7 bonnes pratiques pour protéger les données d’un établissement scolaire

RGPD : 7 bonnes pratiques à destination des écoles et universités

Le milieu scolaire et universitaire accuse un certain retard dans le développement technologique, qui se répercute sur la rapidité de sa mise en conformité au RGPD.

En effet, très nombreuses au sein de ces établissements, les données des élèves sont conservées sans limite dans la durée. De plus, aucune échéance de mise en conformité n’a légalement été adoptée pour le secteur de l’éducation et de la formation, ce qui explique également le retard accusé par ce secteur.

Afin d’y pallier, voici notre proposition des 7 bonnes pratiques à suivre.

1. Choisir des outils numériques de confiance

Les établissements du secteur éducatif doivent porter une attention toute particulière au choix des logiciels, sites et plateformes adoptées en tant que supports d’enseignements. Cela implique, dans un premier temps, de privilégier l’utilisation de plateformes recommandées ou développées par le Ministère de l’éducation nationale, dont la liste figure sur le site Eduscol.

En outre, l’application Apps.education recense les outils libres de droit sur lesquels les écoles et universités peuvent se baser pour dispenser leurs cours à distance.

Dans le cas où le logiciel sélectionné par l’établissement ne figurerait pas sur ces listes, il est recommandé de privilégier les logiciels répondant aux deux critères suivant :

• les logiciels et sites hébergeant les données au sein de l’Union Européenne
• les logiciels et sites assurant la non-réutilisation commerciale des données des élèves

Enfin, il s’agit également d’informer sur l’utilisation d’un site ou d’une plateforme en ligne.

Il est indispensable dès lors de :

• faire remonter l’information à la direction de l’école
• s’assurer que l’information a bien été transmise aux parents d’élèves, pour qu’ils puissent représenter leurs enfants dans l’exercice de leurs droits
• s’appuyer sur des personnes compétentes en la matière afin de s’orienter et confronter ses choix : Responsable de traitement, DPO, etc.

Il est primordial d’accorder une importance toute particulière au choix des outils sélectionnés. Un outil sera considéré comme sous-traitant ou prestataire de l’établissement puisqu’il traite des données collectées pour le compte des institutions éducatives.

2. Intégrer le principe de minimisation

Le principe de minimisation prévoit que « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Les établissements scolaires et universitaires doivent donc veiller à limiter leurs collectes et leurs traitements des données aux informations strictement nécessaires à la réalisation de l’activité ou de la formation concernée.

Ils doivent en outre vérifier que les données personnelles sont, une fois leur traitement abouti, réellement archivées ou supprimées. Il apparaît que c’est justement sur ce point que les établissements du secteur éducatif sont le plus en retard dans leur conformité RGPD.

Il est donc urgent pour ces établissements de développer et d’appliquer une politique fixant les durées de conservation des données personnelles des élèves. Pour cela, ils peuvent s’appuyer sur le guide pratique de la CNIL en la matière et former leurs responsables de traitement.

3. Respecter le droit à l’image des élèves et étudiants

Le droit à l’image, en tant que composant du droit des personnes physiques au respect de la vie privée, est un peu à part du RGPD. Mais il rejoint la protection des données personnelles, puisque la photographie d’une personne, en tant que donnée identifiante, est une donnée à caractère personnel et que cela concerne le droit des personnes.

Lorsque les établissements du secteur éducatif mettent en place des systèmes de vidéosurveillance et de vidéoprotection, ils collectent et traitent les données personnelles des élèves, mais aussi celles des membres du service éducatif.

Ces systèmes de surveillance doivent ainsi respecter un certain nombre d’obligations, inhérentes autant au respect du droit à la vie privée qu’au respect des dispositions du RGPD. C’est pourquoi la CNIL a publié un article avec ses recommandations et conseille vivement aux établissements d’adopter une « charte d’utilisation de la vidéosurveillance ».

Les établissements doivent veiller à ne pas instaurer de surveillance permanente et continue, et à laisser les espaces de vie des élèves et du personnel scolaire sans vidéosurveillance.

4. Sensibiliser à la protection des données personnelles

La protection des données à caractère personnel passe également par la sensibilisation des équipes pédagogiques, des élèves et des familles des élèves aux enjeux de la protection de leurs données.

Le personnel des établissements scolaires doit être formé au RGPD, afin de pouvoir ensuite transmettre cette sensibilisation à leurs élèves et à leurs parents. Il faut que les enseignants et les élèves développent une pleine conscience des enjeux liés à la protection de leurs données personnelles.

Il s’agit d’une étape indispensable afin qu’ils puissent non seulement exercer leurs droits en toute connaissance de cause, mais également pour que de meilleurs moyens numériques soient utilisés pour former les élèves.

Les équipes pédagogiques peuvent notamment se baser sur le référentiel international de formation des élèves à la protection des données de la CNIL, qui répertorie et développe les compétences de base à maîtriser. L’imposition du MOOC de la CNIL sur le RGPD est également un moyen performant de sensibiliser les élèves et les étudiants aux enjeux de la protection de leurs données personnelles.

5. Instaurer des mesures de sécurité adéquates

La protection des données personnelles au sein du secteur éducatif passe également par la mise en place de mesures de sécurité adéquates. Il s’agit notamment de créer des pseudonymes pour chaque élève et membre du corps professoral, qu’ils devront obligatoirement utiliser lors de leurs connexions. L’obligation d’insérer des mots de passe et des logiciels antivirus sur les ordinateurs des professeurs et des élèves est également impérative.

De manière plus globale, les chefs d’établissements scolaires et universitaires devront suivre les recommandations de la CNIL, qui sont résumées au sein de son guide de la sécurité des données personnelles. Il leur faudra alors mettre en place des mesures de sécurité techniques, mais également organisationnelles afin de sécuriser autant l’informatique que les locaux physiques.

6. Se mettre en contact avec un Data Protection Officer

Le Ministère de l’éducation nationale a mis en place un réseau de délégués à la protection des données (DPD) pour que chaque académie dispose d’un DPD assigné. Ces DPD (ou DPO) ont pour mission de veiller au respect des dispositions du RGPD au sein de chaque académie sur le territoire national.

Les établissements scolaires et universitaires peuvent donc tirer avantage de la mise à disposition d’un DPD dédié à leur région académique. En effet, se mettre en contact avec le DPD de son académie leur permettra de bénéficier de son analyse et de ses conseils. La mise en conformité au RGPD de l’établissement s’en trouvera ainsi apaisée et pérennisée.

La liste de ces DPD ainsi que la carte interactive créée par le gouvernement pour trouver leurs coordonnées figure sur le site du Ministère de l’éducation.

7. S’appuyer sur les chartes et référentiels du secteur éducatif

Outre ceux mentionnés précédemment au sein de cet article, il existe de nombreux documents à l’appui desquels les établissements scolaires et universitaires pourront réaliser leur mise en conformité au RGPD. En voici une liste non-exhaustive :

• Guide de démarrage pour les établissements scolaires par Microsoft
• Guide sur le RGPD pour les écoles et les enseignants par la School Education Gateway
• Livret pratique de mise en conformité avec le RGPD par l’académie de Créteil
• Guide RGPD à destination des enseignants par l’académie de Besançon
• Infographie interactive à télécharger réalisée par l’académie de Lyon
• Malette à destination des parents d’élèves par le Ministère de l’éducation nationale
• Recommandations de la CNIL à destination des parents d’élèves

Enfin, dernier conseil : S’appuyer sur un outil dédié à la mise en conformité RGPD.

Il est indispensable pour les établissements du secteur de l’éducation d’être particulièrement bien outillés pour faire face à leur mise en conformité RGPD.

C’est ce que nous proposons en mettant à disposition des établissements éducatifs un logiciel clé en main permettant de piloter efficacement le projet de mise en conformité au RGPD.