RGPD Le RGPD, qu’est-ce que c’est ? Le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui harmonise les règles de traitement des données à caractère personnel dans toute l’Union européenne.

La conformité ne suffit pas.

Quand une école envisage d’utiliser une application, un service en ligne ou une plateforme traitant des données d’élèves ou de familles, la première question posée est souvent :

« Est-ce conforme au RGPD ? »

Mais juridiquement, ce n’est pas la première question.

La première question devrait être :

Ce traitement relève-t-il du cadre autorisé par le responsable de traitement ?

Et cela change tout.

C’est un point souvent méconnu.

Au sens de l’article 4 du RGPD, le responsable de traitement est l’autorité qui détermine les finalités et les moyens du traitement.

Pour les traitements mis en œuvre dans les écoles du premier degré, le DASEN est responsable de traitement (par délégation du recteur) ; le directeur d’école ne l’est pas. Cela est rappelé par des ressources ministérielles et académiques de référence. 

Cette réalité a une conséquence très concrète :

Une école ne peut pas décider seule d’engager un nouveau traitement de données personnelles via une application externe.

C’est là qu’intervient la question du conventionnement.

Si un outil :

• collecte des données d’élèves, 
• héberge des données scolaires, 
• demande la création de comptes familles, 
• traite des identifiants ou données pédagogiques, 
• ou devient un intermédiaire de communication impliquant des données personnelles, 

alors son usage ne relève pas d’un simple choix pédagogique.

Il doit s’inscrire dans le cadre des outils autorisés et conventionnés par le responsable de traitement.

Autrement dit :

Pour les services traitant des données personnelles d’élèves ou de familles, la référence n’est pas “l’outil se dit RGPD”, mais “l’outil est-il déployé ou conventionné dans le cadre du DASEN responsable de traitement ?”

C’est fondamental.

Un affichage « conforme RGPD » par un éditeur n’est pas une habilitation d’usage.

Le RGPD n’est pas un label.

Parce qu’un traitement de données ne se réduit pas à une promesse commerciale de conformité.

Le responsable de traitement doit pouvoir garantir :

• la licéité du traitement ; 
• la minimisation des données (art. 5 RGPD) ; 
• la sécurité ; 
• les durées de conservation ; 
• les obligations du sous-traitant (art. 28 RGPD) ; 
• l’inscription éventuelle au registre des traitements (art. 30 RGPD). 

C’est précisément ce que permet le cadre institutionnel.

Ce n’est pas de la bureaucratie.

C’est une responsabilité juridique.

« Conforme RGPD » n’est pas un critère suffisant

C’est probablement le principal malentendu.

Un outil peut être :

• techniquement sérieux, 
• hébergé en Europe, 
• annoncer respecter le RGPD, 

et ne pas relever pour autant d’un usage autorisé en école.

La conformité n’est qu’une condition parmi d’autres.

Pas un feu vert.

Cette vigilance peut se traduire par quatre réflexes :

Avant d’utiliser un service, se demander :

1. Ce traitement est-il couvert par le cadre du responsable de traitement ?
Premier filtre.

2. Existe-t-il une solution institutionnelle répondant déjà au besoin ?
Souvent oui. 

3. La donnée collectée est-elle strictement nécessaire ?
Principe de minimisation.

4. Faut-il solliciter la DPD ?
Quand le doute existe, c’est souvent le bon réflexe.

Une culture de la donnée plutôt qu’une culture du doute

Le RGPD n’a pas vocation à bloquer les usages.

Il invite à les penser dans un cadre clair.

Et ce cadre commence par un rappel simple :

Dans le premier degré, les traitements de données ne relèvent pas d’initiatives individuelles ; ils s’inscrivent dans la responsabilité du DASEN, responsable de traitement.

C’est souvent le premier repère à avoir… avant même de parler RGPD.

Et probablement le plus structurant.

Parler RGPD donne parfois l’impression d’une logique d’empêchement.

C’est l’inverse.

L’enjeu n’est pas d’empêcher les usages numériques, mais de les sécuriser.

Le Gestionnaire d’Accès aux Ressources (GAR), déployé dans le cadre du ministère, en est une illustration concrète.

Son principe est simple : permettre l’accès à des ressources numériques dans un cadre maîtrisé, en limitant les échanges de données aux informations strictement nécessaires et en encadrant les relations avec les éditeurs.

Le GAR met en œuvre plusieurs principes du RGPD :

• minimisation des données transmises ; 
• sécurisation des accès ; 
• clarification des responsabilités ; 
• encadrement des usages avec les fournisseurs de ressources. 

Il montre qu’il ne s’agit pas d’opposer innovation pédagogique et protection des données.

Au contraire :

un cadre protecteur peut être une condition de confiance pour développer les usages.

Et ce cadre est déjà accessible dans les outils du quotidien.

Pour les écoles du Rhône, le GAR est notamment accessible depuis les ENT laclasse.com et ONE, où il permet d’accéder à des ressources numériques intégrées dans un environnement déjà sécurisé et conventionné.

C’est un point important : lorsqu’une ressource existe via l’ENT et le GAR, il est souvent plus pertinent de privilégier cette voie plutôt que de rechercher une solution externe supplémentaire.

C’est peut-être l’une des leçons importantes du RGPD en éducation :

la protection des données n’est pas un frein au numérique éducatif ;
elle peut en être une condition de qualité.

Entre l’outil trouvé en ligne et le refus de tout usage numérique, il existe une troisième voie : celle d’usages pensés, sécurisés et inscrits dans des cadres de confiance.

Le GAR en est un exemple.