Rapport annuel d’activité de l’année 2019-2020
1
Sommaire
SIGLES ............................................................................................................................................................................... 3
SYNTHESE .......................................................................................................................................................................... 5
1.
Le positionnement du DPD ...................................................................................................................................... 6
2.
L’organisation de la protection des données au sein de l’académie ...................................................................... 6
3.
Les relations avec les autres DPD ............................................................................................................................ 6
3.1 Réseau national des DPD de l’éducation nationale .............................................................................................. 6
3.2 Réseau des DPD de l’enseignement supérieur (SupDpo) ..................................................................................... 7
3.3 Réseau des DPD des Départements (ADF) ............................................................................................................ 7
3.4 Association Française des Délégués à la protection des données (AFCDP) ......................................................... 7
4.
Les relations avec la CNIL ......................................................................................................................................... 7
4.1 Une coopération renforcée avec le Ministère de l’éducation nationale ............................................................. 7
4.2 La formation des dpd ............................................................................................................................................. 7
4.3 Des réunions CNIL................................................................................................................................................... 8
4.4 Les violations de données ..................................................................................................................................... 8
4.5 Les contrôles de la CNIL en 2020............................................................................................................................ 8
5.
Les actions ................................................................................................................................................................ 8
5.1 Appui juridique ....................................................................................................................................................... 8
5.2 Sensibiliser et former les personnels au niveau académique .............................................................................. 8
5.3 Sensibiliser et former les personnels au niveau national ................................................................................... 11
5.4 S’assurer de la conformité des traitements de données à caractère personnel ............................................... 11
5.5 Répondre aux requêtes des personnes ............................................................................................................... 11
5.6 Assurer une veille technologique et juridique en matière de protection des données .................................... 12
6.
Le Bilan de l’application du RGPD en période de crise sanitaire .......................................................................... 12
7. Les perspectives.......................................................................................................................................................... 13
7.1 Les dossiers en cours ............................................................................................................................................ 13
7.2 Les projets ............................................................................................................................................................. 13
Annexe 1 : Indicateurs de maturité ............................................................................................................................... 14
Annexe 2 : Tableau présentant l’ensemble des réunions réalisé au cours de l’année 2019-2020.............................. 18
Annexe 3 : Infographie à destination des enseignants ................................................................................................. 28
Annexe 4 : Modèle de fiche légalité sécurité ................................................................................................................ 29
Annexe 5 : Exemples de questions sur la protection des données lors de la crise sanitaire ....................................... 31
2
SIGLES
RGPD : Règlement général sur la protection des données.
LIL : Loi informatique et Liberté.
DPD / DPO : Le délégué à la protection des données est chargé de mettre en œuvre la conformité au règlement
européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des
traitements mis en œuvre par cet organisme.
CNIL : Commission Nationale de l’Informatique et des Libertés.
CEPD : Comité Européen de la Protection des Données.
EIVP / AIPD : Etude d’impact sur la vie privée.
Responsable de traitement : Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou
physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.
En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.
Sous-traitant : Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des
données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou
d’une prestation. Les sous-traitants ont des obligations à l’égard du responsable de traitement.
Traitements de données : Un traitement de données personnelles est une opération, ou ensemble d’opérations,
portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation,
conservation adaptation, modification, extraction consultation, utilisation, communication par transmission ou
diffusion ou toute autre forme de mise à disposition, rapprochement).
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également
concernés et doivent être protégés dans les mêmes conditions.
Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données
et à leur exploitation.
Données personnelles : Une donnée personnelle est toute information se rapportant à une personne physique
identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Une personne physique peut être identifiée :
·
directement (exemple : nom et prénom) ;
·
indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que
le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
·
à partir d’une seule donnée (exemple : nom) ;
·
à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour
et membre dans telle association) :
Données sensibles : Les données sensibles forment une catégorie particulière des données personnelles.
3
Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les
convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données
génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des
données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne
physique.
Registre des activités de traitement : Le registre des activités de traitement permet de recenser vos traitements
de données et de disposer d’une vue d’ensemble de ce que le responsable de traitement fait avec les données
personnelles. Il permet notamment d’identifier : les parties prenantes ; les catégories de données, les durées de
conservation...
4
SYNTHESE
Le règlement général sur la protection des données constitue depuis le 25 mai 2018 le nouveau cadre de référence
européen pour la protection des données personnelles. Il renforce la maîtrise des personnes sur leurs données et
permet aux organismes publics et privés de développer leurs activités dans un espace de sécurité. Le bilan annuel
du DPO constitue un révélateur des usages conformes ou non qui se développent. La crise sanitaire a mis en
exergue les difficultés d’application du RGPD au sein des établissements scolaires et des services. De manière
paradoxale, la crise sanitaire met en lumière une prise de conscience collective des acteurs (chefs
d’établissements, enseignants, parents, élèves eux-mêmes) de la nécessité de protéger les données.
Le RGPD est un outil complexe mais ambitieux dont les services et les établissements scolaires n’ont pas encore
pris la pleine mesure du fait sans doute de ses nombreuses novations malgré un droit français de la protection des
données existant depuis 1978 avec la loi informatique et liberté. Elle a créé l’autorité de régulation, la Commission
nationale informatique et liberté. Elle accompagne les professionnels dans leur mise en conformité et aide les
particuliers à maîtriser leurs données personnelles et exercer leurs droits.
L’esprit du RGPD est fondé sur la notion de « risque » présenté par les traitements. Il y a une nécessité d’un
approfondissement de l’acculturation à la protection des données. Le RGPD est encore trop perçu comme un
aspect contraignant et trop technique.
L’enjeu majeur pour le futur sera d’installer une comitologie1 dédiée à la conformité qui constituera une démarche
organisationnelle novatrice au niveau académique et national afin de permettre d’englober toutes les
problématiques liées à la question des traitements de données personnelles en apportant une réponse
opérationnelle systémique. Cela permettra d’assurer une véritable gouvernance de la donnée en englobant à la
fois sa valorisation et sa protection.
L’administrations scolaire doit garder la souveraineté sur ces données et plus encore sur les données des élèves.
Il y a là un triple enjeu. D’abord démocratique, c’est un enjeu de liberté numérique, de sécurité et de
confidentialité des données. Ensuite pédagogique. L’école doit rester un bien commun et ne pas devenir un
domaine livré à la marchandisation des données personnelles des élèves. Cela passera par l’éducation des enfants
au numérique et à la protection de leurs données et celle des autres. La Conférence mondiale des autorités de
régulation a adopté le 18 octobre 2016 un outil de formation pratique pour promouvoir l’éducation à la protection
des données dans les programmes scolaires. Enfin, un enjeu économique, les entreprises françaises et
européennes qui ont développé des services numériques et respectant la protection des données doivent être
privilégiés comme services numérique éducatifs alternatifs.
La diffusion de la culture de la conformité dans l’éducation, menée avec discernement, constitue un levier
important de transformation au service de la réussite de tous les élèves. Elle implique la stricte protection des
données personnelles de l’ensemble des membres de la communauté éducative (élèves, parents d’élèves, agents
de l’éducation nationale). Il apparait donc essentiel de sensibiliser ces acteurs à une bonne utilisation des données
personnelles et de promouvoir un usage responsable et citoyen du numérique.
Guillaume Brutus
Délégué à la protection des données
1 Procédure par laquelle des comités, composés de représentants des États membres, assistent la Commission européenne dans
le cadre de la mise en œuvre des mesures d'exécution de la législation communautaire.
5
Introduction
1.
Le positionnement du DPD
En tant que DPD académique je suis positionné auprès du secrétariat général.
Le Directeur des systèmes d’informations et du numérique, le Responsable de la sécurité et des systèmes
d’informations ; la déléguée académique au numérique éducatif sont des interlocuteurs privilégiés du DPD.
En tant que Délégué, j’ai pour mission de faciliter et de contrôler, en toute indépendance, le respect des règles relatives
à la protection des données personnelles. Afin d’accomplir au mieux mes missions, je dois être associé le plus en amont
possible à toutes les questions relatives à la protection des données personnelles. A cet égard, le G2 précise que le
délégué devrait « participer régulièrement aux réunions de l’encadrement supérieur et intermédiaire et être présent
lors des décisions ayant des implications en matière de protection des données personnelles. »
Je préconise la réalisation d’une lettre de mission.
2.
L’organisation de la protection des données au sein de l’académie
Recruté au 1er septembre 2018 comme Délégué à la protection des données académique, le périmètre de mes missions
a évolué. Depuis le 1er octobre 2019, les missions des Délégués de l’académie d’Amiens et de Lille ont été
retérritorialisé. J’interviens en tant que Délégué mutualisé pour les services académiques du rectorat et des DSDEN
de l’Aisne, de l’Oise et de la Somme, pour les établissements publics locaux d’enseignements et les écoles.
Je préconise la création d’un comité de suivi de la protection des données (Cosui) qui serait composé de la
Secrétaire générale, du Délégué à la protection des Données, du Responsable de la sécurité des systèmes
d’information, des chefs de divisions qui se réunirait de manière hebdomadaire. Il permettra de rendre
compte de l’action du Délégué et de discuter des éventuelles actions à mettre en œuvre en concertation
avec les services. Il participera à la montée en compétence dans le domaine de la protection des données
de l’ensemble des services.
3.
Les relations avec les autres DPD
3.1 Réseau national des DPD de l’éducation nationale
Le réseau national des DPD de l’éducation nationale est un jeune réseau qui a deux ans d’existence. Il est composé
des DPD académiques et ministériels aux profils variés (juridique, technique, métiers) qui permettent des échangent
riches et une harmonisation de l’acculturation à la protection des données dans les académies.
6
3.2 Réseau des DPD de l’enseignement supérieur (SupDpo)
Au sein du Ministère de l’Éducation nationale, le réseau des délégués à la protection des données des établissements
de l’enseignement supérieur et de la recherche coexiste avec celui des DPO de l’enseignement scolaire2. Ce réseau se
structure sous la forme associative, il regroupe plus de 140 DPO d’universités, de grandes écoles, organismes de
recherche et autres structures liées à l’ESR. Il est animé par une douzaine de délégués. Un Groupe de travail réunissant
les deux Réseaux a été créé pendant le confinement pour axer les travaux sur les outils du numériques proposés par
les GFAM. La première réunion a eu lieu le 4 juillet 2020.
3.3 Réseau des DPD des Départements (ADF)
Un groupe de travail commun a été lancé en janvier 2020 composé des DPO des académies d’Amiens, Aix-Marseille,
Toulouse, Lyon, Lille, Besançon-Dijon, la DPO du MENJ sur des thématiques telle que les ENT, la vidéosurveillance et
la biométrie dans le cadre de la gestion de la restauration scolaire. La crise sanitaire a repoussé à une date
indéterminée pour le moment les échanges en présentiel entre les deux réseaux.
3.4 Association Française des Délégués à la protection des données (AFCDP)
Tous les DPO académiques bénéficient d’un accès sur le forum Agora de l’AFCDP depuis le 22 février 2019. Il s’agit
d’un espace d’échange entre les DPO tous secteurs confondus sur des problématiques liées à la protection des
données personnelles. L’association organise également des groupes de travail répartis géographiquement ainsi
qu’une Université des Délégués à la protection des données chaque année au mois de janvier.
4.
Les relations avec la CNIL
4.1 Une coopération renforcée avec le Ministère de l’éducation nationale
Dans le cadre de la convention MENJ /CNIL signée en décembre 2018, la première édition des journées, Educnum3 du
20 au 22 septembre 2019 qui se sont déroulé à Poitiers en présence de la Présidente de la CNIL, de la délégation à la
protection des données.
Une nouvelle édition du guide RGPD à destination des chefs d’établissements est prévue et travaillée en coopération
avec les services de la CNIL.
L’infographie pour les enseignants sur les usages numériques (annexe 3) réalisée par le réseau des DPO a fait l’objet
d’une validation de la CNIL qui a apposé son logo sur le document.
4.2 La formation des dpd
J’ai pu participer à des journées en présentielles organisées par le service des DPO de la CNIL sur des thématiques
différentes afin d’assurer une veille juridique et technique sur l’actualité de la protection des données. Par exemple,
j’ai pu assister à une journée d’information sur les traitements en matière de RH ou un atelier sécurité qui abordé les
grands enjeux en matière de Sécurité des systèmes d’information. Des temps d’échanges sont prévus avec les équipes
de la CNIL.
2 Délégué académique à la protection des données de l’éducation nationale (DAPD).
3 La CNIL a initié, en mai 2013, un Collectif d’acteurs très divers – issus du monde de l’éducation, de la recherche, de l’économie
numérique, de la société civile, de Fondations d’entreprises et d’autres institutions – pour porter et soutenir des actions visant à
promouvoir une véritable « culture citoyenne du numérique ».
7
4.3 Des réunions CNIL
En tant qu’animateur et coordonnateur du groupe de travail sur les applicatifs numériques, mon homologue
ministérielle m’a confié la tâche de présenter la méthodologie de travail du groupe, nos avancées sur les questions
des analyses des applicatifs numériques au regard de la protection des données
4.4 Les violations de données
Deux violations de données 4ont été porté à ma connaissance en EPLE. J’ai pu réaliser deux notifications de données
sur le téléservice dédié de la CNIL dans le délai de 72 heures, en application de l’article 33 du RGPD.
4.5 Les contrôles de la CNIL en 2020
Sur les 300 contrôles sur pièces et sur place de la CNIL, aucun ne concerne les traitements services ou des
établissements scolaires de l’académie d’Amiens. Le programme de contrôle en 2020 porte sur la sécurité des données
de santé, les mobilités et services de proximité, les nouveaux usages des données de géolocalisation, le respect des
dispositions applicables aux cookies et autres traceurs.
5.
Les actions
5.1 Appui juridique
En tant que Délégué, j’exerce une mission de conseil auprès des services académiques et des chefs
d’établissements sur les traitements de données à caractère personnel cela se concrétise de diverses manières :
· Rédaction de mentions légales sur les sites internet ;
· Rédaction de convention encadrant les transferts de données vers les collectivités territoriales.
· La rédaction de note spécifiques sur différentes thématiques telles que le droit à l’image, les
traitements de données RH, etc…
· Modèle d’autorisation de droit à l’image académique pour la captation fixe ou animée et/ou
l’enregistrement de la voix d’un mineur.
· Rédaction de mentions légales sur les formulaires de collecte directe de données.
· Rédaction d’un formulaire de consentement dans le cadre d’une enquête en matière de santé en
coopération avec l’OR2S5.
· Avis juridique sur la transmission de données à des tiers autorisés.
· Analyse sur la conformité de certaines ressources numériques.
· Réponse à des commandes spécifiques, par exemple une note juridique sur la protection des données
dans le cadre du harcèlement scolaire.
5.2 Sensibiliser et former les personnels au niveau académique
Je considère que c’est ma première priorité. D’ores et déjà, sur la première année de mise en œuvre du RGPD sur les
170 réunions organisées, 105 étaient consacrées à la sensibilisation, la diffusion de la culture de la protection des
4 Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à
caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière
accidentelle ou illicite. Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle
ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.
5 OR2S : Observatoire Régional de la Santé et du Social.
8
données au sein des services. Lors de cette deuxième année de mise en œuvre du RGPD, les catégories de personnels
sensibilisés sont multipliées avec une adaptation des contenus au regard des pratiques et des spécificités des missions
de chacun.
Catégorie de public concernée
Outils de sensibilisation
Thématiques abordée
Infirmière tutrice
Présentiel
Données de santé
Support PowerPoint
Le secret professionnel et la
Temps d’échange
protection des données
Quizz
Les principes du RGPD
Les grandes mesures de
Appui CTR infirmière
sécurité
Assistantes sociales
Présentiel
Données de santé
Support PowerPoint
Le secret professionnel et la
Temps d’échange
protection des données
Quizz
Les principes du RGPD
Les grandes mesures de
Appui CTR AS
sécurité
Chefs d’établissements
Webinaire
Les enjeux de la protection des
données au sein de l’EPLE
Support de formation
Les statuts de responsabilité
Le registre comme outils de
Temps d’échange en
pilotage
visioconférence
La procédure de violation de
données
Création d’une FAQ en lien
Les mesures de sécurité
avec les grandes
Les principes du RGPD
problématiques soulevées.
CPE et professeurs
Présentiel – réunion de bassin
Traitements spécifiques à la
documentalistes
gestion de la vie scolaire
Support de formation
(Pronote par exemple)
Les ENT
Quizz
Les principes du RGPD
Les mesures de sécurité
Temps d’échange
Le registre
L’historique de la protection
Echanges concertés avec les
des données
Inspecteurs vie scolaire
L’éducation aux médias et à
l’information (la question du
harcèlement)
Les usages du numérique dans
le cadre professionnel
Master 2 MEEF
Appui Formateurs Inspe
Droit d’auteur
Droit à l’image
Visioconférences
La prise en compte de la
protection des données dans le
cadre pédagogique
Le registre
DASEN - IEN
Conseil d’IEN en présentiel ou
Les statuts de responsabilité
en distanciel.
Les traitements type 1D
Les principes du RGPD
Le registre
Le rôle du DPO
Les mesures de sécurité
E-run
Réunion de Bassin
Principes du RGPD
9
Historique de la protection des
Appui IEN-TICE
données
Appui DANE
Le numérique éducatif
Les mesures de sécurité
Le rôle du DPO
Directeurs d’écoles détaché
Présentiel à l’Inspé
Historique de la protection des
données
Principes du RGPD
Appui CPD TICE et IEN-A
Traitements 1D (Onde)
Numérique éducatif
Le rôle du DPO
DSIN : chefs de pôle
En présentiel support de
Principes de la protection des
formation
données
Les mesures de sécurité
Appui SGAA et RSSI
Le rôle du DPO
Le tandem DPO-RSSI
DSIN : Pôle développement
Atelier RGPD
Prise en compte des principes
Mise en pratique de la fiche
du Privacy By Design et Privacy
contrôle légalité-sécurité avec
By Default.
l’application Talassa
Etude exhaustive du guide
Appui du RSSI
complet des mesures de
sécurité techniques et
organisationnelles
Présentation de la fiche
contrôle légalité sécurité
(Annexe 4)
Formateurs CASNAV
Présentiel Canopée
Données sensibles
Principes du RGPD
Appui IA IPR
Mesures de sécurité
Directeurs de CIO
Présentiel Canopée et en Visio
L’archivage
pour certains collègues
Les données psychométriques
Support PowerPoint
et d’orientation
Echanges
Les principes du RGPD
Appui IEN IO
Le registre
Les mesures de sécurité
Les enseignants
Salon du numérique
Sur l’éducation des élèves à la
protection des données
Stand sur le RGPD
Guide et kit de communication
Appui IEN TICE
de la CNIL
CFC
Appui du DAFCO
Historique de la protection des
données
Principes du RGPD
Directeurs opérationnels des
Présentiel
Principes du RGPD
GRETA
Registre
Echanges
Les mesures de sécurité
Création d’un GT spécifique
aux traitements GRETA
DLS : Cheffe de division et
Présentiel
Historique de la protection des
Chefs de bureau
données
10
Support de formation :
Principes de la protection des
Powerpoint
données
Le registre
Les mesures de sécurité
DEC : Cheffe de division et
Présentiel : support de
Données d’examens
chefs de bureau
formation PowerPoint
Données scolaires
L’historique de la protection
des données
Le registre
Les principes de la protection
des données
Les mesures de sécurité
Je suggère l’inscription au PAF des personnels de l’académie d’Amiens un dispositif dédié à la protection des
données à caractère personnel.
Je recommande que la parcours M@gistère « conduire mes pratiques pédagogiques dans le cadre de la protection
des données soit largement diffusé, inscrit au PAF.
5.3 Sensibiliser et former les personnels au niveau national
Invité en tant qu’associé expert par l’IH2EF et pour accompagner mon homologue ministérielle afin de réaliser des
formations sur le RGPD à destination de la promotion Simone Veil (250 chefs d’établissements et 250 Inspecteurs) lors
de la journée du 10 mars 2020 à Poitiers.
5.4 S’assurer de la conformité des traitements de données à caractère personnel
a) Le registre de traitement
Tout traitement de données à caractère personnel doit faire l’objet d’une inscription registre des activités de
traitement de l’académie (services académiques, CIO), de l’EPLE (collèges, lycées, EREA), du DASEN (écoles,
circonscriptions) préalablement à sa mise en œuvre.
Du fait de la réforme territoriale une nouvelle catégorie de traitement ne fait pas l’objet pour le moment d’intégration
dans le registre, ce sont les traitements des services régionaux académique.
b) La mise en œuvre des EIVP (Étude d’Impact sur la Vie Privée)
Les traitements nécessitant une Étude d’Impact sur la Vie privé ont été identifiés mais n’ont pas encore fait l’objet
d’une telle étude en application de l’article 35 du RGPD.
5.5 Répondre aux requêtes des personnes
Le Délégué à la protection des données a pour mission également de répondre aux requêtes des parents, des élèves,
des personnels : droit d’accès, droit de rectification, droit d’opposition, droit à l’oubli, etc…
11
À cette fin, le ministère et les académies ont créé des adresses fonctionnelles : xxx@xxxxxxxxx.xxxx.xx ; dpd@ac-
academie.fr pour faciliter la communication entre les usagers et le Délégué à la protection des données.
Je peux dresser une première typologie de demande :
· Des demandes de correction d’information personnelles (diplômes, adresses mails…)
· Demande de suppression de photos, d’adresse mail dans le cas d’homonymie.
· Des recherches d’informations qui ne relèvent pas des missions du DPO, notamment en matière d’orientation
avec des transmissions de dossier d’affectation (environ une dizaine)
· Une demande de déréférencement d’un résultat d’examen.
· Des demandes d’accès aux INE ou de récupération de duplicata de diplôme.
Je recommande de retravailler une procédure de gestion d’exercice de droit en concertation avec les services ainsi
que la rédaction d’un nouveau formulaire numérique pour saisir le DPO.
Je préconise de renforcer les mentions d’informations sur les traitements mis en œuvre par les services et les
établissements scolaires.
5.6 Assurer une veille technologique et juridique en matière de protection des données
L’une des missions du DPO est de se tenir informé des évolutions de la réglementation et des nouvelles technologies
de l’information et de la communication afin de garantir la mise en conformité de l’académie à la réglementation
relative à la protection des données. Elle est assurée notamment par la tenue d’une revue de presse ainsi que par la
participation à des webinaires et journées spécifiques à la CNIL.
6.
Le Bilan de l’application du RGPD en période de crise sanitaire
Les mesures relatives à la crise du Covid-19 ont un effet considérable sur le quotidien numérique de la communauté
éducative. Face aux difficultés rencontrées dans l’utilisation des services numériques habituels tels que les ENT, un
usage massif de solutions numériques privées ont été utilisé.
Dans ce contexte, les DPO ont été fortement sollicité par les DANE, les chefs d’établissements, les enseignants pour
disposer d’un appui juridique et technique avec une la question récurrente de la liste blanche des applications
éducation nationale. Les DPO ont produit un nombre important d’avis juridique (Annexe 5).
Si le RGPD n’interdit pas dans l’absolu l’utilisation de services privés, il n’en demeure pas moins qu’ils doivent être
qualifiés de sous-traitants lorsqu’ils sont utilisés dans le cadre des dispositions de l’article L 131-2 du code de
l’éducation. Cela signifie que ces sociétés mettent en œuvre les traitements de données pour le compte de
l’administration scolaire. Se pose ici un enjeu de souveraineté numérique car c’est exclusivement à l’administration
scolaire de décider de la mise en œuvre de ce type de traitement. Il y a là un enjeu pédagogique car l’école doit rester
un bien commun et ne pas devenir un domaine livré à la marchandisation des données personnelles des élèves.
Le RGPD dans son article 28 indique précisément que le traitement par un sous-traitant est régi par un contrat ou un
autre acte juridique qui lie le sous-traitant au responsable de traitement. Cet encadrement permet d’assurer un cadre
plus protecteur des données des élèves.
Or, le choix et l’usage de ces outils ne se font fait qu’à l’aune d’un unique critère, celui de l’accessibilité, de l’ergonomie
de l’outil au détriment de la sécurité.
12
Le Réseau des Délégués à la protection des données produit des analyses et des documents de communication à
destination de la communauté éducative (Annexe 3).
Pendant cette crise sanitaire la frontière entre usage personnel et usage professionnel s’est évaporé et le choix de ce
type d’outil dans le cadre professionnel doit être réalisé avec discernement et les garanties suffisantes. ²Il est donc
nécessaire de saisir en amont le Délégué à la protection des données et non une fois l’outil déjà utilisé. Néanmoins, je
peux constater une prise de conscience sur les questions de la protection des données ;
Il serait nécessaire que je sois associé aux réunions des équipes de la DANE afin de pouvoir apporter un appui juridique
et répondre plus directement aux questions posées sur le RGPD.
Je préconise la diffusion du Parcours M@gistère : « Conduire mes pratiques pédagogiques dans le cadre de la
protection des données » aux corps enseignants.
Les perspectives
7.1 Les dossiers en cours
· Diffusion du parcours M@gistère « conduire mes pratiques pédagogiques dans le cadre de la protection des
données ».
· GT sur les ENT : élaboration d’un dossier de conformité à destination des chefs d’établissement.
· GT sur la cartographie des traitements en EPLE.
· Harmonisation des autorisations de droit à l’image.
· Avis juridique sur le transfert de données à la MGEN.
· Convention Région académique services statistique et lycée diocésains.
· Mise en conformité du Projet Get-skills.
· Groupe de travail sur le choix d’outil collaboratif.
· Animation et coordination du GT applicatifs numérique.
7.2 Les projets
· Groupe de travail sur les traitements RH.
· Complétude du dossier RGPD à destination des chefs d’établissements.
· Groupe de travail sur la vidéoprotection en EPLE.
· Poursuite des formations des chefs d’établissements, enseignants et personnels administratifs.
· Elaboration d’une nouvelle procédure de gestion des exercices de droit.
· Groupe de travail sur un modèle d’autorisation de droit à l’image.
· Projet de mise en conformité d’un service.
· Revue des opérations de sous-traitance.
· Revue de la procédure de notification de violation de donnée.
· Elaboration d’une charte de la protection des données.
13
