Conformité RGPD : quelles sont les obligations des écoles pour respecter les données personnelles ?

Protection des données : que doivent faire les écoles ?

Avec la dématérialisation grandissante des méthodes d’enseignement, les établissements doivent recourir à divers outils digitaux pour assurer le recrutement des étudiants qui passent des concours dans l’enseignement supérieur ou pour maintenir les formations à distance. Ces derniers viennent grandement appuyer la dispense des cours digitalisés.

Ils permettent aux écoles et universités :

• d’améliorer la pertinence de l’enseignement fourni
• de mieux évaluer les élèves
• de permettre un suivi plus efficace des cours, ainsi que de leur maintien en cette période de COVID-19

Pour autant, ces outils, dans leur fonctionnement même, collectent et traitent des données scolaires. Ces données sont considérées par la CNIL comme étant des données à caractère personnel. Par exemple, les étudiants et les élèves vont entrer leurs données d’identification et de parcours scolaire lors de leur inscription sur les sites et plateformes en ligne. Il s’agit de données personnelles au sens du RGPD.

Ces données personnelles sont nombreuses :

• état civil
• livret de notes
• connexions internet
• parcours scolaire
• autres données « sensibles » (données de santé, politique, religion … etc.)

Sur ce dernier point, par exemple, lorsqu’un élève est atteint d’un handicap nécessitant un temps d’aménagement pour passer ses examens, l’information est inscrite au sein de son dossier scolaire et universitaire. Des données liées à la religion de l’élève peuvent également être spécifiées dans son dossier, par exemple dans le but d’adapter ses repas.

Dans cette perspective, il faut relever que des données a priori peu sensibles au sein du dossier d’un l’élève peuvent, après recroisement, révéler un certain nombre d’information sur la famille. En effet, lorsque les absences de l’élève coïncident régulièrement avec des dates de fêtes religieuses, il est assez aisé d’aboutir à la potentielle appartenance religieuse de l’élève. Ainsi il peut être très simple de remonter à des données extrêmement sensibles par simple recroisement.

Une attention accrue doit donc être portée sur le traitement de données à caractère personnel des élèves, surtout lorsque les données traitées par l’établissement sont celles de mineurs, possiblement âgés de moins de 15 ans.

En effet, le RGPD impose le consentement parental au traitement des données personnelles des mineurs de moins de 15 ans, et plusieurs obligations sont renforcées. Notamment, les données personnelles des mineurs font l’objet d’un renforcement du principe de transparence. Ils doivent être destinataires d’une information claire et simple, aisément compréhensible pour leur âge. Le droit à l’oubli est également renforcé, car la minorité de la personne concernée suffit à justifier une demande d’effacement de ses données.

En outre, les données scolaires accumulées au cours des années finissent par en dire beaucoup sur les élèves et étudiants. Ces données révèlent leurs parcours et leurs préférences. C’est pourquoi elles intéressent autant les acteurs économiques, notamment les réseaux sociaux, qui souhaitent traiter les données à des fins de marketing et de profilage.

D’où l’importance pour les établissements et les professeurs de porter une attention particulière aux plateformes utilisées en tant que support de cours. Opter pour un logiciel sans en contrôler ses conditions d’utilisation, c’est prendre le risque que la plateforme exploite ou revende les données personnelles des élèves à des acteurs économiques privés.

De manière générale, les données scolaires ne sont pas encore assez bien protégées. L’actualité récente le démontre parfaitement : l’académie de Normandie et la députée Sonia Krimi ont été rappelées à l’ordre par la CNIL le 3 septembre dernier pour utilisation illicite de données personnelles de bacheliers.

Ces données, issues du fichier national « OCEAN » dédié à la gestion des examens et concours scolaires, ont été transmises par l’académie de Normandie à la députée Sonia Krimi, dans le but d’envoyer des messages de félicitations aux bacheliers.

il s’agit de transferts et d’une utilisation des données illicites, car non prévues en tant que finalité lors de la création du fichier « OCEAN ». Il en ressort que les enjeux et les règles du RGPD sont bel et bien encore mal compris au sein du secteur de l’éducation.

L’ensemble de ces facteurs doit conduire dès maintenant les écoles, universités et organisme de formation à renforcer leurs stratégies et leurs procédures de protection des données personnelles. Le respect des dispositions du RGPD est un impératif dans le secteur éducatif.