RGPD : Règlement Général pour la Protection des Données

Le RGPD est le nouveau règlement européen entré en vigueur le 25 mai 2018 sur la protection des données des personnes physiques. Ce nouveau cadre juridique renforce le droit des personnes et impose de nouvelles obligations pour un grand nombre d’organismes dont les EPLE qui effectuent des traitements de données. Le chef d’établissement est responsable des traitements.

Quelles sont nos obligations ? Qui les connaît ?
Le chef d’établissement d’un EPLE est responsable de ce traitement des données :
• Que devons-nous faire ou ne pas faire ?
• Quelles conséquences juridiques ?

La responsabilité du Chef d’Etablissement dans ce cadre est vaste et nous sommes sous informés :
• Comment répondre aux exigences de l’article 28 du RGPD, pour ce qui concerne la sous-traitance des données ? Quid des ENT ? Quid des contrats ou conventions nous liant aux collectivités ?
• Comment renseigner le registre (modèle CNIL) mis à disposition du public, sans aucune information des registres nationaux ou académiques ?
• Quelle responsabilité lorsqu’on choisit une application ou un service en ligne ?

L’utilisation nécessite des points de vigilance en regard du RGPD. Avant le RGPD, mettre en place un traitement non conforme à celui déclaré dans la démarche préalable était un délit relevant de la même peine que l’absence de démarche.

Qu’en est-il aujourd’hui ?
C’est pourquoi Indépendance & Direction intervient par courrier auprès du Directeur du Numérique pour l’Education (DNE) du MEN (courrier accessible ici) et sollicite aussi la Présidente de la CNIL pour préciser et définir le réel niveau de responsabilité juridique des chefs d’établissement (courrier accessible ici).

Indépendance & Direction vous informera des renseignements en retour obtenues auprès du DNE et vous invite à consulter l’article spécial RGPD dans sa revue de novembre 2018.

Le registre

Le registre contient la liste des traitements des DCP avec un pointeur sur tous les justificatifs (voir modèle de registre simplifié sur le site de la CNIL choisir le fichier RTF)

C’est le principe majeur du RGPD il faut conserver sous la main l’ensemble de la documentation nécessaire et en plus rendre le registre accessible au public (spécificité française pour les EPLE).

C’est ce qui est appelé l’accountability en anglais.

Par exemple : le DPD qui a été désigné, le registre, les AIPD réalisées avec toutes les pièces nécessaires (contrats, amendements, analyse sécurité, informations des usagers, etc…)

L’article qui oblige les établissements à mettre à disposition du public le registre est ici : « Art. L. 121-4-2.-L’autorité responsable des traitements de données à caractère personnel mis en œuvre dans les établissements publics d’enseignement scolaire met à la disposition du public le registre comportant la liste de ces traitements, établi conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE comportant la liste de ces traitements. »

Responsabilité du CE ?

Responsabilité juridique évidemment mais pas de sanction en amende ou prison comme pour la Loi I&L car pas de transposition dans le code pénal (avant absence de démarche préalable ou traitement non conforme à la démarche était puni de prison et d’amende)

Plainte possible auprès du procureur

Comme pour l’encadrement des portables pas de sanction prévue au pénal (pas un délit) mais sanction administrative possible avec poursuite possible si attaque des parents et mesure non appliquées dans l’établissement

Sanction par la CNIL ou le rectorat : Avertissement blâme suspension du rectorat et arrêt des traitements et mauvaise pub par remontrance de la CNIL (pas d’amende pour les services de l’État de mémoire)

Donc le risque est très faible sauf si un parent ou un professeur veut embêter un CE.

>> Voici une ressource qui peut être utilement glissée dans la chemise de rentrée des professeurs : LIEN

 

Lors d’un discours à l’université d’été de l’éducation numérique (Ludovia) à Aix-les-Thermes (Ariège), le ministre de l’Education Jean-Michel Blanquer a annoncé la nomination de l’inspecteur général Gilles Braun comme délégué à la protection des données. « Il va être la vigie du respect par le ministère et les établissements des enjeux de protection des données des élèves », a expliqué le ministre à l’AFP. « Il sera appuyé par un comité d’éthique ».

Petite carte mentale de synthèse du RGPD… (lien en pleine page) :

Carte mentale plus technique faisant apparaître en vert les obligations à assurer par les perdir (lien en pleine page)  :

Des ressources, choisies, sont regroupées ici.. Elles peuvent permettre de pousser plus avant sa compréhension des enjeux. Elles sont actualisées au fur et à mesure des nouveautés.

RGPD, par l’équipe Perdir : ressources