Le règlement général sur la protection des données (RGPD) : plus de précautions, une meilleure gestion publié le 08/11/2018  - mis à jour le 02/09/2021

Logo CNIL

Le traitement numérique de données personnelles nécessite des précautions pour garantir les droits individuels. Les traitements étaient jusqu’à présent associées à des déclarations officielles, qui ne sont plus nécessaires.

A partir du 25 mai 2018 la protection des données est gérée selon une logique de conformité à un règlement général sur la protection des données (RGPD). Cette conformité doit être continue et vérifiable.

Données à caractère personnel
Image Pixabay

1. Gestion comptable des données

Un registre doit être tenu à jour avec l’aide d’un Délégué à la protection des données (DPO)1. Il permet de documenter tous les traitements de données à caractère personnel.
Les responsables de traitement pour le premier degré sont les DASEN, et pour le second degré les chefs d’établissement. Par un courrier le recteur de l’académie leur a annoncé début juin 2018 qu’ils seraient conseillés par Antony Barillot, nommé DPO académique.

Des ressources ont été mises à disposition dans une rubrique informatique/RGPD au sein de l’intranet académique. Un modèle de registre prérempli a été fourni aux établissements pour le recensement des traitements. Une adresse mail fonctionnelle a été créée pour répondre aux questions.

Le DPO national accompagne la création des fiches registre concernant les traitements effectués par les applications nationales. Voir la fiche registre de l’évaluation CP CE1.

2. Protection des données dès la conception

L’idée est de protéger les données dès la conception des activités, en utilisant des outils et services respectant les normes de sécurité. Des garanties doivent pouvoir être fournies par la société pour protéger les données. La finalité (pour quoi faire) des traitements doit pouvoir être définie par la structure utilisatrice du service (EPLE... ) et pas par l’éditeur de l’outil choisi. C’est pourquoi les outils prévus pour le "grand public" ne peuvent être utilisés que dans le cadre d’un contrat. Voir à ce propos les outils de visio conférence pouvant être utilisés dans un cadre professionnel.

Lorsqu’un traitement des données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données (DPIA - Data Protection Impact Assessment - Analyse d’impact relative à la protection des données) doit désormais être menée.

En cas de sous-traitance un contrat doit expliciter quels traitements sont opérés par le sous-traitant. S’il est installé aux Etats-Unis, il doit garantir que le niveau de protection est adéquat : cf le site de la CNIL.

3. Protection des données par défaut

Il s’agit comme le demandait la précédente règlementation de limiter la quantité de données à caractère personnel traitées, leur accessibilité et leur durée de conservation, pour ne garder que le strict nécessaire en fonction de la finalité du traitement.

Edulib

Extrait des conditions d’utilisation d’Edulib

Les personnes doivent aussi être informées clairement de ce qui sera fait des données personnelles collectées les concernant.

Extrait des conditions d’utilisation
manuels Lelivrescolaire.fr

Cette évolution est accompagnée par la CNIL, qui fournit des outils.

Les données à caractère personnel au coeur des établissements

C’est l’intitulé d’une formation à distance mise à disposition des personnels concernés sur la plateforme m@gistère. Objectifs : Identifier les données à caractère personnel et parmi elles, celles qui sont dites "sensibles", Connaître le nouveau cadre européen et faire le point sur les différentes lois en vigueur dans ce domaine, Faire le point sur la mise en place du RGPD dans le contexte des établissements scolaires. Identifier les traitements en établissement et s’approprier le registre des traitements, comprendre les missions du délégué à la protection des données. Définir des actions de communication à destination des équipes pédagogiques, des élèves et de leurs représentants légaux.

Dans les établissements scolaires seuls les traitements de données à caractère personnel qui sont explicitement autorisés par le chef d’établissement sont permis.

Il est donc recommandé d’utiliser les ressources du médiacentre, la question des données étant alors prise en charge par le ministère via le Gestionnaire d’accès aux ressources.

Se former (2021-2022)

En offre dans Gaia individuel jusqu’au 25 septembre

Le plan académique de formation offre des modules allant de 1H à 6H.
 LE RGPD C’EST QUOI ? ref 21A0130135 webinaire 1H, intercatégoriel, à inscription individuelle.
 Pour les enseignant.e.s : RGPD dans le cadre de la pédagogie : ref 21A0130166. LES ENJEUX module 56618, 1H30 à distance, RGPD ET PRATIQUES PEDAGOGIQUES module 56619, 1H30 à distance. A inscription individuelle (possibilité de cumuler les deux modules en un seul voeu).
 pour les personnels administratifs, techniques, de santé et sociaux : ATSS-PROTEGER LES DONNEES A CARACTERE PERSONNEL MANIPULEES ref 21A0130137. A inscription individuelle (2H, à distance).

En public désigné

 Des modules spécifiques "relais protection des données personnelles" sont prévus. Un appel à candidature permettra de s’inscrire au module 56639 (RGPD : CREER ET UTILISER LE REGISTRE, 3H en présentiel) et/ou au module 56640 (FAIRE UNE ANALYSE D IMPACT, 3Hen présentiel).Réf du stage 21A0130181.

 Pour les chefs de service du rectorat : Un appel à candidature permettra de s’inscrire au module 56575 RGPD : DECRIRE UN TRAITEMENT POUR ALIMENTER LE REGISTRE, 3H en présentiel, et/ou au module 56576, RGPD : ANALYSE D IMPACT POUR IDENTIFIER LES RISQUES ET DEFINIR UN PLAN D ACTION, 3H en présentiel. Réf du stage 21A0130138.

5 minutes pour comprendre ... GDPR

(1) DPO : Data Protection Officer

Documents joints

10 recommandations publiées en septembre 2019
CNIL

un document Modèle de registre RGPD (OpenDocument Spreadsheet de 23.9 ko)

Version OpenOffice.

Impression

  Imprimer
  L'article au format pdf

Auteur

 Chantal Bernard

Partager