Vous êtes ici :

La communication de données personnelles par un établissement scolaire

par Julie Garçon (CNDP - DAJ),
[février 2014]

Mots clés : question juridique

  • Google+
  • Imprimer

Une question : Un lycée souscrit, via le chèque ressources numériques, un abonnement auprès d'un site de soutien scolaire qui demande le nom et le prénom ainsi que la classe des élèves et des enseignants. Est-il nécessaire de faire une demande d'avis auprès de la CNIL ?

Une réponse : Les noms, prénoms et classes des élèves et des enseignants constituent des données à caractère personnel. En effet, l'article 2 de la loi du 6 janvier 1978 modifiée définit la notion de donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ».

Les dispositions de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, s'appliquent dans les établissements publics locaux d'enseignement (EPLE). Le chef d'établissement, en tant que représentant de l'État et organe exécutif, est donc responsable des traitements de données à caractère personnel mis en place dans son établissement ainsi que des formalités de déclaration auprès de la CNIL.. Ces données ne peuvent être recueillies et traitées que pour un usage déterminé et légitime correspondant aux missions de l'établissement.

En conséquence, l'établissement doit informer toutes les personnes concernées par le traitement des données collectées (parents d'élèves, élèves, enseignants…), mais également garantir la sécurité de ces données en évitant que des tiers non autorisés ne puissent y accéder. Les informations relatives aux élèves et aux enseignants, enregistrées pour une finalité définie, ne peuvent donc être communiquées qu'aux destinataires de plein droit dans des cas définis par la déclaration effectuée auprès de la CNIL, que peuvent être les services administratifs de l'établissement, les enseignants, l'équipe pédagogique, les parents d'élèves pour ce qui concerne leur enfant, les services de l'inspection académique, du rectorat et de la mairie. En dehors des hypothèses limitativement énumérées, l'établissement ne peut donc communiquer d'informations relatives aux personnels et aux élèves qu'après avoir obtenu l'autorisation expresse des intéressés ou de leurs représentants légaux.

A défaut d'autorisation, le fait pour un responsable de traitement de communiquer à un tiers n'ayant pas qualité pour les connaître des données à caractère personnel constitue une infraction pénale punie de 5 ans d'emprisonnement et de 300 000 euros d'amende (article 226-22 du code pénal).

En conclusion : Les données à caractère personnel demandées à l'établissement par un prestataire privé tel un site de soutien scolaire non prévu comme destinataire autorisé de ces données, ne peuvent être transmises à moins d'en avoir préalablement informé les personnes concernées (enseignants et parents d'élève) et d'avoir obtenu leur accord expresse pour cette communication. La demande d'avis auprès de la CNIL est donc sans objet car elle ne pourra en aucun cas dispenser l'établissement de cette demande d'autorisation.

L'établissement peut cependant éviter cette procédure en mettant ne place un traitement de données à caractère personnel spécifique pour la finalité poursuivie, et déclarer ce traitement à la CNIL. Dès lors que le conseil d'administration a validé ce traitement et cette procédure, l'établissement peut alors transmettre les données nécessaires à la mise en place de ce service, les élèves pouvant cependant, après avoir été informés de leurs droits de rectification, de consultation et d'opposition, refuser la communication de leurs données personnelles pour des motifs légitimes.

 

Recherche avancée