RGPD et éducation nationale
Mise en vigueur le 25 mai dernier, le nouveau règlement sur la protection des données a vocation à s’appliquer à quasiment tous les secteurs. Toute organisation (même non européenne), entreprises, associations, etc devra s’y conformer à partir du moment où des données personnelles de citoyens européens seront en jeu. Les institutions publiques telles que les établissements scolaires n’échappent donc pas au RGPD, surtout que ces derniers manipulent quotidiennement des données personnelles. Mais alors, qu’est-ce qui change pour ces établissements ? Et quelles sont les applications pratiques du RGPD au sein des écoles ?
RGPD : un renforcement des acquis
Si le RGPD a des impacts considérables sur de nombreux acteurs, il faut savoir qu’avant lui, l’environnement pédagogique avait déjà une réglementation bien spécifique en matière de protection des données. Ainsi, avant le nouveau règlement sur la protection des données, c’est le RU-003 qui définit au sein des ENT (Espaces Numériques de Travail) le type de données qu’il est possible de stocker, les conditions de leur transfert, la durée de leur conservation et la limite des droits de leurs utilisateurs.
Mais si le RU-003 est strict, il reste quasi-lettre morte dans la réalité. Et pour cause, aucun contrôle n’est réalisé sur l’utilisation des données personnelles des élèves par les enseignants. Il n’est donc pas rare d’arriver par exemple à des cas où des outils technologiques interdits (sites internet, logiciels…) aux moins de 13 ans sont utilisés pour l’enseignement d’élèves en dessous de cet âge. De même, aucun contrôle n’est fait sur les outils digitaux utilisés par le personnel enseignant pour l’évaluation. Or, cela présente un risque important pour les données personnelles. Certains des logiciels de ce type peuvent revendre les données qu’ils récoltent à tout intéressé (services d’accompagnement scolaire, établissement scolaire tiers…).
Mais le RGPD vient pallier aux défauts de ce système en contraignant les différents responsables à réaliser un contrôle strict sur les données personnelles des élèves et surtout à veiller à ce que les données des élèves ne fassent pas l’objet de vente ou de tout autre forme d’exploitation.
Le RGPD à l’école en pratique
Comme pour toutes les entités soumises aux RGPD, les écoles devront mettre en place des mesures qui garantissent le respect de certains nombre de droits et libertés. Parmi les plus importants de ces derniers :
- Le droit à la suppression des données : quand un élève quitte son école, il (ou son représentant légal) pourra demander à ce que toutes les données le concernant au sein de son ancien établissement soient effacées ;
- Le droit de modification : la possibilité de demander la modification des données personnelles ;
- La limitation des traitements ;
- Le droit à la portabilité : lorsqu’un élève part d’un établissement scolaire, il a la possibilité de récupérer tout ou partie de ses données.
Et pour veiller à ce que ces droits soient bien respectés et pour que la nouvelle législation sur la protection des données soit appliquée, le DPO jouera le rôle de censeur, mais aussi de guide auprès des établissements scolaires. Malheureusement, même plusieurs mois après la mise en application du RGPD, le Ministère responsable et les académies tardent encore à préciser les conditions d’intégration du DPO au sein des établissements, et ce sans considération des sanctions qui, elles, ne tarderont pas.