Accueil : Usages du numérique éducatif
Accueil >> Le règlemen...

article Le règlement général sur la protection des données (RGPD) : plus de précautions, une meilleure gestion     -    publié le 21/12/2012    mis à jour le 13/07/2018

Logo CNIL

Le traitement numérique de données personnelles nécessite des précautions qui étaient jusqu’à présent associées à des déclarations officielles.

A partir du 25 mai 2018 la protection des données est gérée selon une logique de conformité continue à un règlement général sur la protection des données (RGPD). Cette conformité ne passe pas par des déclarations à la CNIL, mais doit pouvoir être vérifiée.

• 1. Gestion comptable des données

Un registre devra être tenu à jour sous la responsabilité d’un Délégué à la protection des données (DPO)1. Il permettra de documenter tous les traitements de données à caractère personnel.
Par un courrier le recteur de l’académie a annoncé début juin 2018 aux chefs d’établissement, qui sont responsables de ces traitements, que la fonction de délégué serait mutualisée pour l’ensemble des établissements de l’académie.
Le DPO académique s’appuiera sur des recensements menés en établissement. Un modèle de registre a été mis à disposition. Une adresse mail fonctionnelle a été créée pour répondre aux questions.

• 2. Protection des données dès la conception

L’idée est de protéger les données dès la conception des activités, en utilisant des outils et services respectant les normes de sécurité.

Lorsqu’un traitement des données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données (DPIA - Data Protection Impact Assessment - Analyse d’impact relative à la protection des données) doit désormais être menée.

En cas de sous-traitance un contrat doit expliciter quels traitements sont opérés. Dans la cas d’un sous-traitant installé aux Etats-Unis, il convient de vérifier qu’il est conforme au Bouclier de Protection des Données (Privacy Shield) : cf le site de la CNIL.

Dans un souci de simplicité et d’accompagnement, la CNIL n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements qui ont régulièrement fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018.

• 3. Protection des données par défaut

Il s’agit comme le demandait la précédente règlementation de limiter la quantité de données à caractère personnel traitées, leur accessibilité et leur durée de conservation, pour ne garder que le strict nécessaire en fonction de la finalité du traitement.

Les personnes doivent aussi être informées clairement de ce qui sera fait des données personnelles collectées les concernant.

Cette évolution est accompagnée par la CNIL, qui fournit des outils.

5 minutes pour comprendre ... GDPR

(1) DPO : Data Protection Officer

Contact
Accessibilité
Mentions légales
RSS
Académie de Poitiers, Rectorat, 22 rue Guillaume VII le Troubadour BP 625 86022 Poitiers Cedex