Les données à caractère personnel

Afficher le sommaire

Le responsable de traitement et ses obligations

Dans le cadre du RGPD, qui est responsable du traitement des données à caractère personnel pour une école, un collège, un lycée, public ou privé ? 

Le 7° de l’article 4 du RGPD définit le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Sauf dans l’hypothèse où le traitement fait l’objet d’un paramétrage local, qui est susceptible de justifier une responsabilité conjointe, les traitements mis en œuvre par le ministère de l’Éducation nationale dans les établissements scolaires relèvent uniquement de la responsabilité du ministre chargé de l’Éducation nationale.

Ce principe s’applique aux traitements mis en œuvre dans les établissements publics mais également dans les établissements privés sous contrat, dès lors que les traitements mis en œuvre relèvent de la com­pétence du ministre chargé de l’Éducation nationale (par exemple, la gestion des personnels). 

Pour les traitements mis en œuvre dans les écoles ou les établissements scolaires à l’initiative d’un personnel (par exemple, un enseignant), la responsabilité incombe à la personne ayant la capacité juridique de représenter l’établissement, notamment en justice dans l’éventualité d’un recours. 

Dans les établissements publics du second degré, qui ont la personnalité morale, c’est le chef d’établissement qui, en sa qualité d’organe exécutif de l’établissement conformément à l’article R. 421-9 du Code de l’éducation, doit être regardé comme le responsable des traitements mis en œuvre dans son établissement.

En revanche, dans les écoles publiques, les directeurs n’ayant pas la capacité juridique de représenter l’école (cf. les articles 2 à 4 du décret n° 89-122 du 24 février 1989 relatif aux directeurs d’école), ce sont les directeurs académiques des services de l’Éducation nationale (DASEN), agissant sur délégation des recteurs d’académie qui, en application de l’article R. 222-19-3 du Code de l’éducation, doivent être regardés comme responsables des traitements mis en œuvre. 

S’agissant enfin des traitements mis en œuvre dans les écoles, collèges et lycées privés, il ne peut y avoir de réponse de principe, dans la mesure où la qualité de responsable de l’établissement dépend du mode de constitution et de fonctionnement de ces établissements.

Chaque responsable de traitement doit-il nommer un délégué à la protection des données (DPD) ? 

En application du 1 de l’article 37 du RGPD, les responsables de traitement et les sous-traitants sont tenus de désigner un DPD lorsque le traitement est effectué par une autorité publique ou un organisme public, ou lorsque l’activité de base de l’organisme consiste en un suivi systématique à grande échelle de personnes ou en un traitement à grande échelle de catégories particulières de données à caractère personnel. 

Les responsables des traitements mis en œuvre dans les écoles, les collèges et les lycées publics sont donc tenus de désigner un DPD. 

Toutefois, le 3 du même article prévoit que « lorsque le responsable de traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille ». 

Une mutualisation du DPD au niveau académique, infra-académique ou de la région académique est donc tout à fait possible.

En revanche, les établissements d’enseignement pri­vés sous contrat, qui ne relèvent d’aucune des dispositions du 1 de l’article 37 du RGPD, ne sont pas soumis à l’obligation de désignation d’un DPD. 

La désignation d’un DPD dans les établissements d’enseignement privés sous contrat n’est donc qu’une faculté prévue par le 4 de l’article 37 du RGPD. 

Si les lignes directrices concernant les délégués à la protection des données adoptées le 13 décembre 2016 par le groupe de protection des personnes à l’égard du traitement des données à caractère personnel, dénommé « G29 », recommandent aux organismes privés chargés d’une mission de service public de désigner un DPD, il ne s’agit néanmoins que d’une recommandation et non pas d’une obligation.

Quels sont les traitements qu’un chef d’établissement doit inscrire dans le registre ? Ce registre doit-il être accessible au public ?

 Le RGPD s’applique à tous les traitements de données à caractère personnel effectués dans le cadre des activités d’un responsable de traitement établi sur le territoire de l’Union européenne, que le traitement ait lieu ou non dans l’Union européenne. 

Les chefs d’établissement n’ont pas à déclarer les traitements qui sont mis en œuvre par des applications nationales ou académiques fournies et diffusées par la direction du numérique pour l’éducation ou les services académiques qu’ils installent sur leurs propres hébergements, dans la mesure où ils sont exploités conformément à leur documentation et n’ont pas été modifiés au niveau de l’établissement. Pour ces applications nationales ou académiques, le périmètre fonctionnel est défini par les directions métiers de l’administration centrale ou du rectorat qui en sont les responsables de traitement. 

En revanche, si les établissements utilisent des données issues des applications nationales, académiques ou recueillies au niveau de l’établissement dans des applications locales ou des services numériques développés indépendamment de l’administration centrale ou du rectorat, ils doivent déclarer ces traitements. 

En application de l’article L. 121-4-1 du Code de l’éduca­tion, ce registre doit être mis à la disposition du public.

Quelles sont les informations qu’un responsable de traitement doit inscrire dans le registre ? 

L’article 30 du RGPD prévoit que chaque responsable de traitement tient un registre des activités de traite­ment effectuées sous sa responsabilité. 

Ce registre doit comporter le nom et les coordonnées du responsable de traitement et du délégué à la protection des données. 

Le registre est composé d’une fiche registre pour chaque activité de traitement qui comporte les informations suivantes :

  •      les finalités du traitement (l’objectif en vue duquel les données sont collectées) ;
  •      les personnes dont les données sont collectées ;
  •      les catégories de données traitées (par exemple, l’identité et des informations professionnelles : nom, prénom et adresse électronique…) ;
  •      les destinataires des données ; 
  •      les transferts éventuels de données à caractère personnel vers un pays tiers ou une organisation interna­tionale et les garanties prévues pour ces transferts ;
  •      les durées de conservation des données collectées ;
  •      une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre pour l’activité de traitement.

Quand le responsable de traitement doit-il demander le consentement des parents, des élèves ou des personnels sous sa responsabilité, pour utiliser un logiciel ou un service numérique ? 

Le 1 de l’article 6 du RGPD du 27 avril 2016 prévoit qu’un traitement de données à caractère personnel n’est licite que dans la mesure où l’une des conditions sui­vantes est remplie :

« a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. » 

Les traitements mis en œuvre dans les établisse­ments d’enseignement relèvent en principe de l’exécution de la mission d’intérêt public dont est investi le responsable de traitement au sens du e) de cet article. En effet, l’utilisation d’un logiciel ou d’un ser­vice numérique à des fins pédagogiques s’inscrit dans le champ du service public du numérique éducatif défini à l’article L. 131-2 du Code de l’éducation. 

Le responsable de traitement n’est, par conséquent, pas tenu de recueillir le consentement des parents, des élèves ou des personnels sous sa responsabilité pour mettre en œuvre un tel traitement. 

Toutefois, si le responsable de traitement n’est pas en mesure de justifier que le traitement qu’il souhaite mettre en œuvre rentre bien dans le champ de la mis­sion d’intérêt public dont il est investi, hypothèse qui apparaît marginale, il est tenu d’obtenir le consente­ment des personnes concernées par le traitement. 

Ce type de traitement devrait cependant rester exceptionnel, car sa mise en œuvre risquerait d’aboutir à des situations de traitement différencié des élèves. En effet, si un parent ou un élève refuse de consentir à la mise en œuvre du traitement en question, l’élève ne pourra pas participer au cours dans les mêmes conditions que les autres élèves, ce qui présente un risque de rupture d’égalité entre les élèves.

Qu’entend-on par un traitement « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique » ? 

Le RGPD du 27 avril 2016 ne définit pas la notion de « mission d’intérêt public » mentionnée au e) du 1 de l’article 6. Il semble, en outre, que cette notion n’est que la traduction littérale du terme anglais « public interest ». 

La notion de « mission d’intérêt public » n’est pas uti­lisée en droit français. On peut toutefois la rapprocher de la notion de « mission de service public », qui est d’ailleurs l’expression utilisée au 3° de l’article 7 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. 

En matière d’enseignement ou d’éducation, un traite­ment peut être regardé comme « nécessaire à l’exé­cution d’une mission d’intérêt public » s’il entre dans le champ de la notion générale de « service public de l’enseignement » ou de celle, plus restrictive, de « service public du numérique éducatif » définie à l’article L. 131-2 du Code de l’éducation. 

Aucune disposition à caractère législatif ou réglementaire ne définit précisément la notion de « service public de l’enseignement ». Toutefois, un titre est expressément consacré aux « Objectifs et missions du service public de l’enseignement » dans le Code de l’éducation (titre II du livre premier de la première partie). Les commentaires du Code Dalloz en proposent la définition suivante : « Les missions du service public de l’enseignement ou de l’éducation […] consistent […] à apporter au titulaire du droit à l’éducation les prestations qui lui permettent d’acquérir un savoir […], un savoir-faire […] et un savoir être […] » 

Au regard de cette définition qui apparaît comme pertinente, pourrait être regardé comme « nécessaire à l’exécution d’une mission d’intérêt public » tout traitement de données à caractère personnel qui aurait pour objet la mise en œuvre d’un outil ou d’un service numérique permettant l’acquisition d’un savoir, d’un savoir-faire ou d’un savoir être.

Quand le chef d’établissement, responsable de traitement, doit-il demander une étude d’impact ? Qui la réalise ? 

L’article 35 du RGPD prévoit que la réalisation d’une analyse d’impact relative à la protection des données (AIPD) s’impose « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’en­gendrer un risque élevé pour les droits et libertés des personnes physiques ». 

Le règlement énonce, en outre, que la réalisation d’une analyse d’impact est particulièrement requise dans trois cas :

  •      « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire » ;
  •      « le traitement à grande échelle de catégories parti­culières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 » ;
  •      « la surveillance systématique à grande échelle d’une zone accessible au public ». 

Par ailleurs, le règlement charge les autorités de contrôle, autrement dit, en France, la Commission nationale de l’informatique et des libertés (CNIL), d’établir des listes des opérations de traitement sou­mises à une analyse d’impact ou au contraire pour lesquelles aucune analyse d’impact n’est requise. 

Ces listes sont toutefois toujours en cours d’élabora­tion par la CNIL à ce jour. 

Dans l’attente de la publication de ces listes, il convient de se référer aux lignes directrices concer­nant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est susceptible d’engendrer « un risque élevé » aux fins du RGPD, lignes directrices qui ont été adoptées le 4 avril 2017 par le groupe de protection des personnes à l’égard du traitement de données à caractère per­sonnel, dénommé « G29 ». 

Ces lignes directrices sensibilisent les responsables de traitement sur les neuf critères suivants :

  •      évaluation ou notation, y compris les activités de profilage et de prédiction ;
  •      prise de décision automatisée avec effet juridique ou effet similaire significatif ;
  •      surveillance systématique ;
  •      données sensibles ou données à caractère haute­ment personnel (sont visées, à ce titre, les données mentionnées aux articles 9 et 10 du RGPD, outre les données liées aux communications électroniques, les données de localisation ou encore les données financières) ;
  •      données traitées à grande échelle (notamment au regard du nombre de personnes concernées, du volume de données collectées, de la durée du traite­ment et de son étendue géographique) ;
  •      croisement ou combinaison d’ensembles de données ;
  •      données concernant les personnes vulnérables (enfants, demandeurs d’asile, par exemple) ;
  •      utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
  •      traitements qui empêchent l’exercice d’un droit ou emportent l’exclusion d’un contrat. 

Le G29 estime nécessaire la réalisation d’une AIPD lorsqu’au moins deux de ces neuf critères sont réunis. 

Le responsable de traitement doit donc, dès la conception du traitement, se poser la question de la nécessité de réaliser une étude d’impact, en ana­lysant l’ensemble des éléments qui viennent d’être exposés. 

Il est toutefois à noter qu’une seule et même analyse d’impact peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés identiques. 

Dans les établissements publics d’enseignement, l’AIPD doit être effectuée par le chef d’établissement, en sa qualité de responsable de traitement, avant la mise en œuvre du traitement. À cette fin, il peut demander conseil au délégué à la protection des données qui a également pour mission de vérifier la bonne exécution de cette analyse. 

La maîtrise d’ouvrage, la maîtrise d’œuvre et la per­sonne chargée de la sécurité des systèmes d’informa­tion peuvent également intervenir dans la réalisation de l’AIPD. De la même manière, lorsqu’un sous-trai­tant intervient dans le traitement, il doit fournir son aide et les renseignements nécessaires à la réalisa­tion de l’AIPD. 

Le RGPD prévoit, en outre, la possibilité pour les res­ponsables de traitement de consulter les personnes concernées. 

Il convient enfin de rappeler que la CNIL a décidé de laisser aux responsables de traitement un délai de trois ans à compter du 25 mai 2018 pour se mettre en conformité avec la réglementation relative à l’ana­lyse d’impact lorsqu’un traitement déjà mis en œuvre et régulièrement déclaré avant le 25 mai 2018 (récépissé, autorisation, avis de la CNIL ou inscription au registre d’un correspondant informatique et libertés) est susceptible de relever des conditions de réalisation de l’AIPD. 

En revanche, dans tous les autres cas où elle est requise, une AIPD devra être réalisée immédiatement :

  •      pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
  •      pour les traitements antérieurs au 25 mai 2018 et régulièrement mis en œuvre, mais qui ont fait l’objet d’une modification substantielle depuis l’accomplis­sement des formalités préalables qui leur étaient applicables ;
  •      pour tout nouveau traitement de données mis en œuvre après le 25 mai 2018. 

La CNIL met à disposition des guides facilitant la réalisation de ces études d’impact. Si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l’étude. Le responsable de traitement peut s’appuyer sur les conseils du délégué à la protection des don­nées de son académie.

Un chef d’établissement peut-il renseigner des régimes alimentaires suivis par les élèves et les professeurs dans une application de gestion de cantine développée par une collectivité territoriale ou une entreprise privée ? 

Conformément au c) de l’article 5 du RGPD du 27 avril 2016 et au 3° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, les données collectées doivent être adé­quates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont col­lectées (principe de minimisation).

L’indication des régimes alimentaires suivis par les élèves et les professeurs a pour objet de permettre aux responsables des cantines scolaires d’être en mesure de proposer des plats de substitution ou des repas spéciaux. 

Un chef d’établissement peut donc renseigner les régimes alimentaires suivis par les élèves et les pro­fesseurs dans une application de gestion de la res­tauration scolaire à la condition qu’aucune donnée relative à la santé ou faisant apparaître l’opinion reli­gieuse ne soit collectée. 

En effet, la collecte de telles données, qui sont consi­dérées comme des données sensibles au sens de l’article 9 du RGPD et de l’article 8 de la loi du 6 janvier 1978, pourrait apparaître comme excessive au regard de la finalité du traitement. 

Pour que le principe de minimisation des données soit respecté, les mentions relatives au régime ali­mentaire doivent, par conséquent, être le plus neutre possible. Par exemple, les mentions « sans porc » ou « sans viande » peuvent être indiquées dans un tel traite­ment, mais les mentions « halal » ou « casher » ne doivent pas apparaître, dans la mesure où elles révèlent l’appartenance religieuse des intéressés et excèdent ainsi la finalité pour laquelle elles ont été collectées. 

De même, les mentions « sans gluten » ou « sans ara­chides » peuvent être renseignées ; en revanche, les mentions « allergique au gluten » ou « allergique aux arachides » ne peuvent pas apparaître puisqu’elles constituent des données relatives à la santé qui excèdent la finalité du traitement. 

Ces points étaient précisés dans l’ancienne norme simplifiée 58 (NS 58) « Affaires scolaires, périsco­laires, extrascolaires et petite enfance » issue de la délibération n° 2015-433 du 10 décembre 2015 portant adoption d’une norme simplifiée relative aux traite­ments automatisés de données à caractère person­nel mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé gérant un service public aux fins de gérer les services en matière d’affaires scolaires, périscolaires, extras­colaires et de petite enfance, consultable sur le site de la Commission nationale, de l’informatique et des libertés (CNIL).

Même si cette norme n’a plus de valeur juridique eu égard à la suppression des formalités préalables de déclaration depuis le 25 mai 2018, elle peut utilement servir de cadre pour la mise en œuvre d’un traitement relatif à la restauration scolaire et extrascolaire. En effet, en application des dispositions du a) bis du 2° du I de l’article 11 de la loi du 6 janvier 1978, la CNIL envisage de convertir les anciennes normes simpli­fiées en référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel.

La NS 58, qui devrait devenir un référentiel, prévoyait notamment que lorsque la prise en charge sanitaire et psychologique du mineur ou du professeur néces­site de collecter des renseignements portant sur les allergies et pathologies, les informations relatives à la santé doivent être fournies de manière facultative et ne peuvent être recueillies qu’après avoir obtenu le consentement exprès de la personne concernée, ou dans le cas d’un élève mineur, celui de son représen­tant légal. 

Comme tout traitement de données à caractère per­sonnel, une application de gestion de cantine qui serait mise en œuvre par un établissement scolaire et non par une collectivité territoriale doit faire l’objet d’une inscription sur le registre des activités de traite­ment tenu par le responsable de traitement, à savoir le directeur académique des services de l’Éducation nationale (DASEN), agissant sur délégation du recteur d’académie pour les écoles, et le chef d’établisse­ment pour les établissements scolaires. 

Les personnes concernées par le traitement doivent en outre être informées des caractéristiques de ce traitement dans les conditions prévues par les articles 13 et 14 du RGPD. 

Elles doivent ainsi être informées de l’identité et des coordonnées du responsable de traitement, des coor­données du délégué à la protection des données, des finalités, de la base juridique du traitement, du carac­tère obligatoire ou facultatif du recueil des données et des conséquences pour la personne en cas de non-fourniture des données, des destinataires, de la durée de conservation des données, du droit des personnes concernées (opposition, accès, rectification, efface­ment, limitation), du droit d’introduire une réclama­tion (plainte) auprès de la CNIL.

Le cas échéant (selon que le consentement est ou non nécessaire à la mise en œuvre du traitement pour certaines données), les personnes concernées doivent également être informées du droit de retirer leur consentement à tout moment. 

Enfin, des informations supplémentaires doivent leur être communiquées en cas de collecte indirecte de données, à savoir : les catégories de données recueillies et les sources des données (en indiquant notamment si elles sont issues de sources accessibles au public).

Pendant combien de temps un chef d’établissement peut-il conserver des informations contenant des données à caractère personnel ? 

L’article 5 du RGPD prévoit que les données à carac­tère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles ces données sont traitées. 

La durée de conservation des données à caractère personnel dépend, par conséquent, de la nature des données et des objectifs poursuivis par le traitement. Cette durée de conservation doit donc nécessaire­ment être déterminée dès la conception du traite­ment par le responsable de traitement, sauf si un texte impose une durée précise.

Quelles informations le chef d’établissement doit-il donner aux membres de son conseil d’administration ? 

Le 2° de l’article R. 421-23 du Code de l’éducation prévoit que le conseil d’administration, sur saisine du chef d’établissement, donne son avis sur les principes de choix des manuels scolaires, des logiciels et des outils pédagogiques. 

L’avant-dernier alinéa du même article prévoit par ailleurs que le chef d’établissement peut consulter le conseil d’administration sur les questions ayant trait au fonctionnement administratif général de l’établissement. 

Par conséquent, le chef d’établissement doit consul­ter le conseil d’administration préalablement à la mise en œuvre d’un logiciel ou d’un outil pédagogique et peut le consulter sur tout projet de traitement de données à caractère personnel ayant pour finalité le fonctionnement général de l’établissement. 

Pour que le conseil d’administration puisse se pronon­cer en toute connaissance de cause, il paraît oppor­tun que le chef d’établissement lui présente toutes les caractéristiques du traitement qu’il souhaite mettre en œuvre. Il peut ainsi utilement donner aux membres du conseil toutes les informations qui doivent figurer dans le registre des activités de traitement en appli­cation de l’article 30 du RGPD.