Les etablissements scolaires et les organismes de formation traitent quotidiennement des volumes importants de donnees personnelles : informations sur les eleves et leurs familles, dossiers scolaires, donnees de sante, resultats d’examens. Le RGPD impose un cadre strict pour proteger ces donnees, d’autant plus que beaucoup concernent des mineurs. Ce guide complet detaille les obligations et les bonnes pratiques pour le secteur educatif.
Pourquoi le secteur educatif est particulierement concerne
L’education fait partie des secteurs qui traitent le plus de donnees sensibles. Les etablissements collectent des donnees sur les eleves (identite, resultats, comportement, sante), les parents (coordonnees, situation familiale, revenus pour les bourses), les enseignants et le personnel. La presence massive de donnees de mineurs renforce les exigences de protection.
Les outils numeriques se sont multiplies dans l’education : espaces numeriques de travail (ENT), plateformes d’apprentissage en ligne, applications de vie scolaire, outils de visioconference. Chacun de ces outils implique un traitement de donnees qui doit etre encadre.
Les principales donnees traitees dans l’education
Donnees des eleves et etudiants
Les dossiers scolaires contiennent des informations variees : identite, photo, resultats, appreciations, sanctions disciplinaires, informations de sante (allergies, PAI, handicap), et parfois des donnees relatives a la protection de l’enfance. Ces donnees sont particulierement protegees car elles concernent des mineurs.
Donnees des familles
Les coordonnees des parents, la composition familiale, les situations de garde, les revenus (pour la cantine, les bourses) sont collectes par les etablissements. Ces informations revelent la vie privee des familles et necessitent une confidentialite renforcee.
Donnees du personnel
Les donnees des enseignants, du personnel administratif et technique sont egalement concernees : dossiers RH, evaluations, donnees de connexion aux outils numeriques, plannings. Le traitement de ces donnees doit respecter les memes principes de protection.
Les obligations RGPD des etablissements scolaires
Designation d’un DPO
Les etablissements publics ont l’obligation de designer un delegue a la protection des donnees. Dans l’Education nationale, des DPO academiques ont ete nommes. Les etablissements prives doivent egalement evaluer leur obligation de designation, notamment lorsqu’ils traitent des donnees a grande echelle ou des donnees sensibles.
Registre des traitements
Chaque etablissement doit tenir un registre documentant l’ensemble de ses traitements : gestion des inscriptions, suivi de la scolarite, gestion de la cantine, surveillance video, utilisation des outils numeriques. Ce registre est le document de reference pour demontrer la conformite.
Analyse d’impact
Les traitements a grande echelle de donnees de mineurs ou de donnees sensibles necessitent une analyse d’impact sur la protection des donnees (AIPD). C’est le cas par exemple pour les systemes de suivi du comportement des eleves, les plateformes d’apprentissage adaptatif ou la videosurveillance.
Le consentement des parents et des eleves
Pour les mineurs de moins de 15 ans, le consentement doit etre donne par les titulaires de l’autorite parentale. A partir de 15 ans, le mineur peut consentir lui-meme pour certains traitements, notamment les services en ligne. Cette distinction est essentielle pour les etablissements qui deploient des outils numeriques.
Cependant, le consentement n’est pas toujours la base legale appropriee dans le contexte scolaire. La gestion de la scolarite obligatoire repose sur une mission d’interet public. Le consentement est en revanche necessaire pour les activites facultatives : photos de classe, sorties scolaires, inscription a des activites extrascolaires.
Outils numeriques et protection des donnees
Le deploiement d’outils numeriques dans l’education souleve des questions majeures de protection des donnees. Les ENT, les plateformes comme Google Workspace for Education ou Microsoft 365 Education, les applications de vie scolaire (Pronote, EcoleDirecte) traitent des volumes considerables de donnees d’eleves.
Chaque outil doit faire l’objet d’une evaluation prealable : ou sont hebergees les donnees, quelles garanties offre le prestataire, les donnees sont-elles utilisees a d’autres fins (publicite, profilage) ? Le choix d’outils conformes au RGPD et heberges en Europe doit etre privilegie.
Videosurveillance dans les etablissements
La videosurveillance dans les ecoles, colleges et lycees est strictement encadree. Les cameras ne peuvent filmer que les espaces de circulation et les acces, jamais les salles de classe, les sanitaires ou les espaces de repos. Les images doivent etre conservees 30 jours maximum et l’acces doit etre limite a un nombre restreint de personnes habilitees.
Une information claire doit etre affichee a l’entree de l’etablissement et dans les zones filmees. Les parents et les eleves doivent etre informes de l’existence du dispositif et de leurs droits d’acces aux images les concernant.
Communication avec les familles
Les communications avec les familles (carnets de liaison numeriques, emails, SMS) doivent respecter le RGPD. Les coordonnees des parents ne peuvent etre utilisees que pour les finalites liees a la scolarite de l’enfant. La transmission de listes de diffusion a des associations de parents d’eleves necessite le consentement des familles.
Les resultats scolaires et les informations disciplinaires sont des donnees confidentielles qui ne doivent etre accessibles qu’aux personnes habilitees : parents, enseignants concernes, direction. La securisation des acces aux plateformes de vie scolaire est primordiale.
Bonnes pratiques pour les etablissements
Pour assurer une conformite durable, les etablissements scolaires doivent former l’ensemble du personnel aux enjeux de la protection des donnees, evaluer chaque nouvel outil numerique avant son deploiement, informer les familles de maniere transparente, securiser les acces aux systemes d’information et realiser un audit annuel de leurs pratiques. La protection des donnees dans l’education est un enjeu de confiance entre l’institution, les familles et les eleves.
