RGPD

Solution numérique souscrite par une collectivité

Cet article vise à rappeler les conditions de souscriptions à des services numériques pour l’école par une collectivité dans le respect du règlement général sur la protection des données – RGPD.

Ces conditions s’appliquent en particulier à :

  • un service ENT (gestion quotidienne de la classe / communication avec les familles / outils pédagogiques / accès simplifié aux ressources numériques)
  • un service Solution de vie scolaire (gestion quotidienne de la classe / communication avec les famille)
  • un service de vote électronique pour l’élection des représentants des parents d’élèves au conseil d’école

Il s’applique plus généralement à tout service numérique traitant des données personnelles (élève, parent, enseignant) souscrit par une collectivité pour une école.

Qui peut souscrire à une solution numérique pour une école ?

Pour qu’une école dispose d’une solution numérique (ENT, Solution de vie scolaire, Vote électronique,…), il est nécessaire que la collectivité exerçant la compétence scolaire (commune ou EPCI) souscrive un contrat commercial avec le prestataire choisi.

Si l’acquisition de telles solutions relève de la compétence de la collectivité qui exerce la compétence scolaire, les directeurs d’école et les enseignants peuvent intervenir dans la procédure de sélection mise en oeuvre par la collectivité, que ce soit au stade du recensement des besoins ou dans l’évaluation des différentes offres.
Cette implication est en particulier vivement recommandée pour les solutions numériques à dimension pédagogique (ENT & Solution de vie scolaire,…).

L’information initiale aux familles incombe à l’école dans le cadre du conseil d’école, puis à l’éditeur lors de l’ouverture des comptes et/ou lors du déploiement du service.
Pour les ENT & Solution de vie scolaire, la formation aux usages est de la responsabilité de la DSDEN qui valorisera les usages pertinents, en particulier pour les apprentissages des élèves.
Pour le vote électronique, le prestataire doit assurer la formation des utilisateurs (directeurs d’école, enseignants).

Quelles implications réglementaires ?

Le recours à ces outils nécessite de respecter un certain nombre d’obligations imposées par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données (RGPD).

Afin de sécuriser les échanges de données personnelles (des élèves, des responsables légaux, des enseignants), le DASEN (responsable de traitement pour les écoles) et la collectivité (co-responsable de traitement dans ce cas de figure) doivent être en mesure de démontrer que les traitements réalisés par le prestataire sont conformes à la réglementation.

Pour cela :

  • Une convention de sous-traitance conforme à l’article 28 du RGPD doit être conclue entre le DASEN et le prestataire retenu.
  • Une convention de responsabilité conjointe conforme à l’article 26 du RGPD devra également être conclue entre la collectivité et le DASEN.

Une fois ces conventions établies, le choix retenu pour chaque école sera inscrit au registre de traitement de la DSDEN en s’appuyant sur les fiches de traitement fournies par les éditeurs.
Une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données, en particulier les enfants, devra être présentée aux familles.

RGPD – Information aux responsables légaux pour utilisation de données personnelles v3Télécharger