Annie Spratt, Unsplash

Le Règlement Général de la Protection des Données (RGPD) entré en application le 25 mai 2018 a bouleversé tous les secteurs d’activité. Le secteur de l’éducation n’a pas fait exception à la règle : les établissements scolaires, qu’ils soient privés ou publics, doivent se conformer au RGPD. Les enjeux sont multiples et le secteur de l’éducation a connu, avec la crise sanitaire, des changements importants qui doivent être mis en regard du RGPD.

Maintenir la conformité RGPD dans les établissements scolaires

La conformité au RGPD des établissements scolaires se fait au niveau académique : un DPO est nommé dans chaque académie et doit guider l’intégralité des établissements scolaires dans leur conformité au RGPD. Les missions d’un DPO au niveau académique sont les mêmes qu’un DPO au sein d’une entreprise : il doit veiller à la mise en conformité RGPD de l’académie et doit la maintenir sur le long terme. Il doit également travailler avec l’intégralité des acteurs du secteur afin qu’ils s’y conforment et maintiennent un score RGPD satisfaisant. Le DPO académique travaille en étroite collaboration avec le DPO au niveau ministériel et doit présenter un bilan annuel au recteur.

Chaque académie doit gérer tous les établissements qui constitue des entités juridiques. Le logiciel Data Legal Drive présente de nombreux avantages dans ce cadre. Il permet aux DPO de piloter plusieurs entités, de pouvoir inclure les différentes parties prenantes dans le processus de mise en conformité et de pouvoir assurer le suivi de la formation.

Le focus sur les données collectées par les établissements scolaires

Les établissements scolaires collectent des données personnelles qui peuvent être des données sensibles. L’enjeu majeur est de veiller à ne collecter que les données essentielles, de déterminer les finalités et durées de conservation.

Les données collectées par le système éducatif sont des données concernant des mineurs, elles doivent donc faire l’objet d’un consentement préalable des tuteurs légaux et sont considérées comme des données sensibles.

Dans le cadre de statistiques, les établissements scolaires peuvent être amenés à demander des informations sur la profession et la catégorie socio-professionnelle des tuteurs légaux. Il n’est, en revanche, pas légitime de collecter le statut marital des tuteurs légaux et le numéro de sécurité sociale, par exemple.

Des données sensibles peuvent également être collectées : il est donc évident que celles-ci doivent être parfaitement encadrées. La justification de la vaccination obligatoire de l’enfant est demandée pour toute intégration à l’école. De plus, des données spécifiques peuvent être collectées dans des cas particuliers : présence d’un handicap, nécessité de la mise en place d’un plan d’accueil individualisé ou d’un projet personnalisé de scolarisation. Ces données doivent être traitées en tant que données sensibles et nécessite donc un traitement spécifique.

Dans un 2ème temps, les écoles et universités transmettent les données que ce soit dans le cadre des échanges universitaires mais aussi pour la vie étudiante sur les campus : BDE, BDS, associations étudiantes etc… Les données transmises entre les écoles pour les échanges universitaires relèvent des flux transfrontaliers si ces données-là sont transmises en dehors de l’UE et soumises au RGPD si elles sont transmises au sein de l’UE.

Pour la bonne gestion des établissements, le système éducatif collecte et traite également des données de l’ensemble du personnel : corps enseignant, sous-traitants, intervenants etc…

Les finalités de traitements doivent donc être particulièrement encadrées et les durées de conservation déterminées.

Le rôle de sensibilisation au RGPD du système éducatif

Le système éducatif doit, selon la Convention portant sur l’intégration de la Protection des Données Personnelles dans les usages numériques de l’éducation, « donner à tous les élèves une éducation au numérique également assurer un rôle de formation et de sensibilisation ». L’idée étant de sensibiliser à la protection de ses données personnelles et d’indiquer quels sont les risques potentiels liés à nos données personnelles, il est donc primordial que le corps enseignant soit formé et sensibilisé lui-même.

En théorie, les mineurs peuvent, à partir de 15 ans, consentir au traitement de leurs données. Dans la pratique et selon le sondage et la consultation publique de la CNIL, les jeunes internautes sont de plus en plus présents sur les réseaux sociaux, ont accès à Internet de plus en plus tôt et seulement 46% des parents d’enfants âgés de 8 à 17 ans indiquent avoir mis en place un système de suivi de l’activité de leurs enfants.

Les établissements scolaires sont, très souvent, équipés de systèmes de vidéosurveillance. Les images sont considérées comme des données personnelles et doivent faire l’objet de la même attention que les autres données collectées et traitées. Les établissements se doivent également de sensibiliser sur ce point. Découvrez le modèle de mentions légales à appliquer sur les panneaux de vidéosurveillance par Data Legal Drive.

Pour la protection des mineurs, les tuteurs légaux ont un rôle clé que le système éducatif doit également jouer.

 

Pressfoto, Freepik

La question de la numérisation du système éducatif

Le système scolaire a été grandement bouleversé ces dernières années et la crise sanitaire a accéléré ce processus : les cours, quelque soit le niveau des élèves, ont connu une accélération de leur digitalisation. Les cours en visio se sont démocratisés et s’ancrent dans les organisations scolaires. Depuis quelques années, le suivi de la présence des élèves et le suivi des notes et évaluations se font en ligne également. De plus, le système éducatif collecte des millions de données personnelles des élèves notamment lors des dépôts de candidatures des élèves pour leurs choix d’orientation ou de formations. Les systèmes utilisés doivent être fiables afin de garantir un niveau de sécurité optimal à l’intégralité de ces données collectées en ligne.

Les élèves disposent désormais de matériel informatique à plus grande échelle : tablettes, ordinateurs etc… Il est donc primordial pour le système éducatif, comme évoqué précédemment, de sensibiliser mais aussi de bien encadrer ces accès. C’est pourquoi le Ministère de l’Education Nationale et de la Jeunesse a établi une liste de conseils. Parmi ces conseils, on retrouve l’usage de logiciels développés par le Ministère, l’utilisation de pseudos pour les élèves, le respect du droit à l’image ou encore assurer la sécurité des données collectées grâce à des mots de passe et antivirus. Retrouvez l’intégralité de ces conseils dans l’infographie officielle.

Ils font déjà confiance à Data Legal Drive :

Pascale Bourcier, DPO chez ESCP Europe

« Data Legal Drive m’aide au quotidien à consolider la liste des traitements des différentes entités juridiques pour constituer notre registre. L’outil est très complet et facilite la mise en conformité. Différents onglets permettent de faire de la veille juridique sur le RGPD. On peut également y retrouver des modèles de clauses, de contrats et de mentions ajustés au RGPD. Toutes les informations sont centralisées dans l’application et accessibles en quelques clics.

L’équipe Data Legal Drive est compétente et réactive. Nous ne sommes pas noyés parmi ses clients, elle reste toujours disponible pour nous apporter son aide.

Les différents exports Excel et PDF sont des fonctionnalités très appréciables. »