Protection et confidentialité des informations à caractère personnel des enseignant(e)s et des étudiant(e)s dans le prochain Règlement général de l’UE sur la protection des données

Publié:

Le Règlement général de l’UE sur la protection des données (RGPD) a été approuvé en avril 2016 et entrera en vigueur à la fin du mois de mai 2018, après la période de transposition dans les lois nationales.

Ce document, qui remplace la Directive relative à la protection des données 95/46/CE, vise à harmoniser les lois en matière de confidentialité des informations à caractère personnel en Europe, à protéger et à rendre exécutoire la protection des données de tou(te)s les citoyen(ne)s de l’UE et à reformuler les différentes approches de la protection des données, adoptées par les organisations européennes. Cette nouvelle disposition aura une incidence sur la protection des données des étudiant(e)s et des enseignant(e)s, comme mentionné dans la déclaration du CSEE relative au Plan d’action de l’UE en matière d’éducation numérique.

En particulier, le nouveau RGPD aura plusieurs implications sur le plan juridique :

  • Il aura pour mission de garantir la protection des données et de permettre aux individus de mieux contrôler leurs informations à caractère personnel - mais cela signifiera également que les écoles seront davantage responsables des données, impliquant notamment plus de frais inutiles.Un consentement explicite devra être obtenu dans tous les cas où le traitement des informations personnelles ne fait plus partie de l’administration ordinaire des écoles, en particulier lorsque des tiers interviennent dans la gestion des données.
  • Un consentement explicite des parents (ou des élèves eux/elles-mêmes en fonction de l’âge et de la situation) est obligatoire en cas d’utilisation des données personnelles de leurs enfants en dehors de la gestion habituelle de l’école.
  • Les écoles devraient désigner un Responsable de la protection des données (RPD) et être en mesure de prouver leur conformité au RGPD.
  • Les écoles doivent garantir que les prestataires tiers autorisés à traiter leurs données sont conformes au RGPD et veiller à conclure des contrats juridiquement contraignants avec toute entreprise chargée de traiter leurs informations à caractère personnel.
  • Les enseignant(e)s ont le « droit de solliciter l’effacement de leurs données personnelles ».

Si le nouveau RGPD a pour finalité de protéger efficacement les informations personnelles des enseignant(e)s et des étudiant(e)s, il ne peut engendrer une charge de travail supplémentaire pour le personnel lorsqu’il s’agit d’appliquer les politiques relatives à la protection des données. Les employeurs de l’éducation et la direction des établissements scolaires ont la responsabilité de garantir la conformité de leurs institutions scolaires au RGPD, ainsi que l’allocation des fonds publics nécessaires, en particulier pour l’achat, l’adaptation et l’installation de logiciels chargés du transfert de l’information Il sera avant tout nécessaire, pour garantir la conformité au RGPD, de prévoir un financement public et un accompagnement de la part des gouvernements et des autorités. Si le nouveau RGPD va de pair avec davantage de responsabilités, ce dernier ne doit pas pour autant engendrer des sanctions plus lourdes ou des exigences fastidieuses pour la présentation des éléments factuels probants.

Afin de minimiser les risques liés à la protection des données, ainsi qu’à leur traitement et à leur gestion, le CSEE juge indispensable de veiller à ce que la direction des établissements scolaires et le personnel enseignant comprennent le RGPD et ses impacts potentiels ; d’aider les écoles à consigner, passer en revue, classer et conserver l’ensemble des données personnelles qu’elles détiennent, afin de pouvoir les présenter en cas de vérification aux autorités compétentes, en ce compris les informations concernant les élèves, le personnel, les enseignant(e)s et les employé(e)s de l’éducation ; d’accorder une attention particulière aux informations sensibles et confidentielles ; et de faire en sorte que chacun(e) comprenne les procédures de collecte des données, leur origine, le but de leur utilisation et les risques qui y sont liés.

Par ailleurs, les compétences numériques complexes et innovantes utilisées dans le cadre de l’enseignement doivent être conformes aux normes nationales en matière de protection des données. A cet égard, le CSEE attire l’attention sur le fait que la gestion de la protection des données peut induire certains risques liés à la cybersécurité.

Que peuvent faire les enseignant(e)s dans leurs écoles ?

Utiliser un système de protection sécurisé des données lors de leurs communications avec d’autres personnes, protéger leurs communications par un mot de passe et un système de cryptage adéquat lors de l’utilisation de leurs propres appareils (téléphones, ordinateurs portables, PC, etc.), et installer des systèmes de protection contre les virus et les logiciels malveillants, ainsi que d’autres protections. Les spécialistes du numérique à des fins pédagogiques conseillent aux enseignant(e)s de ne pas se fier à l’utilisation de clés USB pour enseigner ou stocker des documents.

Susan Flocken, Directrice européenne du CSEE a déclaré : « Pour les écoles, la sécurité en ligne est essentielle. Le nouveau RGPD peut aider à mettre en place des mesures de sécurité plus efficaces pour protéger les enseignant(e)s et les élèves contre les actes de cybercriminalité. Les écoles doivent considérer l’introduction du RGPD comme un moyen d’améliorer leur façon de manipuler les données personnelles. Le nouveau RGPD doit respecter les systèmes de protection des données existants ayant démontré leur efficacité et uniquement être utilisé à titre complémentaire pour renforcer la sécurité, si nécessaire. L’adaptation du RGPD engendre en effet une charge administrative et technique. Les enseignant(e)s et leurs syndicats doivent donc être impliqués dans le RGPD au niveau national et régional, en particulier pour éviter que de nouvelles exigences pèsent sur les enseignant(e)s ou que cette nouvelle responsabilité ne leur soit déléguée. »