En raison de leur digitalisation, les établissements ont à leur disposition d’importants volumes de données à caractère sensible et deviennent fortement concernés par le Règlement général sur la protection des données (RGPD). Nos conseils pour bien s’y conformer.
Comprendre les enjeux du RGPD
La donnée est au cœur des activités des établissements scolaires. Soumis à l’obligation de protéger les données de leurs étudiants, de leurs enseignants, des parents d’élèves et de tous les intervenants, ils ont le devoir de prendre des précautions dès la collecte des données. « Parce qu’elle a introduit de nouvelles obligations, la réglementation européenne a amené un changement de culture pour les organismes : la logique d’accountability. Les acteurs ne doivent plus, pour la plupart des traitements, effectuer des formalités préalables auprès de la CNIL, mais doivent être en mesure, par des actions qu’ils mettent en place, de prouver leur conformité au RGPD », explique Ola Mohty, experte RGPD chez Data Legal Drive, à l’occasion d’un webinaire. Le renforcement des droits des personnes (élèves, parents…) a également impliqué un renforcement des sanctions à l’encontre des sous-traitants et des responsables de traitement qui ne respecteraient pas les textes.
Différencier sous-traitant et responsable du traitement des données
Le RGPD met l’accent sur deux acteurs : le responsable du traitement des données à caractère personnel et le sous-traitant. Il est important de faire la distinction entre eux puisque chaque partie doit respecter des obligations. Les établissements scolaires peuvent, en pratique, se faire accompagner par un sous-traitant. « Ces sous-traitants peuvent intervenir à tous les stades de traitement de la donnée (collecte, transfert, stockage…). À partir du moment où un site Internet a été créé pour proposer des services en ligne, les écoles recourent à un sous-traitant qui peut être l’hébergeur du site web, une plateforme d’apprentissage en ligne, des prestataires de services informatiques, des intégrateurs de logiciels… qui peuvent traiter pour le compte de l’établissement des données personnelles », précise Ola Mohty. Le responsable de traitement de données est, pour sa part, « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » des données, comme l’indique l’article 4 du RGPD. Le sous-traitant traite ainsi les données à caractère personnel pour le compte du responsable du traitement, qui décide pourquoi et comment les données personnelles sont traitées.
Recourir à des sous-traitants conformes
Les établissements doivent veiller à ne recourir qu’à des sous-traitants qui présentent des garanties suffisantes. Les prestataires de services qui traitent des données pour le compte d’un établissement doivent présenter des garanties de conformité à la RGPD tant sur le plan organisationnel que technique. « Ces sous-traitants sont soumis à plusieurs obligations en matière de transparence, de traçabilité, d’assistance, d’alerte, de conseil. Il doivent également garantir la sécurité des données », détaille Ola Mohty. Concernant l’obligation de transparence, les devoirs du sous-traitant envers le responsable du traitement des données doivent être précisés dans un contrat. Le document doit notamment préciser « ce que doivent devenir les données à caractère personnel lorsque le contrat prend fin », ajoute-t-elle. Le sous-traitant doit aussi mettre à disposition de l’établissement scolaire les informations lui permettant de démontrer qu’il est conforme au RGPD, en cas d’audit. L’obligation d’assistance et d’alerte implique, pour sa part, que le sous-traitant alerte le responsable de traitement, donc l’établissement, si une instruction donnée par l’école est contraire au RGPD.
Se faire conseiller par des partenaires
Les établissements doivent se faire aiguiller par leurs partenaires pour s’y retrouver. C’est ce que propose Oscar Campus CRM, outil sécurisé de communication et d’aide au recrutement qui accompagne les écoles et établissements supérieurs à protéger leurs données personnelles. Florence Cann, fondatrice explique que le RGPD implique une veille permanente avec la CNIL. « Nous apportons aux universités avec lesquelles nous travaillons des explications à propos des recommandations de la CNIL. Nous leur donnons également des garanties en matière d’hébergement des données ». L’entreprise, pour travailler sur sa mise en conformité, met régulièrement à jour ses outils de collecte et son logiciel de CRM et tient un inventaire de tous les moyens de collecte de données. « En tant que sous-traitant, nous restituons et effaçons les informations collectées des établissements aux responsables de traitement à la fin de notre contrat », souligne-t-elle.