Cadre et acteurs du RGPD en milieu scolaire
Qu’elles soient administratives ou pédagogiques, les données à caractère personnel des élèves doivent être protégées. Le registre de traitement des données personnelles est un outil central au respect du RGPD en milieu scolaire. Prêt à en savoir plus ?
Transcription
Martin est directeur d’école primaire. Il a repéré un outil numérique de communication entre l’école et les familles qui lui semble vraiment intéressant. Mais il s’interroge sur son droit à utiliser cet outil.
Vers qui peut-il se tourner pour que le règlement général sur la protection des données (le RGPD) soit respecté ?
C’est le moment de faire le point sur :
- le cadre du RGPD et notamment le registre de traitement ;
- ainsi que sur ses acteurs que sont le responsable de traitement et le délégué à la protection des données.
Le registre des traitements retrace les réponses aux questions qu’il faut toujours se poser lorsqu’on utilise un outil numérique : quelles sont les données personnelles qui seront collectées et comment seront-elles utilisées ?
Ce document recense, pour l’établissement, l’ensemble des recueils et traitements de données des élèves et des personnels effectués à travers toutes les applications et activités en ligne mises en œuvre dans l’établissement.
Pour chaque outil numérique utilisé, il indique :
- Quelles informations sont fournies par l’utilisateur ? Lesquelles sont collectées directement par l’application elle-même ?
- Pour quelles finalités ?
- Qui y aura accès ? Où sont-elles stockées ?
- Pour combien de temps ?
- Et quelles sont les mesures garantissant leur protection ?
C’est donc dans ce registre, accessible en ligne, que Martin trouve la liste des outils autorisés pour son école…
L’application qu’il a repérée ne s’y trouve pas, il doit donc demander son inscription : elle sera acceptée si elle satisfait aux exigences du RGPD et Martin pourra alors l’utiliser !
Ce document est accessible à tous les personnels et élèves de l’établissement ainsi qu’aux parents, car il est public et accessible sur simple demande.
Eh oui ! Le principe de responsabilisation imposé par le RGPD charge chaque établissement d’interroger et de garantir la conformité de ses pratiques, de les documenter et de renseigner les usagers.
En cas de contrôle, la CNIL (Commission nationale de l’informatique et des libertés) peut examiner le registre des traitements des données de l’école de Martin.
Mais qui tient ce registre ? C’est le travail du ou de la responsable de traitement. Pour le second degré, cette personne est le chef d’établissement. Pour le premier degré, c’est le DASEN, par délégation du recteur d’académie.
Pourquoi cette différence ?
C’est une question de responsabilité légale : les établissements du second degré bénéficient d’un statut autonome et peuvent être représentés par leurs chefs d’établissement devant la loi. Ce qui n’est pas le cas des écoles qui n’ont pas de statut juridique. Les directeurs et directrices doivent donc s’en remettre au DASEN.
Être responsable de traitement permet de disposer d’une vue d’ensemble. Il ou elle :
- analyse et consigne la manière dont les données personnelles sont utilisées dans la structure ;
- forme les agents et informe les usagers ;
- et c’est la seule personne habilitée à contractualiser avec un prestataire de logiciel ou de matériel numérique.
Martin va donc s’adresser à son DASEN pour demander cette inscription au registre.
Mais à qui le DASEN va-t-il de son côté s’adresser en retour pour obtenir l’expertise dont il va avoir besoin ?
Eh bien, pour mener sa mission de pilotage local, le responsable de traitement peut s’appuyer sur sa ou son DPD : le délégué(e) à la protection des données. Cette personne est missionnée pour lui apporter expertise, assistance et conseil. Elle peut alerter en cas de problème.
Il existe un DPD à l’échelle nationale pour le ministère de l’Éducation nationale. Mais chaque académie possède son propre DPD, unique et mutualisé pour l’ensemble des établissements du premier et du second degrés.
Autonome et indépendant, c’est un acteur incontournable des démarches liées au RGPD. Il peut être contacté à l’adresse-type dpd@ac-le nom de l’académie.fr, par toute personne concernée par un traitement de données.
Alors… si Martin a encore un doute concernant l’utilisation de cet outil, il peut demander conseil à son délégué à la protection des données. Ce sera l’assurance de communiquer en toute sécurité avec les familles !
Crédits
- Scénario : Nicolas Chevallier, Kimi Do, Benjamin Thily
- Direction de publication : Marie-Caroline Missir
- Production : Réseau Canopé
- Partenariat : Pix
- Licence : CC BY-NC-ND 4.0
Ressource produite avec le soutien du ministère de l’Éducation nationale et de la Jeunesse