Annexe : Note du SGEC du 10 Mai 2019

⌘K
  1. Accueil
  2. Docs
  3. Annexe : Note du SGEC du 10 Mai 2019

Annexe : Note du SGEC du 10 Mai 2019


1.  Eléments essentiels pour l’application du RGPD dans les établissements de l’Enseignement catholique

1.1. La nature des données collectées, l’absence de nécessité de recueillir le consentement des personnes

Conformément à ce que nous vous avions annoncé en juin 2018, nous avons fait analyser la situation des établissements de l’Enseignement catholique au regard du RGPD par un cabinet juridique expert dans le domaine.

Il ressort de cette analyse la confirmation des orientations diffusées en juin :

  • L’Enseignement catholique, à aucun niveau, n’est une autorité publique. Il n’est donc pas soumis aux normes spécifiques applicables à ces autorités publiques ;
  • Un traitement « à grande échelle » se définit à la fois par le nombre de données utilisées mais aussi par la dimension du territoire géographique correspondant à ces données. Dans l’Enseignement catholique, il est considéré que ce traitement « à grande échelle » correspond aux opérations effectuées au niveau national.
  • Le « responsable de traitement » des données collectées et utilisées dans les établissements est le chef d’établissement.

En outre, cette analyse permet de considérer que les données collectées dans le cadre du fonctionnement ordinaire d’un établissement scolaire le sont sur des fondements autres que le « consentement des personnes concernées » (art. 6. 1 a du RGPD). Cela signifie :

  • Qu’il n’est pas nécessaire de recueillir le consentement des personnes concernées, mais qu’il faut les informer des traitements mis en œuvre à partir des données personnelles collectées ;
  • Que les personnes concernées (élèves, parents d’élèves, enseignants et salariés) ne peuvent s’opposer au traitement de leurs données par l’établissement sauf à ne pas y être scolarisé ou à ne pas y exercer.

Ce point est essentiel. Il simplifie considérablement vos obligations puisque vous n’avez pas à conserver la preuve du consentement individuel de chaque personne pour laquelle vous collectez des données mais seulement la preuve de leur information de cette collecte.

1.2.  Les responsabilités du chef d’établissement

Le chef d’établissement est le responsable des traitements des données à caractère personnel dans un établissement catholique d’enseignement. A ce titre il engage la responsabilité de l’établissement en cas de non-respect du RGPD.

A ce titre :

  • Il est le garant de la licéité de la collecte et des traitements des données à caractère personnel (Cf. 3.1) ;
  • Il doit informer les personnes concernées de la collecte et des traitements des données à caractère personnel les concernant (Cf. 3.2, 4, 5 et les annexes 1à 3) ;
  • Il est responsable du suivi des réponses à apporter aux personnels exerçant leurs droits relatifs aux données à caractère personnel : droit d’accès, de rectification, d’effacement, à la limitation, à la portabilité, à l’opposition (Cf. 5 et les annexes 4 et 5) ;
  • Il doit garantir la sécurité des données collectées (Cf. 6) et tenir à jour le registre de traitement des données (Cf. 7 et le modèle de registre de traitement joint à ce document).

2.  Définitions

En tant que chef d’établissement, vous êtes responsable des traitements de données à caractère personnel en œuvre dans votre établissement au sens du RGPD[1] et de la Loi Informatique et Libertés[2].

2.1. Donnée à caractère personnel :

Le RGPD définit des données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Le RGPD s’applique aux données personnelles quel que soit le support sur lequel les données personnelles sont conservées, y compris lorsque ce support n’est pas informatique

2.2. Traitement de données

Le RGPD définit un traitement comme « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

2.3. Responsable de traitement

Le RGPD définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; … »

3.  Obligation du chef d’établissement en tant que responsable du traitement

Nous vous rappelons qu’en votre qualité de chef d’établissement, vous êtes responsable des traitements des données à caractère personnel mis en œuvre au sein de votre établissement au sens du RGPD et de la Loi Informatique et Libertés.

Le chef d’établissement, en sa qualité de responsable de traitement est tenu de s’assurer de la licéité des traitements de données à caractère personnel mis en œuvre au sein de son établissement, de fournir une information conforme aux exigences du RGPD et de la Loi Informatique et Libertés et de recueillir le consentement des personnes concernées lorsque la réglementation applicable l’exige pour certains traitements.

3.1. Principes relatifs au traitement des données à caractère personnel et licéité des traitements

Article 5, 6 et 9 du RGPD.

Les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • collectées pour des finalités déterminées, explicites et légitimes;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
  • exactes et, si nécessaire, tenues à jour ;
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel ;

C’est le responsable du traitement qui est responsable du respect des principes énoncés ci-dessus.

Un traitement de données à caractère personnel est considéré comme licite si au moins une des conditions suivantes est remplie :

  • la personne concernée a consenti au traitement de ses données à caractère personnel ;
  • le traitement est nécessaire à l’exécution d’un contrat ;
  • le traitement est nécessaire au respect d’une obligation légale ;
  • le traitement est nécessaire à la sauvegarde d’intérêts vitaux ;
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement.

S’agissant des établissements d’enseignement privés, le traitement des données à caractère personnel est considéré comme nécessaire à l’exécution d’un contrat.

3.2. Cas particuliers de certaines données personnelles

Le RGPD pose, en son article 9, une interdiction de principe à la collecte de certaines données :

« Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »

Toutefois, le même article prévoit que ces données peuvent être exceptionnellement collectées si « la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques ».

Le Secrétariat Général de l’Enseignement Catholique considère que seules peuvent être collectées, au titre de cette exception :

  • Les données relatives à la santé des élèves,
  • Si nécessaire, les données biométriques,
  • Les données nécessaires à l’animation pastorale et aux relations avec les paroisses.

Le recueil de ces données est soumis au consentement des personnes concernées[3]. Il n’est donc pas couvert par la note d’information proposée en annexe 1.

S’agissant des données relatives à la santé des élèves, on ajoutera au bas des fiches médicales que les parents renseignent ou de tout autre document permettant le recueil d’informations de santé (notamment afin d’informer les services de secours en cas d’urgence) la mention proposée en annexe 2.

3.3.  Informations à fournir aux personnes dont des données à caractère personnel sont collectées

Les articles 13 et 14 du RGPD listent les informations que le responsable de traitement doit fournir aux personnes dont les données sont traitées. Ces informations doivent être fournies au moment de la collecte des données.

Le support d’information est laissé à l’appréciation du responsable de traitement. Le RGPD prévoit seulement que l’information doit être concise, transparente, aisément accessible, facile à comprendre et formulée en des termes clairs et simples (considérant 58 et article 12 du RGPD). L’important est que les personnes n’aient pas à chercher l’information et puissent y accéder facilement.

Une attention particulière doit être portée lorsque cette information s’adresse à des enfants. Le RGPD prévoit, en effet, que toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l’enfant peut aisément comprendre (considérant 58 et article 12 du RGPD).

Aussi, il convient de prévoir l’information des élèves, de leurs représentants légaux et des enseignants du traitement de leurs données par l’établissement, et le cas échéant par les organisations de l’enseignement catholique, le Ministère de l’éducation nationale et d’autres organismes.

Cette information doit être délivrée par le chef d’établissement sur un support laissé à son appréciation en fonction des traitements de données mis en œuvre (dossier d’inscription, contrat de scolarisation, livret d’accompagnement, livret d’accueil, panneau d’affichage, etc.).

4.  Informations aux parents d’élèves et aux élèves

Nous recommandons l’adoption d’une notice suffisamment identifiable et de ne pas se limiter à une clause dans le contrat de scolarisation qui pourrait être considérée comme ne satisfaisant pas aux exigences susvisées de fourniture d’une information suffisamment accessible.

S’agissant des traitements relatifs à la gestion administrative de la scolarité de l’élève dans un établissement de l’enseignement catholique, l’information devra être délivrée aux représentants légaux, et le cas échéant aux élèves émancipés ou majeurs, au moment de l’inscription de l’élève.

S’agissant de traitements mis en œuvre dans le cadre de l’utilisation de certains outils pédagogiques, il peut arriver qu’une information doive également être fournie aux élèves.

Nous vous proposons, en annexe 1, une trame de mention d’information que vous adapterez en fonction des traitements mis en œuvre dans votre établissement.

Les derniers paragraphes sont impérativement à faire figurer dans vos mentions d’information, sans aucune modification. Cela concerne les données qui sont saisies dans Ange 1D et Ange 2D et remontées à l’Association Gabriel.

5.  Informations à fournir aux enseignants et aux salariés des établissements

Il convient d’informer les enseignants et les salariés de l’établissement à leur arrivée au sein d’un établissement de l’Enseignement catholique en leur remettant une notice d’information dont un modèle vous est proposé en annexe 2 et 3.

Les derniers paragraphes sont impérativement à faire figurer dans vos mentions d’information sans aucune modification. Cela concerne les données qui sont saisies dans Ange 1D et Ange 2D et remontés à l’Association Gabriel.

Vous trouverez sur le portail Isidoor des informations plus précises relatives aux salariés et les mentions nécessaires à insérer dans les contrats de travail dans le module ISIRH ainsi que des exemples de traitements dans le module Pilotage.

6.  L’exercice de leurs droits par les personnes concernées

En sa qualité de responsable des traitements, le chef d’établissement doit assurer l’effectivité des droits dont disposent les personnes concernées (parents d’élèves, élèves, personnels administratifs, etc.) au titre du RGPD et de la Loi Informatique et Libertés.

Ces droits seront exercés dans les conditions et limites prévues par le RGPD et la Loi Informatique et Libertés présentées ci-dessous.

Il vous appartiendra d’étudier ces demandes, au cas par cas, pour établir les suites que vous devrez y donner, à savoir faire droit à la demande ou la refuser, tout en étant en mesure de motiver votre décision.

6.1. Les droits des personnes concernées

6.1.1.  Droit d’accès

Ce droit permet à toute personne concernée d’interroger le chef d’établissement en vue d’obtenir la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet d’un traitement et, lorsqu’elles le font, l’accès aux dites données ainsi qu’aux informations suivantes[4] :

  • Les finalités du traitement ;
  • Les catégories de données personnelles concernées ;
  • Les destinataires des données personnelles ;
  • La durée de conservation ou si cela est impossible, les critères utilisés pour déterminer cette durée ;
  • L’existence d’un droit de demander au responsable du traitement la rectification ou l’effacement des données, ou une limitation du traitement, ou le droit de s’opposer à ce traitement ;
  • Le droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés ou « CNIL » ;
  • Lorsque les données n’ont pas été collectées directement auprès de la personne concernée, les informations relatives à leur source ;
  • L’existence d’une prise de décisions automatisées (dans le modèle de réponse proposé, nous sommes partis du principe que tel n’était pas le cas) ;
  • Lorsque les données personnelles font l’objet d’un transfert hors de l’Union européenne, les garanties appropriées attachées à ce transfert (dans le modèle de réponse proposé, nous sommes partis du principe que tel n’était pas le cas).

L’ensemble des données personnelles collectées, traitées et conservées par les établissements sont susceptibles de faire l’objet d’un droit d’accès.

6.1.2.  Droit de rectification

Ce droit autorise toute personne concernée à obtenir la correction de données personnelles la concernant qui seraient inexactes, fausses ou incomplètes[5].

6.1.3.  Droit à l’effacement

Ce droit autorise la personne concernée à obtenir l’effacement des données personnelles la concernant, sous certaines conditions[6].

Lorsqu’une demande d’effacement est adressée, le responsable de traitement a l’obligation d’effacer les données personnelles relatives à la personne concernée dans les cas suivants :

  • Les données personnelles traitées ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • La personne concernée retire son consentement (si le traitement des données personnelles est fondé sur le consentement de la personne concernée) ;
  • La personne concernée exerce son droit d’opposition et aucun motif légitime ou impérieux ne justifie de conserver les données personnelles au-delà de l’exercice de son droit ;
  • Les données personnelles ont fait l’objet d’un traitement illicite ;
  • Les données personnelles doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union européenne ou par le droit national ;
  • Les données ont été collectées directement auprès d’un mineur dans le cadre d’une offre directe de services de la société de l’information aux enfants (réseaux sociaux, site internet, etc.).

En dehors de ces cas de figure, le responsable de traitement n’est pas tenu de faire droit à une demande d’effacement. Il n’est pas non plus tenu de procéder à l’effacement des données personnelles si le traitement est nécessaire :

  • au respect d’une obligation légale ;
  • à des fins archivistiques dans l’intérêt public, de recherche scientifique, historique ou à des fins statistiques ;
  • à la constatation, à l’exercice ou à la défense de droits en justice.

S’agissant d’un établissement scolaire, compte tenu que les données collectées dans le cadre du fonctionnement ordinaire d’un établissement scolaire le sont sur des fondements autres que le « consentement des personnes concernées », le chef d’établissement ne sera pas tenu d’effacer des données listées dans la note d’information aux parents à l’exclusion des données supplémentaires collectées après consentement des personnes.

Le RGPD impose de motiver tout refus d’exécuter une demande provenant d’une personne concernée[7]. Le chef d’établissement doit ainsi être en mesure de justifier sa réponse en établissant, selon les cas, le caractère nécessaire des données personnelles qu’il traite, l’existence d’un motif légitime justifiant de conserver les données malgré l’opposition formulée, etc.

Par conséquent, chaque demande d’effacement de données personnelles appelle une étude au cas par cas.

6.1.4.  Droit à la limitation

Ce droit permet aux personnes concernées d’obtenir la suspension d’un traitement de leurs données personnelles dans certains cas limitativement prévus en imposant au responsable de traitement de les conserver[8].

Le droit à la limitation du traitement ne peut être exercé que dans l’un des cas suivants :

  • La personne concernée conteste l’exactitude d’une donnée mais les données sont conservées pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données ;
  • Le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
  • Le responsable de traitement n’a plus besoin des données personnelles aux fins du traitement mais leur conservation est encore nécessaire à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
  • La personne concernée s’est opposée au traitement pendant la vérification sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

6.1.5.  Droit à la portabilité

Ce droit s’apparente à un droit d’accès amélioré. Il vise à permettre à toute personne concernée de demander de recevoir les données personnelles la concernant, qu’elle a fournies à un responsable de traitement « dans un format structuré, couramment utilisé et lisible par machine » afin qu’elles fassent l’objet d’une transmission à un autre responsable de traitement[9].

Ce droit n’est possible que dans les cas suivants : le traitement des données est fondé sur le consentement ou sur un contrat, et le traitement doit être effectué à l’aide de procédés automatisés.

Il est possible que certaines personnes concernées se prévalent de ce droit à la portabilité, par exemple en cas de changement d’établissement.

6.1.6.  Droit d’opposition

Ce droit permet, dans certaines hypothèses, aux personnes concernées de s’opposer au traitement de leurs données personnelles[10].

Ce droit ne peut être exercé lorsque :

  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable ou par un tiers.

Lorsque le droit d’opposition est exercé, le responsable du traitement ne doit plus traiter les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux qui justifient le maintien du traitement. Ces raisons doivent alors prévaloir sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Dans un établissement scolaire :

  • L’opposition au traitement des données collectées sans recueil nécessaire du consentement des personnes et couvertes par la note d’information aux familles proposée en annexe 1, entrainera la rupture du contrat de scolarisation.
  • Le chef d’établissement appréciera si l’opposition au traitement des données supplémentaires collectées avec le consentement des personnes permet, ou non, la poursuite du contrat de scolarisation.

6.2. Modalités de réponse à l’exercice de leurs droits par les personnes concernées

6.2.1.  Délai de réponse

Vous devez apporter une réponse dans les meilleurs délais, et au plus tard dans un délai d’un mois à compter de la réception de la demande.

Ce délai peut être prorogé de deux mois compte tenu de la complexité et du nombre de demandes reçues, à condition d’en informer la personne concernée.

6.2.2.  Vérification de l’identité de la personne concernée

En principe, seule la personne concernée peut exercer ses droits.

Pour les traitements de données personnelles concernant les élèves mineurs, les droits peuvent être exercés par leurs parents ou les personnes titulaires de l’autorité parentale.

Dans les autres cas, seule la production d’un mandat pourra justifier l’exercice des droits par une personne autre que la personne concernée.

Dans tous les cas, vous devez vous assurer que la personne qui vous adresse une demande a bien le droit de le faire. Ainsi, il vous faudra demander dès réception de la demande, la production d’une copie de la pièce d’identité de la personne concernée et, le cas échant, la présentation du mandat justifiant la demande.

6.2.3.  Modalités et coûts

Le RGPD prévoit un principe de gratuité pour les copies fournies dans le cadre de l’exercice du droit des personnes[11].

Il est néanmoins possible de demander le paiement de frais raisonnables basés sur les coûts administratifs :

  • pour toute copie supplémentaire demandée par la personne concernée ;
  • si la demande est manifestement infondée ou excessive.

Si la demande est formulée par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

6.2.4.  Organisation interne

Il incombe à chaque chef d’établissement de sensibiliser en interne les personnels de l’établissement qui pourraient se retrouver destinataires de telles demandes de personnes concernées par email, par téléphone, ou physiquement, afin que les règles applicables soient dument respectées

7.  Sécurisation des données collectées

Article 25, 32, 33 du RGPD

Le responsable du traitement est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées, destinées à assurer la protection effective des données.

Ces mesures peuvent par exemple comprendre :

  • La minimisation des données,
  • Le traitement des seules données nécessaires à chaque traitement,
  • La limitation au strict nécessaire du nombre de personnes ayant accès aux données,
  • La restriction de l’accès aux données aux seules personnes habilitées (mots de passe, …),
  • Des procédures régulières de vérification de ces mesures (changement régulier des mots de passe, …)

En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

La notification doit, a minima :

  • décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • communiquer le nom et les coordonnées du délégué à la protection des données ou du responsable de traitement auprès duquel des informations supplémentaires peuvent être obtenues ;
  • décrire les conséquences probables de la violation de données à caractère personnel ;
  • décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

8.  Le registre des activités de traitement

Chaque responsable de traitement tient un registre des activités de traitement effectuées sous sa responsabilité. Ce registre comporte toutes les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles

Un modèle de registre de traitement, sous format Excel est joint à cette note. Il est pré-rempli, à titre d’exemples, par les principaux traitements réalisés dans les établissements. Ces exemples n’ont aucune valeur normative ni exhaustive.

9.  Mode d’emploi des annexes

L’ensemble des annexes qui suivent vous propose les modèles de note d’information à communiquer aux parents d’élèves, aux enseignants et aux salariés de votre établissement. Ainsi que les modèles de réponses à apporter en cas d’exercice, par les personnes concernées, de leurs droits d’accès.

Ces modèles ont été rédigés afin de couvrir les situations généralement présentes dans les établissements. Vous devez cependant les adapter à la situation particulière de votre établissement, tout particulièrement si vous collectez des données qui ne sont pas listées dans ces modèles.

Dans chaque modèle, les mentions surlignées en jaune, entre crochets, doivent être remplies par l’information précise relative à votre établissement.

Les informations écrites en rouge dans ces modèles vous sont destinées pour signaler des points d’attention. Elles doivent être éliminées des notes d’information diffusées par vous.

Dans les 3 notes d’information destinées aux parents d’élèves, aux enseignants et aux salariés, le texte surligné en rouge (surlignement à éliminer) ne doit pas être modifié. Il est nécessaire à la sécurisation juridique des systèmes informatisés de l’Enseignement catholique.


[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[3] RGPD, art. 9

[4] RGPD, art. 15

[5] RGPD, art. 16

[6] RGPD, art. 17

[7] RGPD, considérant 59

[8] RGPD, art. 18

[9] RGPD, art. 20

[10] RGPD, art. 21

[11] RGPD, art. 12.5

Comment pouvons-nous aider ?