AF_LogoAntsirabe Alliance Française
Antsirabe
INSTITUT
MIOVA

RGPD & Éducation nationale

Protection des données personnelles dans l’enseignement : droits, obligations et bonnes pratiques
Le Règlement Général sur la Protection des Données (RGPD) s'applique pleinement à l'Éducation nationale. Enseignants, chefs d'établissement et collectivités doivent garantir la sécurité des données des élèves, des familles et des personnels. Ce guide interactif présente les points clés à connaître pour une mise en conformité éthique et légale.
Fondamentaux

Principes clés du RGPD

Licéité, loyauté, transparence • Finalité déterminée • Minimisation des données • Exactitude • Limitation de conservation • Intégrité et confidentialité • Responsabilité (accountability).

Dans l'éducation : ne collecter que les données strictement nécessaires (absences, notes, cantine) et informer les familles via le règlement intérieur ou la notice CNIL.
Élèves & parents

Droits des familles

Droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation du traitement, à la portabilité. Les parents peuvent demander à consulter les données de leur enfant mineur.

En pratique : tout parent peut solliciter la rectification d'une information erronée ou l'opposition à un traitement non obligatoire (ex: diffusion de photo). Délai de réponse 1 mois.
Spécificité mineurs

Consentement des mineurs

Pour un traitement basé sur le consentement (ex: publication de photos, utilisation d’outils numériques hors cadre obligatoire), l’accord des titulaires de l’autorité parentale est requis. À partir de 15 ans, le mineur peut consentir seul pour les services de la société de l’information (CNIL).

Cas des ENT : l'utilisation de l'Environnement Numérique de Travail relève d'une mission d'intérêt public, pas du consentement. En revanche, les modules optionnels (blog, galerie photo) nécessitent une autorisation parentale.
Rôles

Responsable & Délégué à la protection

L’établissement (chef d’établissement, rectorat) est responsable du traitement. Un DPO (Délégué à la Protection des Données) est désigné pour l’Éducation nationale : il conseille et contrôle la conformité.

Coordonnées du DPO académique disponibles sur les sites académiques. Tout incident de sécurité (vol, piratage) doit être signalé au DPO et éventuellement à la CNIL sous 72h.
Sécurité

Sous-traitants & logiciels

L’utilisation d’outils numériques (Google Workspace, Microsoft 365, applications IA) doit être encadrée. Les données des élèves ne peuvent être transférées hors UE sans garanties. Tout sous-traitant doit signer une clause contractuelle.

Recommandation : privilégier les logiciels souverains ou hébergés en France (ex: La Forge des communs, CARAMEL, Mémotest). Interdiction d’utiliser des outils IA publics (ChatGPT, Gemini) avec comptes élèves.
Attention

IA générative : cadre strict

Les IA comme ChatGPT ne respectent pas le RGPD pour les mineurs (pas d’âge légal, pas de contrôle des données). Interdiction de créer des comptes élèves. Pour les enseignants, ne pas y déposer de données personnelles identifiantes.

Bon usage : utiliser des outils ancrés (NotebookLM) avec documents de cours, sans transmission de données élèves, ou des plateformes souveraines comme CARAMEL pour générer des ressources H5P.
Captation

Photos / vidéos des élèves

La prise de vue et la diffusion (site web, journal, réseaux sociaux) nécessitent une autorisation écrite des parents. En classe, une photo à vocation pédagogique (projet) doit être strictement encadrée et ne pas être diffusée au-delà du cadre familial.

Formulaire type « droit à l’image » obligatoire. Rappel : l’utilisation de smartphones personnels pour photographier des élèves est interdite sauf autorisation exceptionnelle.
Risques

Sanctions financières et réputation

La CNIL peut prononcer des amendes allant jusqu’à 20 M€ ou 4% du CA mondial. Pour l’Éducation nationale, un manquement peut entraîner une injonction, une astreinte et une forte exposition médiatique.

Exemples récents : amendes pour défaut de sécurité dans des établissements scolaires, fuite de données d’élèves. La formation des personnels est un levier de prévention essentiel.
Obligation documentaire

Registre des activités de traitement

Chaque établissement doit tenir un registre des traitements de données (finalité, catégories, destinataires, durée). C’est une obligation légale, souvent gérée par le DPO académique.

Les enseignants doivent signaler tout traitement non référencé (expérimentation, application non institutionnelle). Une AIPD (analyse d’impact) est requise pour les traitements à risque élevé.
Au quotidien

Gestes simples pour les enseignants

✅ Ne pas afficher de listes nominatives d’élèves en public. ✅ Utiliser des identifiants anonymisés pour les évaluations partagées. ✅ Verrouiller les sessions. ✅ Ne pas envoyer de données par messagerie non sécurisée.

Chiffrement : privilégier l’ENT ou des solutions avec chiffrement. Les données de santé (PPS, aménagements) font l’objet d’une protection renforcée.
Ressources utiles : CNIL.fr · Guide « Éducation et RGPD » · DPO académique · Pour aller plus loin : formations PIX + EduNum sur la protection des données.