Les données à caractère personnel et leurs traitements

Vidéo explicative sur le registre des traitements : https://youtu.be/t8UmU_Nu4Qg

• Un fichier de données à caractère personnel :

Un fichier est un traitement de données qui s'organise dans un ensemble stable et structuré de données. Les données d'un fichier sont accessibles selon des critères déterminés.

Les données à caractère personnel doivent être collectées pour une finalité (but, objectif) déterminée, explicite et légitime.

• Le traitement des données à caractère personnel :

- Un traitement de données personnelles est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

Les données à caractère personnel ne peuvent être traitées qu'en vue d'une finalité déterminée, explicite et légitime au regard des missions de l'établissement.

• Le RGPD prévoit qu'un traitement de données à caractère personnel n'est licite que dans la mesure où l'une des conditions suivantes est remplie :

- la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

- le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique

• En matière d'enseignement ou d'éducation, un traitement peut être regardé comme « nécessaire à l'exécution d'une mission d'intérêt public » s'il entre dans le champ de la notion générale de « service public de l'enseignement » ou de celle, plus restrictive, de « service public du numérique éducatif» définie à l'article L. 131-2 du Code de l'éducation.

Exemple : tout traitement de données à caractère personnel qui aurait pour objet la mise en œuvre d'un outil ou d'un service numérique permettant l'acquisition d'un savoir, d'un savoir-faire ou d'un savoir être.

• Les déclarations auprès de la CNIL disparaissent et sont donc remplacées par l'obligation de documenter sa conformité :

Le registre des activités de traitement permet de recenser les traitements de données et de disposer d'une vue d'ensemble de ce qui est fait avec les données personnelles.Le registre doit être tenu par les responsables de traitement ou les sous-traitants eux-mêmes. -  

Les démarches déclaratives auprès de la CNIL restent obligatoires pour le traitement de données dites sensibles, comme par exemple les données biométriques (empreintes digitales pour le passage à la cantine) et les vidéos captées par des caméras dans l'enceinte de l'établissement ou la religion, appartenance syndicale...

• Les informations inscrites au registre des traitements :

  Le RGPD prévoit que chaque responsable de traitement, le chef d’établissement pour le second degré, tient un registre des activités de traite­ment effectuées sous sa responsabilité.

  Ce registre doit comporter le nom et les coordonnées du responsable de traitement et du délégué à la protection des données.

  Le registre est composé d'une fiche registre pour chaque activité de traitement qui comporte les informations suivantes :

  - les finalités du traitement (l'objectif en vue duquel les données sont collectées)

  - les personnes dont les données sont collectées

  - les catégories de données traitées (par exemple, l'identité et des informations professionnelles : nom, prénom et adresse électronique...) ;

  - les destinataires des données

  - les transferts éventuels de données à caractère personnel vers un pays tiers ou une organisation interna­tionale et les garanties prévues pour ces transferts

  - les durées de conservation des données collectées : prévoir un archivage le plus réduit possible (il est possible d'indiquer une date de péremption plutôt que la durée de conservation).

  - une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre pour l'activité de traitement

Le RGPD s'applique à tous les traitements de données à caractère personnel effectués dans le cadre des activités d'un responsable de traitement établi sur le territoire de l'Union européenne, que le traitement ait lieu ou non dans l'Union européenne.

- Les chefs d'établissement n'ont pas à déclarer les traitements qui sont mis en œuvre par des applications nationales ou académiques fournies et diffusées par la direction du numérique pour l'éducation ou les services académiques qu'ils installent sur leurs propres hébergements, dans la mesure où ils sont exploités conformément à leur documentation et n'ont pas été modifiés au niveau de l'établissement.

- En revanche, les établissements doivent déclarer les traitements s'ils utilisent des données issues des applications nationales, académiques ou recueillies au niveau de l'établissement dans des applications locales ou des services numériques développés indépendamment de l'administration centrale ou du rectorat.

Exemple proposé par Canopé - p 45 du document

Exemple proposé par la Eduscol

Le responsable du traitement peut encourir un risque de sanction (CNIL, administrative ou pénale) en cas de non-respect du RGPD (formalités préalables...).

Les amendes ne sont pas applicables aux traitements mis en œuvre par l'État et ses services déconcentrés, ou par les chefs d'établissement et DASEN lorsqu'ils mettent en œuvre un traitement au nom de l'État ou en qualité de représentant de l'État. La CNIL n'a pas tranché, en cas de traitement au nom de l'EPLE ou de l'école, mais les chefs d'établissements et DASEN seront protégés.

Le chef d'établissement ne peut être tenu pour responsable d'un défaut de protection des données dans un traitement personnel effectué par un enseignant, s'il n'en avait pas connaissance.