JOURNÉE DE SENSIBLISATION LA PROTECTION DES DONNÉES A L’ÉCOLE

A L’HEURE DU RGPD

Vendredi 18 mai 2018

Carina CHATAIN, responsable de l’éducation au numérique

Carina Chatain29/11/2018 1

La CNIL aujourd’hui

• Une autorité indépendante

– 17 membres + Président de la CADA+ Défenseur

des droits

– Services: 200 personnes

– Budget 2018: 17 millions d’euros

• Une quadruple mission

– Information, conseil, éducation

– Contrôle : déclarations, contrôles sur place et en

ligne

– Sanctions

www.educnum.fr/

– Réflexion éthique et veille prospective

linc.cnil.fr/

• 155 000 appels• Correspondants

informatique et libertés: +18 000 organismes

• Plus de 8000 plaintes

• Près de 350 contrôles

• 79 mises en demeure, 14 sanctions dont 9 financières

29/11/2018 3

Le RGPD: les points clés

Le nouveau cadre de régulation

• Le Règlement européen (RGPD) applicable le 25 mai 2018

• La transposition nationale de la directive européenne « police justice »

• = une nouvelle Loi Informatique et Libertés…avant le 25 mai 2018• Harmonisation des 3 textes

• Utilisation de marges de manœuvre (ex. secteur Santé)

• Hors champ RGPD (statut, composition et certaines procédures CNIL)

• + une ordonnance pour assurer la lisibilité du texte…

4

29/11/2018 5

• Des principes inchangés mais…

• Des droits renforcés (information, droit à l’oubli), des droits nouveaux (droit à la portabilité, droit des mineurs…), des « class actions I&L » (cf. initiative Quadrature du Net)

• Un droit européen applicable aux entreprises étrangères ciblant les citoyens européens

• Une nouvelle démarche de conformité : moins de formalités, mais plus de responsabilisation, plus d’outils

• Une gouvernance européenne : un comité (EDPB) et une coopération entre les autorités de contrôle dont les pouvoirs (de sanction) sont accrus.

Une nouvelle démarche de conformité: obligations et outils

Plus de déclaration à la CNILDésigner un délégué à la protection des données (obligatoire pour toute structure publique)Tenir un registre des traitements Réaliser des études d’impact ( PIA) pour les traitements à risque élevésNotifier les violations de données (failles de sécurité)Certification et codes de conduite

6

RGPD

Ce qui change :

• Elargissement du champ des données sensibles (génétique - biométrie)

• Nouveaux droits

• Quasi-suppression des formalités

• Nouveaux outils de conformité: registres-PIA-certifications- référentiels

• DPO obligatoires dans le secteur public

• Notification des failles de sécurité

• Rôle du sous traitant

• Guichet unique et comité européen

• Montant des sanctions (2 à 4% CA)

29/11/2018 7

Ce qui ne change (presque) pas :

• Principes de fond (finalité-pertinence- durée de conservation- sécurités- droits)

• Démarche d’analyse

• Contrôle sur place et sur pièce

• Contrôle a priori sur les fichiers de police

• Régime d’autorisations recherche en santé

• Pas de sanctions financières pour l’Etat

Les outils disponibles

• Lignes directrices du G29

• Guide « Comment se préparer en six étapes ? »

• Guides PIA, logiciel PIA, guide sous-traitant, guide sécurité, modèle de registre…

• FAQ – Besoin d’aide: poser sa question

• Sur www.cnil.fr

29/11/2018 8

Et aussi…

• Des modèles de mentions d’information

• Des formulaires de désignation des DPO

• Des référentiels

• Des listes de traitements soumis à PIA et exemptés de PIA

• Un guide pour les PME-TPE

• Un parcours Magistère sur la protection des données

• Des ateliers de formation au RGPD

29/11/2018 9

La période transitoire

• /formalités jusqu’au 25/05/2018 :• Les déclarations sont traitées jusqu’au 24/05/2018• Les demandes d’autorisation ne peuvent plus être instruites, sauf exception• Incitation aux PIA

• /PIA pour les traitements à risques élevés :• Pas d’analyse d’impact obligatoire pour les traitements régulièrement déclarés avant le

25/05/2018, (sauf modification substantielle) mais à faire dans les 3 ans• Mais PIA nécessaires pour nouveaux traitements ou traitements non déclarés

• https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

29/11/2018 10

Carina Chatain29/11/2018 11

LES REGLES D’OR DE LA PROTECTION DES DONNÉES

DÉFINITION DE LA DONNÉE PERSONNELLE

Toute information concernant une personne physique : identifiée par exemple, par son état-civil, ou identifiable :

• grâce à un identifiant qui désigne la personne ou un « objet » qui lui est rattaché : numéro de sécurité sociale, matricule professionnel (pour un enseignant le numéro d’identification de l’Education Nationale ou NUMEN), numéro de son téléphone portable, celui de son compte bancaire, plaque d’immatriculation de son véhicule, adresse IP de son ordinateur…

• à partir de données de localisation précises : son adresse postale, date/heure/lieu des données de géolocalisation d’une opération effectuée à partir de son smartphone ou de sa tablette…

• au moyen d’« un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » : photo de son visage, empreintes digitales, historique de son état de santé, habitudes de consommation…

• après avoir été associée à des informations supplémentaires concernant cette personne : cookies déposés sur son terminal.

• Par le traitement combiné de données concourant à l’individualiser : date et lieu de naissance, commune de résidence, caractéristique rare (profession peu exercée, couleur de cheveux, maladie rare…).

DÉFINITION DE LA DONNÉE PERSONNELLE

Champ très large : informations objectives (ex : dates et lieux de naissance), éléments subjectifs (ex : appréciations personnelles), faits bruts, éléments constatés, données statistiques, voire seulement prévisionnelles (profil type de la personne).

Dans le monde de l’éducation, les collectes et traitements de données personnelles concernent aussi bien les personnels éducatifs et administratifs que les élèves, les parents, les intervenants extérieurs…

DONNÉE PERSONNELLE

Données personnelles définies par la norme simplifiée

NS-009 :

• Nom, prénoms, adresse, année de naissance, catégorie professionnelle, numéro de téléphone

• Caractéristiques du prêt ou de la communication : désignation de l’oeuvre (titre, nom de l’auteur, de l’éditeur, etc.) ou du document d’archive, cotes de catalogage ou de classement, date, date(s) de relance

LES DONNÉES SENSIBLES

Données dont le traitement est susceptible d’engendrer des risques importants à l’égard des personnes, en particulier, de discrimination et d’exclusion. Elles font donc l’objet d’une protection légale renforcée.

Données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou encore la vie sexuelle ou l’orientation sexuelle des personnes.

Par principe, il est interdit de collecter ou de traiter ces données, sauf exceptions expressément prévues par la loi.

Dans le cadre des activités périscolaires, les données suivantes peuvent être enregistrées :

• Les données relatives à l’état vaccinal obligatoire, à jour, de l’enfant ;

• La fiche sanitaire : sous enveloppe cachetée comprenant le nom du mineur concerné et après avoir recueilli le consentement des représentants légaux du mineur concerné.

• Les données nécessaires à une prise en charge spécifique (présence d’un handicap nécessitant une prise en charge particulière ou une adaptation des conditions d’accueil, ainsi que les mesures de prise en charge ou d’adaptation retenue…). Seule la mention de ces cas peut être collectée, sans détail complémentaire. En aucun cas, ces renseignements ne peuvent préciser la nature du handicap ou de la pathologie.

RECUEILLIR ET TRAITER DES DONNÉES PERSONNELLES

Pourquoi : principe de finalité

• Utiliser un logiciel pour la gestion de la vie scolaire, installer un dispositif de vidéosurveillance pour sécuriser les accès du lycée, créer un blog de classe, établir une liste des élèves participant à un voyage scolaire ou encore recourir à un ENT… : recueillir et de traiter des données personnelles pour un usage, un but précis - une finalité déterminée-, s’inscrivant dans les missions et activités d’un établissement scolaire.

• Loi Informatique et libertés : les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités. C’est ce qu’on appelle le principe de finalité.

• Ainsi, divulguer à un tiers les coordonnées des parents d’élèves pour que des tracts de propagande politique leur soient adressés, visionner les vidéos des caméras pour contrôler les horaires d’une personne, utiliser les adresses email des élèves pour leur adresser des publicités ciblées : cas de détournement d’usages, de finalités, susceptibles d’être sanctionnés au plan pénal (article 226-21 du code pénal), administratif et pécuniaire.

RECUEILLIR ET TRAITER DES DONNÉES PERSONNELLES

Quelles données ? Proportionnalité et pertinence

• Lorsqu’on planifie les cours, on a besoin des noms des enseignants, de leurs disciplines, de leurs nombres d’heures…mais pas de leur indice de rémunération.

• Lors d’une inscription scolaire, il n’est pas pertinent de demander le numéro de sécurité sociale du ou des représentants légaux ou encore la copie de leur carte VITALE (parfois justifiée comme étant demandée en cas de soins à délivrer d’urgence à l’élève). Il appartient aux parents de fournir cette information lors du règlement des soins et non à l’établissement scolaire.

• Lorsqu’on envisage de recueillir des données concernant des personnes, on doit donc, à chaque fois, se poser la question de savoir de quelles données on a réellement besoin et s’il est possible de les limiter à ce qui est réellement utile.

RECUEILLIR ET TRAITER DES DONNÉES PERSONNELLES : LES DOCUMENTALISTES

Quels sont les objectifs poursuivis par les opérations de traitement des données ?

• Prêter des documents

• Gestion financière des prêts

• Editer des statistiques dépersonnalisées

Quels sont les acteurs qui traitent ces données ?

• La collectivité (DSI)

• Le fournisseur d’accès internet de la collectivité

• Le prestataire du portail qui héberge le site

• Le fournisseur du SIGB s’il détient les serveurs

• Les fournisseurs de ressources numériques (ToutApprendre, Dilicom, 1Dtouch, LeKiosk, MusicMe…) accessibles depuis le portail. La liste des sous-traitants doit être réalisée car le RGPD impose aux sous-traitants de se conformer aux nouvelles dispositions et dont la responsabilité pourra être engagée en cas de manquement.

CONSERVATION LIMITÉE DES DONNÉES

Les données ne peuvent être conservées que pendant une durée limitée, définie en amont.

� Durée déterminée en fonction de la finalité de chaque traitement. Cette durée va donc varier selon lesdifférents objectifs poursuivis par l’utilisation de données personnelles.

• Les données d’emprunt sont conservées pendant la durée du service (le temps du prêt) et sont supprimées un an à compter de la date de fin du prêt précédent.

• Les informations relatives à chaque prêt sont supprimées à la fin du 4ème mois suivant le retour du document

A l’issue : destruction ou anonymisation des données, dans le respect toutefois des obligations légalesd'archivage (pour les données présentant un intérêt administratif, historique, statistique ou scientifique).

3 phases à distinguer : conservation en base active (données d’utilisation courante), puis en base intermédiaire(archivage des données présentant un intérêt administratif), puis, le cas échéant, archivage définitif (versementau service d’archives publiques compétent).

REGLEMENT EUROPEEN 21

L’obligation de sécurité des données personnelles

• Les organismes qui mettent en œuvre des traitements ou disposent de fichiers comportant de telles données, doivent en garantir la sécurité.

• Dans le monde de l’éducation, les collectes et traitements de données personnelles doivent faire l’objet d’une attention particulière, s’agissant notamment des données scolaires des mineurs.

• Par sécurité des données, on entend l’ensemble des « précautions utiles, au regard de la nature des données et des risques présentés par le traitement », pour notamment, « empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Il s’agit d’une obligation de moyens. Le non-respect de cette obligation est passible de sanctions pénales.

• Cette sécurité se conçoit pour l’ensemble des processus relatifs à ces données, qu’il s’agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité.

L’obligation de sécurité des données personnelles : les documentalistes

Pour assurer la sécurité des données, il faut :

• Prévoir un chiffrement des réseaux wi-fi ;

• Sécuriser l’accès des ordinateurs mis à disposition ;

• Empêcher le démarrage d’un système d’exploitation tiers à partir d’une clé USB ;

• Sécuriser l’accès aux journaux de connexions ;

• Prévoir un mot de passe suffisamment robuste pour empêcher la modification de la configuration du système ;

• Limiter à quelques minutes la durée de stockage des documents en attente d’impressions afin d’éviter la divulgation de données sensibles à des tiers ;

• Implémenter le protocole adéquat sur le site afin de chiffrer les données et les requêtes.

LES DROITS DES PERSONNES

Renforcement des droit existants :

• obligation générale de faciliter l’exercice des droits : information concise, transparente, compréhensible et aisémentaccessible

• information renforcée : coordonnées du délégué, durée de conservation, icônes normalisées…

• droit d’accès précisé et droit de rectification maintenu

• droit à être informé d’une violation des données en cas de risques élevés pour les intéressés

• droit d’opposition renforcé : le RT doit prouver l’existence d’un intérêt légitime supérieur à celui de la personneconcernée

• droit à l’effacement (« droit à l’oubli ») confirmé

Nouveaux droits :

• droit à la limitation du traitement

• droit à la portabilité des données

CONSENTEMENT DES MINEURS

Consentement des enfants en ce qui concerne les services de la société de l’information

Conditions :

• l'offre directe de services de la société de l'information à des enfants• le consentement constitue la condition de licéité dudit traitement

L’âge de l’enfant :

• consentement valide à partir de 16 ans et possiblement moins dans la limite de 13 ans

• en dessous de cet âge, le consentement doit être donné par le titulaire de la responsabilité parentale

Obligation de raisonnablement vérifier, compte tenu des moyens technologiques disponibles, que ceconsentement est donné par le titulaire de la responsabilité parentale.

29/11/2018 24