Actuellement, très peu de solutions numériques garantissent la protection des données à caractère personnel (DCP) de leurs utilisateurs, même si elles peuvent prétendre le contraire. S’il n’est pas réaliste de renoncer aux usages de ces applications, on ne peut non plus recommander leur utilisation quand elles mettent en œuvre des traitements de données d’élèves, de parents et des personnels. La probabilité de contrôle de la CNIL est accentuée par la facilité de saisine concédée par le RGPD aux personnes propriétaires de ces données.

Le RGPD(Règlement Général pour la Protection des Données) régit le traitement des données à caractère personnel (TDCP) dans tous les Etats de l’Union Européenne depuis le 25 mai 2018.

Ce règlement cherche à garantir la libre circulation des données, protéger la vie privée des personnes physiques à l’égard des TDCP, garantir les droits des personnes physiques sur leurs données (droits d’accès, de rectification, d’effacement, de limitation au juste nécessaire, d’opposition au traitement, de déclaration auprès de la CNIL et d’action collective, droits d’être informé de leurs données traitées ainsi que des finalités des traitement), rendre compte du contrôle des TDCP contre tout usage non autorisé par l’intéressé.

Sont considérées comme données à caractère personnel (DCP) toute information se rapportant à une personne physique identifiée ou identifiable par des procédés de recoupements de données :

• Identifiants : nom, email, téléphone, pseudo, adresse IP ;
• Biométrie : âge, sexe, ADN, empreinte digitale ;
• Idéologie : intérêts, opinions, croyances ;
• Dossier médical ;
• Géolocalisation et déplacements ;
• Navigation Internet ;
• Consommations ;
• Relations : famille, amis, contacts ;
• Réseaux sociaux ;
• Revenus ;
• Transactions ;
• Médias : photos, vidéos, podcast ;
• Conversations : SMS, appels, métadonnées.

Les DCP doivent être sécurisées et traitées de manière licite, loyale et transparente, collectées pour des finalités déterminées, explicites et légitimes, exactes et limitées au nécessaire au regard des finalités sinon effacées ou corrigées, conservées pendant une durée n’excédant pas celle nécessaire aux finalités (article 5 du RGPD, paragraphe 1).

Sont considérées comme traitement des données à caractère personnel (TDCP) les opérations suivantes : collecter, enregistrer, consulter, modifier, organiser, limiter, structurer, utiliser, extraire, transmettre, mettre à disposition, publier, effacer, interconnecter.

Le TDCP est licite si au moins une de ces condition est remplie (article 6 du RGPD) :

• Consentement de l’intéressé ;
• Nécessité du TDCP
• À l’exécution du contrat auquel l’intéressé est partie ;
• Au respect des obligations légales auxquelles le responsable des traitements (RT) est soumis ;
• À la sauvegarde des intérêts vitaux d’une personne physique ;
• À l’exécution d’une mission d’intérêt publique dont le RT est investi ;
• À des fins légitimes poursuivies par le RT ou son représentant sauf respect des droits fondamentaux de la personne notamment si c’est un enfant.

Le responsable des traitements (RT) est la personne physique ou l’organisme qui déter-mine les finalités et les moyens du TDCP. Il est responsable du respect de l’article 5, pa-ragraphe 1 et il est en mesure de démontrer que cet article est respecté.

Chaque RT doit tenir un registre de tous ses traitements (article 30), registre dis-ponible aux personnes intéressées sur demande (article 15, droit d’accès).

Les échanges de données doivent faire l’objet d’une convention entre RT eu égard au RGPD.
En dehors des traitements induits par les applications nationales et académiques, le RT est le recteur et, par délégation, le chef d’établissement pour les TDCP en EPLE et les DASEN pour les TDCP dans les écoles. Il désigne un délégué à la protection des données (DPD) agréé par la CNIL (autorité nationale indépendante de contrôle de la mise en œuvre du RGPD).

Le sous-traitant est la personne physique ou l’organisme qui effectue les TDCP pour le compte du RT.

Au niveau du rectorat, le groupe de travail pour la confiance numérique (GTCN) étudie certaines solutions proposées par des éditeurs d’applications et services numériques au regard de :

• Leur niveau de protection des données personnelles de la communauté éducative ;
• L’équité de leur modèle économique ;
• La neutralité commerciale de l’institution quand elle a recours à ces services.

Les retours du GTCN aux éditeurs permettent à ces derniers de mettre leurs solutions numériques en conformité avec le règlement général de protection des données et les attentes de l’académie. Une fois ce travail effectué avec succès, l’application est homologuée par le rectorat ¹ ce qui rend possible un conventionnement avec les directeurs académiques, responsable des traitements (RT). Ce conventionnement rend licite l’utilisation du service numérique par une école ou un enseignant.

L’utilisation d’applications non conventionnées à l’initiative d’un enseignant ou d’une équipe pédagogique fait l’objet d’une interdiction du recteur depuis la rentrée de septembre 2020.

Dans le cadre du projet d’équipement numérique des écoles, les collectivités territoriales peuvent prévoir des applications et services proposés par des éditeurs privés. Le maire qui fait l’acquisition des licences devient alors coresponsable avec le DASEN des traitements (RT) des données à caractère personnels utilisées par ces solutions numériques. Par conséquent, il est recommandé de ne recourir qu’aux applications, ressources et ser-vices encadrés par le GAR.