Protection des données personnelles et RGPD


En résumé 

La protection des données personnelles en France est désormais encadrée par deux textes :

  • La loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, qui modifie la loi Informatique et Libertés du 6 janvier 1978, et qui est à la fois complémentaire et compatible avec le Règlement européen RGPD ;   
  • Un texte européen, le Règlement Général sur la Protection des Données (RGPD), adopté par le Parlement Européen et le Conseil Européen le 27 avril 2016, et publié au Journal Officiel de l’Union Européenne le 4 mai 2017.

Les pratiques de traitement de données doivent respecter ces deux textes.

Le RGPD est un Règlement et non une Directive : il est donc directement applicable à tous les Etats de l’Union Européenne, sans avoir besoin d’être transcrit dans la loi nationale. L’application du  RGPD par les entreprises, les organismes publics, et notamment les établissements scolaires, est obligatoire depuis le 25 mai 2018. Les établissements scolaires doivent s’y conformer sans attendre.

 

Textes de référence

 

Qu’est-ce qu’une donnée personnelle ? 

Définition donnée par la loi de janvier 1978, article 2 : 

 

 » Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne « .

 » La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement « .

source : 

http://www.cil.cnrs.fr/CIL/spip.php?rubrique299

Définition sur le site de la CNIL : 

  • Toute information identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).  
  • source  https://www.cnil.fr/fr/definition/donnee-personnelle

 

Identification indirecte et profilage 

  • On considère qu’il y a traitement de données personnelles, si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.  
  • Cela signifie par exemple que le dépôt de fichiers cookies par un site web afin de suivre les comportements de navigation, est un traitement de données personnelles.

 

RGPD : nouvelles pratiques, nouvelle culture 

 

Pour assurer la protection du citoyen européen, et la protection de ses données personnelles, la nouvelle Directive européenne vient renouveler radicalement les règles de conformité, et les modalités de cette conformité. Elle maintient des droits civiques existants, renforce et étend les droits du citoyen, renforce et étend les obligations des entreprises et des organismes publics tels que les écoles, collèges et lycées, qui doivent désormais mettre en place une politique proactive de transparence et de traçabilité pour tous les traitements de données à caractère personnel, qu’elles impliquent les personnels, les élèves ou les parents. 

 

Des droits conservés et maintenus

Certains droits des personnes, déjà contenus dans la loi de 1978, sont maintenus :

  • Consentement obligatoire :
    Avant de procéder au recueil et au traitement de données personnelles, le responsable de traitement (RT) doit obtenir le consentement de la personne concernée. Ce droit s’accompagne désormais d’une plus grande transparence. 

  • Droit d’accès :
    Toute personne peut accéder à l’ensemble des informations la concernant, et en obtenir une copie (des frais peuvent être demandés). Le responsable de traitement est tenu de répondre à cette demande dans un délai de deux mois. 
  • Droit de rectification :
    Toute personne peut demander à corriger certaines informations la concernant. 
  • Droit d’opposition :
    Toute personne peut s’opposer à un usage commercial des informations transmises, par exemple par une case à cocher qui ne doit pas être cochée par défaut. Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).

 

Des droits renforcés et étendus

 

Le RGPD renforce et étend les droits du citoyen :

  • Transparence :
    Pour recueillir le consentement de la personne concernée , le responsable de traitement doit l’informer des finalités du traitement et de la durée de conservation des données. La preuve du consentement doit être matérialisée. 
  • Portabilité :
    Les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituée sous forme structurée, exportable et importable sur un service analogue. La portabilité peut être assurée directement d’un fournisseur à un autre. 
  • Droit à l’oubli :
    Dès lors qu’un citoyen estime qu’une information affichée sur une plateforme ou par un moteur de recherche porte atteinte à sa réputation ou à sa vie privée, il peut demander à ce que cette information soit effacée de la plateforme ou des résultats du moteur de recherche. 
  • Protection des mineurs de moins de 16 ans  :
    L’information préalable au recueil du consentement doit être rédigée et termes, simples, aisément compréhensibles. Le consentement doit être demandé au titulaire de l’autorité parentale. Lorsqu’il devient majeur, la personne concernée peut retirer son accord et demander l’effacement des données. 
  • Actions collectives :
    Des recours collectifs pourront être lancés à l’encontre de fournisseurs ou organismes par des associations actives dans le domaine de la protection des données personnelles.
  • Réparation du préjudice :
    Toute personne ayant subi des dommages matériels ou moraux du fait d’un traitement de données inadapté pourra demander réparation.
  • Guichet unique :
    pour introduire un recours en cas de problème, l’utilisateur peut s’adresser à l’autorité de régulation de son pays, quel que soit le lieu d’hébergement du service en ligne.

 

 

Responsabilisation des organismes et établissements

  • Responsabilité :
    Les formalités préalables (avis, autorisations, …) auprès de la CNIL disparaissent. Il revient désormais aux entreprises et organismes de s’assurer eux-mêmes que les traitements  de  données mis en oeuvre sont conformes à la loi.
  • Traçabilité (ou Accountability, ou  reddition des traitements) :
    Les entreprises, organismes et établissements publics doivent s’organiser pour être capable à tout moment d’apporter la preuve de la conformité des traitements de données personnelles mis en oeuvre.
  • Dès lors, les entreprises, organismes et établissements publics doivent dès maintenant s’attacher à respecter les nouvelles obligations définies par le RGPD. 

 

  • La conformité au RGPD des traitements de données personnelles peut être attestée par une certification, prononcée par un organisme de certification, ce dernier étant reconnu par l’autorité de régulation (CNIL). 
  • Afin de démontrer ses bonnes pratiques, une entreprise ou organisme, ou un groupe d’entreprises ou d’organismes,  peut adhérer (et/ou concevoir) à un code de conduite. Ce code de conduite devra être approuvé par l’autorité de régulation. La conformité des traitements à ce code de conduite pourra être évaluée par un organisme de certification. 

 

Renforcement et extension des obligations (pour les organismes et établissements)

  • Accountability :
    cf ci-dessus
  • Privacy by design (Protection des données personnelles dès la conception) et Privacy by Default (Protection des données personnelles par défaut) :
    Avant de mettre en place un nouveau service numérique, le concepteur doit définir et mesurer la nature et le volume des données personnelles qui seront traitées, ainsi que la proportionnalité et la conformité de ce traitement.
  • Registre des traitements :
    Chaque établissement public doit tenir un registre pour y consigner la liste des traitements de données personnelles mis en oeuvre. 
  • Obligation de sécurité et de notification :
    Les responsables de traitement doivent garantir un niveau de sécurité adapté, et mettre en place les outils de sécurité adaptés. Dès qu’une faille de sécurité ou une violation de données est découverte, il doit en informer l’autorité de protection (en France, la CNIL), ainsi que les personnes concernées, si la violation de données peut porter atteinte aux droits et libertés de celles-ci. 
  • La désignation d’un DPD (ou DPO), chargé de coordonner la conformité des traitements, est obligatoire : voir ci-dessous 
  • Dans le cas où des données personnelles sensibles font l’objet d’un traitement (notamment dans le cas du profilage ou de l’évaluation des personnes) , ce traitement de données doit être précédé d’une étude d’impact, destinée à définir et évaluer les objectifs du traitement de données, sa proportionnalité, les mesures de sécurité nécessaires, les conséquences éventuelles de violation de données ou de failles de sécurité, et les mesures préparées pour faire face à ces risques. 
  • Lorsqu’un traitement de données personnelles est confié à un sous-traitant, ce sous-traitant est soumis aux mêmes obligations que le commanditaire, et doit donc lui aussi se soumettre aux principes du registre des traitements, reddition des traitements, désignation d’un DPD, protection dès la conception, etc. 

 

Le DPD, Délégué à la Protection des Données 

  • Chaque établissement public, ou chargé d’une mission de service public, doit obligatoirement nommer un DPD, Délégué à la Protection des Données (ou DPO, Data Protection Officer). 
  • Chaque école, collège ou lycée doit donc désigner un DPD, Délégué à la Protection des Données.
  • Cependant, la fonction de DPD peut éventuellement être mutualisée pour plusieurs établissements scolaires, ou bien confiée à un prestataire externe. 
  • Le DPD, Délégué à la Protection des Données, est obligatoirement différent du responsable de traitement des données, qui doit lui fournir les moyens horaires et matériels d’exercer ses missions en toute indépendance. 
  • Le DPD, qui peut suivre des formations adaptées, est expert sur les questions de protection des données personnelles.  Cette fonction correspond à l’ancienne fonction de CIL, Correspondant Informatique et Libertés, chargé de veiller à la conformité des traitements de données personnelles. En tant que relais de la CNIL auprès de l’établissement scolaire et du responsable des traitements, le DPD bénéficie de l’accompagnement de la CNIL. Un DPD local devra rendre compte de ses travaux au DPD académique, via l’adresse : dpd[arobase]ac-lyon.fr    .

 

Le DPD est chargé :  

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
  • de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation, dans certains cas, d’une analyse d’impact (PIA) et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

 

Quelles responsabilités pour le responsable de traitement ? 

  • Le responsable de traitement est celui qui décide et organise la mise en œuvre des traitements de données personnelles. Il est responsable devant la loi de la conformité des traitements de données personnelles. 
  • Un représentant légal peut être désigné par le responsable des traitements, pour être l’interlocuteur des autorités de régulation, et répondre aux questions portant sur les traitements de données personnelles. 
  • Dans le cas des collèges et lycées, le responsable de traitement est le chef d’établissement du collège ou du lycée. 
  • Dans le cas des écoles  primaires et maternelles publiques, qui n’ont pas de personnalité morale et juridique, le responsable des traitements est  l’IA-DASEN, qui peut désigner un représentant légal en la personne du directeur d’école. 
  • Dans le cas des écoles privées, qui sont le plus souvent des associations loi 1901, le responsable des traitements sera le président de l’association, donc en général le directeur d’école. 

 

Quelles responsabilités pour le DPD ? 

  • Le DPD, Délégué à la Protection des Données, est chargé de conseiller et d’informer le responsable des traitements, en vue d’atteindre une pleine conformité des traitements aux obligations légales.
  • Le DPD est chargé de vérifier la conformité des traitements de données personnelles, et de coordonner les mesures prises, aux plans technique et organisationnels, pour assurer la conformité des traitements à la loi.  En cas de manquement aux obligations légales, le DPD ne peut pas être tenu pour responsable : c’est le responsable de traitement (ou le représentant légal) qui devra répondre de ses obligations. 
  • Le DPD peut être désigné en interne ou en externe. Il peut aussi être mutualisé pour plusieurs établissements scolaires. Sa position ne doit pas permettre de conflit d’intérêt. Il doit être soutenu et accompagné dans ses missions par l’établissement scolaire : communication sur son rôle, accès facilité aux responsables de traitement, moyens accordés pour accomplir sa mission. A ce titre, la présence du DPD dans les Conseils d’Ecole, et dans les Conseils d’Administration de collège ou lycée, dans les Conseils d’Enseignement de collège ou lycée, est pertinente.
  • Au sein des Conseils d’Enseignement, le DPD anime, recueille et coordonne les projets ou idées de projets pédagogiques, et veille aux principes de protection des données dès la conception (avant la mise en oeuvre) , protection des données par défaut (limitation des données traitées), de reddition des traitements (transparence et traçabilité des traitements).
  • Dans tous les cas, le DPD doit pouvoir organiser des actions de communication, de sensibilisation, de dialogue et de concertation avec l’ensemble de la communauté éducative, y compris, dans une certaine mesure, auprès des élèves et des parents, afin de leur apporter toutes les informations sur leurs droits et sur les garanties mises en oeuvre. 
  • Dans le second degré, le référent numérique, en tant qu’expert des usages pédagogiques du numérique, peut correspondre à un profil idoine de DPD, Délégué à la Protection des Données. Le professeur documentaliste présente également un profil  d’expert de l’Education aux Médias et de la protection des données personnelles, à condition de considérer que la gestion du logiciel documentaire, qui est un traitement de données personnelles, ne génère pas un conflit d’intérêts. Enfin, tout enseignant ou personnel sensibilisé, informé ou formé sur les questions de protection des données personnelles, peut être désigné DPD, en s’inscrivant le cas échéant dans un plan de formation. 
  • Dans les écoles primaires et maternelles, le DPD peut être un enseignant, rompu aux questions liées à l’EMI, Education aux Médias et à l’Information, et sensibilisé aux questions liées à la protection des données personnelles.
  • Attention , on ne peut cumuler la fonction de responsable des traitements et celle de DPD, Délégué à la Protection des Données. 

 

Obligations pour les sous-traitants

  • Les prestataires informatiques ou éditeurs qui mettent en place un ou plusieurs services numériques à destinations des enseignants, personnels, élèves ou parents sont des sous-traitants. 
  • A ce titre, ils ont également des obligations : transparence et traçabilité, protection des données dès la conception, protection des données par défaut, garantie de sécurité et de confidentialité des données, devoir d’assistance, d’alerte et de conseil ;  tenue d’un registre des traitements ; désignation d’un DPD dans certains cas, coopération et conseil auprès du commanditaire en vue de la conformité au RGPD, en matière d’analyse d’impact sur la vie privée, en cas de violation de données. Le manquement à ces obligations est passible de sanctions. 
  • A titre d’exemples, et sous réserve des choix respectifs des établissements scolaires : BCDI est un sous-traitant, Pronote est un sous-traitant, l’éditeur de l’ENT est un sous-traitant, l’éditeur du service Gsuit (Google) est un sous-traitant, etc. Un contrat doit expliciter la prestation du sous-traitant, et la nature du traitement de données personnelles. Un guide du sous-traitant est disponible sur le site de la CNIL : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants
  • Dans la cas d’un sous-traitant installé aux Etats-Unis, il convient de vérifier qu’il est conforme au Bouclier de Protection des Données (Privacy Shield) :  cf le site de la CNIL  https://www.cnil.fr/fr/le-privacy-shield

 

En pratique 

  • Désigner dans chaque établissement scolaire dès la rentrée 2017 un DPD, Délégué à la Protection des Données. 
  • Organiser un plan de formation, de communication, de sensibilisation. 
  • Communiquer auprès des élèves et des parents, d’ici au 25 mai 2018, sur la conformité de l’établissement scolaire au RGPD, et sur le rôle du DPD. 

 

Pour aller plus loin