Inscriptions scolaires et periscolaires : les enjeux RGPD pour les collectivites

Les inscriptions scolaires, la cantine, la garderie, les activites periscolaires et les centres de loisirs municipaux impliquent la collecte de nombreuses donnees personnelles sur les enfants et leurs familles. Ces traitements, geres par les communes, concernent des donnees de mineurs et parfois des donnees sensibles (allergies, handicap, situation familiale particuliere). La conformite au RGPD est donc un enjeu majeur pour les services education des collectivites.

Les donnees collectees lors de l’inscription scolaire

Le dossier d’inscription scolaire rassemble des informations variees : identite de l’enfant (nom, prenom, date de naissance), adresse du domicile, identite et coordonnees des responsables legaux, situation familiale (garde alternee, ordonnance de placement), personnes autorisees a recuperer l’enfant, informations de sante (allergies alimentaires, projet d’accueil individualise, traitement medical, vaccinations), quotient familial pour la tarification, et coordonnees bancaires pour le prelevement. Certaines de ces donnees sont obligatoires (identite, domicile pour la sectorisation), d’autres sont facultatives et doivent etre clairement identifiees comme telles dans le formulaire.

Base legale et finalites

L’inscription scolaire repose sur une obligation legale de la commune (articles L.131-5 et suivants du Code de l’education). La base legale du traitement est donc la mission de service public pour l’inscription elle-meme, et le consentement des parents pour les donnees supplementaires (activites periscolaires facultatives, photos). La cantine et la garderie, lorsqu’elles sont gerees par la commune, relevent egalement de la mission de service public. Les finalites doivent etre precisement definies : gestion des inscriptions, facturation, gestion des allergies et regimes alimentaires, suivi de la frequentation, communication avec les familles.

Portail familles et securite des donnees

De plus en plus de communes proposent un portail familles en ligne pour les inscriptions et la gestion des activites. Ce portail doit respecter des exigences de securite strictes : authentification securisee des parents, chiffrement des communications (HTTPS), cloisonnement des donnees entre familles, gestion des sessions et deconnexion automatique. L’editeur du portail est un sous-traitant au sens du RGPD et doit etre lie par un contrat conforme a l’article 28. Les donnees doivent etre hebergees dans l’Union europeenne.

Donnees de sante et projet d’accueil individualise

Le projet d’accueil individualise (PAI) est un document medical permettant l’accueil d’un enfant presentant une pathologie chronique (diabete, epilepsie, allergie severe). Il contient des donnees de sante sensibles dont l’acces doit etre strictement limite. Seuls les agents directement en charge de l’enfant (directeur d’ecole, personnel de cantine, animateurs) doivent y avoir acces, et uniquement pour les informations necessaires a la securite de l’enfant. Le PAI ne doit pas etre stocke dans le dossier administratif general de l’enfant mais dans un espace securise a acces restreint.

Quotient familial et donnees financieres

La tarification des services periscolaires repose souvent sur le quotient familial, calcule a partir des revenus des parents. Cette donnee financiere est sensible et son traitement doit etre encadre. La collecte des avis d’imposition ou des justificatifs CAF doit etre limitee au strict necessaire. Les agents charges du calcul du quotient ne doivent pas avoir acces aux autres donnees du dossier scolaire. Les justificatifs de revenus doivent etre supprimes une fois le quotient calcule et valide pour l’annee en cours.

Communication entre commune, ecole et prestataires

Les donnees scolaires circulent entre plusieurs acteurs : la commune (inscriptions), l’Education nationale (affectation), les prestataires de restauration (allergies, regimes), les transporteurs scolaires (adresses, horaires). Chaque transmission doit etre encadree et securisee. Les listes d’eleves transmises au prestataire de restauration ne doivent contenir que les informations necessaires (nom, allergies), sans les coordonnees des parents ni les informations financieres. Les echanges par email non chiffre de listes nominatives d’enfants constituent une pratique a proscrire.

Durees de conservation

Les dossiers d’inscription scolaire sont conserves pendant la duree de scolarisation de l’enfant dans la commune, puis archives selon les regles du Code du patrimoine. Les donnees de cantine et de garderie sont conservees jusqu’a la fin de l’annee scolaire, plus le delai necessaire a la cloture comptable. Les PAI sont renouveles chaque annee et les anciennes versions doivent etre detruites. Les donnees du portail familles relatives aux comptes inactifs doivent etre supprimees apres trois ans d’inactivite conformement aux recommandations de la CNIL.

Laurent de Cavel, DPO certifie