Le Règlement Général sur la Protection des données
Pour comprendre le RGPD, il y a plusieurs éléments à connaître et à prendre en compte de manière générale. Nous détaillerons ensuite au bas de cette page quelques cas concrets qui concernent les enseignants dans l'exercice de leur métier.
Le RGPD expliqué par la Commission nationale informatique et liberté (CNIL)
(source : article RGPD sur le site de la CNIL)
Le sigle RGPD signifie « Règlement Général sur la Protection des Données ». Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il est entré en application le 25 mai 2018.
Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
Qui est concerné par le RGPD ?
Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu'elle est établie sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
Il concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
À L'école, il s'applique donc dès lors qu'une donnée personnelle d'un élève ou d'un personnel de l'établissement est collectée.
Dans le 1er degré, c'est le DASEN qui est responsable du traitement des données, dans le 2nd degré, c'est le chef d'établissement. Pour certains services particuliers, cela peut-être le ministre de l'Éducation nationale (pour les ENT ou pour Apps Education par exemple), ou le recteur / la rectrice d'académie (messagerie électronique professionnelle).
Qu'est-ce qu'une donnée personnelle ?
La notion de « données personnelles » est à comprendre de façon très large. Il s'agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :
- directement (exemple : nom, prénom)
- ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)
- à partir du croisement d’un ensemble de données qui permet de remonter jusqu'à une personne physique (exemple avec une base de données marketing, politique, syndicale...: une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)
Qu'est-ce qu'un traitement de données personnelles ?
Cette notion est également très large. Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).
Exemple : tenue d’un fichier élève, collecte de coordonnées des parents sur une fiche de rentrée...
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes condition.
Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle. Ainsi, on peut se demander s'il est légitime pour un enseignant de demander la profession des parents sur une fiche de rentrée dans la mesure où cela n'a aucun intérêt pédagogique et risque même d'influencer la manière dont est évalué l'élève à travers un biais de notation. Pierre Merle a montré dans son ouvrage "Les pratiques d'évaluation scolaires" qu'à compétences égales les enfants des classes sociales aisées sont systématiquement notés avec plus d'indulgence que leurs camarades issus de milieux populaires ou défavorisés.
Cas concrets de traitements de données personnelles par les enseignants
Un enseignant demande à ses élèves de remplir un questionnaire de cours et à besoin d'identifier les répondants.
Un enseignant souhaite demander à ses élèves de compléter un formulaire ou un questionnaire en ligne pour réaliser une évaluation diagnostique avant de commencer son cours. Pour savoir qui a répondu, il a besoin de récupérer des informations nominatives (personnelles) sur l'élève (nom, prénom).
Récupérer des informations nominatives est considéré comme un traitement de données à caractère personnel (DCP), et dès lors, le RGPD s’applique.
Afin de ne pas prendre de risques inutiles voici quelques conseils minimalistes en 2 points :
1 - Quelles sont vos obligations en tant qu'enseignant :
La personne qui endosse la responsabilité d’un Traitement de Données à Caractère Personnel est le Responsable de Traitement. Pour un établissement du second degré c'est Le chef d’établissement, le DASEN dans le premier degré. Il est donc impératif d’obtenir son accord car vous engagez sa responsabilité et la votre ! Le chef d’établissement devra par ailleurs inscrire ce traitement dans le registre de traitement de l'établissement.
D’après le RGPD (cf. art13 ), depuis 2018, il est obligatoire d’informer les Personnes Concernées (celles dont vous souhaitez collecter des données ou leurs représentants légaux) avant la mise en place d'un traitement de données . Cette information doit notamment mentionner les raisons du traitement (sa finalité), les données collectées et leurs destinataires. Elle doit également rappeler aux personnes concernées qu’elles ont des droits (rectification, effacement, droit à l’oubli…) ainsi que la personne à saisir pour faire respecter ces droits.
2 - Quels sont les outils préconisés ?
Pour arriver à vos fins, sans exposer inutilement votre responsabilité et celle de votre chef d’établissement nous ne pouvons que vous conseiller d’utiliser les solutions que procurent les ENT et les outils académiques ou nationaux, nativement adaptés et respectueux des données à caractère personnel (APPS éducation ,RESANA …). Ces outils ont déjà fait l’objet d’une évaluation de sécurité et apportent des garanties suffisantes.
En effet, l'utilisation par exemple d'un Google forms ou d'un formulaire Office comme outil de questionnaire est problématique. Comme avec la plupart des offres en ligne similaires, le responsable de traitement accepte les conditions que lui impose son « sous-traitant » en validant ses conditions générales d'utilisation et sa politique de confidentialité. La problématique est que vous ne disposez alors d'aucun contrat pour garantir le bon respect des données que vous avez collectées et dont vous êtes responsable.
Par ailleurs, vous devez vous assurer que la société et ses serveurs sur lesquels transitent les données sont situés sur le territoire de l’Union européenne sinon les choses se compliquent et vous devrez notamment obtenir le consentement des personnes concernées (et non la seule information).
Cas d'utilisation de diverses applications pédagogiques
Les DRANE de Grenoble et Lyon, en partenariat avec les chargés de projet à la protection des données de ces académies ont élaboré un outil qui vous permet de savoir, en fonction des usages pédagogiques envisagés, si une application répond ou non aux exigences du RGPD et dans le cas contraire, ce qu'il convient de faire.
Cet outil, qui dispose d'un moteur de recherche avec des filtres est disponible sur cette page : https://dane.ac-lyon.fr/spip/Applications-et-RGPD