Le nouveau Règlement général européen sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Toutes les organisations doivent intégrer les nouvelles modalités de ce texte qui vient modifier en profondeur la gestion des données personnelles.
Les premiers concernés sont les responsables de traitement qui sont, dans l’Éducation nationale, le ministre, les recteurs, les DASEN pour le 1er degré, et les chefs d’établissement pour le 2nd degré.
Généralités :
Le RGPD est basé sur les mêmes principes que la Loi Informatique et Libertés dans un cadre harmonisé entre tous les membres de l’UE. Il s'agit principalement d'un renforcement des droits des personnes, un renforcement des sanctions, et une responsabilisation des acteurs.
On assiste globalement à un changement de paradigme avec une logique d’auto-contrôle des responsables de traitement des données personnelles impliquant des procédures de contrôle interne. Le contrôle à priori par déclaration à la CNIL devient ainsi un contrôle à postériori.
Il devient nécessaire de mettre en œuvre des mesures et processus appropriés pour garantir le respect de la règlementation, mais aussi de tracer et documenter ces mesures et processus, être à même de démontrer cette conformité. Il s'agit d'une inversion de la charge de la preuve.
Le RGPD impose la tenue d'un registre des activités de traitement qui recense et décrit l’ensemble des traitements par finalité avec une prise en compte de la notion du respect de la vie privée dès la conception. Celui qui manipule des données à obligation de notification en cas de violation de données à caractère personnel et il devient nécessaire de faire des études d’impact sur la vie privée.