Où en est-on de la mise en application du RGPD ? Cette question prend une importance particulière trois années, jour pour jour, après sa mise en application dans le monde scolaire. Et la période de confinement a mis en évidence que cette question est essentielle. Alors qu'aucun bilan n'est publié, dans les établissements scolaires, on entend souvent parler RGPD. Mais c'est souvent comme une mise en garde, parfois une précaution oratoire, parfois une contrainte. Bien que les Etats généraux du numérique, dans la proposition 30, aient recommandé la formation à la bonne utilisation du RGPD, Il est bien difficile de savoir aujourd'hui ce qu'il en est. De nos investigations, il ressort que le RGPD est davantage un étendard qu'on sort à la moindre occasion qu'une réalité connue et comprise et surtout concrètement mise en oeuvre.

Bon anniversaire !

 Bon anniversaire ! La loi sur la protection des données personnelles est entrée en application le 25 mai 2018. Cette loi a donné lieu à nombre de publications et recommandations en particulier dans le monde scolaire qui, on le sait, traite de nombreuses données personnelles sensibles, en particulier celles de nos enfants, mineurs pour la plupart. Rappelons ici que cette loi, issue d'un règlement européen du 27 avril 2016, a mis quelques temps à être adaptée au droit français (à la date limite... fixée au niveau européen deux années plus tard)... Elle est en tout cas opérationnelle depuis.

Pour mieux comprendre cette loi, le site de l'académie de Dijon propose une page très détaillée sur le sujet pour ce qui concerne l'enseignement scolaire. Examinons alors les principales conséquences de la mise en application de ce texte pour le système scolaire.

Ce qui devrait exister dans les établissements

C'est d'abord la mise en place d'un délégué à la protection des données (DPD). Le chef d'établissement (second degré) devrait normalement désigner un DPD pour le collège ou le lycée qu'il dirige. Toutefois, il est précisé que : "Une mutualisation du DPD au niveau académique, infra-académique ou de la région académique est donc tout à fait possible." Cela a pour conséquence qu'un établissement scolaire public peut ne pas avoir de DPD en propre, ce qui n'est pas le cas pour les établissements privés sous contrat (ou non). Rappelons aussi que le chef d'établissement est responsable de la collecte et du traitement des données effectuées dans son établissement. De la rapide analyse du document disponible en ligne qui donne la liste des DPD déclarés il apparaît ainsi que 67 lycées (sur 3750 lycées et près de 11 000 lycées et collèges) déclarent avoir nommé un DPD, la plupart étant situés dans le secteur professionnel et technique. Ceci dit, ce document n'est pas forcément à jour.

Il y a ensuite la mise en place d'un registre. On peut lire en ligne : "Tout traitement de données concernant les élèves (résultats scolaires, professions des parents, revenus du foyer, pays de naissance, vaccinations, allergies si elles sont conséquentes en milieu scolaire…), parents ou personnels, doit dorénavant être inscrit sur un registre interne à l’école ou à l’établissement, et maintenu à jour." On peut donc penser, qu'à ce jour, n'importe quel citoyen en lien avec cet établissement peut en faire la demande en vue de le vérifier. Cette obligation suppose donc que le chef d'établissement ait mis en place ce registre, ce que nous a confirmé le responsable du SNPDEN que nous avons contacté.

Les textes précisent les obligations des DPD. On comprend aisément l'importance des Délégués nommés pour assurer la qualité de ces collectes et de ses traitements en s'assurant qu'ils sont bien conformes même lorsque cela est effectué par un sous-traitant qui doit alors prouver sa conformité. Les chefs d'établissements, conscients de leur responsabilité "personnelle" dans ce domaine tentent alors de se reposer sur les partenaires dans ce domaine : académies, collectivités, sous traitants. Les textes qui portent en particulier sur les DPD académiques montrent que la charge est importante : non seulement par le travail que la loi impose, mais aussi par l'ampleur du sujet, sans compter qu'il faut aussi répondre aux requêtes des usagers qui peuvent ainsi réclamer les registres et autres informations légales. La liste des tâches d'un DPD académique est intéressante à relire : veiller au respect du cadre légal, alerter les responsables de traitement, analyser, investiguer, auditer et contrôler, établir et maintenir une documentation sur les traitements effectués, assurer la médiation avec les personnes concernées, accompagner et sensibiliser, interagir avec l'autorité de contrôle, présenter un rapport annuel au recteur.

Reste la formation au RGPD des personnels et des élèves. Pour ce faire, deux sources semblent importantes : un parcours M@gistère ("Les données à caractère personnel au cœur des établissements" et la brochure de Canopé "Comprendre et appliquer les nouvelles réglementations dans les établissements scolaires". Bien au-delà, les sites nationaux et académiques sont effectivement très riches de ces mêmes informations sur la loi et sa mise en oeuvre... On remarque que ce volet formation, au-delà des réunions "d'in-formation" et des documents écrits semble, à ce jour, encore à conforter.

En réalité ni registres, ni études d'impact

Après trois années de mise en oeuvre, où en est-on ? Sollicité aussi bien par des étudiants faisant leur mémoire de master sur cette question que par des acteurs de terrain un peu inquiets de savoir comment s'assurer de leur respect de la loi, nous avons essayé d'enquêter sur ce sujet.

Nous avons donc questionné l'ensemble des DPD académiques, l'ensemble des DAN et DRANE, l'ensemble des recteurs. À ce jour, nous n'avons eu aucune réponse écrite. Nous avons contacté la Commission d'accès aux documents administratifs (CADA) "autorité administrative indépendante chargée de veiller à la liberté d’accès aux documents administratifs et aux archives publiques ainsi qu’à la réutilisation des informations publiques" afin de demander à avoir accès aux rapports annuels des DPD académiques, nous attendons toujours son retour. Nous avons enfin interrogé des chefs d'établissement et le SNPDEN pour savoir où nous en sommes.

Les réponses sont édifiantes : d'une part, nombre d’établissements n'ont pas de registres de traitement des données, les démarches d'analyse d'impact relative à la protection des données (AIPD) sont globalement méconnues voire inconnues, les établissements qui avaient été sollicités pour mettre un DPD en place ont, soit nommé un personnel de direction, soit simplement abandonné l'idée d'une telle nomination (couverts par le texte sur les DPD académiques). Mais surtout et c'est là que l'on s'interroge du côté du SNPDEN, le sentiment d'avoir été abandonné par l'institution dans ce domaine : pas de suivi, de conseil, d'assistance, contrairement à ce que les missions prévues dans les textes laissaient entendre.

Une mise en oeuvre insaisissable

En conclusion de ce premier retour sur trois années de mise en oeuvre on constate que RGPD est davantage un étendard qu'on sort à la moindre occasion  qu'une réalité connue et comprise et surtout concrètement mise en oeuvre. Un récent article publié sur le site Clubic n'est guère plus rassurant, tout comme cette saisine de la CNIL auprès des pharmaciens. On pourra aussi retrouver l'émission (Cash Investigation) de télévision d'Elise Lucet pour comprendre l'enjeu de cette RGPD.

Oui la sensibilisation est en cours, mais c'est l'effectivité de la mise en oeuvre qui doit être mesurée. À ce jour, nous ne disposons d'aucun élément permettant de mesurer cela, ce qui ne peut que nous interroger. Soyons soucieux du respect de la loi et soyons exigeants sur sa mise en application !

Bruno Devauchelle

Bon anniversaire à la RGPD

L'établissement et la RGPD

A quoi sert le DPD ?

La question des données

L'éducation nationale se penche enfin sur la protection des données

Biométrie, géolocalisation, tracking