Cette politique s’appuie sur le texte de référence du Règlement Général pour la Protection des Données (RGPD) et la loi Informatique et Libertés du 6 janvier 1978 modifiée relative à la protection des données personnelles.
Le RGPD
Le règlement général sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018, est le nouveau cadre juridique de l’union européenne qui gouverne la collecte et le traitement des données à caractère personnel. Le RGPD concerne les entreprises, les associations, les collectivités locales et toutes les entités du service public. Les services de l’éducation nationale ainsi que les écoles, collèges et lycées, les universités doivent l’appliquer.
Le RGPD simplifie les démarches et responsabilise tous les acteurs : les déclarations auprès de la CNIL disparaissent et sont remplacées par l’obligation de documenter sa conformité. La CNIL, en tant qu’autorité de contrôle, est chargée de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement de leurs données personnelles.
Quelles conséquences pour les organismes publics et donc les établissements scolaires ?
Le Règlement expose en détail les principes relatifs au traitement des données à caractère personnel (article 5) et les conditions de licéité des traitements (article 6).
Le principe essentiel animant le règlement est celui « d’accountability », c’est-à-dire de responsabilisation des opérateurs afin d’assurer une protection optimale des données personnelles qu’ils traitent. Les responsables de traitements de données personnelles et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment.
Les écoles, les collèges, les lycées et les services académiques doivent être capables de garantir et de prouver que leurs traitements de données à caractère personnel sont conformes et sécurisés.
Quelles utilisations de vos données personnelles ?
Mission de service public
Dans le cadre des missions de service public de l’Éducation nationale, l’académie de Poitiers collecte et utilise des données à caractère personnel des élèves scolarisés dans l’enseignement public et privé sous contrat, de leur famille et de l’ensemble des personnels publics chargés d’exercer leur mission.
Dispositions légales ou réglementaires
Le traitement de vos données personnelles peut faire l’objet de dispositions légales ou réglementaires comme la transmission aux organismes sociaux pour la définition de vos droits.
À cet effet, l’ensemble des formulaires et/ou télé service utilisés par les services et les établissements scolaires de l’académie de Poitiers limite la collecte des données personnelles au strict nécessaire (minimisation des données) et indique notamment :
- les objectifs du recueil de ces données (finalités) ;
- la transmission éventuelle à un tiers si nécessaire à la gestion de votre demande ;
- vos droits Informatique et Libertés et la façon de les exercer auprès du rectorat de l’académie.
Ces données personnelles sont recueillies selon des protocoles sécurisés et permettent aux services académiques de gérer les demandes reçues dans ses applications informatiques.
Qui sont les acteurs de la protection des données ?
Les responsables de traitement
Le responsable du traitement est " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ". Il s’agit de la personne qui détermine la réponse aux questions suivantes : à quoi va servir le traitement ? Comment l’objectif fixé sera atteint ?
Pour les applications nationales et académiques, le responsable de traitement est :
- au niveau ministériel : le ministre (directeurs par délégation) ;
- au niveau académique : le recteur, ou les chefs de service rectoraux et DASEN par délégation ;
- au niveau d’un EPLE : le chef d’établissement ;
- au niveau d’une école primaire ou maternelle : le DASEN (ni les directeurs d’école, ni les IEN n’ont le statut de personne morale) ;
- pour l’enseignement privé sous contrat avec l’état : le directeur de l’établissement.
Le délégué à la protection des données
Afin de veiller à la bonne application de ces règles, le Délégué à la Protection des Données (DPD) est le relais privilégié sur ces sujets. Le délégué à la protection des données est le garant de la protection des données à caractère personnel traitées au sein de l’académie de Poitiers. Il accompagne les services académiques et les établissements scolaires dans le cadre de la mise en conformité de leurs activités avec la réglementation relative à la protection des données.
Vous souhaitez obtenir des informations sur les traitements de données personnelles gérés par l’académie de Poitiers ou exercer vos droits sur les données vous concernant enregistrées dans ces traitements, vous pouvez contacter le délégué à la protection des données (DPD) en remplissant le formulaire en ligne ou par courrier (voir ci-dessous).
Destinataires et sous-traitants
Vos données personnelles peuvent être transmises aux :
- services académiques ;
- nos sous-traitants agissant pour le compte et selon les instructions du rectorat.
Concrètement en établissement et dans les services académiques
Les responsables de traitement de données sont chargés de la mise en œuvre de la conformité au RGPD vis-à-vis des traitements de données qu’ils opèrent. Cependant les outils de la conformité changent :
- les déclarations préliminaires à la CNIL sont supprimées ;
- les responsables du traitement des données doivent nommer un DPD, délégué à la protection des données, le délégué académique est mutualisé pour tous les établissements de l'académie et doit être désigné sur le site de la CNIL ;
- ils doivent obligatoirement tenir un registre de traitements de données pour démontrer le caractère licite du traitement des données, comment les données sont sécurisées ;
- les exigences sont les mêmes pour le responsable de traitement et les sous-traitants (ex: éditeur de l’ENT). La responsabilité est susceptible d’être engagée conjointement ;
- en cas de violation de données, le responsable de traitement, en collaboration avec le délégué à la protection des données doit évaluer les risques encourus pour les personnes concernées et informer l’autorité de contrôle dans les meilleurs délais (si possible dans les 72 heures) ;
- les sanctions prévues sont renforcées et graduées.
Qu’est-ce que le Registre ?
Aux termes de l’article 30 du RGPD, « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».
Le contenu du registre de traitement :
- nom et coordonnées du responsable de traitement et du délégué ;
- finalités du traitement ;
- catégories des personnes concernées et catégories de données ;
- catégories de destinataires ;
- dans la mesure du possible, les délais prévus pour l’effacement ;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
- dans la mesure du possible, une description des mesures de sécurité techniques et organisationnelles ;
- concerne les traitements automatisés mais également les traitements non automatisés.
Cette obligation s’étend aux sous-traitants éventuels qui devront tenir le registre des traitements qu’ils effectuent pour le compte des responsables de traitement.
Quels sont vos droits en matière de protection des données ?
Certains droits des personnes, déjà contenus dans la loi informatique et libertés de 1978, sont maintenus :
- consentement : pour certains traitements, avant de procéder au recueil et au traitement de données personnelles, le responsable de traitement (RT) doit obtenir le consentement de la personne concernée. Ce droit s’accompagne désormais d’une plus grande transparence, la preuve du consentement doit être matérialisée
- droit d’accès : vous êtes en droit de demander à l'académie ou à l'établissement de vous fournir toutes les informations détenues à votre sujet ; il doit vous les fournir dans un délai d’un mois à compter de la réception de la demande ;
- droit de rectification : vous êtes en droit de demander à l'académie ou à l'établissement de rectifier, notamment en les complétant ou en les corrigeant, toutes ou certaines informations détenues à votre sujet ;
- droit d’opposition : pour certains traitements, vous pouvez vous opposer à ce que des données à caractère personnel vous concernant fassent l’objet d’un traitement.
Ce qui change : Le RGPD renforce et étend les droits du citoyen :
- transparence : le responsable de traitement doit informer des finalités du traitement, de la durée de conservation des données, des destinataires... dans des mentions claires et accessibles.
- portabilité : pour certains traitements, les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituées sous forme structurée, exportable et importable sur un service analogue. La portabilité peut être assurée directement d’un fournisseur à un autre ;
- droit à l’effacement (droit à l’oubli) : pour certains traitements, vous êtes en droit de demander à l'académie ou à l'établissement de supprimer de ses systèmes toutes les informations détenues à votre sujet ;
- protection des mineurs de moins de 15 ans : lorsque le mineur est âgé de moins de 15 ans, le consentement au traitement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale, pour les traitements réalisés sur un(des) service(s) de la société de l’information (réseaux sociaux, drives, blog, site web...). Ce double consentement est exigé par la loi "Informatique et libertés" du 14 mai 2018.
Comment exercer vos droits ?
Contacter les responsables de traitements
Pour toute demande concernant vos données personnelles ou pour exercer vos droits, vous pouvez contacter en premier lieu les responsables de traitement de vos données.
Contacter le Délégué à la Protection des Données
Vous souhaitez obtenir des informations sur les traitements de données personnelles gérés par l’académie de Poitiers ou exercer vos droits sur les données vous concernant enregistrées dans ces traitements, vous pouvez contacter le délégué à la protection des données par courrier ou par voie électronique.
- par le formulaire en ligne
- par courrier signé accompagné de la copie d’un titre d’identité à l'adresse suivante :
Rectorat de l’académie de Poitiers
À l'attention du délégué à la protection des données (DPD)
22 rue Guillaume VII le Troubadour
CS 40625
86022 Poitiers Cedex
Attention : votre courrier devra impérativement préciser les éléments suivants :
- Une adresse postale ou électronique à laquelle vous souhaitez obtenir les informations demandées.
- Une attestation précisant votre qualité pour demander l’accès aux données personnelles vous concernant détenue par le rectorat de Poitiers (usager, parent, agent) et, le cas échéant, une attestation d’autorité parentale sur vos les enfants en précisant leur nom, prénom, classe et établissement scolaire.
- Si vous agissez au nom et pour le compte d’un tiers : vous devrez présenter un courrier précisant l’objet du mandat (exercice du droit d’accès), l’identité du mandant (identité du demandeur qui exerce son droit d’accès à ses données personnelles) et du mandataire (son identité). Vous devrez justifier de votre identité et de celle du demandeur pour lequel vous agissez.
- Sur place : Un avis de réception daté et signé vous sera remis attestant du dépôt de votre demande. Vous devrez vous présenter muni d’une pièce d’identité.
Gestion de vos données : les informations recueillies permettent le traitement de votre demande. Elles sont enregistrées et transmises au délégué à la protection des données (DPD/DPO) de l'académie de Poitiers et, le cas échéant, aux services du rectorat, de la DSDEN ou de l'établissement scolaire, concernés pour traiter votre demande. En savoir plus sur la gestion de vos données et vos droits.
Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés vous pouvez adresser une réclamation en ligne à la CNIL ou par voie postale.
Mise à jour : septembre 2023