la CNIL dispense de déclaration la mise en place dans les établissements scolaires de certaines applications


article de la rubrique Big Brother > le ministère de l’EN et les fichiers
date de publication : mercredi 26 septembre 2012
version imprimable : imprimer


L’édition du 13 juillet 2012 du Journal officiel publie la délibération n° 2012-184 du 7 juin 2012 de la CNIL, Commission nationale informatique et libertés [1]. Cette délibération dispense de toute déclaration la mise en place, et l’utilisation dans des conditions précises, de certains traitements automatisés de données personnelles par les établissements d’enseignement scolaire.

Ci-dessous une note du 29 août 2012 par laquelle la CNIL explique sa
démarche, suivie de la délibération du 7 juin dernier qui établit cette dispense.

[Mis en ligne le 17 juillet 2012, mis à jour le 26 septembre 2012]



Etablissements scolaires : la CNIL dispense de déclaration des traitements de gestion de la scolarité ne comportant pas de téléservices

[Note du 29 août 2012 de la CNIL]


Les directeurs d’école du 1er degré et les chefs d’établissements du 2nd degré mettent en œuvre des traitements informatiques pour la gestion de la scolarité. Avant juin 2012, si ces traitements n’étaient pas mis à leur disposition par le ministère de l’Education nationale, ils devaient être déclarés à la CNIL. Pour éviter de "multiplier" des déclarations identiques relatives à des traitements déjà instruits, la CNIL a adopté une dispense de déclaration pour ces traitements. Elle ne s’applique pas si les données sont accessibles aux élèves ou à leurs représentants légaux via un portail internet.

Dès 1986, la Commission nationale de l’informatique et des libertés (CNIL) avait adopté une norme simplifiée (la norme simplifiée n°29) concernant les traitements automatisés d’informations nominatives relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d’enseignement secondaire du secteur public et privé (délibération n° 86-115 du 2 décembre 1986).

Le 7 juin 2012, la Commission a adopté la dispense de déclaration n°17 qui abroge cette norme simplifiée.

La CNIL a, au préalable, procédé à une instruction détaillée des traitements visés par cette dispense et vérifié qu’ils offraient des garanties de sécurité et de confidentialité suffisantes au regard de la loi informatique et libertés. Aussi, a-t-elle estimé qu’il n’était pas utile de maintenir, pour chaque directeur ou chef d’établissements, une obligation de déclaration "de pure forme", concernant des traitements identiques sur lesquels elle s’est déjà prononcée.

Cette dispense n’exonère pas les directeurs et chefs d’établissements de leurs responsabilités au regard de la loi informatique et libertés, puisque la dispense vise simplement la formalité de déclaration, et non les obligations qui sont attachées au traitement et précisées par la CNIL : pour bénéficier de la dispense de déclaration, le traitement envisagé doit ainsi scrupuleusement respecter l’ensemble des conditions posées par le texte.

Enfin, est exclue du champ de la dispense la mise à disposition des données via un téléservice (données accessibles sur un portail internet via un login/mot de passe attribué aux élèves ou à leurs responsables légaux). De tels téléservices doivent faire l’objet d’une demande d’avis auprès de la CNIL (article 27-II-4° de la loi du 6 janvier 1978 modifiée), donnant lieu à une instruction spécifique de celle-ci.

[Note de LDH Toulon] – La délibération ci-dessous, qui établit une dispense de déclaration, a été rédigée à partir de la norme 29 qu’elle rend obsolète. Nous avons mis en rouge les parties qui sont des ajouts par rapport à la norme 29.

Délibération n° 2012-184 de la CNIL

La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l’éducation, notamment ses articles L. 321-1 et suivants, L. 331-1 et suivants et D. 311-6 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 6, 23 et 24-II ;
Vu la loi n° 2010-1127 du 28 septembre 2010 visant à lutter contre l’absentéisme scolaire ;
Vu le décret n° 84-628 du 17 juillet 1984 relatif au Conseil national de l’information statistique et portant application de la loi n° 51-771 du 7 juin 1951 modifiée sur l’obligation, la coordination et le secret en matière statistique ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2007-860 du 14 mai 2007 relatif au livret personnel de compétences ;
Vu l’arrêté du 22 septembre 1995 portant création d’un traitement automatisé d’informations nominatives relatif au pilotage et à la gestion des élèves du second degré portant sur les trois niveaux : établissement, académique, administration centrale ;
Vu l’arrêté du 20 octobre 2008 portant création d’un traitement automatisé de données à caractère personnel relatif au pilotage et à la gestion des élèves de l’enseignement du premier degré ;
Vu l’arrêté du 27 février 2012 portant sur la création d’un traitement automatisé de données à caractère personnel relatif à la consultation du livret personnel de compétences des élèves des établissements publics du second degré ;
Vu la délibération n° 85-50 du 22 octobre 1985 de la Commission nationale de l’informatique et des libertés portant recommandation relative aux modalités de collecte d’informations nominatives en milieu scolaire et dans l’ensemble du système de formation ;
Vu la délibération n° 86-115 du 2 décembre 1986 de la Commission nationale de l’informatique et des libertés concernant les traitements automatisés d’informations nominatives relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d’enseignement secondaire du secteur public et privé ;

Après avoir entendu M. Eric PERES, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,

Décide :

Conformément à l’article 24-II de la loi du 6 janvier 1978 modifiée, la commission est habilitée à définir, pour les catégories les plus courantes de traitements de données à caractère personnel, celles qui sont dispensées de déclaration.
Compte tenu des finalités, des catégories de personnes concernées, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des destinataires des traitements de données à caractère personnel relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d’enseignement secondaire des secteurs public et privé, la commission considère que ceux-ci peuvent faire l’objet d’une telle dispense de déclaration.
Sous réserve du strict respect des dispositions suivantes, la présente délibération vise donc à dispenser de déclaration les responsables de traitements mettant en œuvre cette catégorie de traitements.

Article 1

Sont dispensés de formalités préalables, par référence à la présente délibération les traitements mis en œuvre par les écoles et les établissements d’enseignement secondaire des secteurs public et privé, qui : [2]

  • ne portent que sur des données objectives , strictement nécessaires à la gestion de la scolarité des enfants concernés et aisément contrôlables par les intéressés grâce à l’exercice du droit individuel d’accès ;
  • ne donnent lieu à aucune autre mise en relation que celles qui sont
     [3] nécessaires à l’accomplissement des fonctions énumérées à l’article 2 ci-dessous ;
  • comportent des dispositions propres à assurer la sécurité des traitements et des informations ainsi que la garantie des secrets protégés par la loi ;
  • satisfont en outre aux conditions énoncées aux articles 2 à 8 ci-dessous.

Article 2 – Finalités des traitements

Les traitements doivent avoir pour seules finalités :

  • a) L’édition de listes alphabétiques générales d’élèves, comportant éventuellement l’indication des diplômes obtenus par ces derniers, de certificats de scolarité, de listes de parents d’élèves ou de leurs responsables légaux, de listes d’élèves répartis par classe, par commune de résidence et par catégorie (interne, externe, demi-pensionnaire), de listes d’élèves boursiers et d’étiquettes-adresses ;
  • b) L’établissement de statistiques anonymes relatives à l’état général des effectifs sur la base des informations limitativement énumérées à l’article 3 ;
  • c) Le calcul des droits constatés, l’édition de factures, le paiement des frais scolaires et le versement des bourses ;
  • d) Le suivi de l’assiduité scolaire des élèves (dénombrement des absences des élèves et mention objective de leurs motifs, dénombrement des sanctions disciplinaires et courte description objective de leur mise en œuvre) ;
  • e) L’édition périodique de bulletins de notes comportant éventuellement le calcul de moyennes, des groupes de niveaux ou de suivis pédagogiques spécifiques ainsi qu’un état récapitulatif annuel des notes en vue de l’orientation et des examens ;
  • f) L’interfaçage de données avec les espaces numériques de travail (ENT) de l’établissement, de l’académie ou de la collectivité qui le met à disposition de l’établissement, concernant l’emploi du temps des élèves et des enseignants et la gestion des groupes de travail (groupes de niveaux ou de suivis) ;
  • g) L’interfaçage technique du traitement avec les applications mises à disposition par le ministère de l’éducation nationale (MEN) en conformité avec la loi du 6 janvier 1978 modifiée, telles que :
    - le traitement SCONET (autrement dénommé SIECLE) pour faciliter la gestion administrative, pédagogique et financière des élèves du second degré ;
    - le livret personnel de compétences (LPC) afin de permettre un enregistrement systématique des acquis des élèves au sens du décret n° 2007-860 du 14 mai 2007 relatif au livret personnel de compétences ;
    - le diplôme nationale du brevet (DNB) afin de faciliter l’évaluation des élèves via la remontée de la fiche brevet ;
    - admission post-bac (APB), afin de permettre la gestion de l’orientation des élèves et la saisie des vœux pour le second degré et l’enseignement supérieur ;
    - le traitement OBII, afin de remonter vers l’applicatif national les compétences du brevet informatique et internet (B2i) ;
    - le traitement BE1D (base élèves premier degré), pour faciliter la gestion administrative, pédagogique et financière des élèves du premier degré.
  • h) La transmission d’informations incombant aux établissements scolaires en vertu des textes en vigueur (notamment pour des motifs de santé publique).

La mise à disposition de téléservices, à l’attention des élèves ou de leurs responsables légaux n’est pas couverte par la présente dispense et doit faire l’objet de formalités auprès de la Commission nationale de l’informatique et des libertés.

Article 3 – Catégories de données traitées

Les informations traitées ne doivent pas concerner de données entrant dans le champ des articles 8 et 9 de la loi du 6 janvier 1978 modifiée, c’est-à-dire qu’elles ne doivent pas être relatives aux  [4] infractions, condamnations ou mesures de sûreté ni faire apparaître, directement ou indirectement, les origines raciales, les opinions politiques, philosophiques, religieuses, l’appartenance syndicale des personnes ni être relatives à la santé ou à la vie sexuelle de celles-ci.

Dès lors que les dispositions de la délibération relative aux modalités de collecte des données à caractère personnel en milieu scolaire susvisées ont été respectées lors de leur recueil, les informations traitées doivent relever seulement des catégories suivantes :

  • a) Identité de l’élève : nom, prénoms, sexe, date et lieu de naissance, adresse, adresse électronique de l’élève fournie par l’établissement, nombre de frères et sœurs scolarisés, et, à titre facultatif et uniquement si l’intéressé y consent : la nationalité (uniquement en vue de l’établissement par le ministère de traitements statistiques anonymes), l’adresse électronique personnelle de l’élève, le numéro de téléphone portable de l’élève ;
  • b) Identité d’un ou plusieurs responsables légaux de l’élève : nom, prénoms, adresse, numéro de téléphone du domicile et professionnel, mode de règlement des frais scolaires ou périscolaires et, à titre facultatif, et uniquement si le responsable légal concerné y consent : sa catégorie socioprofessionnelle (code INSEE, en vue de l’établissement par le ministère de traitements statistiques anonymes), son adresse électronique, son numéro de téléphone portable, son identité bancaire ou postale, l’autorisation de communiquer son adresse ou son courriel aux associations de parents d’élèves ;
  • c) Scolarité de l’élève : établissement d’origine, classe, groupe, division fréquentés et options suivies pendant l’année scolaire en cours et l’année scolaire antérieure, année d’entrée dans l’établissement, diplômes obtenus, position (non-redoublant, redoublant, triplant), décision d’orientation et décision d’affectation, notes, acquis au sens du décret n° 2007-860 du 14 mai 2007 relatif au livret personnel de compétences, noms des enseignants, absences, sanctions disciplinaires, vœux d’orientation ;
  • d) Situation financière : nombre de parts de bourse, catégorie (interne, externe, demi-pensionnaire), remises et réductions.

Article 4 – Durée de conservation

Conformément aux dispositions légales et réglementaires en vigueur, les données concernant les diplômes obtenus, les acquis au sens du décret n° 2007-860 du 14 mai 2007, la classe, le groupe ou la division fréquentés et les options suivies l’année scolaire écoulée peuvent être conservées jusqu’à la fin du cycle d’enseignement secondaire de l’élève concerné.

Les autres données relatives à la scolarité des élèves et à leur situation financière, visées à l’article 3 c et d, ne doivent pas, sauf dispositions légales contraires, être conservées au-delà de l’année scolaire pour laquelle elles ont été enregistrées.

Les données relatives à l’identité de l’élève et à son responsable légal visées à l’article 3 a et b ne doivent pas être conservées au-delà de la date de départ de l’élève de l’établissement.

Article 5 – Destinataires des informations

Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des informations strictement nécessaires à l’accomplissement de leurs missions :

  • a) Le service administratif et le service logistique de l’établissement ;
  • b) Les conseillers principaux d’éducation et les conseillers d’information et d’orientation ;
  • c) Les enseignants et l’équipe pédagogique de l’élève concerné ainsi que les jurys d’examens pour les seules informations relatives à la position de l’élève (non-redoublant, redoublant, triplant), aux options choisies, aux acquis validés et aux notes obtenus par celui-ci ;
  • d) Les associations de parents d’élèves pour les adresses postales et électroniques des seuls responsables légaux des élèves ayant autorisé la transmission de cette information ;
  • e) Le maire de la commune de résidence des élèves aux fins de contrôle de l’obligation scolaire ;
  • f) L’inspection académique, uniquement dans le cadre de la mise en œuvre de ses compétences en application de la loi n° 2010-1127 du 28 septembre 2010 visant à lutter contre l’absentéisme scolaire.

Seules peuvent être communiquées à des destinataires tiers, en respectant les procédures prévues par le décret au 17 juillet 1984 susvisé, les informations concernant les élèves destinées :

  • soit à l’élaboration et à la diffusion de statistiques relatives au fonctionnement du système éducatif ;
  • soit à des tirages d’échantillons de population afin d’effectuer des enquêtes et études statistiques ciblées et spécifiquement motivées.

Sauf disposition légale contraire, aucune autre donnée à caractère personnel  [5] ne peut être communiquée à des tiers qu’avec l’accord écrit de l’un des responsables légaux de l’élève ou de l’élève lui-même, lorsque celui-ci en a la capacité (élève de plus de treize ans, concernant des sujets limitativement identifiés).

Article 6 – Sécurités

Des mesures de protection physique et logique doivent être prises afin de préserver la sécurité du traitement et l’intégrité des données traitées, ainsi que d’empêcher tout accès ou toute utilisation détournés ou frauduleux de celles-ci, notamment par des tiers non autorisés.

Les destinataires visés à l’article 5 accèdent aux informations au moyen d’un identifiant et d’un mot de passe individuel ou par tout autre dispositif sécurisé. Les échanges avec ces destinataires doivent être sécurisés, en particulier concernant les échanges par internet, qui doivent être chiffrés.

Une traçabilité des actions sur les données doit être mise en place pour garantir une utilisation raisonnable et transparente de l’outil (création ou consultation de dossiers, modification ou suppression de données).

L’ensemble des garanties de sécurité, et particulièrement l’hébergement des données, doit garantir que le traitement est en conformité avec les exigences de l’article 34 de la loi du 6 janvier 1978 modifiée.

Article 7 – Information et droit des personnes

Conformément à l’article 32 de la loi du 6 janvier 1978 modifiée, les personnes concernées (élèves, responsables légaux, enseignants, agents administratifs et acteurs de la vie scolaire concernés) sont informées des finalités du traitement, des destinataires des données, ainsi que des modalités d’exercice de leurs droits, conformément aux articles 38, 39 et 40 de la loi du 6 janvier 1978 modifiée.

Article 8 – Enregistrement et traitements complémentaires

Les traitements dont les finalités sont conformes à celles définies à l’article 2 et qui comportent l’enregistrement de données n’appartenant pas aux catégories limitativement énumérées à l’article 3 ou aboutissant à la transmission d’informations à des destinataires autres que ceux définis à l’article 5 doivent faire l’objet, selon qu’ils relèvent de l’article 23, 25, 26 ou 27 de la loi du 6 janvier 1978 modifiée, d’une demande d’avis, d’une demande d’autorisation ou bien d’une déclaration normale.

En particulier, conformément à l’article 27-II-4° de la loi du 6 janvier 1978 modifiée, la mise à disposition de téléservices, à l’attention des élèves ou de leurs responsables légaux, doit faire l’objet de formalités préalables spécifiques auprès de la CNIL (demande d’avis sur le site www.cnil.fr).

Article 9 – Effets de la dispense de déclaration

Les déclarations simplifiées de conformité régulièrement effectuées sur le
fondement de la délibération n° 86-115 du 2 décembre 1986 demeurent valables.

Les traitements répondant aux conditions posées par les articles 1er à 8 ci-dessus présentés peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL.

La dispense de déclaration n’exonère le responsable de traitement d’aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.

Article 10

Est abrogée la délibération n° 86-115 du 2 décembre 1986 concernant les traitements automatisés d’informations nominatives relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d’enseignement secondaire du secteur public et privé.

La présente délibération sera publiée au Journal officiel de la République française.

La présidente,
I. Falque-Pierrotin

Notes

[1Dispense N° 17 de la CNIL. NOR : CNIA1200015X
Référence : http://www.legifrance.gouv.fr/affic....

[2Texte de la norme 29 : « Pour faire l’objet de la procédure de déclaration simplifiée, les traitements automatisés d’informations nominatives visés ci-dessus doivent :»

[3Texte de la norme 29 : « à des interconnexions et des cessions autres que celles ».
Remarquer à ce propos que le mot “interconnexion” n’apparaît pas dans cette délibération.

[4Texte de la norme 29 : « concerner les »

[5Texte de la norme 29 : « toute autre information nominative »


Suivre la vie du site  RSS 2.0 | le site national de la LDH | SPIP