Le règlement général sur la protection des données (RGPD) crée un cadre de confiance et renforce les droits des usagers quant à l’utilisation de leurs données à caractère personnel. Dans le domaine de l’éducation il ne s’agit pas de se priver des innovations technologiques si elles apportent une réelle plus-value pédagogique mais il convient de ne pas transiger sur les principes éthiques. Dans chaque académie un délégué à la protection des données (DPD) veille au respect du cadre légal concernant la protection des données.
Au-delà de son appui essentiel à une gestion plus efficiente des systèmes éducatifs, le numérique bouleverse l’accès à la connaissance et offre des possibilités nouvelles pour enseigner et apprendre. Sous réserve d’une protection rigoureuse, les données à caractère personnel des élèves peuvent être utilisées pour améliorer l’individualisation des parcours de formation et des apprentissages, mettre en œuvre une évaluation plus performante de leur acquis, offrir aux enseignants de nouveaux outils pédagogiques et aux chefs d’établissement des services de vie scolaire répondant mieux aux attentes des familles.
Le règlement général européen sur la protection des données (RGPD) et les dernières dispositions de la loi du 6 janvier 1978 dite « Informatique et Libertés » renforcent la protection de ces données afin que leur usage soit respectueux du droit des personnes.
Les développements en cours dans le domaine de l’éducation, spécialement ceux mettant en œuvre des techniques d’intelligence artificielle, imposent une attention encore plus vive. Il ne s’agit pas de se priver des innovations technologiques si elles apportent une réelle plus-value pédagogique mais il convient de ne pas transiger sur les principes éthiques, tout particulièrement lorsqu’il s’agit de personnes mineures.
L’infographie « 10 principes clés pour protéger les données de vos élèves » a pour ambition d’aider les enseignants à utiliser le numérique dans leur pédagogie en s’assurant que les données personnelles de leurs élèves sont bien protégées.
Les délégués à la protection des données (DPD)
Les délégués à la protection des données (DPD) veillent au respect du cadre légal concernant la protection des données au sein d’une organisation.
Dans l’éducation nationale, un DPD veille, dans chaque académie, au respect du RGPD par les les responsables des traitements de données personnelles mis en œuvre dans l’académie, les écoles ou les établissements, et par les sous-traitants et prestataires prenant part à ces traitements. Le DPD est associé à la mise en place de tout nouveau traitement ou à toute modification d’un traitement en cours et doit donner son avis ou faire des recommandations.
Les missions principales du Délégué à la protection des données en académie sont :
- Veiller au respect du cadre légal : le DPD veille en toute indépendance au respect du RGPD et plus largement de l’ensemble des normes applicables par les responsables des traitements ou des sous-traitants en matière de protection des données à caractère personnel. Ses analyses et conseils s’étendent aux sous-traitants et prestataires prenant part aux traitements mis en place par les responsables de traitement. Il est obligatoirement consulté avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement en cours et peut faire toute recommandation aux responsables de traitement de l’administration centrale des deux ministères.
- Alerter les responsables de traitement : Le DPD informe sans délai les responsables de traitement de tout risque que le non-respect de ses recommandations ou toute initiative des utilisateurs ou de concepteurs de traitements feraient courir à l’institution. Il veille à formaliser une procédure pour informer directement les responsables de traitement d’une non-conformité majeure.
- Analyser, investiguer, auditer et contrôler : Le DPD pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité au RGPD, de mettre en évidence les éventuelles non-conformités, de vérifier la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles. Il est en relation avec le DPD ministériel sur ces questions.
- Établir et maintenir une documentation sur les traitements effectués : Le DPD s’assure de l’existence d’une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements) et de sa bonne conservation et veille à son accessibilité par l’autorité de contrôle (CNIL).
- Assurer la médiation avec les personnes concernées : Le DPD reçoit les réclamations éventuelles des personnes concernées par les traitements et veille au respect du droit des personnes. Il traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement en lien avec les services académiques.
- Accompagner et sensibiliser : le DPD assure une mission d’information et de sensibilisation des services académiques au travers notamment d’actions de formation et de diffusion de supports de communication sur la protection des données personnelles.
- Interagir avec l’autorité de contrôle : Le DPD est, pour l’académie, le point de contact privilégié de l’autorité de contrôle (Cnil), avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre.
- Présenter un rapport annuel au recteur : Le DPD rend compte de son action en présentant chaque année un rapport au Recteur