Logo Éduscol
Accueil du portail  Ressources  Légamedia  Données personnelles et monde éducatif

Données personnelles et monde éducatif

Page mise à jour le 11 octobre 2016

Les établissements scolaires, pour leur bon fonctionnement, sont tenus de collecter et de traiter un certain nombre de données à caractère personnel. Même si ces données s’inscrivent dans le cadre de la mission de service public de l’Éducation nationale, elles n’échappent pas au respect de la loi du 6 janvier 1978 dite loi « Informatique et libertés ».

Présentation

Les données à caractère personnel sont omniprésentes dans le fonctionnement du système éducatif. Le bon fonctionnement des établissements scolaires repose sur une gestion précise et rigoureuse des données à caractère personnel qu’il s’agisse de celles relatives aux élèves, aux enseignants, aux personnels non enseignants ou encore aux parents d’élèves.

La notion même de donnée à caractère personnel ne s’arrête pas aux seuls noms et prénoms.

Si certaines de ces données peuvent paraître « anodines » au premier abord (nom, prénom, adresse, téléphone), le fait qu’elles concernent massivement des personnes mineures modifie cette appréciation. À titre d’exemple, il est unanimement reconnu que l’adresse d’un mineur est une donnée confidentielle qu’il convient de protéger comme telle. D’autres posent problème, dans la mesure où elles associent à des données d’identification des données qui traduisent un jugement sur la « valeur », les « performances » ou le comportement des personnes, qu’il s’agisse des personnels ou des élèves. D’autres encore, concernent la santé et sont identifiées clairement comme « données sensibles » par la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
, au sens de l’article 8 de la loi « Informatique et libertés » ce qui génère des obligations supplémentaires pour le responsable du traitement. Notamment, en ce qui concerne les données de santé, il est obligatoire de recourir à un hébergeur agréé si on externalise le traitement,

La loi précise : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne[1]. »

En d’autres termes, doivent être considérées comme des données à caractère personnel les adresses électroniques, les données de connexion (adresses IP) ou encore les plaques d’immatriculation des véhicules des personnels de l’établissement mais aussi les notes des élèves ou les appréciations portées sur le bulletin scolaire dans la mesure où elles sont toujours associées à des données permettant l’identification de la personne concernée.

La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
propose, sur son site, un certain nombre de documents informatifs : des fiches thématiques sur les déclarations, des guides sur le traitement des données dans les établissements scolaires, des fiches pratiques (voir rubrique « En savoir plus »).

Les obligations découlant de l’application de la loi sont de quatre ordres : accomplissement des formalités préalables, respect des droits des personnes concernées, sécurisation des traitements, respect des contraintes concernant les flux de données.

Les formalités préalables

La mise en œuvre d’un traitement s’inscrit dans l’un des cadres suivants : demande d’autorisation, demande d’avis, déclaration ou engagement de conformité (à une autorisation ou un règlement unique), dispense, avec pour chacun d’eux un ensemble de variantes.

Selon les cas, ces formalités préalables seront effectuées par le ministère pour l’ensemble des traitements nationaux, par une académie pour un traitement académique ou par chaque établissement.

Il convient d’identifier la démarche adaptée. À titre d’exemple, il existe :

  • des dispenses de déclarations, par exemple la dispense n° 17 relative à la gestion administrative, comptable, et pédagogique des écoles et des établissements d’enseignement secondaire des secteurs privés et publics, ou la dispense n° 7 concernant les lettres d’information externes ;
  • des engagements de conformité, par exemple, l’engagement de conformité au règlement unique RU-003 pour les environnements numériques de travail (ENTENT
    Espace numérique de travail.
    Un espace numérique de travail est un ensemble intégré de services numériques, choisis, organisés et mis à disposition de la communauté éducative constituée autour de l'établissement scolaire.
    Il fournit à chaque utilisateur un point d’accès à travers les réseaux à l’ensemble des ressources et des services numériques en rapport avec son profil.
    )[2].
  • des déclarations simplifiées, par exemple la norme simplifiée n° 9 pour la gestion des prêts de livres dans les CDI ou la norme simplifiée n° 29 pour la gestion du fichier des élèves par le directeur d’école.

Les droits des personnes

Les personnes, élèves inclus, ont des droits sur le traitement de leurs données[3] :

  • opposition : « Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. ». Néanmoins, il est nécessaire de préciser que ce droit existe pour autant qu’il y ait une légitimité. À titre d’exemple, il n’y a pas de motif légitime de refuser d’être sur la base de l’établissement lorsque l’on est un élève ou un enseignant. A contrario, cette légitimité est acquise par défaut pour certains types de traitements (prospection commerciale, inscription volontaire à une lettre d’information, par exemple) ;
  • accès : « Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel. » ;
  • rectification : « Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. » Dans l’environnement scolaire, ce droit est même nécessaire afin qu’une actualisation des données des élèves et de leurs parents soit faite. On peut citer comme exemple les coordonnées de contact des parents d’élèves.

La sécurité

L’utilisation de l’informatique et des outils électroniques implique une forte mobilisation du responsable des traitements pour sécuriser les données et empêcher que des tiers y aient accès. Ainsi l’article 34 de la loi de 1978 précise-t-il que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Cette obligation est une obligation de moyens ; attention, le fait de faire appel à un sous-traitant ne libère pas le responsable du traitement de sa responsabilité (article 35 de la loi « Informatique et liberté »).

Les flux de données

Enfin, les données à caractère personnel sont des éléments considérés par l’Union européenne comme devant faire l’objet d’une protection si particulière qu’il est interdit, sauf exception, de transmettre lesdites données en dehors de l’Union européenne. L’exportation des données est toutefois possible, selon des mécanismes validés par la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
.

Il convient donc de vérifier soigneusement la localisation des données dans les conditions générales d’utilisation (CGU) ou le contrat d’utilisation.

Cas particulier des données de santé

Enfin, il convient d’attirer l’attention sur l’infirmerie des établissements. Celle-ci collecte des données de santé. Les données de santé sont considérées comme particulièrement sensibles et font partie de la liste des données dont le traitement est par défaut interdit par l’article 8 alinéa I de la loi « Informatique et libertés ». Elles sont donc, à ce titre, soumises à un régime particulier.

L’article 8, II, 6 de la loi précitée ajoute  cependant que « les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel » ne sont pas soumis à cette interdiction.

Par ailleurs, l’article L. 1111-8 du Code de la santé publique précise que les personnes hébergeant ce type de données pour le compte de tiers doivent être agréées à cet effet.

Par ailleurs, l’arrêté du 4 mai 2001 liste de manière limitative les données de santé qui peuvent être enregistrées au titre de la  gestion des passages des élèves à l'infirmerie des établissements publics locaux d'enseignement.

Illustration

La mise en place par une association d’anciens élèves, par l’établissement lui-même ou par un professeur d’un annuaire des élèves ou même d’une simple liste d’élèves est une pratique courante. Il est nécessaire de recueillir le consentement des intéressés. De plus, la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
 recommande que cet annuaire ne soit réservé qu’aux élèves et anciens élèves et d’envoyer chaque année un courrier électronique précisant la possibilité de mise à jour de ses informations ou de désinscription.

Il est aujourd’hui fréquent que les établissements mettent en ligne les résultats des élèves. Les notes sont des données à caractère personnel. Aussi préalablement à la publication, l’établissement a l’obligation d’informer les élèves et doit faire une déclaration auprès de la CNIL. La mise en pratique dans un cadre structuré sur le plan réglementaire, comme celui des ENTENT
Espace numérique de travail.
Un espace numérique de travail est un ensemble intégré de services numériques, choisis, organisés et mis à disposition de la communauté éducative constituée autour de l'établissement scolaire.
Il fournit à chaque utilisateur un point d’accès à travers les réseaux à l’ensemble des ressources et des services numériques en rapport avec son profil.
 simplifie la tâche du chef d’établissement.

Astuce

Consulter régulièrement la rubrique « éducation » sur le site de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
 et contrôler son niveau de conformité avec les fiches pratiques diffusées sur www.cnil.fr

Citations

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne[4]. » (Article 2 de la loi « Informatique et libertés »)

« Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. » (Article 38 de la loi « Informatique et libertés »)

« Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel. » (Article 39 de la loi « Informatique et libertés »)

« Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. » (Article 40 de la loi « Informatique et libertés »)

« le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (Article 34 de la loi « Informatique et libertés »)

En savoir plus…

Liens internes

Liens externes

  • La CNILCNIL
    « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
    La CNIL remplit des missions :
      * d’information générale ;
      * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
      * de recensement et de publication des fichiers déclarés ;
      * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
      * de proposition pour faire évoluer les réglementations.
    Contactez la CNIL pour :
      * les SMS frauduleux (tél. : 33700) ;
      * les spams insidieux (www.signal-spam.fr).
     propose sur son site des fiches pratiques adressées aux établissements à l’adresse suivante : Guide CNIL « Informatique et libertés » pour l’enseignement du second degrécontenant plusieurs fiches pratiques de la CNIL dont une adressée aux chefs d’établissements pour déterminer les déclarations à effectuer en fonction des traitements réalisés.
  • Questions-réponses sur Base élèves 1er degré

Textes réglementaires