Choisir une application ou un service en ligne : garantir la protection des données de nos élèves

Notre posture professionnelle va devoir évoluer vers une vigilance accrue sur les données que nous échangeons ou mettons à disposition. Il s’agit d’exercer notre responsabilité dans un cadre de confiance.

 

Faire preuve de vigilance

Les réunions de parents et le conseil d’école constituent des opportunités de rassurer les parents sur les mesures prises par les enseignants dans l’utilisation des services en ligne et applications numériques lors des séances d’apprentissage.

L’équipe enseignante doit être en mesure de garantir aux parents qu’aucune donnée à caractère personnel n’est transmise sans consentement des représentants légaux dans le cadre des actions pédagogiques menées en classe.

La mention « RGPD conforme » sur un service numérique (application ou service en ligne) ne garantit ni le traitement des données personnelles dans un cadre de confiance ni son inscription au registre académique par le responsable des traitements (DASEN pour le 1er degré). Outre l’analyse de l’opportunité pédagogique, il convient d’être très attentif quant au traitement de données à caractère personnel que ce choix et cette utilisation impliquent.

 

S'interroger avant d'accepter

Applications et services en ligne doivent s’inscrire dans le respect de la loi et des principes du RGPD. Le simple fait d’utiliser cette application ou ce service numérique en ligne vaut acceptation des conditions d’utilisation : accepter sans les lire engage la responsabilité du signataire. Les sites Internet doivent afficher des mentions légales. Les applications ou services en ligne qui collectent des données personnelles doivent présenter des conditions générales d’utilisation (CGU). Ces dernières doivent exprimer de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les conditions du traitement des données (source : CNIL).
Le simple fait d’utiliser cette application ou ce service numérique vaut acceptation des conditions d’utilisation : accepter sans les lire engage la responsabilité du signataire.

 

S'identifier engage sa responsabilité

Très souvent, l’utilisation d’applications et services en ligne nécessite la création d’un compte pour accéder à l’intégralité des fonctionnalités. Pour faciliter cette identification, les services proposent d’utiliser son compte personnel Facebook, Google ou Office 365 mais également via un compte mail. L’identification sur ces services doit se faire via son adresse électronique professionnelle afin d’éviter la fuite de données entre sphère personnelle et responsabilités professionnelles.

 

Gratuit ou payant : garantir l'équité

Les sociétés du numérique éducatif développent des modèles économiques qui mettent généralement en avant une version gratuite et une version payante. En vertu du principe de neutralité, une grande vigilance est attendue de la part des enseignants. Un service gratuit propose souvent une version aux fonctionnalités plus abouties mais payantes. L’école ne doit pas s’inscrire dans la promotion d’une démarche commerciale invasive.

 

Créer des comptes avec des données personnelles

De plus en plus de services en ligne, proposent aux enseignants la création de profils pour les élèves. Ce geste est à interroger au regard des données personnelles que nous mettons à disposition des sociétés éditrices de ces services qui s’inscrivent dans un modèle économique.
La lecture des CGU permet d’identifier clairement les intentions de la société éditrice :

Quel est le but de cette collecte de données ?

Certains services demandent des informations très précises pour la création des comptes qui ne sont pas indispensables au bon fonctionnement du service. Par exemple : la date de naissance de l’élève, l’adresse électronique des parents, les centres d’intérêt de l’élève... Ces données sont-elles partagées avec d’autres services ou transmises à des tiers ?

En tant qu’enseignant, suis-je légitime pour transmettre à des sociétés commerciales des données personnelles sur les élèves ?

Ces sociétés ne relèvent pas d’une mission d’intérêt public. L’enseignant assume la responsabilité de cette transmission de données personnelles.

Quelles informations nous sont données par les conditions générales d'utilisation (CGU) sur la protection des données collectées ?

Qui détient les données collectées ? Où sont-elles enregistrées ? Avons-nous des informations suffisantes sur les mesures de protection de ces données ? Pendant combien de temps ces données sont-elles conservées par le prestataire ? Ces 4 questions sont incontournables et les réponses essentielles à la prise de décision.

Le remplacement de l'identité des élèves par un pseudonyme est une première mesure de sécurité facile à mettre en œuvre. Pour autant, il faut veiller à ce qu'un croisement de données (dont le pseudonyme) ne permette pas d'identifier les personnes.

Plus d’informations : CNIL

 

Anonymisation ou pseudonymisation

Mettre à disposition d’un service en ligne une liste des élèves de la classe engage la responsabilité de l’enseignant au regard des données personnelles qu’il met à disposition. Comment se protéger et garantir la protection des données des élèves ?

Une première solution réside dans l’anonymisation lorsque la personne concernée n’est plus identifiable, de manière irréversible et par quelque moyen que ce soit, c’est-à-dire qu’aucune donnée ou ensemble de données ne permet de remonter à son identité. C'est une pratique très difficile à mettre en œuvre au niveau des établissements scolaires et ne se justifie pas (au regard de la finalité recherchée) si d'autres précautions élémentaires sont mises en œuvre (cf. chapitres précédents)
La seconde solution, la pseudonymisation, consiste à utiliser des pseudonymes non explicites pour faire la correspondance. Ainsi, les données à caractère personnel collectées ne peuvent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires. Ces dernières doivent être conservées séparément en prenant soin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

La pseudonymisation n’est pas obligatoire, mais est considérée comme une technique validée par le RGPD permettant de sécuriser les données, et ça, c’est obligatoire !

La conservation des données ou comment déterminer la durée de conservation des données

Lorsque vous concevez un fichier informatique contenant des données à caractère personnel, vous devez vous poser la question de la durée limite de conservation de ces données. Elles ne peuvent pas être conservées de manière indéfinie. En tant que responsable du fichier conçu, vous pouvez définir la durée de conservation sauf si un texte réglementaire en impose la durée précise.

Les outils numériques permettent un archivage aisé des données et nous nous retrouvons parfois avec une opulence de fichiers de toute nature : photos d'événements, listes d'élèves, documents pédagogiques, administratifs, comptes-rendus des réunions... La réglementation protège et encadre la conservation des données.

Par exemple, les photos des élèves ne doivent pas être conservées au delà de la période fixée par la demande d'autorisation signée par les représentants légaux (généralement 1 an). Passé ce délai, les photos doivent être supprimées des ordinateurs, tablettes ou sites Internet.

Les autres données personnelles doivent être conservées à la lueur de l'intérêt administratif ou pédagogique sur un support dont l'accès est protégé (dans le coffre de l'école ou dans Synbox) et réservé aux personnes habilitées à les exploiter. Cette durée de conservation ne saura être excessive au regard de cet intérêt administratif ou pédagogique.

 

Concours scolaires et consentement des représentants légaux

Les établissements reçoivent de nombreuses propositions de concours en ligne. Lorsque vous engagez vos élèves dans ces concours vous acceptez de transmettre des données personnelles (nom, prénom, date de naissance et classe des élèves). Quelques précautions sont à prendre avant d'accepter l'inscription des élèves. Cette transmission de données ne peut s'envisager sans le consentement des représentants légaux des élèves concernés.

> Pour aller plus loin

Mise à jour : avril 2022