Application du RGPD dans les écoles supérieures

RGPD Education Supérieure : Episode 01 : Prospection et Recrutement

Partie 1 : Traitements “Classiques”

La prospection et le recrutement de professeurs

Nous commençons ici une série d’articles, par épisodes, sur le RGPD et le Secteur de l’Education Supérieure.

Le secteur de l’éducation supérieure se doit d’être particulièrement attentif à l’application du RGPD.

Outre les traitements « classiques » de données personnelles, ce secteur a ses particularités propres que les responsables de traitements, leurs DPO et les conseils qui les accompagnent doivent prendre en compte.

Nous allons lister ici, quelques-uns de ces traitements, « classiques » (dans nos premiers épisodes) puis ceux spécifiques et pointer certains enjeux particuliers.

Ces articles ne se veulent en aucun cas exhaustifs et chaque chef d’établissement devra prendre le plus grand soin dans son approche initiale de bien s’assurer de répertorier tous les traitements que son ou ses établissements mettent en jeu.

Sources : Imapct RGPD / Olivier Mondin

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courants comme :

–         L’établissement d’un fichier de prospection

–         Le recrutement de collaborateurs

–         La paye

–         Le contrôle d’accès à ses locaux

–         Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le fichier de prospection et durée de conservation

La CNIL recommande que la durée de conservation d’informations personnelles concernant les prospects d’une entreprise ne dépasse pas 3 ans après la première acquisition. L’éducation supérieure, privée par exemple, recrute selon deux principales voies. La prospection directe via les salons, les conférences, les présentations dans les écoles et son site internet. Elle recrute aussi via un service d’agents, principalement étrangers (intra ou hors Europe) qui lui fournissent des listes de prospects qualifiés ou encore même organisent eux même la vente des programmes de formation.

Cette prospection est réalisée bien souvent auprès d’enfant mineurs, au sens de la loi, mais majeurs digitaux (> 16 ans). Il est assez fréquent que des mineurs de 16 ans viennent donner leur contact aux écoles qu’ils souhaitent intégrer après le BAC. C’est-à-dire à un horizon 2 ans. L’intégration peut avoir lieu aussi en deuxième ou troisième année de premier cycle, voire en deuxième cycle. Dans ce dernier cas, finalement assez fréquent, entre l’acquisition initiale des données personnelles et la « Vente » ou « contractualisation » il peut y avoir une latence de l’ordre de 3, 4 ou 5 ans.

Ce traitement nécessite alors, au moment de la collecte et de la durée de conservation, une attention particulière du conseil en RGPD, du DPO et du RT.

Le recrutement de collaborateurs : les professeurs et intervenants

Les établissements travaillent bien souvent avec une base de professeurs permanents mais aussi des intervenants (vacataires ou en honoraires). Dans tous les cas, au moment du recrutement et parfois même en amont, est demandé de fournir un CV mais aussi un Extrait de Casier judiciaire. Dans nombre d’établissements, un original de cet extrait de casier, est conservé pour une durée importante (1 an …voire à vie…..et oui). Cette durée est imposée par les rectorats, en contradiction avec les recommandations de la CNIL sur ce sujet particulier. Qui a raison ?

Là aussi le RT et le DPO (avec le support de la CNIL) devront se pencher sur la question. définir la licéité de la durée de conservation parfois contradictoire avec les demandes administratives des rectorats et/ou des préfectures.

 

RGPD et Education Supérieure :
Episode 02 : Paye – Contrôle d’accès – Planning

Partie 1 : Les traitements classiques

Episode 2 : Paye, Contrôle d’accès et Planning

Dans le premier épisode nous avons discuté de quelques spécificités de l’éducation supérieure quant à l’établissement d’un fichier de prospection et du recrutement de collaborateurs (spécifiquement les professeurs et intervenants).

Dans cette partie nous traitons le triple cas la paye, le contrôle d’accès aux locaux et le planning et la relation entre ces trois activités en matière de RGPD.

Préambule :

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courant comme :

  • L’établissement d’un fichier de prospection
  • Le recrutement de collaborateurs
  • La paye
  • Le contrôle d’accès à ses locaux
  • Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le triplet :  Paye-Contrôle d’accès – Planning

Une école ou université doit gérer ces trois axes avec des contraintes spécifiques.

Pour la paye, contrairement à une entreprise classique qui est composée d’une majorité de personnels permanents, l’éducation supérieure fait appel en permanence à des professeurs et intervenants dont le volume horaire est faible ou réduit et dont le travail s’effectue sur une grande période de temps (exemple 30 heures de cours sur 3 mois).

Le suivi des activités de ces personnes est totalement lié au planning qui rapproche 4 pivots : un horaire – une classe d’étudiants (nommément identifiés) – une salle de cours (géolocalisée) et un intervenant (lui ou elle aussi identifié). Le rapprochement de ces 4 pivots est nécessaire à la réalisation d’une paye ou d’un rapprochement de facture (si intervenant en honoraires).

D’autre part, les écoles (universités) réalisent de plus en plus un contrôle d’accès par badge tant pour l’accès physique aux bâtiments que pour suivre la présence des étudiants en cours, ou des professeurs (en cours eux aussi).

On peut avoir ici une double finalité à l’utilisation d’un badge nominatif : ouvrir et contrôler la présence.

  • Le contrôle d’accès suit une finalité de sécurité physique.
  • Le contrôle de présence suit une double finalité de jugement académique (points en moins si trop d’absence ou non validation d’un cours pour les étudiants) mais aussi parfois une finalité liée au règlement des salaires des étudiants en alternance par exemple.

Cette double finalité d’un dispositif unique demande un traitement particulier et une approche spécifique des durées de conservation, particulièrement si le stockage des données d’accès / présence est utilisé (comme c’est le cas…mais rarement) dans le cadre de la formation en Alternance ou Apprentissage (contrats de professionnalisation par exemple) comme moyen de « signature » de la présence des étudiants et professeurs pour la prise en charge des frais de scolarité ou de règlement des salaires par les OPCA concernées.

Dans une université ou école comprenant au même endroit…des étudiants en formation initiale et des étudiants alternants, la durée de conservation des historiques de présence doit donc être clairement séparée et gérée de façon univoque.

De même, les données de planning (des intervenants et des étudiants) sont des données de pseudo géolocalisation quand elles sont rapprochables du contrôle d’accès et doivent aussi retenir l’attention du responsable de traitement, de son conseil et de son DPO.