Le monde de l’éducation est souvent en délicatesse avec le droit. On le sait depuis longtemps pour le droit à l’image, pour le droit d’auteur, pour la sécurité et l’encadrement des élèves. Ces questions que la plupart des enseignants laissent de côté sont pourtant suffisamment importantes dans l’établissement quand on parle du règlement intérieur. D’ailleurs les textes officiels expliquent clairement sa fonction et le lien qu’il y a avec le droit, symbolisé dans notre pays et en éducation par le « code de l’éducation ». L’application récente d’un texte européen sur la protection des données personnelles s’est donc accompagnée d’un texte de loi (loi du 20 juin 2018) qui a apporté quelques précisions au texte initial. Mais il ne suffit pas d’un texte pour que tout le monde se mette en ordre de marche, en particulier en éducation. On peut observer cette difficulté à la mise en œuvre par le fait que l’ordonnance du 12 décembre 2018 annonce des modifications à venir qui vont impacter plusieurs services et textes proposés par le ministère comme on peut le lire dans la présentation du Schéma Directeur des Environnement Numériques de Travail dit SDET 6.2 dans lequel il est écrit : »La version 6.2 du SDET prend en considération les principes généraux du RGPD entré en application le 25 mai 2018. Toutefois, la loi relative à l’informatique, aux fichiers et aux libertés étant en cours de modification par l’ordonnance du 12 décembre 2018, l’ensemble de ces modifications sur le présent schéma directeur sera à évaluer et à intégrer dans une version ultérieure. ». On peut le constater, même au niveau des services du ministre (ici la DNE) il y a encore du travail à venir.
Pendant ce temps le fameux règlement de protection des données, appelé plus couramment RGPD, est censé être mis en œuvre depuis le mois de mai dernier (date de mise en vigueur du texte européen). Cette réglementation, bien que relativement compliquée, nécessite une attention de tous et nous avons récemment entendu des chefs d’établissements du second degré, mais aussi du premier degré se sentir bien démunis face à cela, surtout que certains parents peuvent déjà commencer à poser des questions sur les données de leurs enfants. Lors d’une récente présentation du RGPD par le ministère de l’éducation, (Gilles Braun, Educatice novembre 2018) il est apparu de manière claire que la mise en œuvre du RGPD, pour le monde des établissements scolaires, devait s’envisager d’abord au niveau académique et qu’ensuite le responsable des données et de leur traitement dans l’établissement scolaire est le chef d’établissement dans le second degré ou l’IA DASEN pour le premier degré. Une fois cela dit, reste l’opérationnalisation de la mise en œuvre pour laquelle on cherche encore des repères et des documents clairs. Voici donc quelques éléments disponibles en ce début de mois de février.
Un premier texte peut commencer à clarifier les choses intitulé « La protection des données à l’école en 7 étapes » et publié par l’Autorité de Protection des Données. Malheureusement ce document n’est qu’une base de travail, il ne fournit pas un outil global au service du chef d’établissement (mais on comprend que si école signifie 1er degré c’est l’IA DASEN qui doit s’occuper du fameux registre) mais simplement une fiche outil pour les contrats avec les partenaires.
La CNIL a publié, elle plusieurs documents, mais ils ne sont pas spécifiques à l’enseignement scolaire. Toutefois, ce document appelé exemple de registre permet à chacun de comprendre les exigences et la mise en œuvre possible de ce registre. La CNIL donne accès à de nombreuses ressources en cliquant sur le menu intitulé « ma conformité au RGPD. » On rappellera ici qu’un document d’accompagnement du SDET 6.2 (schéma directeur des ENT – voir l’adresse ci-dessus) met à disposition un premier document registre (bas de la page web) assez proche de celui de la CNIL, mais bien sûr limité aux question d’ENT.
Un autre document publié par la CNIL mais surtout par la Bpifrance peut aussi intéresser tout responsable d’établissement, même si le document s’adresse aux responsables de PME de moins de 250 salariés. Intitulé « Guide pratique de sensibilisation au RGPD » ce document est suffisamment pédagogique pour permettre de comprendre non seulement les obligations mais aussi les processus de travail à mettre en place.
Si l’on considère que c’est aux académies de mettre en œuvre le RGPD, il est intéressant de se promener sur les sites académiques et les pages consacrées au RGPD. Très inégales dans leurs contenus propres, elles ne sont pas nombreuses à proposer un outil registre. L’académie de Poitiers a publié une page au bas de laquelle on peut télécharger un modèle de registre à remplir dans l’établissement. Mais quid de son opérationnalité, quid de la formation des personnels de direction (même si on nous répondra toujours qu’elles sont en cours) ? Au moins le document a le mérite d’être proposé.
Ce que l’on observe c’est la dispersion de l’information. Plusieurs chefs d’établissements se sont questionnés pour savoir quelle devait-être leur action dans ce domaine. La plupart du temps ils ont la sensation d’être laissés à eux-mêmes. Le site de leur syndicat majoritaire le SNPDEN, ne semble pas apporter de réponse opérationnelle mais plutôt des informations dans tel ou tel document (réponse en 6 points aux questions posées). Le désarroi des acteurs de terrain est à la hauteur des hésitations, voire du refus, de tous les échelons de décision d’harmoniser l’action de clarifier les protocoles et processus. A qui s’adresser en cas de problème par exemple ? On peut attendre la suite de l’ordonnance du 12 décembre 2018 pour finaliser des documents, mais pourquoi l’Etat impose aux entreprises des mises en conformité dans les délais qu’il ne s’applique que pas ou peu à lui-même ?
Le monde de l’éducation semble rester en délicatesse avec le droit : chartes, schémas directeurs, et autres cadres de confiance ne sont pas des lois, simplement des recommandations des préconisations et on peut ne pas les suivre et cela sans risque. Il y a un moment où il faut que les choses se clarifient. Il semble que pour le RGPD on ne peut plus attendre. C’est une loi européenne qui s’impose à tous, alors respectons là… (pour mémoire le texte a été voté en 2016 au niveau européen et appliqué en 2018, le texte de loi français complétant ce premier texte est paru après la date de mise en œuvre du règlement européen…)
Bruno Devauchelle
Schéma Directeur des Environnement Numériques de Travail dit SDET 6.2 ()
