CNIL – Informatique et libertés – RGPD

Dernières infos : Publication d’un parcours de formation sur M@gistère en direction des chefs d’établissement


Le RGPD, nouveau règlement européen en matière de protection des données personnelles, est entré en vigueur le 25 mai 2018. Le RGPD remplace la directive 95/46/CE sur la protection des données personnelles, et fait suite à la loi Informatique et Libertés.
Consultez la FAQ pour les questions sur la protection des données personnelles, l’organisation académique, la gestion de votre registre (si vous êtes responsable de traitement) ou vos droits en matière de données personnelles.

N’hésitez pas à nous consulter pour toute demande sur le sujet via la plate-forme AMIGO (pour les personnels de l’académie, à droite ci-contre) ou à contacter le Délégué à la protection des données (DPD)à l’adresse dpd@ac-caen.fr.

Les registres de l’académie (recteur, directeurs académiques et établissements) seront disponibles sur le site OpenData de la région académique Normandie https://data.normandie.education.gouv.fr. Le registre des services académiques sera également consultable en ligne sur le site académique (rubrique Mentions légales).

Service à destination de : services académiques, EPLE, écoles, usagers

TypeRangement/fichierdescriptionDate de modificationTaille

pdf
Formulaire Accès à Données Perso Sur Place CAEN 12 h 09 min 06/19/2018240.3k

pdf
La Protection Des Données Des Enfants Mallette Des Parents 15 h 34 min 12/13/20182.2M

docx
Modèle LettreInfosParentsPour ChefEPLE 12 h 48 min 12/14/201814k

pdf
RGPD Texte Officiel Européen En Français11 h 07 min 05/22/20181M

pdf
RGPD Guide CANOPÉ 12 h 46 min 11/09/2018898.5k

pdf
Ns 058 NormeSimplifieeAffaireslScolaires 10 h 25 min 05/25/2018401.3k

 

  • Général RGPD

  • Qu’est-ce que le RGPD ?

    La protection des données personnelles était jusqu’à aujourd’hui encadrée par deux textes :
     – une loi nationale, la loi du 6 janvier 1978, qui reste en vigueur. (modifiée 20 fois depuis 1978). Elle pose les principes du droit d’accès, droit de rectification, droit d’opposition.
     – une directive européenne, la directive 95/46/CE, abrogée et remplacée par le RGPD.
    Ces deux textes sont remplacés par un nouveau texte européen, le Règlement Général sur la Protection des Données (RGPD), adopté par le Parlement Européen et le Conseil Européen le 27 avril 2016, et publié au Journal Officiel de l’Union Européenne le 4 mai 2017.

    Il s’agit d’un Règlement et non d’une Directive : il est donc directement applicable à tous les États de l’Union Européenne, sans avoir besoin d’être transcrit dans la loi nationale. L’application du  RGPD par les entreprises, les organismes publics, et notamment les établissements scolaires, sera obligatoire à partir du 25 mai 2018. Les établissements scolaires doivent s’y préparer dès la rentrée 2017. 

    Pour assurer la protection du citoyen européen, et la protection de ses données personnelles, la nouvelle Directive européenne vient renouveler radicalement les règles de conformité, et les modalités de cette conformité. Elle maintient des droits civiques existants, renforce et étend les droits du citoyen, renforce et étend les obligations des entreprises et des organismes publics tels que les écoles, collèges et lycées, qui doivent désormais mettre en place une politique proactive de transparence et de traçabilité pour tous les traitements de données à caractère personnel, qu’elles impliquent les personnels, les élèves ou les parents. 

     

  • Qu’est-ce qu’une donnée à caractère personnelle (DCP)?

    Depuis la Loi n° 2004-801 du 6 août 2004, on ne parle plus d’”’informations nominatives” (Loi n° 78-17 du 6 janvier 1978), mais de “Données à Caractère Personnel » (ou DCP). Est considérée comme une DCP, toute information permettant de faire le lien directement ou indirectement avec une personne physique. Le texte ne précise pas le type de support (numérique ou papier) :

    « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. » (art. 2).

    Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de naissance, mais aussi un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse IP, un historique de navigation, une géolocalisation, une photographie, un avatar, etc.

    Plus d’informations sur Jurispedia 

  • Sigles et jargon du RGPD ?
    RGPD = règlement général sur la protection des données (GDPR = generaldata protection regulation)
    DPD = délégué à la protection des données(DPO = data protection officer) Pour l’académie, un délégué mutualisé : M. Novotny (dpd@ac-caen.fr)
    RT = Responsable de traitement de données (ex: chef d’établissement)
    ST = Sous-traitant (ex: pronote, BCDI, éditeur de l’ENT..)
    G29 = groupe des CNIL de l’Union européenne
    donnée sensible:Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.
    NIR Numéro d’Inscription au Registre :Le NIR ou numéro de sécurité sociale est attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE. La norme simplifiée NS-058 qui régit les affaires scolaires ne permet pas son usage.
    Registre : document obligatoire à mettre à disposition de la CNIL par tous les RT, listant tous les traitement de données mis en oeuvre
    Licéité : c’est le respect de la Loi (dans son ensemble : loi, règlement, contrat, constitution…)
    PIA : analyse d’impact relative à la protection des données, à effectuer en vue de la conformité au Règlement

  • De nouveaux droits

  • Quelles sont les conséquences du RGPD pour le citoyen et ses données?

    Certains droits des personnes, déjà contenus dans la loi de 1978, sont maintenus :

    Consentement obligatoire : Avant de procéder au recueil et au traitement de données personnelles, le responsable de traitement (RT) doit obtenir le consentement de la personne concernée. Ce droit s’accompagne désormais d’une plus grande transparence.
    Droit d’accès : Toute personne peut accéder à l’ensemble des informations la concernant, et en obtenir une copie. Le responsable de traitement est tenu de répondre à cette demande dans un délai de deux mois.
    Droit de rectification : Toute personne peut demander à corriger certaines informations la concernant.
    Droit d’opposition : Toute personne peut s’opposer à un usage commercial des informations transmises, par exemple par une case à cocher qui ne doit pas être cochée par défaut. toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).

    Ce qui change : le RGPD renforce et étend les droits du citoyen

    Transparence :Pour recueillir le consentement de la personne concernée ,le responsable de traitement doit l’informer des finalités du traitement et de la durée de conservation des données. La preuve du consentement doit être matérialisée.
    Portabilité : Les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituées sous forme structurée, exportable et importable sur un service analogue. La portabilité peut être assurée directement d’un fournisseur à un autre.
    Droit à l’oubli : Dès lors qu’un citoyen estime qu’une information affichée sur une plateforme ou par un moteur de recherche porte atteinte à sa réputation ou à sa vie privée, il peut demander à ce que cette information soit effacée de la plateforme ou des résultats du moteur de recherche.
    Protection des mineurs de moins de 16 ans : L’information préalable au recueil du consentement doit être rédigée en termes, simples, aisément compréhensibles. Le consentement doit être demandé au titulaire de l’autorité parentale. Lorsqu’il devient majeur, la personne concernée peut retirer son accord et demander l’effacement des données.
    Actions collectives : Des recours collectifs pourront être lancés à l’encontre de fournisseurs ou organismes par des associations actives dans le domaine de la protection des données personnelles.
    Réparation du préjudice : Toute personne ayant subi des dommages matériels ou moraux du fait d’un traitement de données inadapté pourra demander réparation.
    Guichet unique : pour introduire un recours en cas de problème, l’utilisateur peut s’adresser à l’autorité de régulation de son pays, quel que soit le lieu d’hébergement du service en ligne.

  • De nouvelles obligations pour les responsables de traitement de données (RT)

  • Quelles conséquences pour les organismes publics et donc les établissements scolaires?

    Le Règlement expose en détail les principes relatifs au traitement des données à caractère personnel (article 5) et les conditions de licéité des traitements (article 6).

    Le principe essentiel animant le Règlement est celui d’ »accountability », c’est-à-dire de responsabilisation des opérateurs afin d’assurer une protection optimale des données personnelles qu’ils traitent. Les responsables de traitements de données personnelles et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment .

    Concrètement en établissement et dans les services académiques
    La responsabilité du chef d’établissement en matière de données personnelles est inchangée. Il est responsable des traitements de données mis en œuvre dans l’établissement. Cependant les outils de la conformité changent :
    -Les déclarations préliminaires à la CNIL sont supprimées.
    -Les responsables du traitement des données, à savoir les chefs d’établissement doivent nommer un DPD, délégué à la protection des données, en utilisant le formulaire de la CNIL.
    -Ils doivent obligatoirement tenir un registre de traitements de données mis à disposition de la CNIL démontrant le caractère licite du traitement des données.
    -Les exigences sont les mêmes pour le responsable de traitement et les sous-traitants (ex: éditeur de l’ENT). La responsabilité est susceptible d’être engagée conjointement.
    -En cas de violation de données, le responsable de traitement doit informer la personne concernée et l’autorité de contrôle dans les meilleurs délais (si possible dans les 72 heures)
    -Les sanctions prévues sont renforcées et graduées.

  • Qu’est-ce que le Registre ?

    Dans le cadre de la loi Informatique et Libertés, les CIL tenaient un registre des traitements mis en oeuvre par l’organisme qui les avaient désignés
    le RGPD apporte 2 changements(article30)

    1. Cette obligation s’étend à tous les RT (avec ou sans délégué)
    Le contenu du registre du RT:
    – nom et coordonnées du RT et du délégué
    – finalités du traitement
    – catégories des personnes concernées et catégories de données
    – catégories de destinataires
    – dans la mesure du possible, les délais prévus pour l’effacement
    Qu’est ce qui change par rapport au registre du CIL ?
    – les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale
    – dans la mesure du possible, une description des mesures de sécurité techniques et organisationnelles
    – concerne les traitements automatisés mais également les traitements non automatisés.

    2. Cette obligation s’étend aux ST (sous-traitants)qui devront tenir le registre des traitements qu’ils effectuent pour le compte de leurs clients RT

  • Quel est le rôle du Délégué aux Données personnelles (DPD)?

    Le délégué à la protection des données est mutualisé pour tous les établissements scolaires publics et les services rectoraux de l’académie de Caen.
    Tous les chefs d’établissement doivent donc le déclarer auprès de la CNIL .
    Son rôle est de contrôler le respect du RGPD, s’assurer de la bonne tenue des registres de traitement.
    Il coopère avec l’autorité de contrôle (la CNIL) et fait office de point de contact pour les personnes concernées sur toute question en lien avec les traitements.
    C’est donc à lui qu’il convient de s’adresser pour exercer ses droits relatifs à ses données à caractère personnel.

  • Mise en oeuvre

  • Comment exercer ses droits ?

    A tout moment, l’usager peut contacter le délégué à la protection des données du Rectorat pour toute demande concernant les données d’un membre du personnel ou d’un élève
    – sur le site de l’académie https://www.ac-caen.fr/site-internet/contact/ en cliquant sur « Saisir les services du rectorat ou des DSDEN ». Indiquer « Délégué à la protection des données » en thème comme suit :

    formulaire saisine

    – par courrier (Monsieur le délégué à la protection des données Rectorat de l’académie de Caen 168, rue Caponière BP 46184 14061 Caen cedex)
    – par courriel (dpd@ac-caen.fr). »

    – à l’accueil du rectorat et des DSDEN où vous pourrez remplir et déposer le document ad hoc

  • Quelles démarches pour les chefs d’établissement?

    Rectorat et Ministère sont mobilisés pour accompagner les chefs d’établissement dans la démarche de mise en conformité.
    – Nomination d’un délégué mutualisé unique pour tous les établissements de l’académie : R. Novotny (dpd@ac-caen.fr). Tous les chefs d’établissement doivent le déclarer comme leur délégué à la CNIL. C’est donc par lui que passeront les demandes des usagers concernant leurs données.
    – Le DPD et son équipe préparent un modèle de registre de traitements type pour les EPLE qui ne nécessitera donc que quelques ajustements éventuels selon la singularité de chaque entité en vue de sa publication par le chef d’établissement.
    – Un espace est consacré sur la plateforme d’assistance académique pour toutes les demandes relatives au RGDPD
    – Un parcours de formation à destination des chefs d’établissement est accessible sur la plateforme M@gistère
    – Les responsables de traitement (DASEN pour le 1er degré et chef d’établissement pour le 2nd degré) ont une obligation d’information des personnes physiques pour qui un traitement de données à caractère personnel (collecte, traitement, transfert, stockage et destruction ou archivage) est opéré. Le site la Mallette des parents propose des pistes pour satisfaire à cette obligation. Sous l’onglet Documentation, vous trouverez un modèle de lettre d’information aux familles.
    – Un manuel pratique édité par Canopé sera bientôt disponible pour répondre aux questions les plus courantes.

Close

 

L’offre de service :
L’académie s’est organisée pour accompagner

  • Les usagers
  • Les agents
  • Les responsables de traitements

en matière de conseil, d’information, de formation, de conception de nouveaux traitements, d’aide à la prise en compte des outils de conformité à la loi (comme le délégué à la protection de données mutualisé, la gestion des registres…)

Dans le catalogue de services (RIAE et assistance AMIGO) :
CNIL – Informatique & libertés