18 décembre 2019, par Frédéric VERON, Fabrice Lemoine

RGPD

RGPD : Enseignants, tous concernés !

Protégeons nos données et celles de nos élèves !

RGPD : enseignants, tous concernés !

: Infographie réalisée par la CNIL

Le Règlement général pour la protection des données, est un règlement européen applicable depuis le 25 mai 2018 dans toute l’Union Européenne. Ce texte vise à renforcer la protection des données à caractère personnel [1] des personnes physiques et responsabilise les acteurs qui collectent, traitent, analysent, stockent les informations.

En tant qu’enseignant vous êtes donc confrontés à deux situations :

Vous êtes usagers de services ou applications nécessitant des traitements de données à caractère personnel, le RGPD vous apporte des éléments renforçant la protection de vos données ;
Vous êtes prescripteurs de services ou applications à destination de vos élèves ou collègues, vous devez signaler ces traitements de données s’ils impliquent des données à caractère personnel auprès du chef d’établissement pour les EPLE et de l’IEN de la circonscription pour les écoles. Ces traitements s’ils sont conformes au RGPD seront inscrits au registre de l’EPLE ou de l’académie pour les écoles.

Pour information, pour un EPLE, le responsable des traitements est le chef d’établissement. Pour une école, Madame la Rectrice est responsable. Dans les deux cas de figure, les responsables de traitement s’appuient sur un conseiller qui est le délégué à la protection des données (DPD [2], ou DPO [3] en anglais)

Afin de vous accompagner à la fois pour faire respecter vos droits et vérifier que les services que vous mettez en œuvre pour vos élèves sont conformes, le ministère et Canopé ont créé un parcours de formation sur M@gistère et un guide :

L’article « Adoptez des réflexes pour le choix des services en ligne » ;
Le guide Canopé « COMPRENDRE ET APPLIQUER LES NOUVELLES RÉGLEMENTATIONS DANS LES ÉTABLISSEMENTS SCOLAIRES » ;
Le parcours M@gistère « Les données à caractère personnel au cœur des établissements ».

RGPD : une protection pour les usagers !

La loi informatique et liberté du 6 janvier 1978 et ses modifications apportaient déjà un cadre de protection aux usagers. Le RGPD renforce ce cadre en obligeant les responsables des traitements de données à plus de transparence et de respect de la vie privée.
L’usager est donc en droit de maîtriser ses données personnelles [4].

Quels sont les droits de tous les usagers ? (Cliquez pour déplier les blocs)

Le droit d’être informé sur l’utilisation de vos données

Un organisme qui collecte des informations sur vous doit vous fournir une information claire sur l’utilisation de vos données et sur l’exercice de vos droits !

Le droit d’opposition

Refuser l’utilisation de vos données. Vous pouvez vous opposer à tout moment à ce qu’un organisme utilise certaines de vos données. Attention, ce droit possède des limites, notamment dans le cas de traitements nécessaires à une mission de service public.

Le droit d’accès

Connaître les données qu’un organisme détient sur vous. Vous pouvez demander à un organisme s’il détient des données sur vous (site web, magasin, banque...) et demander à ce que l’on vous les communique pour en vérifier le contenu.

Le droit de rectification

Corriger vos informations. Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant. Il permet d’éviter qu’un organisme n’utilise ou ne diffuse des informations erronées sur vous.

Le droit au déréférencement

Le déréférencement d’un contenu dans un moteur de recherche. Vous pouvez demander aux moteurs de recherche de ne plus associer un contenu qui vous porte préjudice à votre nom et prénom.

Le droit à l’effacement

Supprimer vos données en ligne. Vous avez le droit de demander à un organisme l’effacement de données à caractère personnel vous concernant.

Le droit à la portabilité

Obtenir et réutiliser une copie de vos données. Le droit à la portabilité vous offre la possibilité de récupérer une partie de vos données dans un format lisible par une machine. Libre à vous de stocker ailleurs ces données portables ou les transmettre facilement d’un système à un autre, en vue d’une réutilisation à d’autres fins.

Le droit à l’intervention humaine face à votre profilage ou à une décision automatisée

La collecte et l’analyse de l’activité des personnes permettent de construire des profils pour mieux cerner votre personnalité, vos habitudes d’achat ou vos comportements. Parfois, des décisions sont prises automatiquement à partir de ce profilage, sans l’intervention d’un humain.

Au-delà des données à caractère personnel exploitées par ces traitements, l’usager doit rester vigilant et se poser la question :

Est-ce que ces données personnelles sont nécessaires au bon fonctionnement de ce service ? Par exemple, est-ce que mon adresse mail personnelle est utile pour valider mon inscription si je ne veux pas recevoir d’offres promotionnelles ?

Cela amène la notion de règles auxquelles doit se conformer un organisme mettant en œuvre ces traitements de données (voir les 8 règles d’or ci-dessous). La connaissance de tous ces éléments doit nous permettre d’utiliser ces services en conscience et confiance, avec le recul nécessaire.

Il est à noter que certains aménagements sont possibles selon des contextes définis par le règlement européen lui-même. Par exemple lorsqu’un traitement de données est utilisé de manière directe pour exécuter une obligation de service public, il ne peut y avoir d’utilisation du droit à la portabilité ou du droit à l’oubli (effacement). C’est le cas pour les données liées à l’inscription des élèves dans une école ou un EPLE par exemple.

RGPD : comment le respecter ?

: vecteur créé par freepik

Le RGPD encadre la collecte, l’utilisation et la conservation des données personnelles par 8 règles d’or (à parcourir ci-après) auxquelles tout organisme privé ou public doit se conformer. Ces règles constituent un gage juridique pour les responsables de traitements et un facteur de transparence et de confiance pour les usagers.
Il n’est pas demandé à l’enseignant de vérifier cela, mais d’être sensible à la conformité au RGPD du service ou de l’application qu’il souhaite utiliser avec ses élèves.
(Cliquez pour déplier les blocs)

1- Licéité du traitement

Le traitement est licite s’il remplit une des conditions suivantes :

la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; Ce consentement doit être positif, une action de la personne est nécessaire (pas de case pré cochée !) ;
le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; C’est le cas pour la gestion des élèves, les évaluations et le cahier de textes au regard du code de l’éducation ;
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Dans le cadre des services utilisés par les élèves, deux conditions sont donc possibles, le consentement (attention, pour les mineurs, les responsables légaux doivent consentir aux traitements) et la mission d’intérêt public.

2- Finalité du traitement

Les données personnelles collectées ne peuvent être traitées que pour une finalité définie précisément et légitime.

3- Minimisation des données

Seules les données nécessaires pour atteindre la finalité peuvent être collectées et traitées

4- Protection particulière des données sensibles

Les données sensibles ne peuvent être collectées et traitées que dans certaines conditions

5- Conservation limitée des données

Les données doivent être archivées, supprimées ou anonymisées dès que la finalité pour laquelle elles ont été collectées est atteinte.

6- Obligation de sécurité

Au regard des risques, des mesures doivent être mises en œuvre pour s’assurer de la sécurité des données traitées.

7- Transparence

Les personnes doivent être informées de l’utilisation des données les concernant et de la manière d’exercer leurs droits.

8- Droit des personnes

Les personnes bénéficient de nombreux droits qui leur permettent de garder la maîtrise de leurs données.

Les enseignants doivent consulter leur hiérarchie avent toute mise en œuvre de traitement de données. Tout traitement de données personnelles mise en œuvre sans l’accord de ladite hiérarchie fait peser une responsabilité.

RGPD : comment éduquer ?

Suite à l’application du RGPD, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été modifiée. Notamment la déclaration d’un âge légal pour consentir un traitement de données à caractère personnel :

En application du 1 de l’article 8 du règlement (UE) 2016/679 du 27 avril 2016, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans.
Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.
Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne.

Une précision, à partir de quinze ans, un mineur peut consentir uniquement à un traitement de données relatif à l’inscription à un service en ligne de type offre directe de service de la société de l’information. Pour tous les autres traitements, le mineur de 15 ans ou plus reste soumis à l’autorisation de ses responsables légaux ; tout au plus le mineur devra exprimer lui aussi son consentement mais ce dernier ne pourra prévaloir.

L’éducation à un usage citoyen, responsable et éthique des services numériques constitue une priorité d’action, tout particulièrement auprès des jeunes en âge de créer des comptes personnels.
La protection des données et de la vie privée constitue un volet clé de l’éducation au médias et à l’information. En ce sens, les personnels éducatifs ont un rôle essentiel à jouer dans cette éducation citoyenne au numérique.
Acquérir une connaissance et une compréhension critiques des droits et responsabilités, développer auprès des jeunes une démarche réflexive sur les usages qui sont faits des données personnelles, sensibiliser sur les risques et enseigner les pratiques permettant de se mouvoir dans l’environnement numérique avec confiance, lucidité et dans le respect des droits de chacun : tels sont en effet les objectifs de formation à atteindre. La CNIL en lien avec le ministère propose un référentiel de formation en ce sens.

Découvrez un exemple d’accompagnement des élèves réalisé par Sanah Mnaouare, professeure de Mathématique au collège de Sèvres. L’article met en avant les concepts de la e-éducation et l’usage de la plateforme Éléa.

RGPD : concrètement !

Pour bien commencer : se questionner !

Au delà de la nécessaire définition de ce qu’est une donnée personnelle, quatre aspects essentiels :

la nature des données récoltées,
la finalité du traitement,
le consentement éclairé (Avant de demander l’autorisation de procéder à un traitement de données tout responsable de traitement doit toujours détailler les données qu’il compte utiliser, la finalité pour laquelle il veut les utiliser et comment il entend s’en servir),
la minimisation du recueil de données au strict minimum utile.

Pour mieux comprendre : les CGU !

Une réflexion doit également être amorcée quant aux conditions générales d’utilisation des services les plus communs, non professionnels, qui sont utilisés. En effet, ces CGU ne sont pas toujours simple à comprendre pour les non-initiés. Voici quelques outils en lignes qui visent à aider les utilisateurs :

La fiche réflexe

Enfin, pour vous accompagner dans le choix des services et applications nécessitant des traitements de données à caractère personnel, l’académie met à disposition une infographie précisant le processus d’enregistrement du traitement de données au sein de l’établissement (registre de l’établissement) ou de l’école (registre académique).
Cette fiche réflexe présente le processus d’enregistrement d’un traitement de données à caractère personnel dans le registre de l’établissement ou académique.


Fiche réflexe version PDF

Une règle essentielle, avant d’utiliser un service avec vos élèves, rapprochez-vous de votre hiérarchie afin de vérifier ou faire vérifier sa conformité au RGPD.

Pour allez plus loin

Dans le cadre de la Continuité pédagogique, le groupe RGPD a rédigé un article et des fiches sur le choix des services en ligne dans le respect des données à caractère personnel des usagers.

En complément, dans le cadre de la continuité pédagogique, la CNIL publie des conseils.

[1] Qu’est-ce qu’une donnée à caractère personnel ?
La définition donnée par le RGPD (article 4) est la suivante : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
Ces données peuvent être issues de différents supports, papier, fichier informatique, photo, enregistrement audio ou vidéo …
Les données directement identifiantes sont par exemple, le nom, le prénom, le mail nominatif, une photo …
Les données indirectement identifiantes sont par exemple un numéro d’enregistrement d’une fiche nominative, un numéro de téléphone … Toutes données qui par croisement avec une autre base peuvent identifier une personne.
Une troisième catégorie étant les combinaisons d’informations qui peuvent permettre d’identifier une personne.

[2] DPD : Délégué à la Protection des Données

[3] DPO : data protection officer

[4] Maîtriser vos données personnelles

Découvrir

Pratiquer

À voir aussi

2010- 2020 - Délégation académique au numérique éducatif -
Plan du site | Mentions légales | Flux RSS | Se connecter

Délégation académique au numérique éducatif