Le RGPD dans l’éducation, un cas d’école(s)

Le RGPD fait parler de lui et, alors que certains se demandent par quel bout engager le sujet dans leur organisation, conscients qu’ils devront – et le plus tôt sera le mieux – s’y conformer, d’autres le voient comme un sujet lointain.

Ne vous y fiez pas trop ; toute organisation,  quelle que soit son activité a, dans une certaine mesure, besoin de questionner son rapport à la protection des données personnelles qu’elle détient, parfois sans en avoir conscience.

Prenons l’exemple du secteur de la formation et allons crescendo…

Sources : Impact-rgpd.fr / Sophie Castelbou

ENTRÉE EN MATIÈRE, LE CAS DE JEAN

Jean est auto entrepreneur et intervient dans le cadre de soutien scolaire à domicile. Il se fait connaitre par le bouche à oreille. Jean ne se sent pas concerné par le RGPD. Pourtant, Jean enregistre son planning de rendez-vous chez ses clients dans un agenda informatique. Il y inscrit, pour chaque rendez-vous, le prénom et le nom de son élève, son niveau scolaire, ainsi que l’adresse et le numéro de téléphone du domicile de la famille. Certains réguliers, d’autres ponctuels, Jean a déjà fait travailler plus d’une centaine d’élèves en 3 ans. Jean est concerné par le RGPD…

  • Il collecte des données personnelles,
  • Il les stocke dans le temps,
  • Certains de ses élèves sont mineurs, sans être « sensibles » ces données concernent des personnes vulnérables,
  • Connait-il le niveau de sécurité de l’application dans laquelle il répertorie les informations sur ses élèves ? Assure-t-il un niveau de sécurité suffisant au niveau de son serveur informatique ? A-t-il un firewall ?

Jean n’a rien à se reprocher dans la manière dont il pratique son activité, il fait même preuve d’un grand professionnalisme qui se traduit par la réussite de ses élèves.

Mais Jean est déjà bien concerné par le RGPD.

POUR ALLER PLUS LOIN, L’ÉCOLE PRIMAIRE ASSOCIATIVE

L’école Imagine est une petite structure associative en milieu rural. Elle a été créée par un collectif de parents soucieux de proposer un enseignement de proximité à la centaine d’élèves de primaire qui habitent la petite commune et la dizaine de hameaux alentours.

4 enseignants et 2 aides scolaires se répartissent la charge d’enseignement et d’encadrement des 3 classes qui constituent l’école. Ces salariés sont répertoriés dans un registre du personnel et l’établissement des fiches de paie ainsi que toutes les démarches liées à l’administration du personnel sont sous-traités à une petite société unipersonnelle locale. Annie, qui en est l’unique représentante, est une ancienne Directrice Administrative d’une grande société qui propose désormais ses services en temps partagé. L’école transmet chaque mois par email à Annie les informations permettant d’établir les bulletins de paie des 6 salariés : présence, congés, primes, arrêts de travail, justificatifs de frais de transports…

L’école connait par ailleurs très bien ses élèves. Elle a enregistré dans son système informatique, pour chacun d’eux, son prénom et son nom, sa date et son lieu de naissance, les noms et prénoms de ses deux parents et leur situation familiale. Elle connait leur adresse postale (et même les deux si les parents sont séparés), les numéros de téléphone personnels et professionnels, leurs professions, les noms et adresses de leurs employeurs… Il arrive occasionnellement qu’un élève ait des difficultés d’apprentissage et soit suivi par un spécialiste, l’un d’entre eux est même accompagné d’une AVS. Très engagé dans l’accompagnement de ses élèves le directeur conserve ces informations dans le dossier de l’élève, y compris des informations sur la santé de certains d’entre eux requérant une surveillance particulière.

Quand on lui parle de RGPD, le directeur ne se sent pas concerné ; il ne fait rien de ces données. Jamais il ne lui viendrait à l’idée de les divulguer ou d’en faire un mauvais usage. Oui mais …

  • L’école détient une multitude de données personnelles sur de nombreux individus (les salariés, les élèves, les parents d’élèves)
  • Ses élèves sont tous mineurs et donc considérés comme des personnes vulnérables
  • Certaines données, notamment médicales, sont dites « sensibles »
  • Le niveau de sécurité de stockage des informations est-il suffisant ?
  • Elle travaille en sous-traitance pour la partie RH et fournit des informations personnelles à son prestataire
  • Connait-elle les conditions de traitement de ces données par Annie, son prestataire ? Annie stocke-t-elle ces données (par habitude, par nécessité ou juste au cas où…) ?

L’école Imagine est, elle aussi, très fortement concernée par le RGPD, et doit engager une réflexion sur le sujet.

ENTRONS DANS LE VIF DU SUJET, LE LYCÉE PUBLIC

Le Lycée Jenveux est un lycée public. Il accueille 1200 élèves et gère de nombreuses ressources humaines. Mettons de côté le volet RH, qu’il faudra de toute évidence considérer dans le cadre du RGPD. Concentrons-nous, pour l’exemple, sur les données relatives aux élèves.

Comme tout lycée, il détient des très nombreuses données personnelles administratives sur ses élèves : prénom, nom, adresse, date et lieu de naissance, numéro de téléphone, parfois même le numéro de sécurité sociale, situation familiale des parents, coordonnées, situations professionnelles, nombre de frères et sœurs, leur année de naissance et position scolaire (niveau, établissement fréquenté). Il connait également le détail des antécédents scolaires de ses élèves, et dans certains cas des données à caractère médical.

Par ailleurs, il émet et stocke des informations sur le niveau scolaire des élèves ainsi que des appréciations « qualitatives » de leurs professeurs sur leurs résultats et leur orientation professionnelle, et bien entendu les copies d’examen et les résultats.

Il devra passer en revue l’ensemble de ces données afin de s’assurer de leur conformité RGPD, tant sur la nature et leur pertinence, que sur les traitements, les conditions et durées de stockage ou encore l’exercice des droits des individus concernés.

Il devra également passer en revue et questionner la pertinence et la compliance de tous les autres traitements, même mineurs, sur les données personnelles :

  • L’infirmière scolaire garde-t-elle une trace des élèves qui passent dans son service ? Quelles informations ? Pour quoi faire ? Dans quelles conditions ?
  • Certains élèves ont créé une association d’élèves afin d’organiser des rencontres sportives. Qu’en est-il des données personnelles que l’Asso recueille et stocke ? Y a-t-il d’autres associations au sein du lycée ? D’autres initiatives de professeurs à destination des élèves ?
  • Le Centre d’Information et d’Orientation répertorie-t-il les démarches des élèves en quête d’orientation professionnelle ?

Le lycée est d’autant plus concerné par le RGPD qu’il représente un service public. A ce titre, il a même l’obligation de nommer un DPO (délégué à la protection des données) chargé de la conformité continue au RGPD.

POUR IDENTIFIER DES SPÉCIFICITÉS PLUS COMPLEXES, L’ÉCOLE SUPÉRIEURE

L’école Supérieure de Management Monavenir est une école privée qui propose à ses 2000 étudiants différents cursus qui intègrent des possibilités d’alternance et de mobilité internationale dans le cadre d’échanges avec des établissements dans différents pays. Une année de césure est également possible en cours de certains cursus.

Bien évidemment, l’école détient les mêmes données personnelles, sur ses étudiants, que le lycée Jenveux. Elle va même plus loin.

  • Sur son intranet, elle met à disposition un trombinoscope,
  • Une 20taine d’associations d’élèves, gérées par les étudiants eux-mêmes, organisent leurs activités sans contrôle de l’établissement,
  • Dans un souci de sécurité, elle a mis en place un système de vidéosurveillance à différents points stratégiques de l’établissement, et un contrôle d’accès
  • Le contrôle de présence en cours est assuré par un système de badges, qui sert aussi (ou pas) à assurer le règlement des OPCA dans le cadre des alternants
  • Elle gère des listes de prospects afin de recruter de nouveaux étudiants,
  • Elle sous-traite …

Il existe encore bien d’autres traitements et d’autres données, la plupart tombant sous le coup de la conformité RGPD.

Les écoles supérieures et universités sont bien évidemment concernées par le RGPD avec des spécificités qui peuvent apporter de la complexité dans l’appréciation du caractère légitime des traitements, de l’accès au droit et des durées de conservation.