Le règlement général sur la protection des données (RGPD) dans l’enseignement belge francophone
À destination des élèves, parents et professeurs, directions et Pouvoirs Organisateurs.
Les principes de bases
Le responsable légal : le Pouvoir Organisateur
En Belgique, le représentant légal d’une école est le Pouvoir Organisateur(PO). Généralement, il s’agit d’une ASBL composée d’une Assemblée Générale et d’un Conseil d’Administration. Dans les autres cas, le PO est une entité publique (collège communal, Province).
La direction d’une école est le représentant du Pouvoir Organisateur. Un Pouvoir Organisateur peut gérer plusieurs écoles, mais une école ne dépend que d’un seul Pouvoir Organisateur.
Les données personnelles
Selon le RGPD, toutes données permettant d’identifier une personne sont des données personnelles. Il peut s’agir d’une seule donnée (un numéro de GSM, une adresse mail, un compte bancaire, un numéro national, ....), mais aussi d’une combinaison de données qui ensemble permettent d’identifier une personne (nom/prénom/école, date de naissance/nom, ...).
Il est important d’appréhender qu’il est possible d’identifier une personne même si l’on ne connaît ni son nom, ni son prénom.
Dans le cadre scolaire, le simple fait qu’une école encode un nom et un prénom dans un système de données distant (un"cloud", par exemple) peut constituer une infraction au RGPD.
Les finalités
Toute collecte de données doit se faire dans des finalités/des objectifs déterminées et explicites. L’utilisation en dehors de ces finalités est totalement illicites (sauf imposition légale -sécurité des personnes, ... -).
Dans un contexte scolaire, il y a globalement deux finalités :
- une finalité pédagogique dont les destinataires sont :
- les professeurs et qui comprennent le nom, le prénom et l’âge, éventuellement le parcours scolaires ;
- des sociétés sous-traitantes qui fournissent des services ("cloud", "e-learning", bulletin, prêt de manuels, ...) ; [1]
- une finalité administrative ( le nom et prénom des parents, le domicile, les coordonnées de contact, ...) à destination de la direction de l’école et de l’administration de la Fédération Wallonie-Bruxelles.
La transmission des données personnelles à des tiers en dehors de ces finalités est totalement illicites.
Par exemple, les sociétés tierces sous-traitantes de ces données ne peuvent :
- ni envoyer de correspondances commerciales ;
- ni utiliser ces données pour d’autres finalités comme croiser ces données avec des données sur des comptes personnels privés ;
- ni évidemment revendre ces données à d’autres tiers.
Les conditions
Malgré le fait que l’impact le plus visible du RGPD a été l’acceptation ou non de la présence de cookies par la présence de bandeau Web, il n’en demeure pas moins que le consentement n’est pas la première condition de la transmission de données personnelles. Les conditions utilisables dans un contexte scolaire sont repris ci-dessous.
La loi
Si une décision sur base d’une loi (ou tout autre texte juridique faisant force de loi -règlement, directive européenne, décret, ordonnance, arrêté-) contraint une personne morale (société, ...) ou physique (la personne en tant que telle) à transmettre des données personnelles, celle-ci devra s’exécuter, sauf si elle considère que la décision est en contradiction avec un autre texte de loi (suivant la hiérarchie des normes).
Dans un contexte scolaire, les écoles sont obligées de transmettre diverses données personnelles à la Fédération Wallonie-Bruxelles. Il s’agit là de la base légale de la collecte des données personnelles en milieu scolaire.
Le contrat
Toute organisation, comme une école, peut déléguer à une société sous-traitante, une tâche qu’elle devrait elle-même exécuter, même si celle-ci demande le traitement de données personnelles.
Cependant, de façon hiérarchique, cette société sous-traitante ne disposera pas plus de pouvoir sur les données personnelles que l’organisation initiale. Cette société sous-traitante ne pourra dépasser le contrat conclu avec l’école.
Dans un contexte scolaire, ces sociétés sous-traitantes doivent donc se conformer aux finalités pédagogiques et administratives. Elles doivent donc juste effectuer la tâche qui leur a été donnée par le Pouvoir Organisateur de l’école. Il ne leur est pas possible de utiliser, de traiter les données personnelles pour d’autres finalités que celles d’une école.
Le consentement
Un consentement est valable au sens du RGPD comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Dans le cadre scolaire, tenant compte de l’obligation scolaire et du décret « Inscriptions » (réglementant l’organisation des inscriptions), il nous semblerait difficile qu’une école puisse se prévaloir d’un consentement libre et univoque des parents/élèves, si celui-ci est obligatoire pour l’inscription. Dans cette situation, cette école montrerait qu’elle ne respecte pas le RGPD.
La minimisation des données
Le principe de minimisation du RGPD prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
L’école ne peut donc imposer de disposer de données personnelles autres que celles qui sont strictement nécessaire à la gestion administrative de l’élève (les informations pédagogiques recouvrant les informations pédagogiques).
De plus, lors de transfert de données à des sociétés tierces, les solutions privilégiant la protection de la vie privée (« privacy by design ») doivent être choisies.
Le cas particulier des photos et vidéos (y compris le droit à l’image)
Des photos et des vidéos d’élèves sont des données personnelles d’élèves puisqu’elles permettent d’identifier une personne sur base de caractères physiques. Elles ne peuvent relever d’une obligation de l’école puisqu’elles ne sont pas des données administratives nécessaires et qu’elles ne sont pas nécessaires pédagogiquement. La création de « trombinoscope » des élèves doit donc être facultative. La prise de photographies ou de vidéos lors de sortie scolaire ne peut être une obligation.
L’école doit s’assurer que ces photographies ne soient pas réutilisées dans un autre contexte que le contexte scolaire.
Même, s’il a été prévu dans le règlement d’ordre intérieur, que des photographies des élèves puissent être prises et publiés. L’élève a le droit de s’opposer à une prise de vue et/ou à demander la suppression de certaines photographies à tout moment qu’il jugerait inappropriées (droit à l’oubli).
La mise en application
Pour les élèves et parents
Les élèves/parents peuvent demander à l’école :
- la finalité de toutes données personnelles transmises ;
- tous les documents justifiant le choix de l’école sur la minimisation des données personnelles imposées par le RGPD à savoir :
- l’analyse interne de l’école justifiant le choix ;
- les licences et contrats avec les sociétés tierces quelque soit le niveau hiérarchique de la sous-traitance.
L’enseignement étant soumis à des lois, non seulement les parents/élèves ne peuvent s’opposer à la transmission certaines données, mais ils sont obligés de fournir certaines données à l’école pour son inscription comme :
- le nom, prénom, date de naissance, lieu de naissance de l’élève (carte d’identité ou carte de séjour faisant foi) ;
- le domicile de l’élève ;
- les noms, prénoms, dates de naissance, lieu de naissance des tuteurs légaux (carte d’identité ou carte de séjour faisant foi) ;
- le domicile de ces tuteurs légaux ;
- à cela peut s’ajouter des moyens de communications neutres et facultatifs, tels que des numéros de téléphones fixes ou portables, ou des adresses e-mails ;
- ainsi que tous les documents nécessaires à une inscription (CEB, ....).
Les parents/élèves ont aussi l’obligation d’informer l’école en cas de modification de domicile ou de coordonnées (GSM ou e-mail).
Pour les professeurs, éducateurs, et membres du personnel
Le professeur ne peut imposer à ces élèves un logiciel, même gratuit, qui imposerait à l’élève une licence contenant des clauses dérogatoires au RGPD. En effet, le relation professeur/élève est une relation asymétrique et le consentement de l’’élève (dans une telle situation) n’est pas conforme à un consentement tel que le prévoit le RGPD. L’imposition porte tant sur du logiciel (utilisation de site Web, installation de programme sur des ordinateurs privés) que sur du matériel (imposition d’un ChromeBook, par exemple).
Par ailleurs, le professeur peut protéger sa propre vie privée. Comme tout employeur, une école peut imposer l’utilisation d’un logiciel. Cependant, elle ne peut imposer que le professeur installe un logiciel sur son ordinateur personnel et privé (ordinateur privé, smartphone). La situation est évidemment différente si l’école met à disposition son propre matériel à disposition de son personnel (sans licence à accepter ou identification nécessitant un nom et prénom). Cependant, comme pour n’importe quel employeur, le personnel d’une école peut s’opposer à la transmission de données, comme le nom et le prénom, à une société qui a priori ne respecte pas le RGPD.
Pour les directions et Pouvoirs Organisateurs
La charge pour les directions et PO qu’engendrent est loin d’être anecdotique. Cela leur demande un travail de contrôle plus important sur les données des élèves. Ci-dessous une liste non-exhaustive du travail supplémentaire demandé :
- la nomination d’un délégué à la protection des données (DPD) et la publication de ces coordonnées ;
- une obligation d’information des parents via une politique de vie privée lors de l’inscription ;
- une ensemble de documents justifiant le choix des logiciels auxquels ils ont transmis les données personnelles des élèves ;
- de nombreuses écoles ont leur propre site Web, malheureusement, comme de nombreux sites, des infractions peuvent être constatées ( chargement de polices de Google, Google Analytics, ... )
Non-adéquation des entreprises états-uniennes
Arrêt Schrems II
Depuis le 16 juillet 2020, la Cour de Justice de l’Union Européenne (arrêt « Schrems II ») a annulé l’accord « Privacy Shield » permettant un transfert adéquat de données personnelles entre l’Union Européenne et les États-Unis.
Les clauses contractuelles types n’ont été modifiées par la Commission Européenne que le 4 juin 2021 permettant des transferts avec des pays sans adéquation (comme les États-Unis). De ce fait, formellement, aucune donnée personnelle non-anonymisée ne pouvait être transmises entre 16 juillet 2020 et le 4 juin 2021.
Et après ?
Adéquation et compatibilité
Être “adéquat” est un fait. Être “compatible” (“compliant”, en anglais) est une possibilité. Les éditeurs de logiciels vraiment professionnels garantissent par contrat le respect du RGPD. Ce n’est pas le cas de gros acteurs, comme Microsoft et Google, qui conditionne cette obligation à la bonne configuration de leurs logiciels à leurs clients (PO).
Le rôle ambigu d’ETNIC
L’Entreprise publique des Technologies Numériques de l’Information et de la Communication (ETNIC) est le partenaire informatique de la Fédération Wallonie-Bruxelles qui conçoit des solutions informatiques pour les administrations publiques à destination des Wallons et Bruxellois francophones.
La date d’attribution du marché de l’accord-cadre entre ETNIC et Microsoft pour les écoles de l’enseignement du primaire et du secondaire est le 26 novembre 2020. Ce marché permet aux écoles de disposer des logiciels Microsoft gratuitement.
ETNIC a donc conclu un accord avec une société avec laquelle, à un moment où formellement, aucune donnée personnelle ne pouvait être transmise entre le 16 juillet 2020 et le 4 juin 2021. Il faut noter que la responsabilité juridique incombe aux Pouvoirs Organisateurs des écoles et non à ETNIC. Finalement, ETNIC gère techniquement, mais ne supporte pas les conséquences juridiques de ces choix. Vu les faibles moyens financiers des écoles, celles-ci choisissent in fine une solution qui leur est gratuite.
Les délégués à la protection de données des différentes réseaux
Le réseau organisé par la FWB
Le réseau organisé par la Fédération Wallonie-Bruxelles est géré par l’ASBL Wallonie-Bruxelles Enseignement. L’adresse du délégué à la protection des données (DPD) peut être trouvé sur la page https://www.wbe.be/mentions-legales-vie-privee/ .
Les réseaux subventionnés
Chaque Pouvoir Organisateur doit nommer un délégué à la protection des données (DPD) pour les écoles. Un moyen de contact public doit exister pour contacter le DPD de cet école.
Les recours
Si un parent/élève juge qu’il existe une infraction au RGPD dans le traitement de ces données personnelles, il peut dans ce cas :
- contacter le DPD de l’école (en absence d’un moyen de contacter le DPD, contacter un représentant du PO -direction-) ;
- contacter l’Autorité de Protection de Données :
- pour obtenir une information/une médiation ;
- pour déposer une plainte administrative qui peut aboutir à une amende ;
- déposer une plainte auprès d’un service de police qui peut aboutir à une condamnation judiciaire.
Il est important de conserver des données factuelles sur le litige (impression d’écran, contenu du journal de classe, mails, ...).
Et dans les autres pays de l’Union Européenne
L’autorité de protection des données néerlandaises émet de gros doutes sur le fait que les solutions de Microsoft respecte en tout point la législation sur la vie privée.
La Suède utilise des produits open-source pour ces services administratifs.
La gendarmerie française utilise depuis de nombreuses années une distribution Linux..
Office 365 a été bannie des ministères français pour protéger les données sensibles.
Plusieurs landers allemands (en Hesse, mais aussi le Bade-Wurtemberg et la Rhénanie-Palatinat) ont interdits l’utilisation des offres Microsoft dans un cadre scolaire.
Plusieurs régions espagnoles (l’Estrémadure, l’Andalousie et la région de Valence) ont développés leur propre distribution Linux afin de, entre autres, garantir la confidentialité des données.
Les écoles au Danemark, aux Pays-Bas et en Allemagne ne peuvent plus utiliser les produits de Google pour des raisons de confidentialité de données personnelles.
Enfin le 15 novembre 2002, l’Éducation Nationale française arrête le déploiement de Microsoft Office 365 et de Google Education, tandis que l’autorité fédérale allemande déclare le 25 novembre 2022 quel’utilisation de Microsoft Office 365 n’est pas conforme au RGPD pour une utilisation scolaire.
Quelques références
Le texte légal du RGPD
Site de sensibilisation de l’Autorité de Protection des Données
Comprendre et appliquer le RGPD en classe – guide pratique de la Fédération Wallonie-Bruxelles
Une compilation des problèmes liés aux logiciels de Microsoft par Educode
Sur l’invalidation du PrivacyShield et en conséquence l’inadéquation des sociétés relevant du droit états-uniens :
P.S. : ABELLI ne peut être tenu responsable de son appréciation ou interprétation des textes juridiques.
[1] Nous pensons que uniquement une identification anonymisée (un simple code aléatoire) devrait être transmise à de tels prestataires au vu de la nécessaire minimisation des données prévues par le RGPD.