RGPD : quel impact sur les établissements scolaires ?

Cropped Favicon Economi Matin.jpg
Par Alain Ecuvillon Publié le 1 août 2018 à 5h03
Caf Versement Allocation Rentree Scolaire Montant Date
@shutter - © Economie Matin
10 millions d'eurosUn établissement ne respectant pas le RGPD risque une amende de 10 millions d'euros maximum.

Entré en vigueur le 25 mai 2018, le Règlement Général de Protection des Données (RGPD) promet une protection des données personnelles à l’échelle européenne. Dès lors, tous les secteurs sont confrontés à de nouveaux enjeux, y compris les institutions publiques telles que les établissements scolaires. Alors que l’école se digitalise de plus en plus avec l’essor des Espaces Numériques de Travail (ENT), quid de la protection des données en classe ?

Données personnelles à l’école : théorie vs pratique

Si le RGPD change la donne pour bon nombre d’acteurs, l’environnement pédagogique avait déjà sa propre réglementation en matière de digital. En effet, l’arrêté du 30 novembre 2006, modifié par l’arrêté du 13 octobre 2017, définit l’acte règlementaire unique RU-003 destiné à régir la mise en place et l’exploitation des Espaces Numériques de Travail dans l’ensemble de l’écosystème scolaire, des établissements publics aux établissements privés, et de l’Éducation Nationale à l’enseignement supérieur.

Ainsi, le RU-003 définit quelles données peuvent être enregistrées, à qui elles peuvent être destinées, combien de temps elles peuvent être conservées et garantit également un certain nombre de droits aux utilisateurs. L’ensemble des ENT et des établissements, sont donc tenus de respecter ce règlement. Pour cela, le chef d’établissement, l’inspecteur ou le recteur académique doivent déclarer les données de leurs élèves auprès de la CNIL.

Néanmoins, si le RU-003 impose théoriquement une norme sécuritaire stricte, la réalité du terrain est plus opaque. En effet, malgré une réglementation responsabilisant le Ministère et les établissements, aucun contrôle coercitif n’est exercé sur l’utilisation parfois peu vigilante des données personnelles par les enseignants. Ainsi, certains sites Internet ou certaines applications déconseillées, voire interdites aux moins de treize ans, peuvent être utilisées par les professeurs dans le cadre d’un enseignement primaire. En réalité, à l’école comme au quotidien, rares sont ceux qui se préoccupent des conditions d’utilisation des produits, même pédagogiques.

Contrôles et sanctions : les atouts du RGPD pour lutter contre l’exploitation des données

L’utilisation d’un outil digital pas suffisamment sécurisé pour gérer les notes et évaluations des élèves est, par exemple, particulièrement sensible. En effet, si l’enseignant ne donne pas une attention spécifique aux conditions d’utilisation, le logiciel pourrait revendre les données récoltées à des services d’accompagnement scolaire. Ceux-ci seraient alors en mesure de cibler les élèves en difficulté – un procédé illégal... mais potentiellement possible si aucun contrôle n’est exercé.

Face à cela, le RGPD met un coup de pied dans la fourmilière pédagogique. Il contraint désormais les intervenants à exercer un contrôle très strict sur l’utilisation des données personnelles, notamment en veillant à ne pas permettre l’exploitation ou la revente des données utilisateurs à des acteurs privés.

En parallèle, le règlement, pensé pour redonner aux citoyens le pouvoir sur la propriété de leurs données, promet en effet le respect d’un certain nombre de droits :

- le droit à l’effacement des données, si l’élève quitte l’établissement ;
- le droit à la rectification si celui-ci est en désaccord sur la manière dont il peut être présenté ;
- le droit à limiter l’utilisation de ses données ;
- le droit à la portabilité de ses données personnelles : lorsqu’il quitte l’établissement, il peut récupérer l’ensemble de ses données puisque celles-ci
lui appartiennent.

Des procédures logicielles doivent donc être mises en place pour répondre aux demandes des utilisateurs.

Pour s’assurer de l’efficacité de ce règlement, le RGPD fait émerger un nouveau rôle au sein des établissements : celui du Data Privacy Officer (DPO), à la fois censeur et garde-fou indépendant chargé de s’assurer du bon respect de la législation et, dans le cas contraire, d’en alerter la direction de l’établissement. Si, pour l’instant, le Ministère et les académies tardent à prendre position sur les conditions d’intégration de ce nouvel acteur au sein de l’établissement, les risques encourus, eux, sont bien réels : l’amende s’élève à... 10 millions d’euros.

Si des règlements ont déjà été mis en place pour protéger les données des élèves, le RGPD vient renforcer la notion de privacy dans l’écosystème pédagogique avec deux atouts majeurs : une clause de contrôle qui doit être concrétisée par l’instauration d’un DPO, et des sanctions financières extrêmement dissuasives pour les établissements responsables d’un manquement au respect de la législation.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Alain Ecuvillon est directeur général d’itslearning France.

Aucun commentaire à «RGPD : quel impact sur les établissements scolaires ?»

Laisser un commentaire

* Champs requis