La question de la protection des données impacte directement les enseignants à qui on autorise ou interdit tel ou tel logiciel ou site, ou qui ne savent pas si leurs pratiques sont conformes à la législation. En aout 2018, l'inspecteur général Gilles Braun a été nommé Délégué à la Protection des Données (DPD) du ministère de l'éducation nationale. Le ministre déclarait alors : "Il va être la vigie du respect par le ministère et les établissements des enjeux de protection des données des élèves, il sera appuyé par un comité d'éthique". Un an après cette nomination qu'en est-il de ce dossier qui doit mettre le ministère en conformité avec la loi RGPD (Règlement Général sur la Protection des Données) ? Fin octobre 2019, un comité d’éthique a été mis en place après qu’ait été nommé un administrateur des données (Jean-Yves Capul) dont le rôle est de coordonner ce qui se fait « en matière d’inventaire, de gouvernance, de production, de circulation et d’exploitation des données. ». Ainsi le cadre de travail pour protéger les données dans le domaine de l’éducation est en place. Mais comment se met en œuvre réellement cette réglementation ? Gilles Braun répond à nos questions.

Quels enseignements tirez-vous de cette première année complète de mise en œuvre du RGPD dans le système éducatif Français ?

À trois mois de la mise en œuvre du RGPD en mai 2018, un rapport de l’inspection générale soulignait que très peu des personnes rencontrées dans la communauté éducative savaient ce que signifiaient ces quatre lettres de l’acronyme RGPD. Cela ne signifie pas pour autant que ces personnes n’étaient pas conscientes des questions soulevées par la protection des données personnelles. Les échos des affaires Cambridge Analytica, les fuites de données du Pentagone ont sensibilisé le public à ces questions. Du reste la France et en particulier l’Éducation nationale a été au centre de plusieurs débats sur ces sujets avant l’entrée en application du RGPD. Rappelons-nous de celui lors de la mise en œuvre Base élèves ou, à moindre échelle, les polémiques qui ont suivi un message électronique interne d’un directeur du numérique pour l’éducation à propos des GAFA et des données susceptibles de leur être transmises. Mais on peut dire qu’aujourd’hui une grande partie des chefs d’établissement et des enseignants savent qu’il existe un règlement européen sur la protection des données à caractère personnel très protecteur.

Quels sont les principaux points de questionnement qui vous sont soumis et comment sont-ils traités ensuite ?

Cela dépend de qui pose la question : le chef d’établissement s’interroge sur ses obligations de responsable de traitement (tenue du registre, possibilité de transmettre de données, règles concernant les outils de communication de l’établissement, ENT, gestion biométrique de la cantine, vidéosurveillance ou protection des locaux, ...). De leur côté, les enseignants se posent essentiellement la question : puis-je utiliser telle application en classe (réseau sociaux, partage de document avec mes élèves, communication avec les familles) ? Que dois-je faire ? Les parents s’inquiètent quant à eux des raisons de certains traitements de données de leurs enfants, de leur lieu de stockage, du temps de leur conservation et nous demandent de modifier des données erronées.

Comment les enseignants ont-ils abordé cette nouvelle réglementation ?

Je n’ai pas l’impression qu’ils ont été, globalement,  très préoccupés par le sujet sauf dans certaines situations très précises : lorsqu’ils sont susceptibles d’être destinataires de données sensibles (santé, religion). Toutefois on ressent chez eux un flou sur la notion de « responsable de traitement des données » que ce soit dans leur établissement ou au niveau académique. Je rappelle que les applications utilisant des données à caractère personnel (DCP) doivent être inscrites sur le registre des traitements que doit tenir le responsable de traitement (DASEN pour le primaire du public, chef d’établissement pour le secondaire public...). C’est une obligation du RGPD. Si certains peuvent y voir une charge supplémentaire voire une intrusion dans le champ de leur liberté pédagogique, tous sont d’accord pour préserver les données de leurs élèves qu’ils collectent et de veiller à ce qu’elles ne soient pas utilisées à d’autres finalités que celles pour lesquelles elles ont été recueillies. C’est donc d’abord une question d’explication et de compréhension des enjeux, en particulier la nécessité d’informer les parents et les élèves de l’utilisation éventuelle de leurs données personnelles et des précautions qui sont prises. C’est avant tout une question d’appropriation de la culture « informatique et libertés » de l’ensemble des acteurs susceptibles de traiter des données.

Quels retours avez-vous des établissements scolaires et des chefs d'établissement ?

Je pense que le RGPD est parfois perçu comme un « truc » administratif en plus ce qui peut engendrer de la part de certains une réaction d’agacement dans un contexte où le poids de l’administratif est déjà important. Mais sur le fond il y a un consensus sur l’importance à accorder à la masse de données personnelles d’élèves, de parents et d’enseignants. Ils ont conscience de la « valeur » de ces données et de la nécessité de les protéger.

Quelles sont les principales questions posées par les parents, les familles ? Quelles sont les principales réponses à leur donner ?

Les parents veulent légitimement comprendre à quelles fins l’institution utilise les données personnelles de leurs enfants voire les leurs. Les procédures mises en œuvre au cours de l’année s’accompagnent de leurs lots de questions : fiche de renseignement de début d’année (pourquoi me demande-t-on ma Catégorie Socio-Professionnelle (CSP) ? Il y a une erreur sur ma fiche), les évaluations nationales (pourquoi le ministère doit-il connaitre les résultats de mon enfant ? Combien de temps les conserve-t-il ? Je m’oppose au traitement des données de mon enfant…), et plus largement quelles sont les données de mon enfant que le ministère possède et combien de temps les conserve-t-il ? En général ces questions reflètent une angoisse sur ce à quoi ces données pourraient servir. En même temps, ils peuvent être très demandeurs d’une hyper surveillance de leurs enfants (géolocalisation, vidéoprotection, etc.) ce qui peut parfois être contradictoire.

Certains enseignants ont remarqué des différences importantes d'un lieu à l'autre (établissement, département, région), qu'en est-il réellement ?

Il y a pu avoir des cas (je n’en connais qu’un quant à moi) car un responsable de traitement a pu avoir une analyse divergente sur un traitement. Comme « coordinateur » du réseau des DPD, il me semble que nous avons quasiment tout le temps des analyses convergentes.

Comment se structure aujourd'hui la mise en application du RGPD dans l'éducation nationale ? Qui fait quoi actuellement ? Comment est organisée la prise en compte des questions posées ?

C’est relativement simple malgré la complexité de l’éducation nationale.  Il faut déjà limiter le périmètre des traitements concernés. Rappelons que pour que le RGPD s’applique, il est nécessaire que des données personnelles participent au traitement. Rappelons ici qu’une donnée personnelle « c'est toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement. »

Il y a deux nouveaux acteurs : le responsable de traitement et le délégué à la protection des données.

Le responsable de traitement est "la personne, l'autorité publique, le service ou l'organisme qui détermine les finalités et les moyens". Pour les traitements mis en œuvre par le ministère (Onde, Siècle, Affelnet en coresponsabilité avec les rectorats, évaluation) le responsable de traitement est le ministère de l’éducation nationale et de la jeunesse ie l’État en tant que personne morale, et non une personne physique. Pour les traitements mis en œuvre par les rectorats et les écoles primaires : le recteur (et si délégation le Dasen). Pour les EPLE, le chef d’établissement (même pour les traitements mis en œuvre par les professeurs). Le périmètre de responsabilité de chacun est déterminé par les traitements de données dont il a la responsabilité directe.

Le DPD (délégué à la protection des données) obligatoire pour toute autorité publique ou tout organisme public (collectivités territoriales, État, établissements publics,  etc.). Le DPD n’est pas responsable de traitement; il est indépendant. Ses missions se résument en accompagner et sensibiliser; veiller au respect du cadre légal ; analyser, investiguer, auditer et contrôler; alerter si nécessaire les responsables de traitement; s’assurer qu’une documentation sur les traitements est  établie (registre et plus); charger de la médiation avec les personnes concernées et interagir avec l’autorité de contrôle (point de contact de la CNIL).

Quelles recommandations feriez-vous aux responsables locaux (académies, circonscriptions, établissements scolaires) pour améliorer la mise en œuvre du RGPD ?

Accompagner les usages et, pour cela, sensibiliser, former, se  former…. être vigilant sur la nécessité d’informer les parents, ne pas hésiter à organiser des temps de paroles en plus de l’obligation d’informer les responsables légaux. Réfléchir de façon large sur la maitrise des données, leur nécessaire proportionnalité (attention particulière aux zones de commentaires libres par ex.). Ne pas oublier que le RGPD s’applique aussi aux sous-traitants. Ne pas oublier de déclarer des violations de données éventuelles (sur le site de la CNIL).

Quels conseils donneriez-vous aux enseignants pour mieux prendre en compte le RGPD  dans le quotidien ?

Avoir le réflexe « données à caractère personnel ». Pour celles de leurs élèves et de leurs représentants légaux et …. les leurs. Et plus largement suivre les principes énoncés dans l’infographie. Communiquer avec les familles sur ce sujet. Ils peuvent s’aider de la mallette des parents .

Propos recueillis par Bruno Devauchelle