Lors de la journée nationale des IAN d’histoire géographie, Dylan Galland, Délégué à la protection des données (DPO), Chargé d’affaires juridiques et Doctorant en droit public à l’Université Lyon 2 est intervenu en co-animation avec Sylvie Tournier, Délégué à la protection des données de l’Académie de Lyon, afin de répondre aux questions des enseignants. Voici, un compte-rendu de ces échanges.
Cas pratiques
Un élève de + 15 ans ouvre un compte Gmail. Me contacte sur mon mail académique. Au regard du RGPD, puis-je lui répondre ?
Dylan Galland : Aucune difficulté sur ce point, l’échange avec l’élève bien -qu’il utilise une adresse mail non institutionnelle- peut se faire sans difficulté. L’important reste pour le professeur de répondre systématiquement avec son adresse académique et d’éviter de communiquer des données à caractère personnel car elles seront stockées en définitive sur les serveurs Google probablement hors UE. Le RGPD interdit, en principe, le transfert de données à caractère personnel hors UE. Même si le risque d’un détournement desdites données est très faible dans ce cas de figure, en considérant cette interdiction de principe, la bonne pratique est d’éviter de transférer de telles données personnelles vers des serveurs peu identifiés via des adresses comme Gmail.
Un élève de + de 15 ans partage un dossier Drive de Google avec ses camarades pour réaliser un corpus documentaire et m’autorise en écriture en m’invitant via mon adresse Gmail. Au regard du RGPD, puis-je lui répondre ?
Dylan Galland : L’hébergement sur Google Drive ne répond pas aux standard de sécurité requis par le RGPD, le stockage des données est probablement sur des serveurs hors UE. L’enseignant, agent public, devrait éviter d’utiliser ce genre de plateformes au regard de ces éléments dans le cadre de son service même lorsqu’il n’en est pas à l’initiative.
Dylan Galland : La problématique reste la même pour que les deux cas susvisés, en particulier le cas n°2. L’enseignant, qui travaille donc pour le compte de l’Académie : personne publique et responsable de traitement des données à caractère personnel traitées dans le cadre de ses missions, doit éviter d’utiliser ce genre d’outils au regard des éléments sus développés.
RGPD et droit à l’image
Dylan Galland : Pas nécessairement, mais on doit s’assurer que lorsque le consentement est recueilli celui-ci est clair, sans équivoque. Cela implique que la personne qui donne l’autorisation a bien pris connaissance des modalités de l’utilisation de ces données (c’est donc le rôle des mentions informatives et légales), de ses droits (accès, rectification, opposition ...) et donc comment il peut les exercer et auprès de qui.
Un enregistrement vidéo d’un élève qui donne son accord pour utilisation de son image ou voix a-t-il une valeur légale ?
Dylan Galland : Non car on ne peut pas prouver aisément que l’élève ait pris connaissance des mentions légales contrairement à un consentement donné sur papier.
L’établissement doit-il conserver les originaux des autorisations photo ou voix signées sous forme papier ? Une transmission et archivage des autorisations sous forme numérisée (scannée) est-il possible ?
Dylan Galland : Oui sans problème.
Dylan Galland : Le temps que l’autorisation donne la possibilité de diffuser. Si la diffusion est prévue pendant 5 ans, il faut la garder a minima 5 ans.
Dylan Galland : Du moment où on peut reconnaître une personne, même fondue dans une masse de plusieurs personnes, celle-ci peut-être réputée comme identifiable.
Si on enregistre qq’un dans la rue sans donner son nom, sans le filmer : peut-on diffuser son interview ?
Dylan Galland : Oui, du moment que le contenu de l’interview ne fait pas état de données à caractère personnel le concernant. Par exemple si il indique plusieurs informations, lesquelles regroupées permettent de l’identifier alors son consentement devient nécessaire.
Un passant est pris en arrière plan d’une photo de groupe d’élèves, peut-on la diffuser ?
Dylan Galland : En théorie oui, tout dépend des circonstances.
RDPD et logiciels de notation et/ou vie scolaire (Privé / Etatique - Sconet Notes& Vie Scolaire) :
Quid de leur déclaration et leur usage ?
Dylan Galland : Elles doivent figurer au registre des activités de traitement du délégué à la protection des données de l’établissement. Leur usage doit se faire dans le seul cadre de la mission dévouée à l’Établissement donc le suivi, et la gestion administrative et scolaire de l’élève.
Dylan Galland : Elles doivent être hébergées sur des serveurs sécurisés, dont leur localisation est connue.
Ex. un parent peut-il refuser que les données concernant son enfant soit présent sur ces logiciels (résultats scolaires => nécessité de service ; mais quid de la photo ? de la profession des parents ? de l’adresse ? de la profession des parents ?)
Dylan Galland : En principe, l’usage de ces données reposent sur une obligation légale (donc une loi ou un règlement qui prévoit la possibilité de collecter telles données pour telle finalité). Sinon on peut se fonder sur la mission d’intérêt public pour fonder le traitement de ces données.
La photo peut paraître nécessaire pour l’identification de l’élève dans le dossier administratif, mais sa diffusion via un trombinoscope peut faire l’objet d’une objection par l’élève ou ses parents. L’adresse parait être nécessaire sans discussion, concernant la profession des parents il faut pouvoir le justifier : par exemple octroi d’une allocation sociale etc.