Le règlement général sur la protection des données (RGPD) : plus de précautions, une meilleure gestion publié le 08/11/2018  - mis à jour le 29/02/2024

Logo CNIL

Le traitement numérique de données personnelles nécessite des précautions pour garantir les droits individuels. Les traitements étaient jusqu’à présent associées à des déclarations officielles, qui ne sont plus nécessaires.

A partir du 25 mai 2018 la protection des données est gérée selon une logique de conformité à un règlement général sur la protection des données (RGPD). Cette conformité doit être continue et vérifiable.

Orientations du ministère de l’Education Nationale

Le ministère a mis en place des outils permettant des pratiques conformes au RGPD, et forme les personnels à l’usage de ces outils.
Il a informé en octobre 2021 les recteurs de région académique et d’académie de la doctrine "cloud au centre" (circulaire du premier ministre n° 6282-SG), de la position de la Dinum (note du 15 septembre 2021) et de l’avis de la CNIL sur ce sujet, et a demandé "d’arrêter tout déploiement ou extension de Microsoft Office 365 ainsi que celle de Google, qui seraient contraires au RGPD".

Données à caractère personnel
Image Pixabay

1. Gestion comptable des données

Un registre doit être tenu à jour avec l’aide d’un Délégué à la protection des données (DPO)1. Il permet de documenter tous les traitements de données à caractère personnel.
Les responsables de traitement pour le premier degré sont les DASEN, et pour le second degré les chefs d’établissement. Par un courrier le recteur de l’académie leur a annoncé début juin 2018 qu’ils seraient conseillés par Antony Barillot, nommé DPO académique.

Des ressources ont été mises à disposition dans une rubrique informatique/RGPD au sein de l’intranet académique. Un modèle de registre prérempli a été fourni aux établissements pour le recensement des traitements. Une adresse mail fonctionnelle a été créée pour répondre aux questions.

Le DPO national accompagne la création des fiches registre concernant les traitements effectués par les applications nationales. Voir la fiche registre de l’évaluation CP CE1.

2. Protection des données dès la conception

L’idée est de protéger les données dès la conception des activités, en utilisant des outils et services respectant les normes de sécurité. Des garanties doivent pouvoir être fournies par la société pour protéger les données. La finalité (pour quoi faire) des traitements doit pouvoir être définie par la structure utilisatrice du service (EPLE... ) et pas par l’éditeur de l’outil choisi. C’est pourquoi les outils prévus pour le "grand public" ne peuvent être utilisés que dans le cadre d’un contrat. Voir à ce propos les outils de visio conférence pouvant être utilisés dans un cadre professionnel.

Lorsqu’un traitement des données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données (DPIA - Data Protection Impact Assessment - Analyse d’impact relative à la protection des données) doit désormais être menée.

En cas de sous-traitance un contrat doit expliciter quels traitements sont opérés par le sous-traitant. S’il est installé aux Etats-Unis, il doit garantir que le niveau de protection est adéquat : cf le site de la CNIL.

3. Protection des données par défaut

Il s’agit comme le demandait la précédente règlementation de limiter la quantité de données à caractère personnel traitées, leur accessibilité et leur durée de conservation, pour ne garder que le strict nécessaire en fonction de la finalité du traitement.

Enquetes du SRANE

Extrait des conditions d’utilisation
de l’outil d’enquête académique

Les personnes doivent aussi être informées clairement de ce qui sera fait des données personnelles collectées les concernant.

Cette évolution est accompagnée par la CNIL, qui fournit des outils.

Enquete Canope

informations aux utilisateurs
sur l’usage de leurs données

Les données à caractère personnel au coeur des établissements

C’est l’intitulé d’une formation à distance mise à disposition des personnels concernés sur la plateforme m@gistère. Objectifs : Identifier les données à caractère personnel et parmi elles, celles qui sont dites "sensibles", Connaître le nouveau cadre européen et faire le point sur les différentes lois en vigueur dans ce domaine, Faire le point sur la mise en place du RGPD dans le contexte des établissements scolaires. Identifier les traitements en établissement et s’approprier le registre des traitements, comprendre les missions du délégué à la protection des données. Définir des actions de communication à destination des équipes pédagogiques, des élèves et de leurs représentants légaux.

Dans les établissements scolaires seuls les traitements de données à caractère personnel qui sont explicitement autorisés par le chef d’établissement sont permis.

Il est donc recommandé d’utiliser les ressources du médiacentre, la question des données étant alors prise en charge par le ministère via le Gestionnaire d’accès aux ressources.

Se former (2022-2023)

En offre dans le cadre du plan académique de formation continue

Le plan académique de formation offre des modules de 1H ou 2H.
 LE RGPD C’EST QUOI ? ref 60898 webinaire 1H, intercatégoriel.
 Pour les enseignant.e.s : ref 60142 RGPD et pratiques pédagogiques. Webinaire d’1H
 Pour les chefs d’établissement : ref 60142 RGPD indicateur de pilotage des données. Webinaire d’1H.
Ref 60900 - RGPD décrire un traitement pour alimenter le registre. Webinaire de 2H.

Inscriptions sur le site de l’Ecole Académique de la Formation Continue.

5 minutes pour comprendre ... GDPR

(1) DPO : Data Protection Officer

Documents joints

10 recommandations publiées en septembre 2019
CNIL

un document Modèle de registre RGPD (OpenDocument Spreadsheet de 23.9 ko)

Version OpenOffice.

Impression

  Imprimer
  L'article au format pdf

Auteur

 Chantal Bernard

Partager