Lors de la journée nationale des IAN d’histoire géographie, Dylan Galland, Délégué à la protection des données (DPO), Chargé d’affaires juridiques et Doctorant en droit public à l’Université Lyon 2 est intervenu en co-animation avec Sylvie Tournier, Délégué à la protection des données de l’Académie de Lyon, afin de répondre aux questions des enseignants. Voici, un compte-rendu de ces échanges.
Cas pratiques
Un élève de + 15 ans ouvre un compte Gmail. Me contacte sur mon mail académique
Un élève de + 15 ans ouvre un compte Gmail. Me contacte sur mon mail académique. Au regard du RGPD, puis-je lui répondre ?
Dylan Galland : Aucune difficulté sur ce point, l’échange avec l’élève bien -qu’il utilise une adresse mail non institutionnelle- peut se faire sans difficulté. L’important reste pour le professeur de répondre systématiquement avec son adresse académique et d’éviter de communiquer des données à caractère personnel car elles seront stockées en définitive sur les serveurs Google probablement hors UE. Le RGPD interdit, en principe, le transfert de données à caractère personnel hors UE. Même si le risque d’un détournement desdites données est très faible dans ce cas de figure, en considérant cette interdiction de principe, la bonne pratique est d’éviter de transférer de telles données personnelles vers des serveurs peu identifiés via des adresses comme Gmail.
Un élève de + de 15 ans partage un dossier Drive de Google avec ses camarades et m’autorise en écriture en m’invitant via mon adresse Gmail
Un élève de + de 15 ans partage un dossier Drive de Google avec ses camarades pour réaliser un corpus documentaire et m’autorise en écriture en m’invitant via mon adresse Gmail. Au regard du RGPD, puis-je lui répondre ?
Dylan Galland : L’hébergement sur Google Drive ne répond pas aux standard de sécurité requis par le RGPD, le stockage des données est probablement sur des serveurs hors UE. L’enseignant, agent public, devrait éviter d’utiliser ce genre de plateformes au regard de ces éléments dans le cadre de son service même lorsqu’il n’en est pas à l’initiative.
J’invite un élève de + de 15 ans via mon adresse académique à rejoindre un espace drive de google
J’invite un élève de + de 15 ans via mon adresse académique à rejoindre un espace drive de google afin de partager des documents ressources sur une thématique de cours. Au regard du RGPD, puis-je lui répondre ?
Dylan Galland : La problématique reste la même pour que les deux cas susvisés, en particulier le cas n°2. L’enseignant, qui travaille donc pour le compte de l’Académie : personne publique et responsable de traitement des données à caractère personnel traitées dans le cadre de ses missions, doit éviter d’utiliser ce genre d’outils au regard des éléments sus développés.
RGPD et droit à l’image
Le droit d’autorisation pour photo ou voix doit-il désormais s’accompagner d’un coupon de rétractation ?
Dylan Galland : Pas nécessairement, mais on doit s’assurer que lorsque le consentement est recueilli celui-ci est clair, sans équivoque. Cela implique que la personne qui donne l’autorisation a bien pris connaissance des modalités de l’utilisation de ces données (c’est donc le rôle des mentions informatives et légales), de ses droits (accès, rectification, opposition ...) et donc comment il peut les exercer et auprès de qui.
RDPD et logiciels de notation et/ou vie scolaire (Privé / Etatique - Sconet Notes& Vie Scolaire) :
Quid de leur déclaration (...)
Quid de leur déclaration et leur usage ?
Dylan Galland : Elles doivent figurer au registre des activités de traitement du délégué à la protection des données de l’établissement. Leur usage doit se faire dans le seul cadre de la mission dévouée à l’Établissement donc le suivi, et la gestion administrative et scolaire de l’élève.
Quid du non-consentement des usagers ?
Ex. un parent peut-il refuser que les données concernant son enfant soit présent sur ces logiciels (résultats scolaires => nécessité de service ; mais quid de la photo ? de la profession des parents ? de l’adresse ? de la profession des parents ?)
Dylan Galland : En principe, l’usage de ces données reposent sur une obligation légale (donc une loi ou un règlement qui prévoit la possibilité de collecter telles données pour telle finalité). Sinon on peut se fonder sur la mission d’intérêt public pour fonder le traitement de ces données.
La photo peut paraître nécessaire pour l’identification de l’élève dans le dossier administratif, mais sa diffusion via un trombinoscope peut faire l’objet d’une objection par l’élève ou ses parents. L’adresse parait être nécessaire sans discussion, concernant la profession des parents il faut pouvoir le justifier : par exemple octroi d’une allocation sociale etc.