En résumé
La protection des données personnelles en France est désormais encadrée par deux textes :
- La loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, qui modifie la loi Informatique et Libertés du 6 janvier 1978, et qui est à la fois complémentaire et compatible avec le Règlement européen RGPD ;
- Un texte européen, le Règlement Général sur la Protection des Données (RGPD), adopté par le Parlement Européen et le Conseil Européen le 27 avril 2016, et publié au Journal Officiel de l’Union Européenne le 4 mai 2017.
Les pratiques de traitement de données doivent respecter ces deux textes.
Le RGPD est un Règlement et non une Directive : il est donc directement applicable à tous les Etats de l’Union Européenne, sans avoir besoin d’être transcrit dans la loi nationale. L’application du RGPD par les entreprises, les organismes publics, et notamment les établissements scolaires, est obligatoire depuis le 25 mai 2018. Les établissements scolaires doivent s’y conformer sans attendre.
Textes de référence
- RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
- Loi du 20 juin 2018 : https://www.legifrance.gouv.fr/eli/loi/2018/6/20/JUSC1732261L/jo/texte
- Les pratiques de traitement de données doivent respecter ces deux textes.
Qu’est-ce qu’une donnée personnelle ?
Définition donnée par la loi de janvier 1978, article 2 :
» Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne « .
» La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement « .
source :
http://www.cil.cnrs.fr/CIL/spip.php?rubrique299
Définition sur le site de la CNIL :
- Toute information identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).
- source https://www.cnil.fr/fr/definition/donnee-personnelle
Identification indirecte et profilage
- On considère qu’il y a traitement de données personnelles, si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.
- Cela signifie par exemple que le dépôt de fichiers cookies par un site web afin de suivre les comportements de navigation, est un traitement de données personnelles.
RGPD : nouvelles pratiques, nouvelle culture
Pour assurer la protection du citoyen européen, et la protection de ses données personnelles, la nouvelle Directive européenne vient renouveler radicalement les règles de conformité, et les modalités de cette conformité. Elle maintient des droits civiques existants, renforce et étend les droits du citoyen, renforce et étend les obligations des entreprises et des organismes publics tels que les écoles, collèges et lycées, qui doivent désormais mettre en place une politique proactive de transparence et de traçabilité pour tous les traitements de données à caractère personnel, qu’elles impliquent les personnels, les élèves ou les parents.
Des droits conservés et maintenus
Certains droits des personnes, déjà contenus dans la loi de 1978, sont maintenus :
-
Consentement obligatoire :
Avant de procéder au recueil et au traitement de données personnelles, le responsable de traitement (RT) doit obtenir le consentement de la personne concernée. Ce droit s’accompagne désormais d’une plus grande transparence. - Droit d’accès :
Toute personne peut accéder à l’ensemble des informations la concernant, et en obtenir une copie (des frais peuvent être demandés). Le responsable de traitement est tenu de répondre à cette demande dans un délai de deux mois. - Droit de rectification :
Toute personne peut demander à corriger certaines informations la concernant. - Droit d’opposition :
Toute personne peut s’opposer à un usage commercial des informations transmises, par exemple par une case à cocher qui ne doit pas être cochée par défaut. Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).
Des droits renforcés et étendus
Le RGPD renforce et étend les droits du citoyen :
- Transparence :
Pour recueillir le consentement de la personne concernée , le responsable de traitement doit l’informer des finalités du traitement et de la durée de conservation des données. La preuve du consentement doit être matérialisée. - Portabilité :
Les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituée sous forme structurée, exportable et importable sur un service analogue. La portabilité peut être assurée directement d’un fournisseur à un autre. - Droit à l’oubli :
Dès lors qu’un citoyen estime qu’une information affichée sur une plateforme ou par un moteur de recherche porte atteinte à sa réputation ou à sa vie privée, il peut demander à ce que cette information soit effacée de la plateforme ou des résultats du moteur de recherche. - Protection des mineurs de moins de 16 ans :
L’information préalable au recueil du consentement doit être rédigée et termes, simples, aisément compréhensibles. Le consentement doit être demandé au titulaire de l’autorité parentale. Lorsqu’il devient majeur, la personne concernée peut retirer son accord et demander l’effacement des données. - Actions collectives :
Des recours collectifs pourront être lancés à l’encontre de fournisseurs ou organismes par des associations actives dans le domaine de la protection des données personnelles. - Réparation du préjudice :
Toute personne ayant subi des dommages matériels ou moraux du fait d’un traitement de données inadapté pourra demander réparation. - Guichet unique :
pour introduire un recours en cas de problème, l’utilisateur peut s’adresser à l’autorité de régulation de son pays, quel que soit le lieu d’hébergement du service en ligne.
Responsabilisation des organismes et établissements
- Responsabilité :
Les formalités préalables (avis, autorisations, …) auprès de la CNIL disparaissent. Il revient désormais aux entreprises et organismes de s’assurer eux-mêmes que les traitements de données mis en oeuvre sont conformes à la loi. - Traçabilité (ou Accountability, ou reddition des traitements) :
Les entreprises, organismes et établissements publics doivent s’organiser pour être capable à tout moment d’apporter la preuve de la conformité des traitements de données personnelles mis en oeuvre. - Dès lors, les entreprises, organismes et établissements publics doivent dès maintenant s’attacher à respecter les nouvelles obligations définies par le RGPD.
- La conformité au RGPD des traitements de données personnelles peut être attestée par une certification, prononcée par un organisme de certification, ce dernier étant reconnu par l’autorité de régulation (CNIL).
- Afin de démontrer ses bonnes pratiques, une entreprise ou organisme, ou un groupe d’entreprises ou d’organismes, peut adhérer (et/ou concevoir) à un code de conduite. Ce code de conduite devra être approuvé par l’autorité de régulation. La conformité des traitements à ce code de conduite pourra être évaluée par un organisme de certification.
Renforcement et extension des obligations (pour les organismes et établissements)
- Accountability :
cf ci-dessus - Privacy by design (Protection des données personnelles dès la conception) et Privacy by Default (Protection des données personnelles par défaut) :
Avant de mettre en place un nouveau service numérique, le concepteur doit définir et mesurer la nature et le volume des données personnelles qui seront traitées, ainsi que la proportionnalité et la conformité de ce traitement. - Registre des traitements :
Chaque établissement public doit tenir un registre pour y consigner la liste des traitements de données personnelles mis en oeuvre. - Obligation de sécurité et de notification :
Les responsables de traitement doivent garantir un niveau de sécurité adapté, et mettre en place les outils de sécurité adaptés. Dès qu’une faille de sécurité ou une violation de données est découverte, il doit en informer l’autorité de protection (en France, la CNIL), ainsi que les personnes concernées, si la violation de données peut porter atteinte aux droits et libertés de celles-ci. - La désignation d’un DPD (ou DPO), chargé de coordonner la conformité des traitements, est obligatoire : voir ci-dessous
- Dans le cas où des données personnelles sensibles font l’objet d’un traitement (notamment dans le cas du profilage ou de l’évaluation des personnes) , ce traitement de données doit être précédé d’une étude d’impact, destinée à définir et évaluer les objectifs du traitement de données, sa proportionnalité, les mesures de sécurité nécessaires, les conséquences éventuelles de violation de données ou de failles de sécurité, et les mesures préparées pour faire face à ces risques.
- Lorsqu’un traitement de données personnelles est confié à un sous-traitant, ce sous-traitant est soumis aux mêmes obligations que le commanditaire, et doit donc lui aussi se soumettre aux principes du registre des traitements, reddition des traitements, désignation d’un DPD, protection dès la conception, etc.
Le DPD, Délégué à la Protection des Données
- Chaque établissement public, ou chargé d’une mission de service public, doit connaître les coordonnées de contact du DPD désigné sur le périmètre dont il relève .
- La fonction de DPD peut être mutualisée pour plusieurs établissements scolaires, ou bien confiée à un prestataire externe.
- C’est notamment le cas des établissements scolaires qui ont choisi de se référer au DPD académique.
- Le DPD, Délégué à la Protection des Données, est obligatoirement différent du responsable de traitement des données, qui doit lui fournir les moyens horaires et matériels d’exercer ses missions en toute indépendance.
- Le DPD, qui peut suivre des formations adaptées, est expert sur les questions de protection des données personnelles. Cette fonction correspond à l’ancienne fonction de CIL, Correspondant Informatique et Libertés, chargé de veiller à la conformité des traitements de données personnelles. En tant que relais de la CNIL auprès de l’établissement scolaire et du responsable des traitements, le DPD bénéficie de l’accompagnement de la CNIL.
- Les responsables de traitement doivent s’attacher à leur mise en conformité règlementaire, en collaboration avec le DPD académique, dont l’adresse de contact est : dpd[arobase]ac-lyon.fr .
Le DPD est chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
- de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation, dans certains cas, d’une analyse d’impact (PIA) et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
Quelles responsabilités pour le responsable de traitement ?
- Le responsable de traitement est celui qui décide et organise la mise en œuvre des traitements de données personnelles. Il est responsable devant la loi de la conformité des traitements de données personnelles.
- Un représentant légal peut être désigné par le responsable des traitements, pour être l’interlocuteur des autorités de régulation, et répondre aux questions portant sur les traitements de données personnelles.
- Dans le cas des collèges et lycées, le responsable de traitement est le chef d’établissement du collège ou du lycée.
- Dans le cas des écoles primaires et maternelles publiques, qui n’ont pas de personnalité morale et juridique, le responsable des traitements est l’IA-DASEN, qui peut désigner un représentant légal en la personne du directeur d’école.
- Dans le cas des écoles privées, qui sont le plus souvent des associations loi 1901, le responsable des traitements sera le président de l’association, donc en général le directeur d’école.
Quelles responsabilités pour le DPD ?
- Le DPD, Délégué à la Protection des Données, est chargé de conseiller et d’informer le responsable des traitements, en vue d’atteindre une pleine conformité des traitements aux obligations légales.
- Le DPD est chargé de vérifier la conformité des traitements de données personnelles, et de coordonner les mesures prises, aux plans technique et organisationnels, pour assurer la conformité des traitements à la loi. En cas de manquement aux obligations légales, le DPD ne peut pas être tenu pour responsable : c’est le responsable de traitement (ou le représentant légal) qui devra répondre de ses obligations.
- Le DPD peut être désigné en interne ou en externe. Il peut aussi être mutualisé pour plusieurs établissements scolaires. Sa position ne doit pas permettre de conflit d’intérêt. Il doit être soutenu et accompagné dans ses missions par l’établissement scolaire : communication sur son rôle, accès facilité aux responsables de traitement, moyens accordés pour accomplir sa mission.
- Auprès des établissements scolaires qui relèvent de sa compétence, le DPD veille aux principes de protection des données dès la conception (avant la mise en oeuvre) , protection des données par défaut (limitation des données traitées), de reddition des traitements (transparence et traçabilité des traitements).
- Chaque responsable de traitement, accompagné par le DPD, informera les usagers que sont notamment les parents et les élèves sur leurs droits et les garanties mises en œuvre dans la cadre du RGPD.
- Attention , on ne peut cumuler la fonction de responsable des traitements et celle de DPD, Délégué à la Protection des Données.
- Dans l’académie de Lyon, le choix retenu a été de désigner un DPD mutualisé à l’échelle du rectorat, en application de l’article 37 alinéa 3 du RGPD. Son adresse est : Dpd [arobase] ac-lyon.fr La liste des DPD en académie, et la définition de leur mission, sont indiquées sur le site Eduscol : http://eduscol.education.fr/cid133975/delegues-a-la-protection-des-donnees.html
Obligations pour les sous-traitants
- Les prestataires informatiques ou éditeurs qui mettent en place un ou plusieurs services numériques à destinations des enseignants, personnels, élèves ou parents sont des sous-traitants.
- A ce titre, ils ont également des obligations : transparence et traçabilité, protection des données dès la conception, protection des données par défaut, garantie de sécurité et de confidentialité des données, devoir d’assistance, d’alerte et de conseil ; tenue d’un registre des traitements ; désignation d’un DPD dans certains cas, coopération et conseil auprès du commanditaire en vue de la conformité au RGPD, en matière d’analyse d’impact sur la vie privée, en cas de violation de données. Le manquement à ces obligations est passible de sanctions.
- A titre d’exemples, et sous réserve des choix respectifs des établissements scolaires : BCDI est un sous-traitant, Pronote est un sous-traitant, l’éditeur de l’ENT est un sous-traitant, l’éditeur du service Gsuit (Google) est un sous-traitant, etc. Un contrat doit expliciter la prestation du sous-traitant, et la nature du traitement de données personnelles. Un guide du sous-traitant est disponible sur le site de la CNIL : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants
- Dans la cas d’un sous-traitant installé aux Etats-Unis, il convient de vérifier qu’il est conforme au Bouclier de Protection des Données (Privacy Shield) : cf le site de la CNIL https://www.cnil.fr/fr/le-privacy-shield
En pratique
- Chaque établissement scolaire doit tenir un registre des traitements de données à caractère personnel.
- L’académie de Lyon a désigné un DPD, Délégué à la Protection des Données, à l’échelle de l’académie. Cette personne accompagne les établissements scolaires dans leur travail de mise en conformité avec la règlementation européenne.
Pour aller plus loin
- CNIL-RGPD, Ce qui change pour les professionnels : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
- CNIL, questions-réponses sur le RGPD : https://www.cnil.fr/fr/cnil-direct/thematique/143
- CNIL, Devenir DPD : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees
- Les trois grands principes du RGPD : http://www.zdnet.fr/actualites/les-3-grands-principes-du-rgpd-39853672.htm
- La tenue d’un registre des traitements : https://www.village-justice.com/articles/tenue-registre-des-traitements-des-donnees-personnelles-dans-cadre-rgpd-une,26223.html
- Obligation de désigner un DPD : http://avocatspi.com/2017/08/25/lobligation-de-designer-un-dpo-data-protection-officer-ou-dpd-en-francais-delegue-a-la-protection-des-donnees/