Juridique

La protection des données personnelles (fiche)

Brigitte Commelin, principale adjointe

Les fichiers manuels et informatiques des établissements publics locaux d'enseignement (ÉPLE) contiennent de multiples informations concernant les élèves, les parents et le personnel. Ces informations sont des " données à caractère personnel " au sens de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite " Informatique et Libertés ", loi modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Ce corpus législatif s'applique aux traitements réalisés sur ces données, de leur collecte à leur destruction.

La notion de " données à caractère personnel "

La définition légale

" Toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement [...] " (art. 2 l., du 6 janvier 1978 modifiée) est une donnée à caractère personnel : nom, prénom mais également numéro de téléphone, numéro insée, numen, etc. Les informations relatives aux personnes morales : entreprises, institutions, ne relèvent pas du domaine de la loi. Mais attention : ces fichiers peuvent comporter des références de personnes physiques : maîtres de stage, représentants, etc. Dans ce cas, le texte de 1978 dans sa version modifiée s'applique.

Une problématique particulière : la photographie

La photographie du visage d'une personne transmet des données à caractère personnel : l'âge, le sexe mais également le type racial. Or, " Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions [...] religieuses. " (art 8 i L. du 6 janvier 1978 modifiée). Cependant, la collecte et le traitement de ces données dites " sensibles " sont possibles avec l'accord exprès de la personne concernée (art. 8 II L. du 6 janvier 1978 modifiée).

Le régime juridique applicable aux données personnelles

Les principes

Le traitement des données personnelles repose sur trois principes :

  1. Le principe de loyauté : la collecte de données personnelles ne peut pas se faire à l'insu des personnes ;
  2. Le principe de finalité : le recueil et l'usage des données correspondent à l'objectif déclaré, comme éditer un bulletin, concevoir un " trombinoscope ", suivre les sanctions, etc. ;
  3. Le principe de proportionnalité : l'information collectée est pertinente et nécessaire pour assurer la gestion des missions, les données doivent être supprimées ou archivées quand elles ne sont plus nécessaires.

Les obligations du chef d'établissement pour assurer la mise en oeuvre de ces principes

"1. Le chef d'établissement, en sa qualité de représentant légal de l'ÉPLE informe les personnes concernées de l'existence et des caractéristiques des traitements de données personnelles ainsi que des droits dont elles disposent : droit d'accès et de rectification, droit d'opposition lorsque la collecte n'est pas obligatoire. L'information collectée doit être exacte, complète et mise à jour. Le chef d'établissement recueille également le consentement des personnes concernées par la collecte des données sensibles, notamment des photographies. Cette autorisation ne se confond pas avec celle donnée dans le cadre du droit à l'image.

2. Le chef d'établissement procède aux formalités nécessaires : déclaration auprès du correspondant " Informatique et Libertés " (cil) désigné par certains rectorats à cet effet ou directement auprès de la Commission nationale " Informatique et Liberté " (CNIL). L'obligation du chef d'établissement se limite aux traitements décidés au niveau de l'établissement par lui-même ou par le conseil d'administration (art. r. 421-20 et r. 421-23 c. éduc.), les applications nationales étant déclarées par le ministère de l'Éducation nationale, les applications académiques par le rectorat ou les inspections académiques. Par ailleurs, pour alléger les procédures, la CNIL adopte des normes simplifiées ou exonère de déclaration. Le site Internet de la CNIL : www.CNIL.fr propose au déclarant un guidage interactif qui lui permet d'identifier la procédure à suivre et de l'accomplir.

3. Le chef d'établissement est responsable de la sécurité et de la confidentialité des données.

Un exemple : le contrôle d'accès des locaux et des horaires

Par une décision du 26 juin 2008, la CNIL a refusé la mise en place d'un accès à un restaurant scolaire par un dispositif de reconnaissance des empreintes digitales, ce procédé étant limité aux zones à haut risque sécuritaire. À l'inverse, l'accès par la reconnaissance du contour de la main est envisageable sans oublier le simple accès par carte.

Dispositif d'accèsDécision de la CNIL à respecterFormalités à accomplir
Accès informatisé
par carte
Norme simplifiée n°42 du 8 janvier 2002
"Traitements automatisés d'informations
nominatives mis en oeuvre sur les lieux de
travail pour la gestion des contrôles d'accès
aux locaux, des horaires et de la restauration".
1. Déclaration simplifiée auprès
de la CNIL ou du CIL.
2. Affichage ou distribution
d'une note d'information.
Accès biométrique
par contour
de la main
Délibération n°2006-103 du 27avril 2006
portant autorisation unique de mise en
oeuvre de traitements automatisés de données
à caractère personnel reposant sur l'utilisation
d'un dispositif de reconnaissance du contour de
la main et ayant pour finalité l'accès au
restaurant scolaire.
1. Déclaration de conformité
auprès de la CNIL.
2. Information personnelle des
parents et des personnels
de l'établissement.
3. Proposition d'un système
alternatif.

Les enjeux

La responsabilité du chef d'établissement

Le non-respect par le chef d'établissement de la loi du 6 janvier 1978 dite " Informatique et Libertés " engage sa responsabilité civile et sa responsabilité pénale (art. 226-16 à 226-24 c. pén.). Les manquements, constitutifs d'infractions pénales, sont punis d'une peine de prison pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Mais la sanction la plus importante dans la vie d'un établissement est la remise en cause des décisions fondées sur des données collectées et traitées dans des conditions déloyales et illicites. Les logiciels privés achetés directement par les établissements n'appréhendent pas la législation. Il revient au chef d'établissement de procéder à leur mise en régularité : déclaration, organisation du droit d'accès et de rectification.

La responsabilité " sociale " de l'ÉPLE

L'enjeu principal de la protection des données personnelles est d'inscrire l'ÉPLE dans une démarche de développement durable mettant en oeuvre les valeurs de l'Éducation nationale. La règlementation offre au chef d'établissement un cadre d'action pour structurer le dialogue avec les élèves et les parents dans le respect de leur vie privée (art 9 c. civ. - Convention de sauvegarde des droits de l'homme et des libertés fondamentales adoptée par le Conseil de l'Europe). La désignation d'un correspondant " Informatique et libertés " au niveau de l'établissement ou la création d'une " commission locale informatique et libertés (CLIL) relaieraient avec efficacité le travail du comité d'éducation à la santé et à la citoyenneté (CESC). L'appréhension de la protection des données personnelles prépare l'implantation des espaces numériques de travail (ENT) pour lesquels la CNIL et le ministère ont d'ores et déjà fixé les conditions de leur légalité au moyen de l'arrêté du 30 novembre 2006. Les prescriptions de la loi du 6 janvier 1978 dite " Informatique et Libertés " ne doivent pas être perçues comme des contraintes mais comme un outil du système de management.

Education & management, n°36, page 12 (12/2008)

Education & Management - La protection des données personnelles (fiche)