Mieux comprendre le RGPD dans les écoles

Nous avons déjà parlé plusieurs fois du fameux RGPD dans divers articles (ici, et). Le but de cette nouvelle publication est d’offrir un espace de consultation structuré et complet pour se renseigner.

1.Le RGPD, qu’est-ce que c’est?

La numérisation croissante de nos sociétés entraîne la mise en en circulation d’une quantité toujours plus grande d’informations personnelles sur Internet. Ces informations peuvent permettre de nous identifier en tant qu’individu unique, soit de manière directe (n° de registre national, nom et prénom), soit de manière indirecte (par exemple via croisement de données): ce sont des données personnelles. Face à ce phénomène, l’Europe s’est dotée, en mai 2018, d’un nouvel outil pour encadrer la collecte et le traitement de ces données personnelles afin de garantir le respect de la vie privée de ses citoyens: le « Réglement Général sur la Protection des Données« , plus connu sous son acronyme RGPD [1].

Certaines données sont plus consensuelles, comme le nom et le prénom, alors que d’autres entrent dans un registre spécifique: ce sont les données sensibles. On retrouve, parmi ces données sensibles, les informations ayant trait à l’origine ethinique, la religion, l’orientation sexuelle, les opinions politiques, l’appartenance à un syndicat ainsi que les données biométriques, de santé et liées aux condamnations pénales ou infractions. En fait, tout ce qui permettrait de stigmatiser d’une façon ou d’une autre un individu. Le traitement des données sensibles est interdit (sauf cas précis) et leur collecte nécessite un consentement explicite [2].

Si le RGPD s’applique à toute structure collectant des données, ce sont les établissements scolaires qui vont nous intéresser plus particulièrement ici. De par son fonctionnement, l’école doit collecter des données personnelles, tant pour ses élèves que pour son personnel en fonction. Une inscription? Remplir un formulaire en ligne? Se connecter à une plateforme pédagogique numérique? Un versement bancaire pour le salaire? Toutes ces actions relèvent, à un moment ou un autre, du RGPD. Mais quelles balises impose-t-il?

2. Qui dit « données », dit règles à respecter1

Le RGPD balise scrupuleusement deux actions autour des données personnelles: leur collecte et leur traitement.

  • Collecter des données dans les règles de l’art

La collecte de données personnelles doit se faire pour un objectif bien défini (remplir un dossier médical, réaliser une inscription, gérer les communication parents-école). Dans le cadre de l’école, situation qui nous intéresse ici, l’établissement est responsable de la collecte mais également du traitement des données, même si celui-ci est délégué à une structure tierce. Les enseignants, représentant l’établissement scolaire, sont eux-mêmes soumis au règlement de l’école et doivent respecter le RGPD.

La collecte doit respecter les règles suivantes:

  • Limitation des finalités : la collecte poursuit un but précis.
  • Minimisation des données: seules les données en lien direct avec l’objectif poursuivi sont collectée et traitées.
  • Exactitude: les données doivent être exactes et mises à jour au besoin.
  • Limitation de la conservation: les données sont conservées un temps bien défini, selon la mission.
  • Intégrité et confidentialité: le responsable s’assure de la sécurisation des données.
  • Droit à l’information: la personne qui a transmis ses données peut en demander l’accès en toute transparence.
  • Licéité de traitement: les données collectées et traitées le sont sur une base légale.

  • La nécessité d’une base légale

Pour collecter et traiter des données à caractère personnel, il est obligatoire de s’appuyer sur au moins un des six fondements légaux du RGPD pour justifier ce traitement (voir détails dans [2]). Dans le cadre de l’enseignement nous pouvons citer :

  • L’exécution d’une mission d’intérêt public. L’école a plusieurs missions à remplir de par sa fonction. Par exemple, les données concernant les menus spécifiques à la cantine scolaire ou pour le suivi pédagogique des élèves.
  • La nécessité contractuelle : utiliser des données personnelles pour exécuter un contrat, comme pour verser le salaire sur un compte, est une base légale suffisante.
  • Le respect d’obligations légales: par exemple, tout ce qui est nécessaire dans le cadre de l’obligation scolaire, comme le suivi des absences et retards dans un dossier personnel.
  • Le consentement non-ambigu de la personne (ou des parent si élèves < 13 ans). Il est ainsi possible de demander le consentement pour valider une collecte et un traitement de données. Cependant, ce point mérite un petit éclairage.

Précisions autour du consentement

Demander un accord dans le cadre d’une collecte de données semble aller de soi. Seulement, il est important de le demander de manière correcte, en gardant en tête deux éléments clefs:

  1. Le consentement des tuteurs est toujours obligatoire pour les données sensibles ou la cession des données à des tiers à des fins de prospection commerciale.
  2. Le consentement est une base légale relativement instable car il est révocable à tout moment. Mieux vaut appuyer le fondement de la collecte et du traitement des données personnelles sur un fondement légal supplémentaire.

Quand il y a recours au consentement, la procédure de collecte doit suivre les recommandations de l’Autorité de protection de données belge, à savoir :

  • La demande est claire et lisible.
  • L’usage qui sera fait des données est expliqué.
  • Le consentement est exprimé par un acte positif matérialisable, c’est-à-dire que la personne qui donne son consentement doit l’acter volontairement. Ainsi, on ne peut en aucun cas pré-cocher le consentement dans un formulaire par exemple.
  • Les consentements doivent être documentés, afin de pouvoir être révisés si nécessaire.
  • L’absence de consentement ne peut avoir de conséquence négative sur la personne qui le refuse. C’est pourquoi on ne pourrait interdire à un élève de participer à la réalisation d’un spectacle si il refuse de diffuser son image.

3. Le cas de la sous-traitance

Il arrive qu’un établissement scolaire dusse sous-traiter le traitement des données à une tierce organisation. Dans ce cas, le sous-traitant sera soumis (si possible) à un contrat qui encadrera le traitement des données personnelles, leur sécurité et leur gestion.

Ainsi, pour respecter le RGPD, nous constatons qu’en cas de sous-traitance :

 « Les données ne seront pas transmises en dehors de l’Union européenne vers des pays qui n’offrent pas un niveau de protection adéquat ou sans garanties appropriées complémentaires qui seront d’abord convenues avec l’établissement scolaire. »

Source: « Guide pratique – Comprendre et appliquer le RGPD en classe » [2]

En effet, l’Union européenne est responsable des données de ses citoyens [1]. En cas de transit de données et de stockage dans un pays tiers, elle doit ainsi analyser la législation du pays qui reçoit les données et vérifier qu’elle est conforme au RGPD européen.

C’est ce dernier point qui nous intéresse : les GAFAM portant des plateformes éducatives sont-ils compatibles avec le RGPD européen ?

4. Pourquoi les GAFAM posent problème ?

PREAMBULE: Il faut savoir que, actuellement, la justice européenne n’a pas (encore) sanctionné l’usage des GAFAM en milieu scolaire, dans le sens où aucun jugement dans une cour d’un pays d’Europe n’a validé ou invalidé leurs usages. Les pays qui ont fait le choix de se passer de leurs services ont construit leurs propres argumentaires sur base des textes légaux dont ils disposaient sans qu’il y ait eu un quelconque jugement rendu. Mais, comme vous le verrez, il y a véritablement matière à questionner leur compatibilité avec le RGPD européen.

Google, Apple et Microsoft ont-ils vraiment leur place dans les établissements scolaires, notamment en tant que plateforme éducative ou suite de gestion du personnel ? Un bref résumé de l’historique des accords transatlantiques concernant la protection des données permettra de mieux comprendre les enjeux.

L’Europe et les États-Unis tentent de trouver, depuis plusieurs années, un accord sur les échanges de données entre les deux entités. La difficulté majeure ? Accorder deux conceptions distinctes d’une même ressource : les données à caractère personnel. Protégées en Europe dans l’idée de défendre la vie privée, une liberté fondamentale chez nous, les données à caractère personnel sont perçues comme des biens échangeables aux Etats-Unis [3].

Ainsi, plusieurs traités se sont succédés. D’abord, il y a eu le traité « International Safe Harbor Privacy Principles » (2000-2015), suivi du « Privacy Shield » (2016-2020) [4]. Ces deux traités ont été invalidés par la Cour de Justice Européenne (CJE). Si le premier avait été fragilisé par les révélations d’Edward Snowden, le coup de grâce fût porté par l’action d’un seul homme : Maximilian Shrems, un jeune avocat autrichien qui donne son nom aux arrêts déclarés par la CJE (Arrêts Shrems I et Shrems II) [5]. Fin 2020 donc, le constat est là : le transfert de données vers un opérateur américain n’est pas compatible avec le RGPD européen. Les raisons de cette incompatibilité ? Elles sont dues à l’existence de plusieurs lois américaines [3] :

  • Le Patriot Act : initié après les attentats du 11 septembre 2001, « permet aux agences fédérales américaines (le FBI, la CIA, la NSA, l’armée, le fisc…) dobtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme » [3].
  • Le Cloud Act : permet d’obtenir des données d’une personne spécifique hébergées sur le territoire américain dans le cadre d’une enquête, sans que la personne (ou son pays si elle réside en dehors des Etats-Unis) en soit informée.
  • Le FISA (Foreign Intelligence Surveillance Act – loi de surveillance d’intelligence étrangère) : c’est cette loi en particulier qui pose problème. En effet, le FISA permet la surveillance électronique des données d’origine étrangère (lecture d’email, écoute,…) qui se trouvent sur le territoire américain. Or, bien que le 4ème amendement américain puisse être invoqué pour protéger la vie privé des résidents américains face à des intrusions des services étatiques, il ne s’applique pas aux étrangers. Les données provenant des citoyens européens sont donc (relativement) accessibles aux autorités fédérales américaines.

Si le traitement de nos données privées par l’état américain peut nous laisser de glace, en tant qu’individu, il est quand même bon de nous interroger sur le stockage massif de données sensibles par une poignées d’entreprises pour qui elles représentent une denrée économique échangeable. Qui plus est, l’émergence de systèmes de surveillance généralisé en vue de contrôler la population (tel le crédit social chinois, [6]), ou de certains groupes s’opposant à un ordre établi (comme l’ultra-surveillance des milieux miliants de gauche en France [7]), est désormais loin d’être de l’ordre de la fiction : la défense des données privées va de paire avec la défense d’espaces de contestation et de résistance.

5. Le point dans les écoles

Où en sommes-nous désormais en 2024 ? L’annulation du Privacy Shield en 2020 a donné lieu à de nouvelles discussions, débouchant sur un nouveau traité ratifié en 2022 : le « EU–US Data Privacy Framework » (DPF) [8]. Même s’il semble que les États-Unis aient fait des efforts, le Parlement européen et la CNIL (Commission nationale de l’informatique et des libertés) considèrent que les garanties sont insuffisantes: il est donc fort à parier que ce DPF soit contesté dans les mois qui viennent [9,10,11].

Quel impact cela peut-il avoir dans les écoles ? A partir du moment où un établissement scolaire sollicite un sous-traitant pour collecter, gérer, traiter des données personnelles et que ces données sont hébergées sur le territoire américain, c’est la loi américaine qui s’applique [12]. Avec donc un risque élevé d’incompatibilité avec le RGPD européen. Cette situation pousse plusieurs pays ou régions européennes à interdire le déploiement de solutions techniques portées par Google ou Microsoft dans les établissements scolaires (en France voir [13], ainsi qu’au Danemark et dans certains Länder allemands), eut égard à la défense de la protection de la vie privée et à la souveraineté numérique.

Il est de la responsabilité des établissements scolaires de choisir des services qui sont compatibles avec le RGPD. Dans le cas où « le fournisseur ne garantit pas qu’il ne traitera les données à caractère personnel des élèves que conformément aux instructions de l’établissement scolaire », « l’établissement scolaire devrait renoncer à cette offre ». [2]

Quelles seraient les alternatives ? Citons en plusieurs : Moodle (utilisé par l’UNamur ou l’Athénée de Gembloux) et qui soutient la plateforme HAPPI de WBE, un serveur Nextcloud ou ownCloud hébergé en Europe, Mailo pour les email,… Les alternatives existent même si elles peuvent paraître moins faciles à mettre en œuvre de but en blanc.

6. Pistes d’action en cas d’infraction dans un établissement scolaire

Plateforme Google Scholar ? Chromebook ? Office 365 ? De nouveaux services se sont invités dans l’enseignement depuis le Covid. Faciles, complets, peu chers : ils auraient tout pour plaire ! Pourtant, il est fort à parier que ces services ne respectent pas la législation européenne en matière de protection des données personnelles. Que faire dans le cas où ils sont en service dans votre école ?

  • Votre direction est ouverte à vos arguments? N’hésitez à présenter les services alternatifs existants. NumEthic peut aussi vous renseigner et vous présenter des pistes de solutions techniques.
  • Dans le cas où le dialogue est rompu, il est possible de déposer une plainte ou demande de médiation à l’Agence de Protection des Données (APD). Vous préférez anonymiser votre signalement? L’asbl Abelli propose un service gratuit pour signaler de possibles infractions au RGPD se déroulant en milieu scolaire (https://abelli-asbl.be/?Signaler-de-possibles-infractions).

Enfin, sachez qu’il y existe une jurisprudence pour tous les employeurs qui les empêchent d’imposer l’installation de logiciels sur le matériel personnel (portable ou smartphone) de l’employé (et donc de l’enseignant).

En espérant que ce tour d’horizon aura pu éclairer votre compréhension du RGPD… et vous fera réfléchir à deux fois avant d’encoder des données sensibles dans un Google Form (petite référence ici aux stages pour enfants qui demandent régulièrement des informations sensibles par ce médium) !

Bibliographie:

[1] https://www.01net.com/actualites/comment-le-rgpd-va-proteger-vos-donnees-personnelles-1454674.html

[2] « Comprendre et appliquer le RGPD en classe – Guide pratique » – http://www.enseignement.be/index.php?page=23827&do_id=15921&do_check=LVSLCFWNIF

[3] https://www.village-justice.com/articles/Patriot-americain-permet-obtenir,13476.html

[4] https://en.wikipedia.org/wiki/EU%E2%80%93US_Privacy_Shield

[5] https://en.wikipedia.org/wiki/Max_Schrems#Schrems_I

[6] https://geeko.lesoir.be/2019/07/27/comment-fonctionne-le-credit-social-en-chine

[7] https://www.laquadrature.net/2024/04/08/contre-la-criminalisation-et-la-surveillance-des-militant%c2%b7es-politiques/

[8] https://en.wikipedia.org/wiki/EU%E2%80%93US_Data_Privacy_Framework

[9] https://www.01net.com/actualites/transfert-de-donnees-transatlantique-les-etats-unis-napporteront-pas-de-garanties-supplementaires-aux-europeens.html

[10] https://www.cnil.fr/fr/transfert-de-donnees-vers-les-etats-unis-le-cepd-rend-son-avis-sur-le-projet-de-decision-dadequation

[11] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue

[12] https://www.aquaray.com/blog/articles/cloud-act-patriot-act-rgpd-a-quelle-legislation-vos-donnees-sont-elles-soumises

[13 ] https://questions.assemblee-nationale.fr/q16/16-971QE.htm

  1. La majorité des informations données ici sont issues du « Guide pratique -Comprendre et appliquer le RGPD en classe », cité en [2] – ↩︎

Laisser un commentaire