Les creches et structures d’accueil de la petite enfance collectent des donnees personnelles particulierement sensibles : informations sur les enfants en bas age, donnees de sante (allergies, vaccinations, pathologies), situations familiales et coordonnees des parents. Le RGPD renforce la protection de ces donnees et impose aux gestionnaires de creches des obligations strictes, d’autant plus que les enfants beneficient d’une protection specifique au titre du reglement europeen.
Les donnees personnelles dans une creche
L’inscription d’un enfant en creche genere un dossier riche en donnees personnelles. Les informations collectees comprennent l’identite de l’enfant (nom, prenom, date de naissance), les coordonnees des parents et des personnes autorisees a recuperer l’enfant, les informations medicales (carnet de vaccination, allergies alimentaires, traitements en cours, protocoles d’accueil individualises), la situation familiale (composition du foyer, autorite parentale) et les informations financieres (revenus pour le calcul de la participation).
Ces donnees concernent des mineurs, ce qui leur confere une protection renforcee au sens du RGPD. Le considerant 38 du reglement precise que les enfants meritent une protection specifique de leurs donnees personnelles, car ils peuvent etre moins conscients des risques et de leurs droits.
Obligations RGPD pour les gestionnaires de creches
Le gestionnaire de la creche, qu’il s’agisse d’une collectivite, d’une association ou d’une entreprise privee, est le responsable de traitement. Il doit tenir un registre des traitements detaillant l’ensemble des operations realisees sur les donnees : gestion des inscriptions, suivi medical des enfants, facturation, gestion du personnel, videosurveillance le cas echeant.
L’information des familles est une obligation fondamentale. Lors de l’inscription, les parents doivent recevoir une notice claire expliquant quelles donnees sont collectees, pour quelles finalites, combien de temps elles sont conservees et quels sont leurs droits. Cette information doit etre redigee dans un langage simple et comprehensible, evitant le jargon technique.
Le principe de minimisation est particulierement important dans le contexte d’une creche. Seules les donnees strictement necessaires au bon accueil de l’enfant doivent etre collectees. Par exemple, il n’est pas necessaire de demander la profession des parents si cette information ne sert pas au calcul de la participation financiere.
Donnees de sante et protocoles d’accueil
Les donnees de sante des enfants font l’objet d’un traitement specifique en creche. Les protocoles d’accueil individualises (PAI) pour les enfants presentant des allergies, du diabete ou d’autres pathologies contiennent des informations medicales detaillees. Ces donnees sensibles ne doivent etre accessibles qu’aux professionnels directement impliques dans l’accueil de l’enfant concerne.
Les cahiers de transmission, qu’ils soient papier ou numeriques, doivent etre concus pour limiter l’acces aux informations de sante. Les applications de suivi quotidien (repas, siestes, changes) utilisees par certaines creches doivent garantir la confidentialite des donnees et leur hebergement securise, idealement sur des serveurs situes dans l’Union europeenne.
Photographies et droit a l’image des enfants
La prise de photographies et de videos des enfants en creche est une pratique courante mais encadree. Le consentement explicite des deux parents (ou du titulaire de l’autorite parentale) est requis avant toute captation d’image. Ce consentement doit preciser les supports de diffusion (cahier de vie, site internet, reseaux sociaux, presse locale) et peut etre retire a tout moment.
Les creches doivent etre particulierement vigilantes concernant la publication de photos sur les reseaux sociaux ou le site internet de la structure. Meme avec le consentement des parents, il est recommande de flouter les visages des enfants ou d’utiliser des photos de groupe ne permettant pas l’identification individuelle.
Videosurveillance en creche
Certaines creches sont equipees de systemes de videosurveillance pour des raisons de securite. Ce dispositif est soumis a des regles strictes : les cameras ne doivent pas filmer en continu les espaces de vie des enfants, les images ne doivent pas etre accessibles aux parents en temps reel (sauf cadre tres encadre), et la duree de conservation est limitee a 30 jours maximum.
L’installation d’un systeme de videosurveillance dans une creche necessite une analyse d’impact relative a la protection des donnees (AIPD), compte tenu de la vulnerabilite particuliere du public concerne. Les salaries doivent etre informes et consultes, et les familles doivent etre prevenues de l’existence du dispositif.
Plan d’action pour votre creche
Pour assurer la conformite RGPD de votre creche, commencez par auditer l’ensemble des donnees collectees et eliminer celles qui ne sont pas indispensables. Mettez a jour vos formulaires d’inscription pour integrer les mentions d’information et les consentements requis. Formez l’ensemble du personnel aux reflexes de confidentialite : ne pas laisser les dossiers des familles accessibles, verrouiller les postes informatiques, securiser les transmissions d’informations.
Designez un referent RGPD au sein de la structure ou faites appel a un DPO externe. Mettez en place une procedure de gestion des violations de donnees et preparez un plan de reponse aux demandes d’exercice de droits des familles.
