Un élève de + 15 ans ouvre un compte Gmail. Me contacte sur mon mail académique. Au regard du RGPD, puis-je lui répondre ?

Dylan Galland : Aucune difficulté sur ce point, l’échange avec l’élève bien -qu’il utilise une adresse mail non institutionnelle- peut se faire sans difficulté. L’important reste pour le professeur de répondre systématiquement avec son adresse académique et d’éviter de communiquer des données à caractère personnel car elles seront stockées en définitive sur les serveurs Google probablement hors UE. Le RGPD interdit, en principe, le transfert de données à caractère personnel hors UE. Même si le risque d’un détournement desdites données est très faible dans ce cas de figure, en considérant cette interdiction de principe, la bonne pratique est d’éviter de transférer de telles données personnelles vers des serveurs peu identifiés via des adresses comme Gmail.

Un élève de + de 15 ans partage un dossier Drive de Google avec ses camarades pour réaliser un corpus documentaire et m’autorise en écriture en m’invitant via mon adresse Gmail. Au regard du RGPD, puis-je lui répondre ?

Dylan Galland : L’hébergement sur Google Drive ne répond pas aux standard de sécurité requis par le RGPD, le stockage des données est probablement sur des serveurs hors UE. L’enseignant, agent public, devrait éviter d’utiliser ce genre de plateformes au regard de ces éléments dans le cadre de son service même lorsqu’il n’en est pas à l’initiative.

J’invite un élève de + de 15 ans via mon adresse académique à rejoindre un espace drive de google afin de partager des documents ressources sur une thématique de cours. Au regard du RGPD, puis-je lui répondre ?

Dylan Galland : La problématique reste la même pour que les deux cas susvisés, en particulier le cas n°2. L’enseignant, qui travaille donc pour le compte de l’Académie : personne publique et responsable de traitement des données à caractère personnel traitées dans le cadre de ses missions, doit éviter d’utiliser ce genre d’outils au regard des éléments sus développés.

Dylan Galland : Pas nécessairement, mais on doit s’assurer que lorsque le consentement est recueilli celui-ci est clair, sans équivoque. Cela implique que la personne qui donne l’autorisation a bien pris connaissance des modalités de l’utilisation de ces données (c’est donc le rôle des mentions informatives et légales), de ses droits (accès, rectification, opposition ...) et donc comment il peut les exercer et auprès de qui.

Dylan Galland : Non car on ne peut pas prouver aisément que l’élève ait pris connaissance des mentions légales contrairement à un consentement donné sur papier.

Dylan Galland : Oui sans problème.

Dylan Galland : Le temps que l’autorisation donne la possibilité de diffuser. Si la diffusion est prévue pendant 5 ans, il faut la garder a minima 5 ans.

Dylan Galland : Du moment où on peut reconnaître une personne, même fondue dans une masse de plusieurs personnes, celle-ci peut-être réputée comme identifiable.

Dylan Galland : Oui, du moment que le contenu de l’interview ne fait pas état de données à caractère personnel le concernant. Par exemple si il indique plusieurs informations, lesquelles regroupées permettent de l’identifier alors son consentement devient nécessaire.

Dylan Galland : En théorie oui, tout dépend des circonstances.

Quid de leur déclaration et leur usage ?
Dylan Galland : Elles doivent figurer au registre des activités de traitement du délégué à la protection des données de l’établissement. Leur usage doit se faire dans le seul cadre de la mission dévouée à l’Établissement donc le suivi, et la gestion administrative et scolaire de l’élève.

Dylan Galland : Elles doivent être hébergées sur des serveurs sécurisés, dont leur localisation est connue.

Ex. un parent peut-il refuser que les données concernant son enfant soit présent sur ces logiciels (résultats scolaires => nécessité de service ; mais quid de la photo ? de la profession des parents ? de l’adresse ? de la profession des parents ?)

Dylan Galland : En principe, l’usage de ces données reposent sur une obligation légale (donc une loi ou un règlement qui prévoit la possibilité de collecter telles données pour telle finalité). Sinon on peut se fonder sur la mission d’intérêt public pour fonder le traitement de ces données.
La photo peut paraître nécessaire pour l’identification de l’élève dans le dossier administratif, mais sa diffusion via un trombinoscope peut faire l’objet d’une objection par l’élève ou ses parents. L’adresse parait être nécessaire sans discussion, concernant la profession des parents il faut pouvoir le justifier : par exemple octroi d’une allocation sociale etc.