Numérique 2019-2021

Guides Pix fusionnés

Ressources Médiacentre - GAR - Gestionnaire d’accès aux ressources RGPD - Règlement général sur la protection des données

Olivier Fourrier – RUPN – PFA Sources : DANE, Académie de Clermont-Ferrand, CNIL, CANOPÉ

Pix Orga 4 ^e 3 ^e Collège Truffaut PROF

Pix au collège : mise en œuvre, accès, suivi

Pix Orga 4 ^e 3 ^e Collège Truffaut ÉLÈVES

Pix pour les 3

et les 4

INFORATION DU 12/11

• Le Résumé

PIX

• Pix : mesurer les compétences numériques

• Fonctionnement de Pix

• Pix au collège : mise en œuvre, accès, suivi

• La certification Pix

Règlement général sur la protection des données (RGPD)

• Règlement général sur la protection des données (RGPD)

• 6 règles de base à suivre pour les enseignants

• Protection des mineurs de moins de 15 ans : la nécessité du « double consentement conjoint » Vision globale des ressources, usages et services numériques au collège

• Vision globale des ressources et services numériques

ANNEXES

• En savoir + sur Pix

• Fiche de positionnement par discipline

• Activation de l’espace Pix-Orga GAR

• Guide utilisation de l’espace Pix-Orga -version-GAR

• RGPD par CANOPE

mesurer les compétences

numériques

de

au collège : mise en

œuvre, accès, suivi

Année scolaire 2019-2020

Novembre 2019

La certification

des données (RGPD)

Qu’est-ce qu’un traitement de données à caractère personnel ?

• Un traitement est une opération ou un ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Qu’est-ce qu’une donnée à caractère personnel ?

• Est considérée comme « donnée à caractère personnel » toute information permettant de faire le lien

directement ou indirectement avec une personne physique. Le texte ne précise pas le type de support

(numérique ou papier) : « Constitue une donnée à caractère personnel toute information relative à une

personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à

un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une

personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son

identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre

personne ». Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de

naissance, mais aussi un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de

véhicule, un numéro de téléphone, une adresse IP, un historique de navigation, une géolocalisation, une

photographie, un avatar…

respect du RGPD pour les enseignants

1. Ne pas publier des données à caractère personnel sans un accord écrit : le « double consentement conjoint » (élève – parents) pour les élèves de moins de 15 ans. Les activités pédagogiques doivent respecter ce consentement ou double consentement si elles conduisent à un traitement de données à caractère personnel sur des réseaux sociaux, des Drives, blogs, sites Web, Webjournal, Webtélé, Webradio… Conserver les accords écrits durant l’année scolaire.

2. Ne pas permettre l’identification ou le lien entre nom, prénom, image, voix, collège… Par conséquent ne jamais mentionner le nom, l’âge, l’adresse sur les publications Internet (attention également au nom du fichier ex : monvoyageàParisEmma.jpeg et non pas monvoyageàParisEmmaGARCIA.jpeg, emmaG5e1collègeTRUFFAUTseignanx). Principe de sécurité et de confidentialité.

3. Ne pas conserver ou publier des données à caractère personnel après la fin de l’année scolaire (sauf autorisation écrite spécifique prolongée). Principe d'une durée de conservation limitée.

4. Retirer du réseau les documents en lien avec des données à caractère personnel de l’année précédente (fichiers avec le nom de l’élève, vidéos, photos, productions diverses impliquant des données personnelles…).

5. Tout fichier écrit ou numérique constitué par un enseignant sur une de ses classes en dehors des applications conformes au RGPD (ENT, Pronote) et regroupant des informations personnelles sur feuille en début d’année par exemple (nom de l’élève, frères et sœurs, profession des parents, situation familiale, loisirs, informations diverses…) est interdit. Principe de finalité : le responsable d'un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime.

6. Malgré le double consentement conjoint, un élève ou un parent pourra refuser ponctuellement la publication publique d’un

document se rapportant aux données personnelles.

• Tout traitement de données concernant les élèves (résultats scolaires, professions des parents, revenus du foyer, pays de naissance, vaccinations, allergies si elles sont conséquentes en milieu scolaire…), parents ou personnels, doit dorénavant être inscrit sur un registre interne à l’école ou à l’établissement, et maintenu à jour.

• La Loi Informatique et libertés du 6 janvier 1978 est ainsi modifiée, dans son article 8, par les lois du 14 mai 2018 et du 20 juin 2018 : « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

• Ainsi les démarches déclaratives auprès de la CNIL restent obligatoires pour le traitement de données

dites sensibles, comme par exemple les données biométriques (empreintes digitales pour le passage à la

cantine) et les vidéos captées par des caméras dans l’enceinte de l’établissement. Sont également sensibles

: l’appartenance syndicale d’un enseignant ou d’un parent à une association (quand elle n’est pas publique),

le régime alimentaire s’il révèle une religion (halal, casher…), la nature d’un handicap, d’une déficience ou

d’une affection, un justificatif d’absence à caractère religieux (ramadan…).

nécessité du « double consentement conjoint »

• L’offre directe de services de la société de l’information pour les mineurs de moins de 15 ans : La nécessité du « double consentement conjoint ». En ce qui concerne les traitements effectués sur un(des) service(s) de la société de l’information, la Loi Informatique et libertés du 14 mai 2018 exige :

 le consentement explicite des élèves de plus de 15 ans.

 le « double consentement conjoint » (élève – parents) pour les élèves de moins de 15 ans. (voir exemple)

 Les activités pédagogiques doivent respecter ce consentement ou double consentement si elles conduisent à un traitement de données à caractère personnel sur des réseaux sociaux, des Drives, blogs, sites Web, Webjournal, Webtélé, Webradio…

 Durée de conservation : Une durée maximale de conservation des données doit être définie. Cette durée varie selon les différents objectifs (en base active) et les éventuelles obligations légales de conservation.

Une fois que l’objectif poursuivi par la collecte des données est atteint, celles-ci doivent être supprimées sur toute la chaîne de sauvegarde, ou bien archivées (en archivage administratif ou définitif), selon les règles les concernant.

• La majorité numérique en France

 La loi « Informatique et liberté » du 14 mai 2018 fixe l’âge de la majorité numérique à 15 ans en France : Un

mineur peut consentir seul à un traitement de données à caractère personnel, à compter de l’âge de quinze

ans. Il peut alors retirer son accord et demander l’effacement de ses données, sauf pour un traitement

d’intérêt public (éducation, santé…).

• Registre de l’établissement : tous les traitements réalisés sur les outils de l’école, du collège ou du lycée – ou fournis par l’établissement - (ordinateur, clé USB, ENT…), ou/et partagés dans le cadre du travail, doivent figurer sur le registre de l’établissement : consigne l’ensemble des données à caractère personnel. https://www.cnil.fr/fr/principes-cles/rgpd-se- preparer-en-6-etapes

• Quelles questions se poser pour chaque collecte en vue de la saisie dans le registre ?

 Questions préalables : Est-ce que mon traitement de données est soumis au RGPD ? Suis-je bien le responsable de traitement

? Est-ce que ma collecte de données est licite et loyale ?

 Qui ? Inscrire les noms et les coordonnées des responsables des traitements et ceux des responsables des mises en œuvre (ministère, rectorat…) et établir la liste des sous-traitants (Index Education EDT, Pronote, prestataire ENT…)

 Quoi ? Identifier les catégories de données traitées et identifier les données susceptibles de soulever des risques en raison de leur sensibilité particulière (données de l’application SAGESSE relatives à la santé ou données biométriques des élèves et personnels, captures de vidéosurveillance…).

 Pourquoi ? Indiquer la ou les finalités du traitement de données (base des élèves, livret scolaire unique numérique, suivi d’acquisition de compétences…).

 Où ? Déterminer le lieu où les données sont hébergées (rectorat, EPLE, DSDEN, sous-traitant…) et indiquer vers quels pays les données sont éventuellement transférées (voyage scolaire, PFMP, Erasmus+…).

 Jusqu’à quand ? Indiquer, pour chaque catégorie de données, combien de temps elles seront conservées.

 Comment ? Préciser les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données.

http://www.ac-clermont.fr/action-educative/numerique-educatif/la-strategie-et-le-pilotage-academique/le-rgpd/se-mettre-en-

conformite/

• Trame du registre

• Trame d’une fiche de registre

• Les professeurs ne peuvent se retrancher derrière leur liberté pédagogique et doivent être transparent à l’égard du responsable des traitements de l’établissement.

• Certains outils utilisés par les enseignants, dans le cadre de leur liberté pédagogique, peuvent conduire à

un traitement de données personnelles de leurs élèves (adresses internet utilisées pour s’inscrire à certains

services…) à reporter sur le registre de l’école ou de l’établissement. De même, un professeur qui transmet

à une plateforme de travail collaboratif (de type Pad hors ENT par exemple) ou par un système de

communication (Skype, MSN, Hangout…) des données d’élèves, doit en informer le responsable des

traitements pour renseigner le registre. Des listes de notes ou de compétences et des données récoltées

auprès de parents, stockées sur un support, même personnel, constituent également un traitement à

répertorier, de manière générique, dans le registre.

traitement des données à caractère personnel ?

Les traitements des données à caractère personnel doivent respecter les règles suivantes :

• Transparence : Le responsable de traitement doit informer, en des termes clairs et simples, aisément compréhensibles par les personnes concernées, de l’utilisation de leurs données à caractère personnel.

• Licéité : Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes :

▫ La personne concernée, ou l’élève mineur (moins de 15 ans) et son responsable parental, a /ont consenti au traitement des données pour la(les) finalité(s) indiquée(s) ;

▫ Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

▫ Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement (éducation, santé…).

• Consentement : Avant de procéder au recueil de données à caractère personnel, le responsable de

traitement doit obtenir le consentement des personnes concernées. La preuve du consentement doit être

matérialisée. Toutefois dans le cadre d'une mission d'intérêt public (éducation, santé…), le

consentement parental n'est pas requis pour pouvoir collecter, traiter et conserver les

données des élèves, dès lors que l'application utilisée est conforme au RGPD. Ainsi, si le

traitement est mis en œuvre par le ministère, un service académique, ou bien le chef

d’établissement ou le DASEN dans l’exercice de leur fonction, ce consentement n’est pas

nécessaire sur les outils de gestion de la vie scolaire, sur le réseau pédagogique de l’école ou

de l’établissement, sur l’ENT et ses différentes fonctionnalités (forums, groupes

collaboratifs…).

PIX

Pix est un service public en ligne d’évaluation, de développement et de certification des

compétences numériques

OSÉ

Offre de Service pour l’Éducation

Espace Numérique de Travail (ENT) c’est un environnement numérique adapté et sécurisé, accès à des ressources numériques pédagogiques, à tous les services numériques utiles pour la communauté éducative et à de nouveaux services (blog, carte mentale, frise chronologique, outils de

collaboration entre classes…).

Le GAR agit tel un filtre sécurisant invisible dans l’espace numérique de travail en garantissant la protection des données à caractère personnel des élèves et des enseignants.

ll permet la diffusion via l'ENT de ressources mises à disposition par différents acteurs (acteurs institutionnels,

collectivités, éditeurs).

et Académiques

Portail qui regroupe les services numériques de l’Éducation Nationale accessibles aux personnels par le biais d’une authentification unique : accès à sa boite aux lettres académique (Webmail), à des applications de vie scolaire (LSU, LSL, Folios, etc.), de gestion du personnel (GAIA, IPROF, SOFIA…), de formation et de partage à distance (M@gistère, Tribu, classes virtuelles…), des outils d’enquête et de pilotage et enfin

l’accès à la plateforme d’assistance Amérana.

l'information et de la communication

Destinée à fournir des indicateurs sur le numérique dans les écoles, collèges et lycées publics. Les données recueillies portent sur les

équipements, l'infrastructure, les moyens humains, les services numériques, la protection

des mineurs, la formation des enseignants et plus globalement tous les aspects numériques qui font l'objet de priorités ministérielles.

CARTOUN

CARTOgraphie des Usages Numériques Service collaboratif de géolocalisation des

usages pédagogiques produits par les enseignants ou par des experts.

Les outils d’OSÉ

Trousse numérique

La trousse numérique permet de créer, seul ou à plusieurs, tous les documents dont on a besoin en classe !

Document

Permet de créer des documents multimédias. Tous les

documents créés s’enregistrent automatiquement dans

le dossier « Mes documents » de la médiathèque. L'outil

"Document" se trouve dans la trousse

numérique.

Carte mentale

Outil permettant à l'élève de construire des cartes mentales, pour lui ou pour

partager ou présenter. L'outil

"carte mentale" se trouve dans la trousse numérique.

Questionnaires

Les questionnaires permettent de créer des quiz avec des QCM, des textes à trous et des

médias. Ils servent notamment de base aux

défis.

Audio

Permet, par l'intermédiaire d'un

micro, de créer des podcasts. Utile par exemple en langue, en lecture, pour réécouter une leçon ou encore pour

insérer un commentaire dans un document multimédias. L'outil

"audio" se trouve dans la trousse numérique.

Médiathèque

Outil central de l'offre de service, elle permet

de stocker les documents recueillis ou créés et de les partager.

Site WEB

Sert à créer un site de présentation avec des rubriques,

des possibilités de contributions, de commentaires,

etc.

Blog

Sert à publier et partager des articles avec photos, vidéos, commentaires,

etc.

Messagerie

Elle permet d’échanger dans

un cadre

sécurisé. Défis

Les défis sont une série de questionnaires sur

un thème. Les élèves peuvent ainsi

s'affronter entre eux ou défier une classe partenaire !

ProNote

Autres liens…

SCHEMATIC

L'application permet d’effectuer un bilan en équipe sur les usages du numérique au sein du

collège.

AMERANA

plateforme d’assistance mutualisée académique

Réseau collège

Règlement général sur la protection des données (RGPD)

Médiacentre

Annexes

En savoir +

Annexes

https://dane.ac-bordeaux.fr/

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

Annexes

1. Accepter l’invitation dans le mail Pix

2. Créer le compte administrateur et accéder à Pix Orga 3. Importer la liste desélèves

4. Gérer l’accès de l’équipe pédagogique

5. Lancer une 1ère campagne de test pour rattacher les

élèves à Pix Orga

● L’établissement reçoit un e- mail de Pix l’ invitant à

rejoindre son espace Pix Orga.

(sur son e-mail ce.UAI@ac-... )

● Le chef d’établissement ou un

. réfé rent dé signé

administrateur clique sur “ Accepter

l ’ invitation ” .

(cette invitation est propre à chaque

é tablissement, et va permettre de rattacher

un administrateur à l ’ espace Pix Orga)

.

Il lit et accepte

les cgu de la

plateforme Pix

Orga.

Dans Pix Orga, le référent clique sur le menu ―Élèves‖, puis sur

importer(.xml)

Il sélectionne le fic ^. hier :

ElevesSansAdresses.xml transmis par l’ équipe

de direction

importé.

Patienter...

Lorsque

l ’ importation est termin é e, un

m ^. essage appara î t.

La liste des élèves est chargée .

À noter : Un seul import est possible pour le

moment.

● L ’é l è ve en se connectant la 1 è re fois à Pix via le GAR obtient un compte Pix .

● Pour permettre l ’association entre ce compte Pix et

Pix Orga, l ’é l è ve devra jouer un 1er parcours cr éé

par le r é f é rent sur Pix Orga (cf. documentation).

devra v é ri fi er les informations

pré-remplies (pr énom, nom) et ajouter sa date de

naissance.

● L ’é l è ve acc è de alors au

. parcours et son compte est rattaché à Pix Orga.

● Lorsque l’él ève jouera d ’ autres parcours, le lien se fera

automatiquement.

Pour ajouter un membre à Pix Orga, le r é f é rent clique sur le bouton

“Inviter un

membre”

r saisit l ’e- mail du futur membre.

Il clique sur le bouton

“Inviter” .

Le membre re ç oit un e-mail

d ’ invitation pour

acc é der à Pix

Orga.

L ’ administrateur suit l ’avancée des invitations et peut

consulter la liste des

membres ayant rejoint Pix

Orga.

mesurer les compétences

numériques

de

au collège Truffaut :

mise en œuvre, accès, suivi

RGPD

• https://eduscol.education.fr/cid129745/referentiel-cnil-formation-donnees-personnelles.html

• https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

COMPRENDRE ETAPPLIQUER

LES NOUVELLES RÉGLEMENTATIONS

DANS LES ÉTABLISSEMENTSSCOLAIRES

L i m i t a t i o n

d e s f i n a l i t é s

e t m i n i m i s a t i o n d e s d o n n é e s

Les données à caractère personnel ne peuvent être traitéesqu’en vued’une finalité déterminée, explicite et légitime au regard des missions de l’établissement.Seules peuvent être collectées les données adéquates et pertinentes au regard de ce qui est nécessaire à la finalité du traite- ment.

Ainsi, la protection dite « privacy by design » estl’idéede protéger les données dès la concep- tion des services, afin d’éviter tout risque juridique ou informatique tandis que la « protection par défaut » entend limiter la quantité de données per- sonnelles traitées, leur accessibilité et leur durée de conservation.

R e n f o r c e m e n t d e l a t r a n s a r e n c e

Les données concernant des personnes peuvent être collectées à la condition essentielle que ces dernières aient été informées de cette opéra- tion.Une information claire, intelligible et aisé- ment accessible aux personnes concernées par les traitements de données, en particulier les enfants, doit être mise en place.Cependant, le recueil du consentementn’estpas toujours requis. En effet, les traitements effectués dans le cadre scolaire, à partir du moment où ils sont néces- saires àl’exécution d’unemission d’intérêtpublic ou relevant del’exercicedel’autoritépublique dont est investi le responsable de traitement, ne néces- sitent pas de consentement préalable. La gestion de la vie scolaire entre dans ce périmètre. Si le

8 LES DONNÉES À CARACTÈRE PERSONNEL

consentement est nécessaire àl’exécution d’un traitement, celui-ci doit être recueilli de manière libre, éclairé et se matérialiser de manière non ambiguë.

R e n f o r c e m e n t d u d r o i t

d e s u s a g e r s

Les personnes disposent de certains droitsqu’elles peuvent exercer auprès de l’organismequi détient les données les concernant : un droitd’accéderà ces données, un droit de les rectifier et enfin un droit des’opposerà leur utilisation.

Sur ce dernier point, il faut préciserqu’untraitement de don- nées à caractère personnel est licite, notamment lorsqu’il est nécessaire à l’exécution d’une mission d’intérêtpublic ou relevant del’exercicedel’auto- rité publique dont est investi le responsable de traitement.

Le droit à la portabilité des données permet à une personne de récupérer les donnéesqu’ellea four- nies sous une forme aisément réutilisable et, le cas échéant, de les transférer ensuite à un tiers.

L’article20 du RGPD prévoit que l’exercice de ce droit ne s’applique pas au traitement nécessaire à l’exercice d’une mission d’intérêt public. Par conséquent, le droit à la portabilité nes’applique pas aux traitements mis en œuvrepar le ministère del’Éducationnationale, les services académiques ou les chefsd’établissement,dès lors que ceux-ci sont mis enœuvredans le cadre de la mission de service public del’éducationqui leur est confiée.

Les associations actives dans le domaine de la protection des droits et libertés des personnes

LES DONNÉES À CARACTÈRE PERSONNEL

d i t e s s e n s i b l e s

Une donnée sensible est une information qui révèle les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appar- tenance syndicale, la santé ou la vie sexuelled’une personne physique. Les données scolaires ne sont donc pas considérées comme des données sen- sibles dans leur ensemble, par contre certaines données scolaires peuvent bien évidemment être des données sensibles. Elles fontl’objet d’unepro- tection légale renforcée ; ainsi leur collecte et leur traitement ne peuvent se faire que dans certains cas très précis et doivent être justifiés au regard des objectifs recherchés (cf. art. 9 du RGPD).

Le responsable de traitement est tenu de prendre les dispositions nécessaires pourpréserver la sécurité des données et notamment empê- cherqu’elles soient déformées, endommagées ou que des personnes non autorisées y aient accès. Des mesures de sécurité physiques, telles que la sécurité des accès aux locaux, ainsi que des mesures de sécurité informatiques (antivi- rus, sécurisation des mots de passe) doivent être mises en place. Ces mesures de sécurité sont à déployer au regard de la nature des données et des risques présentés par letraitement.

1 0 LES DONNÉES À CARACTÈRE PERSONNEL

et ses obligations

Q u ’ e s t - c e q u ’ u n r e s o n s a b l e

d e t r a i t e m e n t ?

Le responsable de traitement est « la personne, l’autoritépublique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Pourl’Édu- cation nationale, ils’agitde la personne morale (et non la personne physique, voir page 11)qui déter- mine la réponse aux deux questions suivantes :

–À quoi va servir le traitement?

–Commentl’objectiffixé sera atteint ?

• q u e l l e s s o n t

• l e s o b l i g a t i o n s d u r e s o n s a b l e d e

t r a i t e m e n t ?

• Ses obligations sont:

– la mise en œuvre de toutes les mesures tech- niques et organisationnelles nécessaires au res- pect de la protection des données personnelles ;

– la tenued’un registredes traitements en rela- tion avec le délégué à la protection des données (voir exemple de registre, p.45) ;

– l’adhésion à des codes de conduite(quand ils existent). Le ministre de l’Éducationnationale a ainsi annoncé, dans son discours du 21 août 2018 à Ludovia, la prochaine créationd’uncode de conduite pourl’Éducationnationale

;

– pour tous les traitements à risque, la conduite d’une étude d’impact complète, faisant appa- raître les caractéristiques du traitement, les risques et les mesures adoptées. Il s’agit notamment des traitements contenant des données dites sen- sibles, des traitements reposant sur « l’évaluation systématique et approfondied’aspectspersonnels des personnes physiques », y compris le profilage (art. 35 du RGPD). La CNIL est chargéed’établirune liste des traitements devant nécessairement faire l’objet d’uneanalysed’impact,ainsi que ceux qui en serontdispensés.

LES DONNÉES À CARACTÈRE PERSONNEL1 1

Au niveau académique

Le recteur (les DASENpar délégation)

Au niveau

du second degré (EPLE)

Le chef d’établissement Au niveau du premier degré

LeDASEN

par délégation du recteur Au niveau ministériel

Le ministre (les directeurs exercent cette responsabilité

par délégation)

Au niveau d’un établis- sement public dépendant du

ministère de l’Éducation nationale (Réseau Canopé,CNED…)

Le directeur général de l’établissement

↓ ↓

↙ ↘

Le périmètre de responsabilité de chaque responsable de traitement est déterminé par les traitements de données dont il a la responsabilité directe.

1 2 LES DONNÉES À CARACTÈRE PERSONNEL de celle-ci, dansl’exécution de ses missions.

En cas deviolation de données à caractère per- sonnel, le responsable de traitement doit entrer en communication avec :

–l’autorité de contrôle (CNIL). Le responsable de traitement notifie la violation en question à l’autoritéde contrôle compétente conformément àl’article55, dans les meilleurs délais et, si pos- sible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptibled’engendrerun risque pour les droits et libertés des personnes physiques. Lorsque la notification àl’autoritéde contrôlen’apas lieu dans les72 heures, elle est accompagnée des motifs duretard ; –la personne concernée.Lorsqu’uneviolation de données à caractère personnel est susceptible d’engendrerun risque élevé pour les droits et liber- tésd’unepersonne physique, le responsable de traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ;

–le DPD académique pourl’en informer.

LES DONNÉES À CARACTÈRE PERSONNEL1 3

à la protection des données

Q u ’ e s t - c e q u ’ u n d é l é g u é l a

r o t e c t i o n d e s d o n n é e s ?

Le délégué à la protection des données (DPD), ou data protection officer en anglais (DPO), est le

« chefd’orchestre» de la conformité en matière de protection des données au sein de son organisme.

La nominationd’unDPD estobligatoire pour toute autorité ou tout organisme public.

q u e l l e s s o n t s e s m i s s i o n s ?

Le délégué à la protection des données est en charge de plusieursmissions.

Veiller au respect du cadre légal : le DPD veille en toute indépendance au respect du RGPD et plus largement del’ensembledes normes applicables par les responsables de traitement ou des sous- traitants en matière de protection des données à caractère personnel. Ses analyses et conseils s’étendentaux sous-traitants et prestataires pre- nant part aux traitements mis en place par les responsables de traitement. Il est obligatoirement consulté avant la mise enœuvre d’unnouveau

et ses missions

traitement ou la modification substantielled’un

traitement en cours et peut faire toute recomman- dation aux responsables de traitement del’admi- nistration centrale des deuxministères.

Sensibiliser, informer et conseiller les écoles, les établissements et l’administration, ainsi que les salariés/agents sur les obligations qui leur incombent en vertu du RGPD et de la loi relative à l’informatique,aux fichiers et aux libertés. Il doit pouvoir organiser des actions de communication, de sensibilisation, de dialogue et de concertation avec l’ensemble de la communauté éducative, y compris, dans une certaine mesure, auprès des élèves et des parents, afin de leur apporter toutes les informations sur leurs droits et sur les garan- ties mises enœuvre.

Contrôler le degré de conformité au RGPD ainsi qu’à l’ensemble des textes applicables, et alerter les responsables de traitement. En cas de man- quement aux obligations légales, le DPD ne peut pas être tenu pour responsable :c’est le respon- sable de traitement (ou le représentant légal) qui devra répondre de ses obligations.

Dispenser des conseilsen ce qui concerne les analysesd’impactrelatives à la protection des données quand elles sont nécessaires et vérifier leurexécution.

Coopérer avec l’autorité de contrôle (la CNIL pour la France) et faire office de point de contact

1 4 LES DONNÉES À CARACTÈRE PERSONNEL

Rédiger et présenter un rapport annuel au ministre ou au recteur suivant son niveau d’intervention.

q u i d é s i g n e l e d é l é g u é

l a r o t e c t i o n d e s d o n n é e s ?

Le DPD est désigné par le responsable de trai- tement. Mais le RGPD laisse la possibilitéd’une mutualisation possible.C’est l’orientationprise par le ministère del’Éducationnationale.

Il est donc proposé aux chefsd’établissement,res- ponsables de traitement pour leur établissement, de mutualiser leur DPD à un niveau académique.

Le ministre de l’Éducation nationale a désigné le DPD de l’administration centrale du ministère. Il est commun avec le ministère de l’Enseignement supérieur, de la Recherche et del’Innovation.

Les responsables de traitement pour les écoles primaires étant les DASEN (par délégation du rec- teur),c’estau niveau académique que la nomina- tion du DPD est décidée. Là aussi, la fonctionpeut être mutualisée.

Chaque recteur a désigné un, parfois deux, DPD pour l’administrationde son académie ou de la région académique qui a, la plupart du temps, dans le champ de ses responsabilités, le périmètre des établissements scolaires et des écoles.

LES DONNÉES À CARACTÈRE PERSONNEL1 5

1.INFORMER LES MEMBRES

DE LA COMMUNAUTÉ ÉDUCATIVE DE SON ÉTABLISSEMENT

Présenter les nouvellesobligations

aux enseignants et aux personnelsadministratifs.

En faire un pointd’informationlors des réunions des représentants légaux des élèves et des délégués de classe.

2.RENSEIGNER LE REGISTRE DE TRAITEMENT

Identifier les traitements opérés dans l’établissement scolaire.

Intégrer les informationsnécessaires

dans le registre de traitement dont le modèle a été proposé parle rectorat.

Mettre en place les moyens de sa mise à disposition.

3.GÉRER

LES RISQUES

Mener une analyse d’impactrelative

à la protection des données (AIPD) si des risques élevés pour les droits et libertés des personnes ont été identifiés.

4.ORGANISER LES PROCESSUS INTERNES

Prendre en comptel’ensemble

des événements qui peuvent survenir au cours de la vied’un traitement (faille de sécurité, modification des données, changement de prestataire,etc.).

1 LES DONNÉES À CARACTÈRE PERSONNEL

et aux données

Même si le programmed’éducationaux médias et àl’information(EMI) au cycle 4 aborde déjà la ques- tion des données personnelles via la compétence

« comprendre ce que sontl’identitéet la trace numé- riques », que les orientations pour les cycles 2 et 3 évoquent l’attention aux traces numériques et que le programmed’enseignementmoral et civique (EMC) au lycée permetd’aborderles questions relatives aux données personnelles, il convient sans doute aujourd’hui d’approfondirla question de la protection des données à caractère personnel en abordant avec les élèves:

–la question de la protection des données à carac- tère personnel ; –la place prise par les algorithmes dans notre société ;

–et plus globalement les dimensions éthiques, sociales et économiques de l’utilisationdes don- nées numériques et de leurstraitements.

De nombreux exemples del’actualitépermettent de le faire.

L’éducationaux médias et à l’information n’estpas affectée à une discipline, ce sont les équipes péda- gogiques qui doivents’enemparer.C’està la fois une force pour permettre de montrer que les enjeux traversent l’ensemble des champs d’études,mais c’estaussi un point de fragilité, car cette diversité d’acteurrend complexe sa mise en œuvre. Aussi, comme le préconise le récent rapport de l’inspec- tion générale sur le sujet (voir «Pour aller plus loin»,

p. 38), les chefsd’établissementdevront renforcer le pilotage de cet enseignement sil’onveut espérer former efficacement les élèves aux enjeux actuels et futurs de la collecte et du traitement des données personnelles. Ils peuvents’appuyerà cette fin sur les équipes du Centre de liaisond’éducationaux médias et àl’information (CLEMI),service de Réseau Canopé.

LES DONNÉES À CARACTÈRE PERSONNEL1 7

35 questions/ réponses sur l’application du RGPD en

établissement

Q u e s t i o n s r e l a t i v e s

a u x u s a g e s é d a g o g i q u e s

1. Un enseignant peut-il ouvrir

un blog hébergé par une entreprise privée pour partager ses cours et des vidéos créées par l u i , et permettre

à ses élèves de travailler chez eux plus facilement, sachant qu’aucune information liée aux élèves n’est mise en ligne?

Si oui, sous quelles conditions?

À titre liminaire, il convient de rappelerqu’unblog est par défaut un site internet accessible à tous. Dans le cadred’uneutilisation à des fins pédagogiques, il peut apparaître souhaitabled’enrestreindrel’accès aux seules personnes autorisées, ce qui implique nécessairement, dans ce cas, la création de comptes utilisateurs avec identifiant et mot de passe, et donc la collecte de données à caractère personnel.

Par ailleurs, si le blog est un outil interactif permet- tant des échanges entre les utilisateurs, notamment pour commenter les publications qui y sont faites, la qualification de traitement de données à caractère personneln’estexclue ques’il n’y a aucune possibilité d’identification directe ou indirecte des personnes qui se connectent ou contribuent sur le blog et si aucune donnée pouvant permettre, directement ou indirecte- ment,l’identificationdes élèvesn’estpubliée.

Un blog constituant un site internet, il est soumis au droit applicable à tout service de communication en ligne telqu’ilest défini dans la loi n°2004-575 du 21 juin 2004 pour la confiance dansl’économie numérique (LCEN) et notamment aux dispositions del’article6 de cette loi, qui ont été précisées par le décret n°2011-219 du 25 février 2011 relatif à la conser- vation et à la communication des données permet- tant d’identifiertoute personne ayant contribué à la créationd’uncontenu mis en ligne.

Ces dispositions font notamment obligation à toute personne physique ou morale assurant le stockage de signaux,d’écrits, d’images,de sons ou de messages pour mise à dis- position du public, de détenir et de conserver pen- dant un an les données de connexion des utilisateurs de nature à permettre l’identification de quiconque a contribué à la création de contenu en ligne. De ce fait, si les élèves ou leurs responsables sont autorisés à intervenir sur le blog, leurs données de connexion devront nécessairement faire l’objet d’un traitement de données à caractèrepersonnel.

Par conséquent, sauf dans l’hypothèse où un ensei- gnant ouvre un blog auquel personne ne peut contribuer et sur lequel aucune donnée à caractère personnel (par exemple la photographied’unélève)n’estmise en ligne, l’ouverture d’unblog dans le cadre scolaire constitue un traitement de données à caractère personnel auquel s’appliquentles dispositions du RGPD du 27 avril 2016

1 8 LES DONNÉES À CARACTÈRE PERSONNEL

et de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique,aux fichiers et aux libertés.

En pratique, ce traitement de données à caractère personnel devra fairel’objet d’une inscription sur le registre del’établissementpublic locald’enseigne- ment (EPLE) qui le met en œuvre ou sur le registre tenu par les directions des services départementaux del’Éducationnationale (DSDEN) ou les rectorats d’académie(en fonction del’organisationchoisie) pour les traitements mis enœuvredans les écoles.

Par ailleurs,l’entrepriseprivée qui héberge les données à caractère personnel doit alors être regardée comme un sous-traitant au sens du RGPD. Par conséquent, une convention de sous-traitance doit être conclue entre l’établissement et cette entreprise, selon les modalités qui sont définies àl’article28 du règlement.

En outre, en application du 2°del’articleR. 421-23 du Code del’éducationqui prévoit que le conseil d’admi- nistration donne son avis sur les principes de choix des manuels scolaires, des logiciels et des outils pédagogiques,l’ouverture d’unblog à des fins péda- gogiques au seind’unEPLE devrait nécessiterl’avis préalable du conseild’administrationavant de pouvoir être inscrit sur le registre des activités de traitement del’établissementscolaire.

Enfin, il est utile de rappeler que toute mise en ligne de photos ou de vidéos dans lesquelles apparaîtraient les élèves nécessited’obtenirpréalablementl’autori- sation de la personne si elle est majeure ou de ses res- ponsables légaux si elle est mineure, en application de l’article9 du Code civil qui dispose que « chacun a droit au respect de sa vie privée ». Il est en effet de juris- prudence constante que le droit au respect de la vie privée permet à toute personne de s’opposerà la dif- fusion, sans son autorisation expresse, de son image.

Les contenus publiés parl’enseignantdoivent éga- lement être libres de droit ou être la propriété de l’enseignant. Si le contenu est protégé par des droits d’auteur détenus par une tierce personne, il convient alors d’obtenir l’autorisationde cette personne avant de le publier.

2. Un enseignant peut-il utiliser en classe un service en ligne

de questionnaires ou d’évaluations nécessitant d’identifier ses élèves, afin d’offrir des parcours et des résultats personnalisés?

Dans la mesure où un tel outil implique nécessaire- mentl’identificationdes élèves et la collected’uncertain nombred’informationsà caractère personnel,

LES DONNÉES À CARACTÈRE PERSONNEL1 œuvre, faire l’objet d’une analyse au regard de la réglementation applicable en

matière de protection des données personnelles, avec l’appui du délégué à la protection des données (DPD), et d’une inscription sur le registre d’activités de traitement par le responsable de traitement, à savoir le directeur académique des services de l’Éducation nationale (DASEN) agissant par délégation du recteur d’académiepour les traitements mis enœuvredans les écoles, et le chefd’établisse- ment pour les traitements mis en œuvre dans les éta- blissements publics d’enseignementdu second degré.

Dans les établissements du second degré,l’utilisation d’untel outil pédagogique sera par ailleurs soumise à l’avispréalable du conseild’administration,en applica- tion du 2°del’articleR. 421-23 du Code del’éducation.

Dansl’hypothèseoù le fournisseur du service en ligne serait amené à traiter ou à héberger des données, un contrat de sous-traitance doit également être établi entre le responsable de traitement et ce fournisseur, dans les conditions prévues parl’article 28 du RGPD.

Une attention particulière doit aussi être accordée dans le choix de ces outils en ligne.

Beaucoupd’entreeux reposent en effet sur une analyse des tracesd’appren- tissage et des comportements des élèves, appelées

« learning analytics », qui pourrait être qualifiée de

« traitement de profilage », dont la mise enœuvreest particulièrement encadrée par les dispositionsdu RGPD.

Il convient par ailleurs des’assurerque les données des élèves ne seront pas utilisées ultérieurement par les fournisseurs de services pour une finalité autre que celle définie par le responsable de traitement.

Les personnes concernées par le traitement (les élèves et leurs responsabless’ils sont mineurs) devront, en outre, être dûment informées par le responsable de traitement des caractéristiques de ce traitement dans les conditions prévues par les articles 13 et 14du RGPD.

L’utilisation d’uneapplication de réseau social en classe entraîne nécessairement la mise enœuvre d’un traitement de données à caractère personnel au sens du RGPD et de la loi n°78-17 du 6 janvier 1978 modifiée relative àl’informatique,aux fichiers et aux libertés.

Pour pouvoir mettre enœuvreun tel traitement, il convient donc, en premier lieu, que le responsable de traitement puisse justifier que ce traitement est nécessaire à l’exercice d’unemissiond’intérêtpublic ou relève del’exercicedel’autoritépublique dont il est investi, au sens du e) du 1 del’article6 du RGPD. End’autrestermes, il faut pouvoir être en mesure de justifier quel’utilisation d’unetelle application entre pleinement dans le champ du service public du numérique éducatif défini àl’article L. 131-2 du Code del’éducation.

Si teln’estpas le cas, pour que le traitement soit licite, il est nécessaire de recueillir le consentement des personnes concernées en application du a) du 1 de l’article6 du RGPD. Conformément aux dispositions del’article7-1 de la loi du 6 janvier 1978 issu de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, il convient ainsid’obtenirle consentement du mineurs’ilest âgé de quinze ans ou plus ou le consentement du mineur et des titulaires de l’autoritéparentales’ilest âgé de moins de quinze ans.

Il paraît toutefois difficile de recueillir le consente- ment des mineurs, quel que soit leur âge, dans le cadre scolaire. En effet, le 11) del’article4 du RGPD précise que le consentement consiste en une « mani- festation de volonté libre, spécifique, éclairée et uni- voque, par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassentl’objet d’untraitement ». Or, il est permis de s’interrogersur la question de savoir si, dans le cadre scolaire, l’élève peut être regardé comme donnant valablement son consentement compte tenu de l’au- torité qu’exerce sur lui l’enseignantqui proposel’utili- sationd’uneapplication numérique enclasse.

2 0 LES DONNÉES À CARACTÈRE PERSONNEL

En tout état de cause,qu’ilsoit mis enœuvresur le fondement du consentement de la personne concer- née ou de l’exercice d’une mission d’intérêt public, tout traitement de données à caractère personnel mis en place au seind’uneécole ou d’unétablissement public du second degré doit être regardé comme étant sous la responsabilité du DASEN agissant par déléga- tion du recteurd’académiedans le premier degré et du chefd’établissementdans le second degré.

Or, conformément aux dispositions de l’article 4 du RGPD, le responsable de traitement doit être en capacité de déterminer les finalités et les moyens du traitement. Cependant, les conditions générales d’utilisation (CGU) des réseaux sociaux sont le plus souvent élaborées unilatéralement par le fournisseur de services et ne permettent pas au DASEN ou au chef d’établissement d’exercerle moindre contrôle sur le traitement de données qu’il met en œuvre dans son établissement, ce quin’estpas conforme à la régle- mentation applicable.

Aussi, pour pouvoir utiliser un réseau social dans le cadre scolaire, ou tout autre service numérique en ligne, il est nécessaire que les conditions générales d’utilisationdu service fassentl’objet d’uncontrôle par les services du ministère ou du rectoratd’académieet présentent des garanties suffisantes, notamment en termes de sécurité des données. Il convient notam- ment que les fournisseurs de services acceptent d’avoirla qualité de sous-traitants et de ne pouvoir traiter ou héberger les données que sur instruction du responsable de traitement. En dehorsd’untel cadre, qui implique donc des CGU spécifiques négociées par les services du ministère, dites

« CGU éducation », il ne paraît pas possible pour le chefd’établissement ou le DASEN de garantir aux élèves et à leurs respon- sables que les servicesqu’ilsmettent en œuvreau sein del’établissementscolaire respectent les condi- tions de sécurité adéquates en matière de protection des données à caractère personnel et les droits des personnes concernées.

4. Un enseignant peut-il ouvrir

un compte nominatif pour ses élèves sur un service de messagerie,

une plateforme de travail coopératif ou de stockage et d’échange

de documents développés par une entreprise privée et, s i oui, quelles sont les règles à respecter dans

ce domaine ?

Dès lorsqu’unenseignant ouvre un compte nominatif permettant ainsid’identifierles élèves avec leurs nom et prénom, il met en œuvreun traitement de données à caractère personnel.L’utilisationde ces services entraîned’ailleursla collecte et le traitementd’autres données à caractère personnel, telles que des photos ou des productionsscolaires.

Par conséquent, les mêmes considérations que celles qui ont été décrites précédemments’appliquentà ces traitements, à savoir :

–pouvoir justifier que le traitement est nécessaire à l’exécution d’unemission de service public ou recueil- lir le consentement des personnes concernées, avec toutes les réserves déjà rappelées précédemment ;

–s’assurerque les conditions généralesd’utilisation permettent au responsable de traitement (DASEN ou chefd’établissement)de garder la maîtrise des don- nées à caractère personnel collectées ;

–s’assurer que le service ou la plateforme présente les garanties suffisantes, notamment en termes de sécurité.

Le traitement fait par ailleurs l’objetdes mêmes obli- gations d’inscriptionsur le registre des activités de traitement et des modalités d’informationprévues aux articles 13 et 14du RGPD.

LES DONNÉES À CARACTÈRE PERSONNEL2 1 Des élèves eux-mêmes?

Toute mise en ligne de photos ou de vidéos dans les- quelles apparaîtraient des élèves nécessited’obtenir préalablementl’autorisationdel’élève s’ilest majeur ou de ses responsabless’ilest mineur en application de l’article9 du Code civil qui dispose que « chacun a droit au respect de sa vie privée ». Il est en effet de jurispru- dence constante que le droit au respect de la vie privée permet à toute personne des’opposer à la diffusion, sans son autorisation expresse, de son image.

L’autorisationde diffusion doit être écrite, spéciale et suffisamment précise quant aux conditionsd’utilisa- tion del’enregistrementou de la photo, de la durée de publication et du territoired’exploitationconcerné. L’autorisationétant spéciale, toute utilisation dif- férente de celle qui a été autorisée par la personne nécessite une nouvelleautorisation.

Il est, par conséquent, possible de publier sur le site internet del’établissementdes photographies ou enregistrements qui illustrent une activité pédago- gique telle qu’unesortie scolaire, sous réserve que les élèves pour lesquelsl’autorisationde diffusionn’apas été obtenuen’apparaissentpas ou soient « floutés ».

Dans un souci de protection des élèves, il est toute- fois grandement préférable de privilégier une publica- tion sur un site intranet ou sur un site disposantd’un accès restreint plutôt que sur un site internet.

Par ailleurs,l’image d’unepersonne constituant une donnée à caractère personnel dès lorsqu’elle se rap- porte à une personne identifiée ou identifiable, un site internet ou intranet sur lequel sont publiées des photos et des vidéos d’élèves constitue un traitement de données à caractère personnel soumis aux dispo- sitions du RGPD du 27 avril 2016 et à la loi n°78-17 du

convient dès lors de veiller à ce que les traitements de données à caractère personnel relatifs à la mise enœuvrepar un établissement scolaired’unsite intranet ou inter- net fassent l’objet d’une inscription sur le registre du responsable de traitement (le DASEN sur délégation du recteurd’académiedans le premier degré ou le chefd’établissementdans le second degré) etd’une information des personnes concernées dans les conditions prévues par les articles 13et 14 du RGPD.

Si l’établissement a recours à une entreprise privée pour l’hébergement ou le transfert des données, cette entreprise doit être considérée comme un sous-trai- tant au regard de la réglementation applicable en matière de droit des données à caractère personnel. Un contrat de sous-traitance doit donc être conclu dans les conditions prévues parl’article28 du RGPD.

6. Des enseignants peuvent-ils échanger sur une messagerie, personnelle ou privée, au sujet d’un élève?

Les échanges effectués par un enseignant par le biais d’unemessagerie personnelle ou privée relèvent de sa vie personnelle. En application du c) du 2 del’ar- ticle 2 du RGPD du 27 avril 2016, le règlementn’est pas applicable aux traitements de données à carac- tère personnel effectués par une personne physique dans le cadred’une activité strictement personnelle ou domestique.

Une messagerie privée n’est donc pas un traitement de données à caractère personnel soumis aux dispo- sitions du RGPD.

2 2 LES DONNÉES À CARACTÈRE PERSONNEL

Un traitement de données à caractère personnel ne peut pas être mis en œuvre sans que les disposi- tions du RGPD du 27 avril 2016 et de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés aient été respectées, notam- mentl’inscriptiondu traitement sur le registre des activités de traitement prévu àl’article 30 du RGPD. Dans ces conditions, le responsable de traitement (le DASEN sur délégation du recteur dans le premier degré et le chef d’établissementdans le second degré) doit être informé des applications numériques utilisées en classe avec les élèves si celles-ci génèrent la mise en œuvre d’un traitement de données à caractère personnel. Il convient de rappeler qu’en application du 1 del’article24 du RGPD, le responsable de trai- tement « met en œuvredes mesures techniques et organisationnelles appropriées pours’assureret être en mesure de démontrer que le traitement est effec- tué conformément au […]

règlement».

La liberté pédagogique del’enseignantest enca- drée : comme le rappellel’articleL.

912-1-1 du Code del’éducation,elles’exerce« dans le respect des programmes et des instructions du ministre chargé del’Éducationnationale et dans le cadre du projet d’écoleoud’établissementavec le conseil et sous le contrôle des membres des corpsd’inspection».

Dans le second degré,l’articleR. 421-23 du Code de l’éducationprécised’ailleursque le conseild’admi- nistration, sur saisine du chefd’établissement,donne notamment son avis « sur les principes de choix des logiciels et desoutils pédagogiques ».

L’enseignantest donc libre de choisir les outils péda- gogiquesqu’ilsouhaite utiliser dans le cadre de sa mission éducative, mais le conseil d’administration de l’établissementpublic locald’enseignement(EPLE) est appelé à émettre un avis sur les principes qui guident ses choix.

8. Pour les enseignements professionnels, les professeurs ont à choisir des solutions numériques liées au métier auquel prépare la

formation. La plupart de ces solutions sont aujourd’hui proposées en ligne par les éditeurs. Les élèves (ou étudiants) sont susceptibles de les utiliser sous leur propre identité.

Quels sont les points de vigilance auxquels sensibiliser les professeurs pour les aider dans leur choix ?

Dans la mesure où les élèves utilisent leur nom, un identifiant ou encore une adresse électronique pour accéder au service proposé, ces solutions numé- riques constituent des traitements de données à caractère personnel au sens du RGPD du 27 avril 2016 entré en vigueur le 25 mai 2018 et de la loi n°78-17 du 6 janvier 1978 modifiée relative àl’informatique,aux fichiers et aux libertés.

Par conséquent, comme tout traitement de données à caractère personnel mis en œuvredans un établis- sement scolaire, il doit fairel’objet d’uneanalyse au regard de la réglementation applicable en matière de protection des données personnelles avecl’appuidu délégué à la protection des données (DPD) etd’uneins- cription sur le registre des activités de traitement tenu par le responsable de traitement, à savoir le chefd’éta- blissement dans les établissements du second degré.

Dans le cas où les solutions numériques sont gérées par un prestataire de service, celui-ci doit être regardé commeun sous-traitantau sens del’article28 du RGPD.

Un contrat doit donc être conclu entre le responsable de traitement et ce prestataire dans les conditions prévues parl’article28 duRGPD.

Le responsable de traitement doit en effet être en mesure des’assurerque le sous- traitant présente des