RGPD : enseignants, tous concernés !
- Infographie réalisée par la CNIL
Le Règlement général pour la protection des données, est un règlement européen applicable depuis le 25 mai 2018 dans toute l’Union Européenne. Ce texte vise à renforcer la protection des données à caractère personnel [1] des personnes physiques et responsabilise les acteurs qui collectent, traitent, analysent, stockent les informations.
En tant qu’enseignant vous êtes donc confrontés à deux situations :
- Vous êtes usagers de services ou applications nécessitant des traitements de données à caractère personnel, le RGPD vous apporte des éléments renforçant la protection de vos données ;
- Vous êtes prescripteurs de services ou applications à destination de vos élèves ou collègues, vous devez signaler ces traitements de données s’ils impliquent des données à caractère personnel auprès du chef d’établissement pour les EPLE et de l’IEN de la circonscription pour les écoles. Ces traitements s’ils sont conformes au RGPD seront inscrits au registre de l’EPLE ou de l’académie pour les écoles.
Pour information, pour un EPLE, le responsable des traitements est le chef d’établissement. Pour une école, Madame la Rectrice est responsable. Dans les deux cas de figure, les responsables de traitement s’appuient sur un conseiller qui est le délégué à la protection des données (DPD [2], ou DPO [3] en anglais)
Afin de vous accompagner à la fois pour faire respecter vos droits et vérifier que les services que vous mettez en œuvre pour vos élèves sont conformes, le ministère et Canopé ont créé un parcours de formation sur M@gistère et un guide :
- L’article « Adoptez des réflexes pour le choix des services en ligne » ;
- Le guide Canopé « COMPRENDRE ET APPLIQUER LES NOUVELLES RÉGLEMENTATIONS DANS LES ÉTABLISSEMENTS SCOLAIRES » ;
- Le parcours M@gistère « Les données à caractère personnel au cœur des établissements ».
RGPD : une protection pour les usagers !
La loi informatique et liberté du 6 janvier 1978 et ses modifications apportaient déjà un cadre de protection aux usagers. Le RGPD renforce ce cadre en obligeant les responsables des traitements de données à plus de transparence et de respect de la vie privée.
L’usager est donc en droit de maîtriser ses données personnelles [4].
Quels sont les droits de tous les usagers ? (Cliquez pour déplier les blocs)
Au-delà des données à caractère personnel exploitées par ces traitements, l’usager doit rester vigilant et se poser la question :
Est-ce que ces données personnelles sont nécessaires au bon fonctionnement de ce service ? Par exemple, est-ce que mon adresse mail personnelle est utile pour valider mon inscription si je ne veux pas recevoir d’offres promotionnelles ?
Cela amène la notion de règles auxquelles doit se conformer un organisme mettant en œuvre ces traitements de données (voir les 8 règles d’or ci-dessous). La connaissance de tous ces éléments doit nous permettre d’utiliser ces services en conscience et confiance, avec le recul nécessaire.
Il est à noter que certains aménagements sont possibles selon des contextes définis par le règlement européen lui-même. Par exemple lorsqu’un traitement de données est utilisé de manière directe pour exécuter une obligation de service public, il ne peut y avoir d’utilisation du droit à la portabilité ou du droit à l’oubli (effacement). C’est le cas pour les données liées à l’inscription des élèves dans une école ou un EPLE par exemple.
RGPD : comment le respecter ?
- vecteur créé par freepik
Le RGPD encadre la collecte, l’utilisation et la conservation des données personnelles par 8 règles d’or (à parcourir ci-après) auxquelles tout organisme privé ou public doit se conformer. Ces règles constituent un gage juridique pour les responsables de traitements et un facteur de transparence et de confiance pour les usagers.
Il n’est pas demandé à l’enseignant de vérifier cela, mais d’être sensible à la conformité au RGPD du service ou de l’application qu’il souhaite utiliser avec ses élèves.
(Cliquez pour déplier les blocs)
Les enseignants doivent consulter leur hiérarchie avent toute mise en œuvre de traitement de données. Tout traitement de données personnelles mise en œuvre sans l’accord de ladite hiérarchie fait peser une responsabilité.
RGPD : comment éduquer ?
Suite à l’application du RGPD, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été modifiée. Notamment la déclaration d’un âge légal pour consentir un traitement de données à caractère personnel :
En application du 1 de l’article 8 du règlement (UE) 2016/679 du 27 avril 2016, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans.
Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.
Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne.
Une précision, à partir de quinze ans, un mineur peut consentir uniquement à un traitement de données relatif à l’inscription à un service en ligne de type offre directe de service de la société de l’information. Pour tous les autres traitements, le mineur de 15 ans ou plus reste soumis à l’autorisation de ses responsables légaux ; tout au plus le mineur devra exprimer lui aussi son consentement mais ce dernier ne pourra prévaloir.
L’éducation à un usage citoyen, responsable et éthique des services numériques constitue une priorité d’action, tout particulièrement auprès des jeunes en âge de créer des comptes personnels.
La protection des données et de la vie privée constitue un volet clé de l’éducation au médias et à l’information. En ce sens, les personnels éducatifs ont un rôle essentiel à jouer dans cette éducation citoyenne au numérique.
Acquérir une connaissance et une compréhension critiques des droits et responsabilités, développer auprès des jeunes une démarche réflexive sur les usages qui sont faits des données personnelles, sensibiliser sur les risques et enseigner les pratiques permettant de se mouvoir dans l’environnement numérique avec confiance, lucidité et dans le respect des droits de chacun : tels sont en effet les objectifs de formation à atteindre. La CNIL en lien avec le ministère propose un référentiel de formation en ce sens.
Découvrez un exemple d’accompagnement des élèves réalisé par Sanah Mnaouare, professeure de Mathématique au collège de Sèvres. L’article met en avant les concepts de la e-éducation et l’usage de la plateforme Éléa.
RGPD : concrètement !
Pour bien commencer : se questionner !
Au delà de la nécessaire définition de ce qu’est une donnée personnelle, quatre aspects essentiels :
- la nature des données récoltées,
- la finalité du traitement,
- le consentement éclairé (Avant de demander l’autorisation de procéder à un traitement de données tout responsable de traitement doit toujours détailler les données qu’il compte utiliser, la finalité pour laquelle il veut les utiliser et comment il entend s’en servir),
- la minimisation du recueil de données au strict minimum utile.
Pour mieux comprendre : les CGU !
Une réflexion doit également être amorcée quant aux conditions générales d’utilisation des services les plus communs, non professionnels, qui sont utilisés. En effet, ces CGU ne sont pas toujours simple à comprendre pour les non-initiés. Voici quelques outils en lignes qui visent à aider les utilisateurs :
- Quelles sont les mentions obligatoires sur un site internet ?
- RGPD : exemples de mentions d’information (Cnil)
- RGPD en pratique : communiquer en ligne (Cnil)
- TOSDR : un site (en anglais) pour aider à mieux comprendre les CGU de quelques services
- Privacyspy : un site (en anglais) pour aider à mieux comprendre les CGU de quelques services
Une règle essentielle, avant d’utiliser un service avec vos élèves, rapprochez-vous de votre hiérarchie afin de vérifier ou faire vérifier sa conformité au RGPD.
Pour allez plus loin
- Présentation du RGPD sur le site de la CNIL
- RGPD : par où commencer ?
- Le MOOC de la CNIL
- Educnum
- 10 principes clés pour protéger les données de vos élèves
- La mallette des parents - La protection des données des enfants
Dans le cadre de la Continuité pédagogique, le groupe RGPD a rédigé un article et des fiches sur le choix des services en ligne dans le respect des données à caractère personnel des usagers.
En complément, dans le cadre de la continuité pédagogique, la CNIL publie des conseils.