Protection des données personnelles

Cette politique s’appuie sur le texte de référence du RGPD et la loi Informatique et Libertés du 6 janvier 1978 modifiée relative à la protection des données personnelles.

Cette politique a pour objectif de décrire les règles de mise en œuvre des traitements de données à caractère personnel réalisées dans l’académie de Lyon, d’encadrer la conformité des traitements de données à caractère personnel et de garantir le respect des droits des personnes concernées.

Le RGPD

Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis le 25 mai 2018, est le cadre juridique de l’union européenne qui gouverne la collecte et le traitement des données à caractère personnel.

Le RGPD concerne les entreprises, les associations, les collectivités locales et toutes les entités du service public. Les services de l’Éducation nationale ainsi que les écoles, collèges et lycées, les universités doivent l’appliquer.

Le RGPD simplifie les démarches et responsabilise tous les acteurs : les déclarations auprès de la CNIL disparaissent et sont remplacées par l’obligation de documenter sa conformité. La CNIL, en tant qu’autorité de contrôle, est chargée de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement de leurs données personnelles.

Quelles conséquences pour les organismes publics et donc les établissements scolaires ?

Le Règlement expose en détail les principes relatifs au traitement des données à caractère personnel (article 5) et les conditions de licéité des traitements (article 6).

Le principe essentiel animant le règlement est celui « d’accountability », c’est-à-dire de responsabilisation des opérateurs afin d’assurer une protection optimale des données personnelles qu’ils traitent. Les responsables de traitements de données personnelles et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment.

Les écoles, les collèges, les lycées et les services académiques doivent être capables de garantir et de prouver que leurs traitements de données à caractère personnel sont conformes et sécurisés.

Quelles utilisations de vos données personnelles

Mission de service public

Dans le cadre des missions de service public de l’Éducation nationale, l’académie de Lyon collecte et utilise des données à caractère personnel des élèves scolarisés dans l’enseignement public et privé sous contrat, de leur famille et de l’ensemble des personnels publics chargés d’exercer leur mission.

Dispositions légales ou réglementaires

Le traitement de vos données personnelles peut faire l’objet de dispositions légales ou réglementaires comme la transmission aux organismes sociaux pour la définition de vos droits.
À cet effet, l’ensemble des formulaires et/ou télé service utilisés par les services et les établissements scolaires de l’académie de Lyon limite la collecte des données personnelles au strict nécessaire (minimisation des données) et indique notamment :

  • les objectifs du recueil de ces données (finalités) ;
  • la transmission éventuelle à un tiers si nécessaire à la gestion de votre demande ;
  • vos droits Informatique et Libertés et la façon de les exercer auprès du rectorat de l’académie.

Ces données personnelles sont recueillies selon des protocoles sécurisés et permettent aux services académiques de gérer les demandes reçues dans ses applications informatiques.

Qui sont les acteurs de la protection des données ?

Les Responsables de traitement

Le responsable du traitement est " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ". Il s’agit de la personne qui détermine la réponse aux questions suivantes : à quoi va servir le traitement ? Comment l’objectif fixé sera atteint ?

Pour les applications nationales et académiques, le responsable de traitement est :

  • au niveau ministériel : le ministre (directeurs par délégation) ;
  • au niveau académique : le recteur, ou les chefs de service rectoraux et DASEN par délégation ;
  • au niveau d’un EPLE : le chef d’établissement ;
  • au niveau d’une école primaire ou maternelle : le DASEN (ni les directeurs d’école, ni les IEN n’ont le statut de personne morale) ;
  • pour l’enseignement privé sous contrat avec l’état : le directeur de l’établissement.

Le Délégué à la Protection des Données

Afin de veiller à la bonne application de ces règles, le Délégué à la Protection des Données (DPD) est le relais privilégié sur ces sujets. Le délégué à la protection des données est le garant de la protection des données à caractère personnel traitées au sein de l’académie de Lyon. Il accompagne les services académiques et les établissements scolaires dans le cadre de la mise en conformité de leurs activités avec la réglementation relative à la protection des données.

Vous souhaitez obtenir des informations sur les traitements de données personnelles gérés par l’académie de Lyon ou exercer vos droits sur les données vous concernant enregistrées dans ces traitements, vous pouvez contacter le délégué à la protection des données (DPD) par courrier postal ou par courriel.

Destinataires et sous-traitants

Vos données personnelles peuvent être transmises aux :

  • services académiques ;
  • nos sous-traitants agissant pour le compte et selon les instructions du rectorat.

Concrètement en établissement et dans les services académiques

Les responsables de traitement de données sont chargés de la mise en œuvre de la conformité au RGPD vis-à-vis des traitements de données qu’ils opèrent. Cependant les outils de la conformité changent :

  • les déclarations préliminaires à la CNIL sont supprimées ;
  • les responsables du traitement des données doivent nommer un DPD, délégué à la protection des données, en utilisant le formulaire de l’académie ;
  • ils doivent obligatoirement tenir un registre de traitements de données pour démontrer le caractère licite du traitement des données, comment les données sont sécurisées ;
  • les exigences sont les mêmes pour le responsable de traitement et les sous-traitants (ex: éditeur de l’ENT). La responsabilité est susceptible d’être engagée conjointement ;
  • en cas de violation de données, le responsable de traitement, en collaboration avec le délégué à la protection des données doit évaluer les risques encourus pour les personnes concernées et informer l’autorité de contrôle dans les meilleurs délais (si possible dans les 72 heures) ;
  • les sanctions prévues sont renforcées et graduées.

Qu'est-ce que le Registre ?

Aux termes de l’article 30 du RGPD, « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».

Le contenu du registre de traitement :

  • nom et coordonnées du responsable de traitement et du délégué ;
  • finalités du traitement ;
  • catégories des personnes concernées et catégories de données ;
  • catégories de destinataires ;
  • dans la mesure du possible, les délais prévus pour l’effacement ;
  • les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
  • dans la mesure du possible, une description des mesures de sécurité techniques et organisationnelles ;
  • concerne les traitements automatisés mais également les traitements non automatisés.


Cette obligation s’étend aux sous-traitants éventuels qui devront tenir le registre des traitements qu’ils effectuent pour le compte des responsables de traitement.

Quels sont vos droits en matière de protection des données ?

Certains droits des personnes, déjà contenus dans la loi informatique et libertés de 1978, sont maintenus :

  • consentement obligatoire : Avant de procéder au recueil et au traitement de données personnelles, le responsable de traitement (RT) doit obtenir le consentement de la personne concernée. Ce droit s’accompagne désormais d’une plus grande transparence ;
  • droit d’accès : Vous êtes en droit de demander à l'académie ou à l'établissement de vous fournir toutes les informations détenues à votre sujet ; il doit vous les fournir dans un délai d’un mois à compter de la réception de la demande ;
  • droit de rectification : Vous êtes en droit de demander à l'académie ou à l'établissement de rectifier, notamment en les complétant ou en les corrigeant, toutes ou certaines informations détenues à votre sujet ;
  • droit d’opposition : Pour certains traitements, vous pouvez vous opposer à ce que des Données à Caractère Personnel vous concernant fassent l’objet d’un traitement.


Ce qui change : Le RGPD renforce et étend les droits du citoyen :

  • transparence : Pour recueillir le consentement de la personne concernée, le responsable de traitement doit l’informer des finalités du traitement et de la durée de conservation des données. La preuve du consentement doit être matérialisée ;
  • portabilité : Les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituées sous forme structurée, exportable et importable sur un service analogue. La portabilité peut être assurée directement d’un fournisseur à un autre ;
  • droit à l’effacement (droit à l’oubli) : Pour certains traitements, vous êtes en droit de demander à l'académie ou à l'établissement de supprimer de ses systèmes toutes les informations détenues à votre sujet ;
  • protection des mineurs de moins de 15 ans : lorsque le mineur est âgé de moins de 15 ans, le consentement au traitement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale, pour les traitements réalisés sur un(des) service(s) de la société de l’information (réseaux sociaux, drives, blog, site web...). Ce double consentement est exigé par la loi "Informatique et libertés" du 14 mai 2018.

Comment exercer vos droits ?

Contacter les responsables de traitements

Pour toute demande concernant vos données personnelles ou pour exercer vos droits, vous pouvez contacter en premier lieu les responsables de traitement de vos données.

Contacter le Délégué à la Protection des Données

Vous souhaitez obtenir des informations sur les traitements de données personnelles gérés par l’académie de Lyon ou exercer vos droits sur les données vous concernant enregistrées dans ces traitements, vous pouvez contacter le délégué à la protection des données par courrier ou par courriel.

  • par courrier signé accompagné de la copie d’un titre d’identité à l'adresse suivante :
    Rectorat de l’académie de Lyon
    À l'attention du délégué à la protection des données (DPD)
    92, rue de Marseille
    69007 Lyon

    Attention : votre courrier devra impérativement préciser les éléments suivants :
    - Une adresse postale ou électronique à laquelle vous souhaitez obtenir les informations demandées.
    - Une attestation précisant votre qualité pour demander l’accès aux données personnelles vous concernant détenue par le rectorat de Lyon (usager, parent, agent) et, le cas échéant, une attestation d’autorité parentale sur vos les enfants en précisant leur nom, prénom, classe et établissement scolaire.
    - Si vous agissez au nom et pour le compte d’un tiers : Vous devrez présenter un courrier précisant l’objet du mandat (exercice du droit d’accès), l’identité du mandant (identité du demandeur qui exerce son droit d’accès à ses données personnelles) et du mandataire (son identité). Vous devrez justifier de votre identité et de celle du demandeur pour lequel vous agissez.
  • Sur place : Un avis de réception daté et signé vous sera remis attestant du dépôt de votre demande. Vous devrez vous présenter muni d’une pièce d’identité.

Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés vous pouvez adresser une réclamation en ligne à la CNIL ou par voie postale.

Ressources

 

Mise à jour : juin 2021