1. Les principes clés du traitement de DCP
Dans le cadre de nos missions professionnelles, nous sommes amenés à collecter et à traiter des données à caractère personnel (DCP), il est de notre responsabilité de prendre conscience des mesures nécessaires pour garantir une utilisation respectueuse de ces données et de la vie privée des usagers.
La responsabilité de l'ensemble des traitements opérés incombe au recteur (services académiques et écoles) ou au chef d'établissement (EPLE). Les DCP ne peuvent être traitées qu'en vue d'une finalité déterminée, explicite et légitime au regard des missions du service ou de l'établissement. Différents principes clés sont à respecter au fil des traitements d'une donnée à carctère personnel.
Le principe de finalité
La finalité indique à quoi le fichier, l'application pédagogique va servir. Cette finalité, compatible avec les missions administratives et pédagogiques, devra être respectée tout au long du traitement.
Le principe de minimisation et de pertinence
Seules les données strictement nécessaires à la réalisation de l'objectif déteminé doivent être collectées.
La limitation de la conservation des données
La durée de conservation des données doit être limitée au strict minimum. Cette durée de conservation doit être définie au préalable par le responsable de traitement.
La sécurité des données
Le responsable de traitement doit prendre toutes les précautions pour garantir la protection et la confidentialité des données collectées.
Respecter les droits des personnes
Les usagers disposent de droits afin de garder la maîtrise de leurs données. Le responsable du traitement doit leur expliquer comment les exercer (auprès de qui ? Sous quelle forme ?).
2. Qu'est-ce qu'un traitement ?
"Toute opération, ou ensemble d'opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition , rapprochement ou interconnexion, verrouillage, effacement ou destruction...)"
Un traitement de données à caractère personnel ne prend pas uniquement la forme d'un fichier ou d'un dossier. Il peut prendre la forme d'une application, d'un enregistrement, d'une reconnaissance biométrique, par exemple.
En savoir plus : Un traitement de données à caractère personnel c'est quoi ? Site de la CNIL
3. Sécuriser les modalités de stockage et de transmission des données à caractère personnel
Les données personnelles manipulées dans le cadre professionnel sont hautement sécurisées dans des traitements automatisés qui ont fait l'objet de déclarations auprès des organismes compétents. Leur stockage et leurs mises à jour répondent à des procédures qui offrent des garanties de sécurité maximale.
Les bonnes pratiques
- Ne pas concevoir et ne pas stocker sur son ordinateur, pour des besoins de gestion, des fichiers contenant des données à caractère personnel contenues dans les applications et outils nationaux;
- Toute création de traitement ou fichier contenant des données à caractère personnel doit en effet obéir à des règles très strictes et faire l'objet d'une déclaration préalable;
- La transmission de documents contenant des données à caractère personnel doit s'effectuer via la messagerie académique (sans redirection vers une adresse de messagerie dite "grand public"). Des modalités de chiffrement permettent de sécuriser davantage cette transmission.
Mise à jour : janvier 2022