ac-reunion.fr                Ecole de la confiance

picto-accueil

Protection des données personnelles

Le Règlement Général sur la Protection des Données (RGPD) est le nouveau règlement européen en matière de protection des données qui est entré en vigueur depuis le 25 mai 2018. 

Le RGPD remplace la directive 95/46/CE sur la protection des données personnelles, et fait suite à la loi informatique et libertés, qui reste en vigueur. 

Avec le RGPD, c’est la disparition des démarches CNIL, afin de simplifier et responsabiliser. Tout traitement de données au sein de l’établissement (élèves et personnels) devra être inscrit sur un registre, et maintenu à jour par le Délégué à la Protection des Données (DPD - ou DPO en anglais : “Data Protection Officer”).

Les éventuels contrôles seront effectués par la CNIL.

Quels sont les grands principes ?

Le RGPD est organisé autour de 3 grands principes :

Gestion comptable

Le principe de gestion comptable vise à responsabiliser le responsable des traitements. Cela consiste tout simplement à documenter tous les traitements de DCP, et de les tenir constamment à jour. Le DPD doit donc sensibiliser et mettre en place des procédures internes (cf article 5 du RGPD).

Protection des données dès la conception

L’idée est de protéger les données dès la conception des services. C’est d’ailleurs dans cette optique, que les enseignants devront associer leur DPD dès le début aux réflexions pédagogiques, dans le cadre de la construction d’activités (cf article 25 du RGPD).

Protection des données par défaut

Il s’agit de limiter la quantité de DCP traitées, leur accessibilité et leur durée de conservation : seules les DCP nécessaires au fonctionnement, pour ne garder que le strict nécessaire en fonction de la finalité du traitement. (cf article 25 du RGPD).

Une DCP, c’est quoi ?

Depuis la Loi n° 2004-801 du 6 août 2004, on ne parle plus d’”’informations nominatives” (Loi n° 78-17 du 6 janvier 1978), mais de “Données à Caractère Personnel" (ou DCP)Est considérée comme une DCP, toute information permettant de faire le lien directement ou indirectement avec une personne physique. Le texte ne précise pas le type de support (numérique ou papier) :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. » (art. 2).

Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de naissance, mais aussi un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse IP, un historique de navigation, une géolocalisation, une photographie, un avatar, etc.

Qui est le responsable du traitement des données ?

Pour les collèges et les lycées, le responsable du traitement des données est le chef d’établissement (privé ou public).

Dans le premier degré, pour les écoles maternelles et élémentaires publiques, le responsable des traitements est le recteur. Pour les écoles privées, il s’agit du directeur d’école, étant donné que les écoles privées ont le statut d’association loi 1901.(cf article 5 de l’arrêté du 13 octobre 2017 sur Légifrance)

Pour le Rectorat, le responsable du traitement des données est le recteur.

 

Souhaitez-vous nous contacter pour modifier, supprimer ou accéder à vos données personnelles ?