Cartable, trousse, stylos... et RGPD !

Obnubilés par le beau cartable, la trousse à pompons, la reprise du rythme classique et la quantité de papiers à remplir pour que nos enfants puissent retrouver le chemin de l’école, nous n’accordons pas de vigilance à un point essentiel : nos données personnelles ainsi que celles de nos enfants !

De la maternelle à l’université, l’exploitation des données personnelles peut, en sus de répondre à des exigences administratives, offrir de véritables opportunités dans le domaine de la pédagogie.

Un rapport réalisé en février 2018 par des inspecteurs de l’éducation nationale avait dressé un état des lieux de la gestion des données numériques à caractère personnel au sein de l’éducation nationale (ci-après le « Rapport »). Depuis lors, des actions ont été mises en place afin que l’éducation nationale puisse être en conformité avec le règlement général pour la protection des données (RGPD).

Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique, comme son nom, sa voix, son adresse ou son numéro de téléphone.

Le responsable de traitement est la personne physique ou morale, l’autorité publique ou tout autre organisme qui détermine les finalités (« pourquoi ») et les moyens essentiels (« comment ») du traitement des données personnelles. À ce titre, il assume plusieurs obligations clés au regard du RGPD : garantir la licéité, la transparence et la sécurité des traitements ; informer les personnes concernées de leurs droits ; veiller à la minimisation des données ; mettre en œuvre des mesures techniques et organisationnelles appropriées ; et, dans certains cas, désigner un délégué à la protection des données (DPD). Il doit également documenter ses choix et être en mesure de démontrer sa conformité à tout moment.

Si les données scolaires n’ont pas à ce jour de statut légal particulier en France (contrairement aux États-Unis par exemple où la notion de « données scolaires » est définie et protégée par la loi), elles n’en demeurent pas moins des données personnelles en ce qu’elles concernent une information se rapportant à une personne physique identifiée ou identifiable. Vous en conviendrez…. Les données personnelles collectées en ce début d’année sont nombreuses par l’intermédiaire des différents formulaires transmis ! 

Mais des données « sensibles » sont-elles collectées ? En l’occurrence :

• Des données de santé sont parfois collectées s’agissant de nos enfants : il en est ainsi par exemple, des enfants bénéficiant d’un PAI (Projet d’Accueil Individualisé), du PPS (Projet Personnalisé de Scolarisation), du PAP (Plan d’Accompagnement Personnalisé), du PPRE (Programme Personnalisé de Réussite Educative). Il en est ainsi par exemple et pour tous les enfants, de la collecte de leur état vaccinal pour la vie en collectivité.
• Le Rapport soulève que : « dans le cadre du signalement d’absences coïncidant de façon répétée avec des fêtes religieuses, on peut craindre que le traitement de ces données puisse indirectement donner accès à la religion de la famille » (1).

Dès lors et si l’on applique les dispositions relatives aux données personnelles, le traitement de telles données doit être encadré. 

Les traitements qui sont réalisés peuvent répondre à plusieurs bases légales :

Dans les établissements publics, la majorité des traitements s’appuient sur l’obligation légale ou la mission d’intérêt public, car ils sont directement liés aux fonctions essentielles du système éducatif, comme l’inscription des élèves, le suivi pédagogique ou l’organisation des examens. 

Lorsque des services sont proposés dans le cadre d’un contrat (par exemple la gestion de la cantine ou des activités périscolaires) la base légale du contrat peut être utilisée, notamment dans les établissements privés.

Le consentement est requis pour les usages facultatifs ou sensibles, comme la publication de photos d’élèves ou l’utilisation d’applications numériques non obligatoires.

Enfin, l’intérêt légitime peut être invoqué dans des cas spécifiques, surtout dans le secteur privé, à condition de ne pas porter atteinte aux droits des élèves. 

Chaque traitement doit être clairement documenté, justifié et intégré dans une démarche de conformité, avec une attention particulière portée à l’information des familles et à la sécurité des données.

Le Rapport indique que le Maire est responsable de traitement pour les données qu’il collecte dans le cadre de l’obligation scolaire, conformément à l’article L. 131-6 du Code de l’éducation. Cela concerne principalement : le recensement des enfants résidant dans la commune soumis à l’obligation scolaire (entre 3 et 16 ans) et/ou la tenue et la mise à jour mensuelle de la liste scolaire, qui doit être transmise au directeur académique des services de l’Éducation nationale (DASEN).

Le chef d’établissement peut également être responsable de traitement pour les données qu’il collecte et utilise localement (ex. : vie scolaire, absences, sanctions, suivi pédagogique).

Enfin : le Rapport indique que la gestion de la vie scolaire dans les lycées et collèges publics se fait souvent hors du contrôle de l’État, via des logiciels fournis par des prestataires privés. Les prestataires privés (éditeurs de logiciels, hébergeurs, etc.) sont qualifiés de sous-traitants au sens du RGPD, mais leur rôle est crucial et parfois mal encadré, notamment en matière de sécurité et de finalité des traitements.

En l’occurrence : le Rapport insiste sur la nécessité de clarifier les responsabilités entre les différents acteurs (Maire, DASEN, chef d’établissement), car cette pluralité peut entraîner des confusions dans la gouvernance des données.

Le Rapport avait il y a de cela quelques années soulevé les différentes difficultés afférentes à l’exploitation de plateforme numérique :

• Le coût de la sécurisation des données
• La transmission de données à des acteurs privés éditeurs de logiciels
• La gestion des habilitations
• Le flux des données scolaires transmises
• La problématique de l’hébergement des données sur le territoire

Il avait à cet effet été souligné dans le Rapport que « Afin de préserver les principes d’égalité, de neutralité et de continuité définissant le service public d’éducation, l’État doit se doter de dispositifs contraignants lui permettant de s’assurer la maitrise des échanges et des traitements de données scolaires. Il y a, dans ce domaine, urgence à sensibiliser, informer et former la communauté éducative – dont la marge d’autonomie est grande dans le choix et l’utilisation de services numériques – sur les enjeux de la protection des données – sans pour autant remettre en question les avantages de l’usage du numérique (2) ».

Depuis le Rapport, l’Éducation nationale a mis en œuvre plusieurs mesures concrètes pour protéger les données scolaires, notamment via les ENT (Espaces Numériques de Travail) et autres plateformes éducatives afin de mettre en place des mesures de sécurité organisationnelles et appropriées (contractualisation de la sous-traitance, respect du RGPD par le prestataire, limitation des données, respect des guidelines de la CNIL, etc.).

En complémentarité avec le délégué à la protection des données (DPD) et l'administrateur ministériel des données (AMD), les inspections générales du ministère, la direction des affaires juridiques (DAJ), la direction de l'évaluation, de la prospective et de la performance (Depp), la direction du numérique pour l'éducation (DNE), le Comité d'éthique pour les données d'éducation a pour missions de conduire et développer la réflexion sur les aspects éthiques associés à l'utilisation des données d'éducation, afin de garantir un juste équilibre entre valorisation et protection de la donnée.

La CNIL propose des fiches pour accompagner les établissements scolaires et périscolaires, les enseignants et les formateurs. :

• Rentrée scolaire et affichage des listes des classes : quelles sont les bonnes pratiques ? | CNIL
• La CNIL publie deux FAQ sur l’utilisation des systèmes d’IA dans les établissements scolaires | CNIL
• Rentrée scolaire : ce que les établissements scolaires et périscolaires peuvent vous demander | CNIL
• Les dispositifs biométriques pour l'accès aux cantines scolaires | CNIL

Le 02 avril 2025, la CNIL a délivré les bonnes pratiques sur l’affichage des listes de classe (3). Elle a dans ce cadre rappelé l’existence d’arnaques liées à la révélation de la composition des classes : « La CNIL appelle à la vigilance sur les agissements frauduleux de certaines plateformes promettant aux élèves de prendre connaissance avant la publication officielle de la liste de leur future classe. Il peut s’agir de tentatives d’escroquerie ciblant les élèves afin de récupérer leurs données personnelles. La CNIL rappelle que la composition des classes est constituée entre la fin de l’année scolaire précédente et le début de la rentrée par les chefs d’établissement et que celle-ci ne peut être connue que selon les modalités d’affichage décidées par ces derniers. »

Le 20 juin 2025, la CNIL a publié deux FAQ sur l’utilisation des systèmes d’IA dans les établissements scolaires (4).

*****

Le RGPD, c’est un peu ce surveillant d’école qu’on n’ose pas défier : discret, mais toujours là quand on oublie de verrouiller une donnée. Rappelons-nous que la vie privée, ça s’apprend aussi à l’école. 

Et si nous formions nos enfants à grandir dans un monde connecté… mais où même les cookies demandent la permission ?

(1) Rapport 2018-016, Données numériques à caractère personnel au sein de l’éducation national, IGEN, IGAENR, février 2018, page 11

(2) Rapport 2018-016, Données numériques à caractère personnel au sein de l’éducation national, IGEN, IGAENR, février 2018, page 47

(3) Rentrée scolaire et affichage des listes des classes : quelles sont les bonnes pratiques ? | CNIL

(4) La CNIL publie deux FAQ sur l’utilisation des systèmes d’IA dans les établissements scolaires | CNIL