Pourquoi choisir votre Atelier Canopé préféré ?
Les données à caractère personnel
Produire et publier des contenus
Dans le cadre d’un cours ou d’un voyage scolaire, la classe réalise des photos, de petites vidéos et des enregistrements audio qui seront mis en ligne sur le site internet de l’établissement ou sur une plateforme d’échange privée. Quelles précautions prendre ? Doit-on obtenir l’accord des représentants des élèves ? Des élèves eux-mêmes ?
Toute mise en ligne de photos ou de vidéos dans lesquelles apparaîtraient des élèves nécessite d’obtenir préalablement l’autorisation de l’élève s’il est majeur ou de ses responsables s’il est mineur en application de l’article 9 du Code civil qui dispose que « chacun a droit au respect de sa vie privée ». Il est en effet de jurisprudence constante que le droit au respect de la vie privée permet à toute personne de s’opposer à la diffusion, sans son autorisation expresse, de son image.
L’autorisation de diffusion doit être écrite, spéciale et suffisamment précise quant aux conditions d’utilisation de l’enregistrement ou de la photo, de la durée de publication et du territoire d’exploitation concerné. L’autorisation étant spéciale, toute utilisation différente de celle qui a été autorisée par la personne nécessite une nouvelle autorisation.
Il est, par conséquent, possible de publier sur le site internet de l’établissement des photographies ou enregistrements qui illustrent une activité pédagogique telle qu’une sortie scolaire, sous réserve que les élèves pour lesquels l’autorisation de diffusion n’a pas été obtenue n’apparaissent pas ou soient « floutés ».
Dans un souci de protection des élèves, il est toutefois grandement préférable de privilégier une publication sur un site intranet ou sur un site disposant d’un accès restreint plutôt que sur un site internet.
Par ailleurs, l’image d’une personne constituant une donnée à caractère personnel dès lors qu’elle se rapporte à une personne identifiée ou identifiable, un site internet ou intranet sur lequel sont publiées des photos et des vidéos d’élèves constitue un traitement de données à caractère personnel soumis aux dispositions du RGPD du 27 avril 2016 et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
Les sites intranet ou internet des établissements scolaires collectent et traitent, en outre, beaucoup d’autres données à caractère personnel, telles que des adresses électroniques ou des données d’identification des personnels des établissements. Il convient dès lors de veiller à ce que les traitements de données à caractère personnel relatifs à la mise en œuvre par un établissement scolaire d’un site intranet ou internet fassent l’objet d’une inscription sur le registre du responsable de traitement (le DASEN sur délégation du recteur d’académie dans le premier degré ou le chef d’établissement dans le second degré) et d’une information des personnes concernées dans les conditions prévues par les articles 13 et 14 du RGPD.
Si l’établissement a recours à une entreprise privée pour l’hébergement ou le transfert des données, cette entreprise doit être considérée comme un sous-traitant au regard de la réglementation applicable en matière de droit des données à caractère personnel. Un contrat de sous-traitance doit donc être conclu dans les conditions prévues par l’article 28 du RGPD.
Un élève peut-il créer un site internet pour sa classe, afin de relayer des informations pour ses camarades (changements de cours, professeurs absents, etc.) ?
Il convient tout d’abord de rappeler qu’un site internet est a priori accessible à tous. Dans le cadre de la diffusion d’informations concernant la vie interne d’un établissement scolaire, il est préférable de privilégier la diffusion sur un site intranet dont l’accès est restreint aux seules personnes concernées par l’information.
Même s’il est créé par un élève, un site relayant des informations relatives à des changements de cours ou des absences de professeurs à destination de l’ensemble des élèves de la classe ne peut pas être regardé comme un traitement de données effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique au sens du c) du 2 de l’article 2 du RGPD du 27 avril 2016. S’il comporte des données à caractère personnel (par exemple, le nom des professeurs et la discipline enseignée), un tel traitement est donc soumis aux dispositions du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
S’agissant d’un traitement concernant le fonctionnement de l’établissement, seuls les directeurs académiques des services de l’Éducation nationale (DASEN) pour les écoles et les chefs d’établissement pour les collèges et lycées pourraient le mettre en œuvre régulièrement.
Le traitement ne pourrait être mis en œuvre que dans le respect des exigences du RGPD, notamment de son article 5 : finalité déterminée, explicite et légitime, minimisation des données, durée de conservation n’excédant pas celle nécessaire à la finalité du traitement, etc. Il devrait, en outre, faire l’objet d’une inscription sur le registre du responsable de traitement dans les conditions prévues à l’article 30 du RGPD. Les personnes concernées devraient, par ailleurs, être informées des caractéristiques de ce traitement dans les conditions prévues par les articles 13 et 14 du RGPD.