Connectez-vous

Accueil

Fiches conseils

Publié le 29 nov. 2018 Modifié le : 9 déc. 2018

Écrire à l'auteur

Le  jeudi 29 novembre 2018

6. Travailler avec des données à caractère personnel

Fiche conseil à lire et à télécharger en pdf

  •  

    image titre

    titre

    6. Travailler avec des données à caractère personnel

     

     

    Problème posé

     

    Nous travaillons quotidiennement avec des données à caractère personnel concernant les élèves, les parents d’élèves, le personnel. Quels sont les risques relatifs à l’utilisation de ces données et les règles à respecter ? Qu’a-t-on le droit de faire ? Comment assurer la sécurité des données, les échanger ? Comment assurer le respect des droits des personnes ?

     

    Définition

     

    Les données à caractère personnel sont toutes les informations qui permettent d’identifier directement ou indirectement une personne physique. Dès que les données manipulées sont des données à caractère personnel, leur utilisation est encadrée par la loi Informatique et libertés.

     

    Pratiques à mettre en place

     

    • Le principe est de classifier l’information que l’on manipule selon sa confidentialité (par défaut toute information non classifiée est réputée à diffusion limitée). Pour les données à caractère personnel, il convient de seposer avant toute mise en œuvre certaines questions :

    -  Le traitement envisagé est-il déclaré ?

    -  A quelle fin ont été collectées les données ?

    -  Qui en sont les destinataires ?

    -  Pendant combien de temps sont elles utilisables ?

    -  Quelles sont les obligations de sécurité qui leur sont attachées ?

    -  Comment respecter et mettre en place le droit des personnes ?

    Les réponses sont données par le RGPD

     

    • Utiliser des données pour toute finalité différente de celle pour laquelle elles ont été collectées doit être considérer comme un nouveau traitement nécessitant de ce fait une déclaration et une information des personnes. Il en va de même pour tout nouveau type de destinataire.

    • La conservation d’une donnée à caractère personnel doit toujours être limitée. Dans un établissement, cette durée est souvent de l’ordre de l’année scolaire. Il convient de prendre soin du respect de cette durée, notamment par une bonne gestion des copies et sauvegarde des fichiers.

    • La protection de la confidentialité des données à caractère personnel implique de mettre en œuvre des mesures de sécurité particulières, notamment dans nos échanges (la messagerie en l’état n’est pas un canal sécurisé).

    • L’information des personnes doit se faire dès la collecte des données ; ainsi, en établissement scolaire, le dossier d’inscription des élèves comportera les mentions relatives à l’ensemble des traitements mis en œuvre avec les données recueillies. Toute personne dispose d’un droit d’accès et de rectification auquel nous avons obligation de répondre. Hormis quelques rares traitements, toute personne peut s’opposer pour des raisons légitimes à l’enregistrement de ses données (ou celles de son enfant). La difficulté vient d’apprécier la notion et la portée de « raisons légitimes », il n’y a pas de jurisprudence actuellement pour éclairer ce terme.

     preconisations Préconisations

     

    • Déclarer les traitements au registre de traitement des données.

    • Minimiser les données à caractère personnel utilisées aux seules informations indispensables au traitement

    • Gérer les durées de conservation des données à caractère personnel

    • Chiffrer les données à caractère personnel dans les échanges

    • Informer les personnes concernées et permettre l’exercice de leur droit

    • Mettre en œuvre des actions de sensibilisation et d’information au sein des établissements

     

    ressources Ressources

     

     

    • Référent Informatique et libertés

     

    •  Pôles DANE

     

    •  Cellule académique Sécurité de l’information

     

    •  Outils en ligne :

     - www.cnil.fr

     - www.jeunes.cnil.fr

     - Portail Observatoire académique de la sécurité de l’information (OASI, après identification)

    - Données à caractère personnel sur internet

    - Sécurité des données à caractère personnel

    - Identités numériques et usurpation d’identité

    - Vie privée et internet

    - Correspondance privée et monde numérique

    - Le droit à l’oubli

    - Données personnelles et monde éducatif

    - Biométrie

    - Image et vidéo

    - Lettre d’information électronique (newsletter)

    - Harcèlement

     

     

    Cette œuvre du comité RUN de l'académie d'Aix-Marseille est mise à disposition selon les termes de la licence Creative Commons Attribution - Pas d'Utilisation Commerciale - Pas de Modification 4.0 International.