Les universites et etablissements d’enseignement superieur traitent des volumes massifs de donnees personnelles : inscriptions, parcours pedagogiques, examens, recherche, vie etudiante, relations internationales. En tant qu’etablissements publics ou prives, ils sont pleinement soumis au RGPD et doivent designer un delegue a la protection des donnees. Les enjeux sont d’autant plus importants que les universites gerent egalement des activites de recherche impliquant des donnees sensibles.
Les donnees traitees dans l’enseignement superieur
L’universite collecte des donnees a chaque etape du parcours etudiant : candidature (Parcoursup, MonMaster, dossiers de candidature), inscription administrative, suivi pedagogique, examens et diplomes, stages et apprentissage, vie etudiante (logement CROUS, bourses, sante etudiante), et insertion professionnelle (enquetes d’insertion, annuaires d’anciens eleves).
A cela s’ajoutent les donnees du personnel (enseignants-chercheurs, personnel administratif et technique) et les donnees collectees dans le cadre des activites de recherche, qui peuvent inclure des donnees de sante, des donnees biometriques ou des donnees comportementales.
Le DPO universitaire : un role strategique
La designation d’un DPO est obligatoire pour les universites, qu’elles soient publiques ou privees. Le DPO universitaire fait face a des defis specifiques : multiplicite des composantes (UFR, laboratoires, services centraux), autonomie des equipes de recherche, partenariats internationaux, et culture de l’ouverture des donnees qui doit se concilier avec la protection de la vie privee.
Le DPO doit etre positionne au niveau de la gouvernance de l’etablissement et disposer de moyens suffisants pour couvrir l’ensemble des activites. De nombreuses universites mutualisent la fonction de DPO au sein de regroupements ou de COMUE.
Recherche universitaire et RGPD
Les activites de recherche constituent un enjeu majeur pour les universites. Les chercheurs collectent des donnees personnelles dans le cadre d’enquetes, d’etudes cliniques, de recherches en sciences sociales ou en intelligence artificielle. Chaque projet de recherche impliquant des donnees personnelles doit faire l’objet d’une evaluation prealable.
Le RGPD prevoit des derogations pour la recherche scientifique, notamment en matiere de duree de conservation et de reutilisation des donnees. Cependant, ces derogations sont encadrees par des conditions strictes : pseudonymisation, securite renforcee, information des participants, et souvent avis d’un comite d’ethique.
Plateformes numeriques et learning analytics
Les universites deploient de nombreuses plateformes numeriques : Moodle, Blackboard, Teams, Zoom, plateformes de detection de plagiat (Compilatio, Turnitin). Chacune de ces plateformes collecte des donnees sur les etudiants : connexions, temps passe, resultats, interactions. Les learning analytics, qui analysent les comportements d’apprentissage pour ameliorer la pedagogie, posent des questions specifiques de consentement et de transparence.
L’utilisation d’outils de detection de plagiat implique la transmission de copies d’etudiants a des prestataires externes, parfois heberges hors de l’Union europeenne. L’universite doit evaluer ces transferts et informer les etudiants de l’utilisation de ces outils.
Relations internationales et transferts de donnees
Les echanges universitaires internationaux (Erasmus, conventions bilaterales) impliquent des transferts de donnees vers des pays tiers. L’universite doit s’assurer que ces transferts sont encadres par des garanties appropriees : clauses contractuelles types, decision d’adequation de la Commission europeenne, ou consentement explicite de l’etudiant.
Les candidatures d’etudiants etrangers, les co-tutelles de these internationales et les projets de recherche collaboratifs sont autant de situations ou les transferts de donnees doivent etre anticipes et securises.
Examens en ligne et surveillance a distance
La generalisation des examens en ligne a introduit des outils de surveillance a distance (proctoring) qui collectent des donnees biometriques et comportementales : video, audio, mouvements oculaires, analyse de l’environnement. Ces traitements sont particulierement intrusifs et necessitent une analyse d’impact, une information detaillee des etudiants et, dans de nombreux cas, la proposition d’une alternative non numerique.
La CNIL a emis des recommandations specifiques sur ce sujet, insistant sur la proportionnalite des dispositifs et le respect de la vie privee des etudiants dans leur domicile.
Droits des etudiants
Les etudiants, en tant que personnes majeures, exercent directement leurs droits RGPD : acces a leur dossier, rectification, opposition, portabilite. L’universite doit mettre en place des procedures claires et accessibles, idealement via un portail en ligne dedie. Le delai de reponse est d’un mois, extensible a trois mois pour les demandes complexes.
