[Tribune] La nécessité des écoles à être RGPD

L’accélération soudaine de la digitalisation des cours et de l’apprentissage implique le recours accru aux outils numériques pour assurer le maintien des formations. Pour Grégoire Hanquier, Directeur juridique, compliance et affaires publiques chez Data Legal Drive, ces outils peuvent être bénéfiques pour la dispense des enseignements. Ils permettent aux écoles et universités d’améliorer l’individualisation des formations, de mettre en œuvre une évaluation plus performante des acquis des élèves et surtout, dans ce contexte de crise sanitaire, d’assurer le suivi et le maintien des cours.

Pour autant, ces outils, dans leur fonctionnement même, collectent et traitent des données scolaires. Ces données sont considérées par la CNIL comme étant des données à caractère personnel. Par exemple, les étudiants et les élèves vont entrer leurs données d’identification et de parcours scolaire lors de leur inscription sur les différents sites et plateformes en ligne, qui sont justement des données personnelles au sens du RGPD.

A lire aussi : Le RGPD entre défis et opportunités : Comment utiliser les données de manière appropriée ?

Ces données personnelles sont nombreuses : état civil, livret de notes, connexions internet, parcours scolaire…etc. Il peut également s’agir de données dites sensibles au sens du RGPD. En effet, lorsqu’un élève est atteint d’un handicap nécessitant un temps d’aménagement pour passer ses examens, cette donnée de santé est inscrite au sein de son dossier scolaire et universitaire. Des données liées à la religion de l’élève ou de l’étudiant peuvent également être spécifiées dans son dossier, par exemple dans le but d’adapter ses repas au sein de l’établissement scolaire.

Dans cette perspective, il faut relever que des données a priori peu sensibles au sein du dossier d’un l’élève peuvent, après recroisement, révéler la religion de la famille. En effet, lorsque les absences de l’élève coïncident régulièrement avec des dates de fêtes religieuses, le traitement de ces données pourrait aisément aboutir à la révélation de la religion de l’élève, donnée personnelle éminemment sensible.

A lire aussi : L’enseigne Carrefour sanctionnée pour manquements au RGPD et à la loi Informatique et Libertés

Une attention accrue doit donc être portée sur le traitement des données des élèves, surtout lorsque l’on sait que les données traitées dans le cadre des établissements scolaires sont majoritairement des données de mineurs, voire de mineurs âgés de moins de 15 ans. En effet, le RGPD impose le consentement parental au traitement des données personnelles des mineurs de moins de 15 ans, et plusieurs obligations sont renforcées. Notamment, les données personnelles des mineurs font l’objet d’un renforcement du principe de transparence. Ils doivent être destinataires d’une information claire et simple, aisément compréhensible pour leur âge. Le droit à l’oubli est également renforcé, car la minorité de la personne concernée lui suffit, à elle seule, à demander l’effacement de ses données.

En outre, les données scolaires accumulées au cours des années finissent par en dire beaucoup sur les élèves et étudiants. Ces données révèlent leurs parcours et leurs préférences. C’est pourquoi elles intéressent autant les acteurs économiques, notamment les réseaux sociaux, car, une fois traitées, elles pourront servir à des fins de marketing et de profilage.

D’où l’importance pour les établissements et les professeurs de porter une attention spécifique aux plateformes utilisées en tant que support de cours. Opter pour un logiciel sans en contrôler ses conditions d’utilisation, c’est prendre le risque que la plateforme exploite ou revende les données personnelles des élèves et étudiants à des acteurs économiques privés.

A lire aussi : Pourquoi toutes les entreprises du monde vont se plier au RGPD européen

De manière générale, les données scolaires ne sont pas encore assez bien protégées. L’actualité récente le démontre parfaitement : l’académie de Normandie et la députée Sonia Krimi ont été rappelées à l’ordre par la CNIL le 3 septembre dernier pour utilisation illicite de données personnelles de bacheliers.

Ces données, issues du fichier national « OCEAN » dédié à la gestion des examens et concours scolaires, ont été transmises par l’académie de Normandie à la députée Sonia Krimi, afin qu’elle puisse envoyer des courriers de félicitations aux bacheliers. Or, cette transmission et cette utilisation des données des bacheliers sont illicites, car non prévues en tant que finalité lors de la création du fichier « OCEAN ».

Du côté de l’actualité européenne, la municipalité de Bergen a récemment été sanctionnée par l’homologue norvégien de la CNIL pour insuffisance de protection des données personnelles des élèves des écoles primaires du secteur. L’amende s’élève à 170 000 euros car les données en jeu étaient celles d’enfants mineurs, et que la collectivité n’avait pas, malgré les nombreux rappels de l’autorité de contrôle norvégienne, mis en place des mesures de sécurité protectrices desdites données.

Les enjeux et les règles du RGPD sont donc encore mal compris au sein du secteur de l’éducation. L’ensemble de ces facteurs doit conduire dès maintenant les écoles, universités et organisme de formation à renforcer leurs stratégies et leurs procédures de protection des données à caractère personnel. Le respect des dispositions du RGPD est plus qu’une nécessité dans le secteur éducatif.