Logo Éduscol
Accueil du portail  Ressources  Légamedia  Données personnelles et monde éducatif

Données personnelles et monde éducatif

Page mise à jour le 01 juillet 2013

Les établissements scolaires, pour leur bon fonctionnement, sont tenus de collecter et de traiter un certain nombre de données à caractère personnel. Même si ces données s’inscrivent dans le cadre de la mission de service public de l’Éducation nationale, elles n’échappent pas au respect de la loi du 6 janvier 1978 dite loi « Informatique et libertés ».

Présentation

Les données à caractère personnel sont omniprésentes dans le fonctionnement du système éducatif. Le bon fonctionnement des établissements scolaires repose sur une gestion précise et rigoureuse des données à caractère personnel qu’il s’agisse de celles relatives aux élèves, aux enseignants, aux personnels non enseignants ou encore aux parents d’élèves.

Que serait en effet l’Éducation nationale sans une base de données des élèves, sans les données relatives aux présences et absences ou encore sans les notes ?

Si certaines de ces données peuvent paraître « non sensibles » au premier abord (nom, prénom, adresse, téléphone), le fait qu’elles concernent massivement des personnes mineures modifie cette appréciation. À titre d’exemple, il est unanimement reconnu que l’adresse d’un mineur est une donnée sensible qu’il convient de protéger comme telle. D’autres sont sensibles, dans la mesure où elles associent à des données d’identification des données qui traduisent un jugement sur la « valeur », les « performances » ou le comportement des personnes, qu’il s’agisse des personnels ou des élèves. D’autres encore, concernent la santé.

La notion même de donnée à caractère personnel ne s’arrête pas aux seuls noms et prénoms. La loi précise : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne[1]. »

En d’autres termes, doivent être considérées comme des données à caractère personnel les adresses électroniques, les données de connexion (adresses IP) ou encore les plaques d’immatriculation des véhicules des personnels de l’établissement.

La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
, qui ne nie pas le besoin des établissements, rappelle cependant que la loi « Informatique et libertés » s’applique même au sein de l’Éducation nationale.

La CNIL propose, à cet effet, sur son site un certain nombre de documents informatifs : des fiches thématiques sur les déclarations, des guides sur le traitement des données dans les établissements scolaires, des fiches pratiques.

Les obligations découlant de l’application de la loi sont de quatre ordres :

Les démarches préalables – La mise en œuvre d’un traitement s’inscrit dans une des trois démarches de la loi : exemption/déclaration/autorisation, avec pour chacune d’elles un ensemble de variantes.

Selon les cas, ces démarches préalables seront effectuées par le ministère pour l’ensemble des applications nationales ou par chaque établissement.

Il convient d’identifier la démarche adaptée. À titre d’exemple, il existe :

  • des dispenses de déclarations, par exemple la dispense n° 17 relative à la gestion administrative, comptable, et pédagogique des écoles et des établissements d’enseignement secondaire des secteurs privés et publics ;
  • des engagements de conformité, par exemple, l’engagement de conformité RU-003 pour les environnements numériques de travail (ENTENT
    Espace numérique de travail.
    Un espace numérique de travail est un ensemble intégré de services numériques, choisis, organisés et mis à disposition de la communauté éducative constituée autour de l'établissement scolaire.
    Il fournit à chaque utilisateur un point d’accès à travers les réseaux à l’ensemble des ressources et des services numériques en rapport avec son profil.
    )[2].
  • des déclarations simplifiées, par exemple la norme simplifiée n° 9 pour la gestion des prêts de livres dans les CDI ou la norme simplifiée n° 29 pour la gestion du fichier des élèves par le directeur d’école.

Les droits des personnes – Les personnes, élèves inclus, ont des droits sur le traitement de leurs données[3] :

  • Opposition : « Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. ». Néanmoins, il est nécessaire de préciser que ce droit existe pour autant qu’il y ait une légitimité. À titre d’exemple, il n’y a pas de motif légitime de refuser d’être sur la base de l’établissement lorsque l’on est un élève ou un enseignant.
  • Accès : « Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel. »
  • Rectification : « Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. » Dans l’environnement scolaire, ce droit est même nécessaire afin qu’une actualisation des données des élèves et de leurs parents soit faite. On peut citer comme exemple les coordonnées de contact des parents d’élèves.

La sécurité – En quelques années, la sécurité est devenue un des piliers du droit des données personnelles. L’utilisation de l’informatique et des outils électroniques implique une plus forte mobilisation du responsable des traitements que par le passé pour sécuriser les données et empêcher que des tiers y aient accès. Ainsi l’article 34 de la loi de 1978 précise-t-il que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Les flux de données – Enfin, la chose peut paraître étonnante mais les données personnelles sont des éléments considérés par l’Union européenne comme si sensibles qu’il est interdit, sauf exception, de transmettre lesdites données en dehors de l’Union européenne.

Les usages émergents, d’infrastructures et de services hébergés dans un cloud posent à cet égard un problème qu’il est nécessaire d’aborder avec précaution. En effet, il est souvent impossible de savoir où les données sont hébergées. Il en va de même lors du recours à des services « grand public ».

Cas particulier des données de santé

Enfin, il convient d’attirer l’attention sur l’infirmerie des établissements. Celle-ci collecte des données de santé. Les données de santé sont considérées comme des données sensibles et sont donc, à ce titre, soumises à un régime particulier. Néanmoins, il existe des dispenses. Par exemple pour les établissements du second degré, il n’est pas nécessaire de faire une déclaration concernant la gestion de l’infirmerie en vertu de l’arrêté du 4 mai 2001 du ministère de l’Éducation nationale.

Illustration

La mise en place par une association d’anciens élèves ou par l’établissement lui-même d’un annuaire des élèves est une pratique courante. Il est nécessaire de recueillir le consentement des intéressés. De plus, la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
recommande que cet annuaire ne soit réservé qu’aux élèves et anciens élèves et d’envoyer chaque année un courrier électronique précisant la possibilité de mise à jour de ses informations ou de désinscription.

Il est aujourd’hui fréquent que les établissements mettent en ligne les résultats des élèves. Les notes sont considérées par la CNIL comme des données personnelles. Aussi préalablement à la publication, l’établissement a l’obligation d’informer les élèves et doit faire une déclaration auprès de la CNIL. La mise en pratique dans un cadre structuré sur le plan réglementaire, comme celui des ENTENT
Espace numérique de travail.
Un espace numérique de travail est un ensemble intégré de services numériques, choisis, organisés et mis à disposition de la communauté éducative constituée autour de l'établissement scolaire.
Il fournit à chaque utilisateur un point d’accès à travers les réseaux à l’ensemble des ressources et des services numériques en rapport avec son profil.
simplifie la tâche du chef d’établissement.

Astuce

Consulter régulièrement la rubrique « éducation » sur le site de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
et contrôler son niveau de conformité avec les fiches pratiques diffusées sur www.cnil.fr

Citations

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne[4]. »

« Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. »

« Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel. »

« Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. »

« le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »

En savoir plus…

Liens internes

Liens externes

Textes réglementaires

  • Délibération n° 2012-184 du 7 juin 2012 dispensant de déclaration les traitements automatisés de données personnelles relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d'enseignement secondaire des secteurs public et privé.
  • Dispense n° 17 : délibération n° 2012-184 du 7 juin 2012 dispensant de déclaration les traitements automatisés de données personnelles relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d'enseignement secondaire des secteurs public et privé.
  • Arrêté du 4 mai 2001 portant création d'un traitement automatisé d'informations nominatives relatif à la gestion des passages des élèves à l'infirmerie des établissements publics locaux d'enseignement.
  • Délibération n° 2012-184 du 7 juin 2012 dispensant de déclaration les traitements automatisés de données personnelles relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d'enseignement secondaire des secteurs public et privé (dispense n° 17).
  • Norme simplifiée n° 9 : délibération n° 99-27 du 22 avril 1999 concernant les traitements automatisés d'informations nominatives relatifs à la gestion des prêts de livres, de supports audiovisuels et d'œuvres artistiques et à la gestion des consultations de documents d'archives publiques.
  • Dispense n° 7 - Délibération n° 2006-138 du 9 mai 2006 décidant de la dispense de déclaration des traitements constitués à des fins d'information ou de communication externe.