Les données à caractère personnel

Afficher le sommaire

Recueil et mises à disposition des données personnelles

Des enseignants peuvent-ils échanger sur une messagerie, personnelle ou privée, au sujet d’un élève ?

Les échanges effectués par un enseignant par le biais d’une messagerie personnelle ou privée relèvent de sa vie personnelle. En application du c) du 2 de l’article 2 du RGPD du 27 avril 2016, le règlement n’est pas applicable aux traitements de données à caractère personnel effectués par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. 

Une messagerie privée n’est donc pas un traitement de données à caractère personnel soumis aux dispo­sitions du RGPD.

Une école primaire peut-elle créer un fichier sur un tableur recensant les nom et prénom des élèves, leur classe et leurs demi-journées de présence/absence ? Ce fichier a vocation à être soit diffusé sur le réseau local de l’école afin d’être complété par les enseignants pour leurs classes respectives, soit conservé uniquement sur le poste informatique de direction (et complété par la directrice). Est-ce autorisé ? Et si oui, quelles sont les démarches à effectuer ? 

Dans la mesure où il implique la collecte de données relatives à l’identité et à la vie scolaire des élèves, un tel fichier, qu’il soit ou non diffusé sur le réseau local de l’établissement, constitue un traitement de données à caractère personnel au sens du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. 

Comme tout traitement de données à caractère personnel mis en œuvre dans une école, il doit donc faire l’objet d’une inscription sur le registre des activités de traitement tenu par le responsable de traitement, à savoir le directeur académique des services de l’Édu­cation nationale (DASEN), agissant sur délégation du recteur d’académie. 

Les personnes concernées par le traitement doivent être informées des caractéristiques de ce traitement dans les conditions prévues par les articles 13 et 14 du RGPD.  

Elles doivent ainsi être informées de l’identité et des coordonnées du responsable de traitement, des coor­données du délégué à la protection des données, des finalités, de la base juridique du traitement, du caractère obligatoire ou facultatif du recueil des don­nées et des conséquences pour la personne en cas de non-fourniture des données, des destinataires, de la durée de conservation des données, du droit des personnes concernées (opposition, accès, rectifica­tion, effacement, limitation), du droit d’introduire une réclamation (plainte) auprès de la Commission natio­nale de l’informatique et des libertés (CNIL). 

Le cas échéant, les personnes concernées doivent également être informées de l’existence d’une prise de décision automatisée ou d’un profilage, des infor­mations utiles à la compréhension de l’algorithme et de sa logique, ainsi que des conséquences pour la personne concernée, du droit de retirer son consen­tement à tout moment, du fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat, de la faculté d’accéder aux documents autorisant le transfert de données hors de l’Union européenne (par exemple, les clauses contractuelles types de la Commission européenne). 

Enfin, des informations supplémentaires doivent leur être communiquées en cas de collecte indirecte de données, à savoir : les catégories de données recueillies et les sources des données (en indiquant notamment si elles sont issues de sources accessibles au public).

L’échange de courriels entre les membres de la communauté éducative (élève/élève, professeur/parents, etc.) via une messagerie mise en œuvre par une école est-il considéré comme privé ? 

Il résulte d’une jurisprudence constante de la Cour de cassation que les fichiers et courriels échangés par un salarié à l’aide d’un outil informatique mis à sa dis­position par l’employeur pour les besoins de son tra­vail sont présumés revêtir un caractère professionnel, sauf si le salarié les a expressément identifiés comme revêtant un caractère personnel (ex. : Cass. soc., 16 mai 2013, n° 12-11866). 

Le Conseil d’État n’a, jusqu’alors, pas eu l’occasion de prendre position sur cette question. La cour d’appel de Rennes, statuant en matière pénale, a quant à elle considéré que les courriels échangés par un agent public par le biais d’une messagerie professionnelle sont présumés revêtir un caractère professionnel, sauf à ce que leur contenu intéresse de manière évidente la vie privée de leur auteur (CA Rennes, 14 janvier 2010, n° 972010). 

Le caractère professionnel d’un message peut autori­ser l’employeur, dans certaines conditions et notamment dans le respect de la réglementation en matière de protection des données à caractère personnel, à exercer un contrôle sur la messagerie de l’agent.

En revanche, dès lors que l’objet du courriel échangé par un enseignant avec un parent d’élève mentionne son caractère privé, il doit être regardé comme une correspondance privée couverte par le secret des cor­respondances prévu par l’article L. 32-3 du Code des postes et des communications électroniques et par le droit au respect de la vie privée reconnu par l’article 8 de la Convention européenne des droits de l’homme. 

Les échanges de courriels entre élèves ont, quant à eux, par nature un caractère privé. Ce principe de protection des correspondances des enfants ressort de l’article 16 la Convention relative aux droits de l’enfant. Il n’est donc pas possible de contrôler leurs courriels, y compris lorsqu’ils utilisent la messagerie qui a été mise à disposition par l’école. 

À toutes fins utiles, il est indispensable de rappeler que les messageries électroniques et les dispositifs de contrôle de l’utilisation de ces dernières constituent des traitements de données à caractère per­sonnel au sens de l’article 4 du RGPD et doivent, par conséquent, être inscrits sur le registre des activités de traitement. 

Un chef d’établissement peut-il faire une extraction de l’annuaire de son établissement pour fournir aux enseignants la liste des élèves de leurs classes ? Si oui, quelles informations peuvent y figurer ?

Un annuaire constitue un traitement de données à caractère personnel placé sous la responsabilité du chef d’établissement s’il est mis en œuvre directement par un établissement public local d’enseignement et doit, à ce titre, faire l’objet d’une inscription au registre des activités de traitement conformément aux dispositions de l’article 30 du RGPD.

Pour que le chef d’établissement puisse transmettre via une extraction de cet annuaire la liste des élèves de leurs classes aux enseignants de l’établissement, il faut que les mentions contenues dans le registre pour l’annuaire considéré le permettent. Autrement dit, il faut que cette finalité (l’extraction de données pour les enseignants) soit compatible avec les finalités de l’annuaire et que les enseignants aient été désignés comme destinataires des données du traitement. Il faut en outre que les personnes dont les données per­sonnelles sont traitées, ou leurs représentants légaux s’il s’agit d’élèves mineurs, aient eu connaissance de la transmission des données les concernant à un nou­veau destinataire conformément aux articles 13 et 14 du RGPD. 

Il sera enfin rappelé que si les données concernées par la demande d’export sont collectées dans le traitement de données à caractère personnel intitulé « SIÈCLE », il conviendra de se référer aux mentions contenues dans le registre du ministère de l’Éducation nationale.

Un directeur d’école ou un chef d’établissement peut-il transmettre l’annuaire de son école ou de son établissement à une municipalité ou une collectivité territoriale ? À une association de parents d’élèves ? 

Un annuaire constitue un traitement de données à caractère personnel placé sous la responsabilité du chef d’établissement s’il est mis en œuvre directe­ment par un établissement public local d’enseigne­ment ou du directeur académique des services de l’Éducation nationale (DASEN) pour les traitements de données à caractère personnel mis en œuvre dans les écoles et doit, à ce titre, faire l’objet d’une inscription au registre des activités de traitement conformément aux dispositions de l’article 30 du RGPD. 

Pour que le chef d’établissement ou le DASEN puisse transmettre cet annuaire à une collectivité territoriale ou à une association de parents d’élèves, il faut que la fiche registre le permette. 

Autrement dit, il faut que cette finalité (l’extraction des données pour des collectivités territoriales ou des associations de parents d’élèves) soit compatible avec les finalités de l’annuaire et que les collectivités territoriales ou les associations de parents d’élèves aient été désignées comme destinataires des don­nées du traitement. Il faut en outre que les personnes dont les données personnelles sont traitées, ou leurs représentants légaux s’il s’agit d’élèves mineurs, aient eu connaissance de la transmission des données les concernant à un nouveau destinataire conformément aux articles 13 et 14 du RGPD. 

Il convient toutefois de rappeler que lorsque les données concernées par la demande d’export sont collectées dans les traitements de données à caractère personnel intitulés « ONDE » pour le premier degré ou « SIÈCLE » pour le second degré, il faut se référer aux mentions contenues dans le registre du ministère de l’Éducation nationale.

Quels sont les principes à respecter quand on installe un système de vidéoprotection dans un établissement ? La mise en service du système doit-elle uniquement s’opérer lorsque personne n’est censé être présent dans l’établissement ? 

À titre liminaire, il est utile de rappeler que les forma­lités à effectuer sont différentes selon que le système de vidéosurveillance est mis en œuvre dans un lieu public ou dans un lieu non ouvert au public. 

En effet, les systèmes de vidéosurveillance mis en œuvre dans un lieu public relèvent des dispositions des articles L. 251-1 et suivants du Code de la sécurité publique. Un établissement scolaire ne peut être regardé comme un lieu ouvert au public au sens de l’article 251-2 du Code de la sécurité intérieure. Par consé­quent, un système de vidéosurveillance mis en œuvre à l’intérieur d’un établissement scolaire ne relève pas des dispositions des articles L. 251-1 et suivants du Code de la sécurité intérieure. En revanche, dès lors que le système mis en place permet l’enregistrement d’images permettant l’identification des personnes, il constitue un traitement de données à caractère per­sonnel soumis aux dispositions du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informa­tique, aux fichiers et aux libertés. 

Dans les écoles, la décision de mettre en place un système de vidéosurveillance relève du maire de la commune dans laquelle est implanté l’établissement lorsqu’il s’agit de protéger les biens et les locaux, en dehors de la présence des élèves, en application de l’article L. 212-4 du Code des collectivités territoriales selon lequel la commune est propriétaire des locaux des écoles publiques. 

Dans l’hypothèse où la vidéosurveillance serait mise en œuvre dans le but d’assurer la sécurité des élèves, la décision est soumise à l’avis du conseil d’école en application du g) du 3° de l’article D. 411-2 du Code de l’éducation. Au regard des dispositions de l’article 4 du décret n° 89-122 du 24 février 1989 relatif aux direc­teurs d’école qui dispose que « le directeur contribue à la protection des enfants en liaison avec les ser­vices compétents », la mise en place d’un tel disposi­tif paraît relever de la compétence conjointe de l’État, représenté par le directeur académique des services de l’Éducation nationale (DASEN), et de la collectivité locale. 

Dans les collèges et les lycées, la décision de mettre en place un tel dispositif relève de la compétence du chef d’établissement après délibération du conseil d’administration en application du c) du 7° de l’article R. 421-20 du Code de l’éducation. 

Comme tout traitement de données à caractère per­sonnel, tout système de vidéosurveillance installé dans une école ou un établissement scolaire doit être mis en œuvre dans le respect des exigences des dis­positions du RGPD et de la loi du 6 janvier 1978. 

Ainsi, avant d’inscrire le traitement sur le registre, dans les conditions prévues à l’article 30 du RGPD, le responsable de traitement doit définir précisément la finalité du traitement, ne collecter que des données pertinentes, adéquates et nécessaires à la sécurité des personnes et des biens, veiller à ce que seules les personnes habilitées aient accès aux données collectées et fixer une durée de conservation de ces données strictement nécessaire à la finalité. Sur ce point, la Commission nationale de l’informatique et des libertés (CNIL) a précisé, dans sa délibération n° 94-056 du 21 juin 1994 portant adoption des recom­mandations concernant les dispositifs de vidéosur­veillance, qu’une conservation des données pendant une durée maximale de quinze jours est suffisante pour assurer la sécurité d’un lieu et qu’il est préfé­rable de paramétrer cette durée dans le système pour donner lieu à un effacement automatique.

Par ailleurs, dans l’hypothèse où le traitement aurait pour objet la surveillance systématique de personnes, notamment de mineurs, il serait soumis à une ana­lyse d’impact relative à la protection des données, en application des dispositions de l’article 35 du RGPD. 

Il convient toutefois de préciser que la CNIL juge que des systèmes de vidéosurveillance qui filmeraient en permanence les lieux de vie des établissements (par exemple, cour de récréation, cantines, préaux, jardins, foyers des élèves) constituent une atteinte excessive à la vie privée des personnes. Elle considère en effet que l’utilisation des caméras doit rester limi­tée, dans la mesure où il existe selon elle des moyens moins intrusifs d’assurer la sécurité des personnes. Elle admet toutefois que des circonstances excep­tionnelles puissent justifier la vidéosurveillance des lieux de vie, notamment les actes de malveillance fréquents et répétés dans ces lieux. 

Les personnes concernées doivent être dûment infor­mées des caractéristiques du traitement dans les conditions prévues par les articles 13 et 14 du RGPD.

Un établissement peut-il mettre en place un système biométrique pour gérer les entrées et les sorties de l’établissement ou l’accès à la cantine ? 

Par principe, le paragraphe I de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version issue de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles interdit le traitement des données biométriques aux fins d’identifier une personne physique de manière unique.

Le II du même article prévoit toutefois un certain nombre de dérogations à cette interdiction lorsque la finalité du traitement l’exige, notamment lorsque la personne concernée a donné son consentement exprès.
Avant l’entrée en vigueur du RGPD, le 25 mai 2018, la mise en œuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main pour accéder aux restaurants scolaires était autorisée sous réserve que ces traitements répondent aux conditions fixées par l’autorisation unique AU-009 issue de la délibération de la CNIL n° 2006-103 du 27 avril 2006 et que le responsable d’un tel traitement adresse à la CNIL un engagement de conformité à cet acte. Cette autorisation unique prévoyait en particulier la possibilité, pour les élèves opposés à l’utilisation du dispositif biométrique, de se voir délivrer un badge ou tout autre moyen d’accès à la cantine.
Depuis l’entrée en vigueur du RGPD, cette autorisation unique n’a plus de valeur juridique.
Nouveaux traitements mettant en place un système biométrique d’accès : les traitements qui mettent en place un système biométrique pour gérer l’accès des élèves à la cantine doivent être fondés sur le consentement préalable des personnes concernées. Il conviendra toutefois de veiller à ce que la mise en place de tels dispositifs ne conduise pas à exclure de la cantine les élèves dont les responsables n’auraient pas donné leur consentement à la mise en œuvre du traitement et donc de garantir une possibilité d’accès alternative au service de restauration scolaire (par la délivrance d’un badge, par exemple, ou tout autre système d’accès).
Ensuite, dans la mesure où la mise en place d’un système biométrique pour gérer les entrées et les sorties de l’établissement ou l’accès à la cantine nécessite la collecte de données particulières, au sens de l’article 9 du RGPD, relatives à des mineurs, il doit être considéré comme susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Par conséquent, conformément à l’article 35 du RGPD, le responsable de traitement doit effectuer, avant la mise en œuvre du traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Systèmes de biométrie mis en œuvre avant le 25 mai 2018, date d’entrée en vigueur du RGPD, pour gérer les accès : s’agissant enfin des systèmes de biométrie gérant les accès à l’établissement ou à la cantine mis en œuvre avant l’entrée en vigueur du RGPD, il est nécessaire de recueillir dans les meilleurs délais le consentement des personnes concernées. En cas d’opposition à l’utilisation du dispositif biométrique, les élèves concernés pourront utiliser les modalités alternatives d’accès, d’ores et déjà mises en œuvre, en application de l’autorisation unique AU-009.
Pour ces traitements en cours, qui ont déjà fait l’objet d’un contrôle a priori et donc d’une formalité préalable avant le 25 mai 2018 (autorisation, déclaration avec délivrance d’un récépissé, ou engagement de conformité à une autorisation unique ou norme simplifiée), aucune analyse d’impact relative à la protection des données n’est en revanche exigée dans l’immédiat. Toutefois, il appartient aux responsables de traitement, au terme d’une évaluation du risque, de procéder à une telle analyse d’impact dans un délai de trois ans à compter du 25 mai 2018.
Enfin, en cas de modification substantielle du traitement, l’analyse d’impact devra être effectuée avant la mise en œuvre de la modification dans tous les cas où elle apparaît nécessaire, sans qu’il y ait lieu de distinguer selon que cette nécessité découle de la modification ou des caractéristiques du traitement préexistant.

Un représentant légal d’un élève peut-il demander à disposer des données à caractère personnel recueillies par l’établissement scolaire ? 

L’exercice du droit d’accès prévu à l’article 39 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés permet à toute personne physique de savoir si des données la concernant sont traitées et d’en obtenir la communi­cation dans un format compréhensible. Il permet éga­lement de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

La délivrance d’une copie des données détenues par le responsable de traitement sur une personne phy­sique constitue ainsi une modalité d’exercice de ce droit d’accès. 

En l’espèce, le responsable de traitement, ou le ser­vice auprès duquel s’exerce le droit d’accès, doit ainsi être en mesure de faire parvenir à l’élève concerné, ou à son représentant légal s’il est mineur, une copie des données qu’il détient sur lui et de le renseigner sur :

  •      les finalités d’utilisation de ces données ;
  •      les catégories de données collectées ;
  •      les destinataires ou catégories de destinataires qui ont pu accéder à ces données ;
  •      la durée de conservation des données ou les critères qui déterminent cette durée ;
  •      l’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition) ;
  •      la possibilité de saisir la Commission nationale de l’informatique et des libertés (CNIL) ;
  •      toute information relative à la source des données collectées si celles-ci n’ont pas directement été col­lectées auprès de l’intéressé ;
  •      l’existence d’une prise de décision automatisée, y compris en cas de profilage, et la logique sous­jacente, l’importance et les conséquences pour la personne d’une telle décision ;
  •      l’éventuel transfert des données vers un pays tiers (non-membre de l’Union européenne) ou vers une organisation internationale. 

Cette demande de droit d’accès peut s’exercer par divers moyens (voie électronique ou courrier) et doit être accompagnée de tout document permettant de prouver l’identité du demandeur. Lorsque le respon­sable de traitement ou le sous-traitant a des doutes raisonnables quant à l’identité de cette personne, il peut toutefois demander des informations supplé­mentaires sur l’identité du demandeur, y compris, lorsque la situation l’exige, la photocopie d’un titre d’identité portant la signature du titulaire.