Les données à caractère personnel

Afficher le sommaire

Relation avec les représentants légaux des élèves

Un CPE peut-il créer des fichiers au nom des élèves dans le système informatique, afin de suivre de manière annuelle, voire pluriannuelle, certains élèves « à problèmes » ? 

Dans la mesure où il implique la collecte de données relatives à l’identité des élèves, un tel fichier consti­tue un traitement de données à caractère personnel au sens du RGPD du 27 avril 2016 et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. 

Comme tout traitement de données à caractère personnel, il doit, avant sa mise en œuvre, faire l’objet d’une analyse au regard de la réglementation appli­cable et d’une inscription sur le registre des activités de traitement du chef d’établissement, dans les conditions prévues à l’article 30 du RGPD. 

En effet, un conseiller principal d’éducation (CPE) n’a pas la capacité juridique de représenter l’établisse­ment scolaire. 

En l’espèce, pour pouvoir mettre en œuvre un tel trai­tement, plusieurs points prévus à l’article 5 du RGPD devraient faire l’objet d’une attention particulière de la part du responsable de traitement. 

La finalité du traitement devrait être précisée. En effet, la notion « d’élèves à problèmes » est trop floue pour pouvoir être regardée comme déterminée, explicite et légitime au sens du b) du 1 de l’article 5 du RGPD. Il conviendrait de mentionner précisément l’objet de ce traitement. 

Il convient par ailleurs de veiller à ne collecter que des données adéquates, pertinentes et limitées à ce qui est nécessaire à la finalité du traitement dans le respect du principe de minimisation des données prévu au c) du 1 de l’article 5 du RGPD. Cela implique, par exemple, que le traitement en question ne pourrait pas traiter de don­nées relatives à la religion des personnes concernées ou des données relatives à la prévention, la recherche, la constatation ou la poursuite des infractions pénales dont le traitement est réservé à certains organismes prévus à l’article 9 de la loi du 6 janvier 1978 et qui ne peut être autorisé que par un acte réglementaire en application de l’article 26 de la loi du 6 janvier 1978. 

Il est également nécessaire de faire preuve d’une vigi­lance particulière si le fichier comporte des champs de commentaires libres. La Commission nationale de l’in­formatique et des libertés (CNIL) rappelle, en effet, de façon constante, que les appréciations mentionnées dans les champs libres doivent toujours être objectives et jamais excessives ou insultantes. Le responsable de traitement doit être informé que ces zones de commen­taires ne doivent pas comporter de données sensibles au sens de l’article 9 du RGPD ou de l’article 8 de la loi du 6 janvier 1978. Par exemple, lorsqu’il s’agit de suivre des élèves présentant des troubles psychiatriques, les données de santé les concernant constituent des données sensibles, dont le traitement est en principe interdit, sauf exception prévue par le RGPD concernant les traitements mis en œuvre par les acteurs de santé dont ne fait pas partie un CPE. Les données de santé ne peuvent donc en aucun cas apparaître dans les champs de commentaires libres. 

En application du e) du 1 de l’article 5 du RGPD, la durée de conservation des données ne devrait pas excéder celle nécessaire au regard des finalités pour lesquelles les données sont traitées. Il faudrait, par conséquent, que le chef d’établissement soit en mesure de justifier la conservation pluriannuelle des fichiers. 

Enfin, les personnes concernées devraient être dûment informées des caractéristiques du traitement dans les conditions prévues aux articles 13 et 14 du RGPD.

Des parents ne souhaitent pas que soit utilisé le livret scolaire unique numérique pour leur enfant. Peuvent-ils le refuser ? 

L’exercice du droit d’opposition est strictement enca­dré par le RGPD et par la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. 

En effet, l’article 21 du RGPD prévoit que la personne dont les données sont collectées a le droit de s’op­poser à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de données à caractère personnel la concernant nécessaire à l’exécution d’une mission d’intérêt public. Dans ces conditions, le responsable de traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impé­rieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne dont les don­nées sont collectées. 

Il résulte de ces dispositions du RGPD que si les parents de l’élève dont les données personnelles sont traitées dans le livret scolaire unique numérique entendent s’opposer à ce traitement, ils ne peuvent le faire qu’à la condition d’exposer des raisons tenant à leur situation particulière, ce qui exclut des raisons tenant à des considérations d’ordre général. 

Dans une telle hypothèse, il appartiendra alors au responsable de traitement, en l’espèce le ministère de l’Éducation nationale pour le livret scolaire unique numérique, de démontrer qu’il existe des motifs légi­times et impérieux à traiter les données de leur enfant dans le livret scolaire unique numérique.

Un représentant légal d’un élève peut-il demander qu’un service numérique privé ne soit pas utilisé par un enseignant ? 

Dès lors qu’un service numérique utilisé par un ensei­gnant est mis en œuvre sur le fondement du e) du 1 de l’article 6 du RGPD (traitement nécessaire à l’exécu­tion d’une mission d’intérêt public), le représentant de l’élève a le droit de s’opposer à tout moment à ce trai­tement de données à caractère personnel, en appli­cation des dispositions du 1 de l’article 21 du RGPD, pour des raisons tenant à sa situation particulière, c’est-à-dire pour des raisons tenant à la situation personnelle de l’élève ou de ses responsables, ce qui exclut les oppositions de principe à la mise en œuvre d’un traitement de données. Une demande non moti­vée au regard de la situation particulière de l’intéressé peut donc être rejetée. 

En revanche, dans l’hypothèse où la personne concer­née a suffisamment motivé sa demande au regard de sa situation personnelle, il appartient au responsable de traitement, pour pouvoir continuer à traiter les données, de démontrer qu’il existe des motifs légi­times et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée.

Par ailleurs, lorsque le service numérique n’est pas nécessaire à l’exécution d’une mission de service publique, sa mise en œuvre nécessite le recueil du consentement des responsables des élèves ou des élèves s’ils sont majeurs. 

Dans cette hypothèse, le responsable de l’élève pourra refuser de donner son consentement ou le reti­rer à tout moment.

Un représentant légal d’un élève peut-il demander à disposer des données à caractère personnel recueillies par l’établissement scolaire ? 

L’exercice du droit d’accès prévu à l’article 39 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés permet à toute personne physique de savoir si des données la concernant sont traitées et d’en obtenir la communi­cation dans un format compréhensible. Il permet éga­lement de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

La délivrance d’une copie des données détenues par le responsable de traitement sur une personne phy­sique constitue ainsi une modalité d’exercice de ce droit d’accès. 

En l’espèce, le responsable de traitement, ou le ser­vice auprès duquel s’exerce le droit d’accès, doit ainsi être en mesure de faire parvenir à l’élève concerné, ou à son représentant légal s’il est mineur, une copie des données qu’il détient sur lui et de le renseigner sur :

  •      les finalités d’utilisation de ces données ;
  •      les catégories de données collectées ;
  •      les destinataires ou catégories de destinataires qui ont pu accéder à ces données ;
  •      la durée de conservation des données ou les critères qui déterminent cette durée ;
  •      l’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition) ;
  •      la possibilité de saisir la Commission nationale de l’informatique et des libertés (CNIL) ;
  •       toute information relative à la source des données collectées si celles-ci n’ont pas directement été col­lectées auprès de l’intéressé ;
  •      l’existence d’une prise de décision automatisée, y compris en cas de profilage, et la logique sous­jacente, l’importance et les conséquences pour la personne d’une telle décision ;
  •      l’éventuel transfert des données vers un pays tiers (non-membre de l’Union européenne) ou vers une organisation internationale. 

Cette demande de droit d’accès peut s’exercer par divers moyens (voie électronique ou courrier) et doit être accompagnée de tout document permettant de prouver l’identité du demandeur. Lorsque le respon­sable de traitement ou le sous-traitant a des doutes raisonnables quant à l’identité de cette personne, il peut toutefois demander des informations supplé­mentaires sur l’identité du demandeur, y compris, lorsque la situation l’exige, la photocopie d’un titre d’identité portant la signature du titulaire.