protection des données (RGPD) publié le 15/11/2018

L’explosion du numérique et l’apparition de nouveaux usages, ont imposé une réactualisation de la législation concernant le traitement et la circulation des données à caractère personnel, législation qui datait de 1995.

Qu’est-ce que le RGPD ?

Le RGPD = une réglementation européenne avec de nouveaux droits et de nouvelles obligations

Le GDPR (General Data Protection Regulation), en anglais, ou RGPD (Règlement général sur la protection des données) est donc un texte de référence qui est entré en vigueur dans l’Union européenne depuis le 25 mai 2018. Ce règlement nᵒ 2016/679 s’applique à l’ensemble des résidents de l’Union européenne (28 pays membres) et permet d’harmoniser les lois, en matière de circulation et de protection des données personnelles.

Le RGDP prône une meilleure maitrise par l’individu de l’utilisation de ses données personnelles. Les droits existants sont renforcés (droit à la formation, droit à l’oubli, consentement pour traiter des données personnelles) et des droits nouveaux sont apparus, comme le droit à la portabilité et le droit des mineurs à s’opposer à l’utilisation de ses données personnelles dans la société de l’information. Les associations peuvent également introduire des recours collectifs.

Le RGPD est un règlement d’application directe : les démarches sont simplifiées, il n’y a plus d’obligation pour tout individu de faire des déclarations à la CNIL(Commission Nationale de l’Informatique et des Libertés), mais tout repose sur la responsabilisation des responsables de traitement, qui doivent s’assurer au préalable, de la conformité de l’usage qu’ils font des données personnelles, au RGPD.

Comment sont protégées les données personnelles en France ?

La France n’a pas attendu 2018 pour protéger ses données personnelles : dès 2016, le vote de la Loi pour la République Numérique a anticipé le règlement en instaurant le droit à l’oubli, le droit au déréférencement et en augmentant les sanctions pécuniaires par la CNIL.

La protection des données personnelles en France est à ce jour encadrée par deux textes :

  • le Règlement Général sur la Protection des Données (RGPD), adopté par le Parlement Européen et le Conseil Européen le 27 avril 2016, et publié au Journal Officiel de l’Union Européenne le 4 mai 2017 : texte européen ;
  • la loi n°2018-493 du 20 juin 2018, promulguée le 21 juin 2018, qui modifie la loi Informatique et Libertés du 6 janvier 1978, et qui est à la fois complémentaire et compatible avec le Règlement européen RGPD.

Qu’est-ce qu’une donnée personnelle ?

L’article 4 du règlement général sur la protection des données stipule qu’une donnée personnelle (ou donnée à caractère personnel) c’est

toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 
Une personne est identifiable lorsqu’un fichier comporte :
 

  • un nom, un sexe, un âge, une date de naissance
  • une photographie
  • une adresse IP (Internet Protocol)
  • des traces informatiques (un identifiant de connexion informatique...)
  • un numéro de téléphone, un numéro d’immatriculation, un numéro de sécurité sociale
  • une adresse postale
  • des données socio-économiques (habitudes de consommation)
  • une empreinte digitale, l’ADN (Acide DésoxyriboNucléique)
  • un enregistrement vocal
  • un numéro d’Identification
  • un mail, etc.

Certaines données personnelles sont dites sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :
 

  • une opinion politique
  • une sensibilité religieuse
  • un engagement syndical
  • une appartenance ethnique
  • une orientation sexuelle
  • les données relatives à la santé (maladies, handicaps, antécédents médicaux, traitements médicaux)
  • avec le RGPD s’ajoutent aux données sensibles les données biométriques et génétiques collectées aux fins d’identifier une personne de manière unique.

En principe, les données sensibles ne peuvent être recueillies et exploités qu’avec le consentement explicite des personnes. Il existe cependant des exceptions définie à l’article 9 du RGPD.

 

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des données collectées, en vue de permettre son identification, dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Qu’appelle-t-on traitement des données personnelles ?

On appelle traitement de données à caractère personnel

toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...).

 

Le traitement des données est donc l’identification d’une personne par l’association de différentes informations recueillies que ce soit manuellement (collecte sur papier) ou automatiquement (sur fichier informatique).

Quelles sont les données personnelles propres à l’éducation nationale ?

Dans l’éducation nationale on peut citer comme données à caractère personnel :

  • les numéros d’identification : INE (Identifiant National Étudiant) pour les élèves, NUMEN (Numéro d’identification de l’éducation nationale) pour les professeurs ;
  • les productions scolaires des élèves ;
  • les traces de connexion à un ENT : cookies ou "petits fichiers texte" qui permettent de récupérer certaines données de navigation et dont l’autorisation de la récupération est demandée actuellement site par site consulté, journal de connexion sur un serveur pédagogique...
  • les sondages anonymes ou enquêtes : données de connexion, enregistrement de la voix...qui permettent en recoupant toutes les informations de réidentifier une personne ;
  • les données scolaires (appréciations, notes...) qui ne sont pas des données sensibles pour la plupart, mais, qui ont un caractère hautement personnel ;
  • les données des professeurs et personnels administratifs : nom, date de naissance, informations administratives... structure de rattachement, ancienneté dans les postes respectifs, notation) ;
  • les fichiers mentionnant toutes les données des élèves (nom, date de naissance, représentants légaux, photographie, classe, établissements scolaires fréquentés, bulletins, livrets scolaires, activités scolaires et périscolaires, identifiants ENT ;
  • l’annuaire du PPMS (Plan Particulier de Mise en Sureté).

Les données personnelles de santé sont pour la plupart des données sensibles (allergies, maladies, régime alimentaire si en lien avec une appartenance religieuse...) sauf l’état vaccinal des élèves qui est obligatoire à l’entrée en collectivité et qui peut donc être collecté sans consentement écrit.

La mention d’un PAI (Plan d’Accueil Individualisé) pour un élève ou étudiant, sans donner la nature du handicap ou toute donnée relative à sa pathologie, ne rentre pas dans les données à caractère personnel sensibles. Par contre s’il est mentionné par exemple "élève diabétique" alors il s’agit d’une donnée sensible et l’élève ou étudiant doit avoir consenti clairement et par écrit à la notification sur un fichier numérique de cette donnée.

En quoi consiste le traitement des données à caractères personnel dans l’éducation nationale ?

Dans l’éducation nationale, les traitements de données à caractère personnel mis en œuvre le sont :

  • par le ministère : ils sont déployés au niveau national par tous les établissements scolaires ; le LSU (Livret Scolaire Unique) Numérique, l’application SIECLE...
  • par chaque établissement scolaire : logiciel de gestion de vie scolaire, logiciel de vidéosurveillance, blog d’un établissement, ENT (Espace Numérique de Travail), site internet d’un établissement...

Dans les établissements du second degré publics (collèges et lycées), qui ont la personnalité morale, c’est le chef d’établissement qui, en sa qualité d’organe exécutif de l’établissement conformément à l’article R. 421-9 du code de l’éducation, doit être regardé comme le responsable des traitements de données à caractère personnel mis en œuvre dans son établissement.

Dans les écoles publiques, les directeurs n’ayant pas la capacité juridique de représenter l’école ce sont les DASEN (Directeurs académiques des services de l’éducation nationale), agissant sur délégation des recteurs d’académie qui, en application de l’article R. 222-19-3 du code de l’éducation, doivent être regardés comme responsables des traitements mis en œuvre.

Quels sont les principes associés à la protection des données personnelles ?

On distingue 6 grands principes :

Le principe de licéité

Un traitement de données à caractère personnel est licite s’il est conforme au droit donc aux deux lois applicables en France (RGPD et Loi Informatique et Libertés modifiée et promulguée le 21 juin 2018). C’est l’article 6 du RGPD qui donne les 6 conditions de licéité du traitement.

Dans l’éducation nationale la condition remplie selon l’article 6 du RGPD et qui nécessite le traitement de données à caractère personnel est souvent l’exécution d’une mission d’intérêt public.

Le principe de finalité

Les données personnelles ne peuvent être collectées et traitées que pour des finalités déterminées, c’est-à-dire des raisons explicites et légitimes. C’est le responsable du traitement qui détermine la finalité de la collecte.

Dans l’éducation nationale, la finalité peut être la communication d’informations aux familles sur un voyage scolaire par exemple via un blog. Mais pour respecter le principe de sécurité mettre un mot de passe pour que seuls les parents et élèves aient accès aux données (photographies...) est une finalité en soi.

Le principe de minimisation des données

Les données recueillies sur un sujet doivent être

« adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.c).

Ainsi les données recueillies (quantité, qualité) ne doivent être traitées et collectées que si cela s’avère nécessaire.

Dans l’éducation nationale, le recueil du numéro de sécurité sociale, sur une fiche d’inscription à l’école, et qui, en l’occurrence, n’est pas un prérequis pour une admission en urgence à l’hôpital, doit questionner sur la pertinence de la finalité.

Le principe de respect des durées de conservation

Les données recueillies ne doivent être conservées que pour la durée nécessaire à la finalité.

Dans l’éducation nationale, la durée de conservation est fixée dans le code de l’éducation. Par exemple, les sanctions (blâme, avertissements, mesure de responsabilisation) sont effacées du dossier administratif de l’élève à la fin de l’année scolaire. De même des textes (BO n°24 du 16 juin 2005) concernent l’archivage des procès-verbaux des conseils d’administration existent.

Le principe de sécurité

Le responsable du traitement des données personnelles doit mettre en place les mesures de sécurité pour préserver :

  • l’intégrité : pas de modification non désirée des données ;
  • la disponibilité : pas d’accès illégitime aux données ;
  • la confidentialité : pas de divulgation à des tiers non légitimes, sinon c’est une violation de la sécurité dont les conséquences peuvent porter lourdement atteinte à la vie privée et aux libertés des personnes concernées.

En amont d’un traitement, il est important de définir quels seront les destinataires des données, par exemple en interne dans une entreprise.

Dans l’éducation nationale, sont destinataires de certaines données par exemple en vue d’attribuer des bourses, des collectivités territoriales.

 la traçabilité  : en cas d’incident, il est essentiel d’avoir les traces permettant de gérer l’incident.
En conformité avec le RGPD, toute violation de données à caractère personnel doit être obligatoirement déclarée à la CNIL dans les 72 h après l’incident.

Dans l’éducation nationale, une violation peut être la perte d’une clé USB, non protégée par un mot de passe, contenant les dates de naissance des élèves et leurs notes.

Le principe de droit des personnes

La mise en place du RGPD a pour finalités de responsabiliser davantage les acteurs de ce traitement, et de renforcer et de donner plus de droits aux personnes dont le droit à l’oubli évoqué à l’article 17 paragraphe 3 alinéa C du RGPD. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque un des motifs décrit à l’article 17 s’applique. Ce droit à l’oubli peut ne pas s’appliquer dans la mesure où le traitement est nécessaire, (notamment dans le cadre d’une mission d’intérêt public ou d’autres motifs décrits dans l’article 17 paragraphe 3).

Quand au nouveau droit, le droit à la portabilité, selon l’article 20 paragraphe 3 du RGPD, il ne s’applique pas dans le cadre scolaire car le responsable de traitement agit dans le cadre d’une mission d’intérêt public.

Pour en savoir plus

 Parcours magistère en auto-formation : Les données à caractère personnel au cœur des établissements.
 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Sur plusieurs pages
 Plan du site
 Contact
 Accessibilité
 Mentions légales
 Traitement des données