Ladministration et la gestion

Fiche 21 Cration et gestion des traitements de donnes caractre personnel

I - DEFINITIONS

I-1 La notion de donne caractre personnel I-2 La notion de traitements de donnes caractre personnel I-3 Le responsable du traitement de donnes caractre personnel I-4 Les destinataires des donnes caractre personnel I-5 Le correspondant la protection des donnes
II - FORMALITES PREALABLES A LA MISE EN UVRE DES TRAITEMENTS

II-1 La dclaration II-2 La dclaration simplifie de conformit II-3 Les traitements soumis autorisation de la CNIL II-4 Les traitements soumis avis de la CNIL II-5 Les cas o aucune formalit pralable nest obligatoire II-6 Les dispositions matrielles
III - CONTENU ET GESTION DES TRAITEMENTS

III-1 Les finalits III-2 Les catgories de donnes collectes III-3 La dure de conservation des donnes
IV - LES OBLIGATIONS DU CHEF DETABLISSEMENT V - LES DROITS DES ADMINISTRES

V-1 Le droit dinformation des personnes V-2 Le droit dopposition des personnes V-3 Le droit daccs et de rectification des personnes

guide juridique du chef dtablissement novembre 2009 www.education.gouv.fr

page 1

fiche 21

Cration et gestion des traitements de donnes caractre personnel

La loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts a t modifie par la loi n 2004801 du 6 aot 2004 relative la protection des personnes physiques lgard des traitements de donnes caractre personnel. La loi du 6 aot 2004 incorpore au droit franais les objectifs et les principes de la directive 95/46/CE du Parlement europen et du Conseil de lUnion europenne, en date du 24 octobre 1995, relative la protection des personnes physiques lgard des donnes caractre personnel et la libre circulation de ces donnes. Elle est complte par son dcret dapplication n 2005-1309 du 20 octobre 2005 modifi par le dcret n 2007451 du 25 mars 2007. En application des dispositions introduites par la loi du 6 aot 2004 prcite, les missions de la Commission nationale de linformatique et des liberts (CNIL) sont dsormais largies par rapport celles qui lui avaient t fixes lorigine par la loi du 6 janvier 1978. Outre la confirmation de son rle de veiller au respect des dispositions lgislatives et, notamment, au respect des dispositions relatives aux obligations des responsables de traitements de donnes caractre personnel et aux droits des personnes concernes par le recueil de telles donnes, la loi du 6 aot 2004 affirme nettement lindpendance de la CNIL vis- vis de toute autorit, publique ou prive, et amplifie son rle de conseil. La CNIL : instruit les rclamations et plaintes relatives la mise en uvre de traitements ; informe le procureur de la Rpublique des infractions dont elle a connaissance ; a la capacit de prononcer des sanctions : avertissement, sanctions pcuniaires - lexception des traitements mis en uvre par ltat -, dcision dinterruption dun traitement (article 45 nouveau) ; a la capacit de dlivrer un label des produits ou procdures reconnus conformes la loi (article 11 nouveau).

Les dispositions de la loi du 6 janvier 1978 modifie sappliquent dans les tablissements publics locaux denseignement (E.P.L.E.) : ds lors que leurs responsables, principaux ou proviseurs, dcident la cration de fichiers de donnes caractre personnel, quils soient automatiss, ou mme manuels, ils sont tenus de se conformer aux dispositions de la lgislation en vigueur. Retour au sommaire

I - DEFINITIONS

I-1 La notion de donne caractre personnel

La loi du 6 aot 2004 a substitu la notion de donne caractre personnel celle dinformation nominative : cette notion de donnes caractre personnel renvoie toute information relative une personne physique identifie ou qui peut tre identifie, directement ou indirectement, par rfrence un numro didentification ou un ou plusieurs lments qui lui sont propres (article 2 de la loi du 6 janvier 1978 modifie). La possibilit didentifier les personnes physiques nest pas restreinte la seule identification directe par mention des nom et prnom ; la notion de donne caractre personnel doit tre comprise trs largement puisquelle concerne galement lidentification indirecte par mention dun lment spcifique la personne concerne, tel le numro de scurit sociale, le numro de tlphone ou limage lorsque celle-ci fait lobjet dun traitement.

I-2 La notion de traitements de donnes caractre personnel

Les traitements de donnes caractre personnel, quils soient automatiss ou non, sont galement dfinis larticle 2 de la loi du 6 janvier 1978 modifie comme toute opration ou tout ensemble doprations portant sur de telles donnes, quel que soit le procd utilis, et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion
guide juridique du chef dtablissement www.education.gouv.fr novembre 2009

page 2

fiche 21

Cration et gestion des traitements de donnes caractre personnel

ou toute autre forme de mise disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction . La notion de traitements de donnes caractre personnel doit tre comprise trs largement puisquelle vise tout ensemble structur et stable de donnes caractre personnel accessibles selon des critres dtermins , ce qui englobe : les fichiers grs sur un poste informatique autant que les applications informatiques ; les procds automatiss (autocommutateur tlphonique, gestion de badges lectroniques, usage de cartes mmoire) ; les sites web portail donnant accs des services numriques (tels les espaces numriques de travail) ; les dispositifs permettant la conservation dimages numrises (tel un dispositif de vidosurveillance dans lenceinte dun tablissement scolaire cf. annexe 1).

En revanche, les fiches de signalement, qui ont t labores dans le cadre de partenariats locaux entre les services de police et de justice et qui sont renseignes au niveau de ltablissement, en vue dun recensement des incidents qui sy sont produits, le plus souvent suivant la nomenclature utilise par le systme dinformation et de vigilance sur la scurit scolaire (SIVIS), et donc titre anonyme, ne peuvent pas donner lieu un traitement de donnes caractre personnel, quil soit manuel ou automatis, quelque niveau hirarchique que ce soit. En effet, un traitement automatis ou non de fiches de signalement susceptibles de comporter des donnes caractre personnel relatives aux auteurs ou victimes des incidents, vises larticle 26 de la loi du 6 janvier 1978 modifie, ne saurait incomber des services relevant du ministre de lducation nationale. Il est possible, pour le chef dtablissement, dutiliser les fiches de signalement pour informer des actes de violence les plus graves commis lintrieur ou aux abords immdiats des tablissements les services comptents de la police ou de la justice ; toutefois, cest ces seuls services quil appartient de dcider des conditions de leur utilisation, de leur conservation et de leur ventuel traitement.

I-3 Le responsable du traitement de donnes caractre personnel

En application de larticle R. 421-8 du code de lducation, le chef dtablissement est le reprsentant de ltat et lorgane excutif de lE.P.L.E. ; ce titre, il dtient la responsabilit de dcider la cration dun traitement de donnes caractre personnel et de procder aux formalits lies sa dclaration auprs de la CNIL. Indpendamment de la formalit pralable laquelle est soumis tout traitement de donnes caractre personnel, le conseil dadministration, organe dlibrant de lE.P.L.E. peut tre appel dlibrer sur tout projet de traitement concernant le fonctionnement administratif gnral et, en particulier, sur tout projet relatif des questions pdagogiques ou ducatives, conformment aux dispositions des articles R. 421-20 et R. 421-23 du code de lducation. Ds lors que la cration et la mise en uvre dun traitement est arrte, le chef dtablissement est tenu un devoir dinformation de lensemble des personnes intresses par le traitement, lintrieur comme lextrieur de ltablissement (sagissant notamment des parents ou des responsables lgaux des lves), par voie daffichage ou de diffusion dune note dinformation. Par ailleurs, en application de larticle 34 de la loi du 6 janvier 1978 modifie, le chef dtablissement, responsable du traitement, est tenu de prendre toutes prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement, pour prserver la scurit des donnes et notamment empcher quelles soient dformes, endommages, ou que des tiers non autoriss y aient accs. En outre, les chefs dtablissement sont invits promouvoir des actions de sensibilisation des lves aux principes de la protection des donnes caractre personnel, notamment en dcidant la cration de commissions locales informatiques et liberts (CLIL). Ces commissions, auxquelles peuvent participer des reprsentants des lves et des parents, ont vocation tre des lieux de rflexion sur les incidences de lutilisation des nouvelles technologies sur la vie de ltablissement : le dploiement au sein dun tablissement dun espace numrique de travail (E.N.T.) justifie pleinement une telle cration.

I-4 Les destinataires des donnes caractre personnel

guide juridique du chef dtablissement www.education.gouv.fr novembre 2009

page 3

fiche 21

Cration et gestion des traitements de donnes caractre personnel

Les destinataires des donnes traites sont les personnes auxquelles les donnes caractre personnel sont communiques. Elles doivent tre mentionnes dans la dclaration du traitement auprs de la Commission nationale de linformatique et des liberts (CNIL). Dans le cas des dclarations faites dans le cadre de la norme n 29 mentionne ci-aprs (paragraphe II-2), les destinataires des informations sont exclusivement ceux mentionns par cette norme. Toute donne caractre personnel ne peut tre communique des tiers, sauf disposition lgislative contraire, quavec laccord crit de llve lui-mme, lorsque celui-ci en a la capacit, ou de son responsable lgal.

I-5 Le correspondant la protection des donnes

La loi du 6 janvier 1978 modifie prvoit, larticle 22, pour le responsable dun traitement la possibilit de dsigner un correspondant la protection des donnes caractre personnel. Dans cette hypothse, le traitement nest pas soumis aux formalits pralables de dclaration ou de dclaration simplifie de conformit prvues aux articles 23 et 24 de la loi (cf. paragraphes II-1 et II ci-aprs). Pralablement sa notification la CNIL, la dsignation dun correspondant la protection des donnes caractre personnel fait lobjet dune information pralable de linstance reprsentative du personnel comptente, comme le prvoit larticle 45 du dcret du 20 octobre 2005. La dsignation du correspondant prend effet un mois aprs sa notification la CNIL. Cette notification comporte les mentions prvues larticle 43 de ce dcret, en particulier : les coordonnes professionnelles du responsable du traitement et celles du correspondant ; tout lment relatif aux qualifications ou rfrences professionnelles du correspondant ; la nature des liens juridiques entre le correspondant et la personne, lautorit publique, le service ou lorganisme auprs duquel il est appel exercer cette fonction ; les mesures prises par le responsable des traitements en vue de laccomplissement par le correspondant de ses missions en matire de protection des donnes.

A cette notification est annex laccord crit de la personne dsigne en qualit de correspondant. Conformment larticle 46 du dcret du 20 octobre 2005, le correspondant la protection des donnes, qui exerce sa mission directement auprs du responsable du traitement, ne reoit aucune instruction pour lexercice de sa mission. Par ailleurs, conformment aux articles 47 et 48 de ce dcret, le correspondant la protection des donnes caractre personnel dresse la liste des traitements quil doit adresser la CNIL dans les trois mois suivant sa dsignation et assure lactualisation de cette liste, quil tient disposition de toute personne qui en ferait la demande. Dans les conditions fixes aux articles 51 55 du mme texte, la CNIL est, suivant le cas en cause, saisie par le correspondant la protection des donnes caractre personnel ou le responsable du traitement de toute difficult ou de tout manquement du correspondant dans lexercice de ses missions. Dans les acadmies qui ont procd la dsignation dun correspondant la protection des donnes caractre personnel, notamment dans le cadre de projets lis aux espaces numriques de travail, les chefs dtablissement peuvent sadresser ce responsable dsign par le recteur dacadmie qui est habilit assurer une coordination entre les diffrents acteurs concerns. Retour au sommaire

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 4

fiche 21

Cration et gestion des traitements de donnes caractre personnel

II - FORMALITES PREALABLES A LA MISE EN UVRE DES TRAITEMENTS

II-1 La dclaration
En application de larticle 23 de la loi du 6 janvier 1978 modifie, les traitements qui ne sont soumis aucun autre rgime de formalit pralable et nen sont pas dispenss font lobjet dune dclaration comportant notamment les lments numrs au I de larticle 30 de la mme loi : identit et adresse du responsable du traitement ; finalit(s) du traitement ; interconnexion ou mise en relation avec dautres traitements (le cas chant) ; donnes caractre personnel traites ; catgories de personnes concernes par le traitement ; dure de conservation des informations traites ; service(s) charg(s) de la mise en uvre du traitement ; destinataires des donnes ; personne ou service auprs duquel sexerce le droit daccs ; mesures prises pour lexercice de ce droit ; dispositions prises pour assurer la scurit des traitements et des donnes.

Dans ce cas, les dclarations sont adresses la CNIL, ventuellement par voie lectronique (cf. paragraphe II-6 ciaprs). La dlivrance du rcpiss par la CNIL permet au responsable de mettre en uvre le traitement, ce qui ne lexonre daucune de ses responsabilits.

II-2 La dclaration simplifie de conformit

La dclaration simplifie, prvue larticle 24 de la loi du 6 janvier 1978 modifie, concerne les fichiers ou traitements de donnes caractre personnel qui ne sont pas susceptible de porter atteinte la vie prive ou aux liberts. Cest au chef dtablissement quil appartient de procder cette dclaration, ventuellement par voie lectronique, comme indiqu au paragraphe I-3-I pour ce qui concerne les traitements relatifs la gestion administrative, comptable et pdagogique des lves et des tablissements denseignement secondaire du secteur public et du secteur priv sous contrat. Ces traitements ont donn lieu llaboration par la CNIL de la norme n 29, rsultant de la dlibration n 86-115 du 2 dcembre 1986 auxquelles les chefs dtablissement doivent se rfrer, si les donnes contenues dans les fichiers constitus sont destines aux fonctions suivantes : ldition de listes alphabtiques gnrales dlves comportant ventuellement lindication des diplmes obtenus par ces derniers, de certificats de scolarit, de listes de parents dlves ou de leurs responsables lgaux, de listes dlves rpartis par classe, par commune de rsidence et par catgorie (interne, externe, demi-pensionnaire), de listes dlves boursiers et dtiquettes-adresses ; ltablissement de statistiques anonymes relatives ltat gnral des effectifs sur la base des informations limitativement numres (par ladite norme) ; le calcul des droits constats, ldition de factures, le paiement des frais scolaires et le versement des bourses ; le dnombrement des absences des lves ; ldition priodique de bulletins de notes comportant ventuellement le calcul de moyennes, ainsi quun tat rcapitulatif annuel des notes en vue de lorientation et des examens ; les rponses aux obligations dinformation qui incombent aux tablissements scolaires en vertu des textes en vigueur.

Cette norme prcise les catgories dinformations traites, leur dure de conservation et les destinataires des informations.

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 5

fiche 21

Cration et gestion des traitements de donnes caractre personnel

De faon gnrale, dans le cadre des dclarations simplifies, le chef dtablissement, responsable du traitement, peut en assurer sa mise en uvre ds rception du rcpiss de dclaration que lui aura dlivr la CNIL.

II-3 Les traitements soumis autorisation de la CNIL

Certains traitements de donnes, numrs larticle 25 de la loi du 6 janvier 1978 modifie, sont soumis une autorisation pralable de la CNIL. Il sagit, en particulier, des traitements automatiss comportant des apprciations sur les difficults sociales des personnes, des traitements automatiss comportant des donnes biomtriques ncessaires au contrle de lidentit des personnes (cf. annexe 2).

II-4 Les traitements soumis avis de la CNIL

Dautres traitements sont subordonns lintervention dun acte rglementaire et dun avis motiv de la CNIL sur cet acte, lesquels font simultanment lobjet dune publication. Cest le cas des traitements mentionns larticle 26 de la loi du 6 janvier 1978 modifie : traitements de donnes caractre personnel mis en uvre pour le compte de lEtat intressant la sret de lEtat, la dfense ou la scurit publique, autoriss par arrt du ministre comptent aprs avis de la CNIL ; traitements de donnes caractre personnel qui font apparatre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou lappartenance syndicale des personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci, autoriss par dcret en Conseil dEtat pris aprs avis de la CNIL.

Cest galement le cas des traitements prvus larticle 27 de la loi du 6 janvier 1978 modifie : traitements mis en uvre par lEtat portant sur des donnes parmi lesquelles figure le numro dinscription des personnes au rpertoire national didentification des personnes physiques ou tout autre identifiant des personnes physiques, autoriss par dcret en Conseil dEtat pris aprs avis de la CNIL ; traitements crs aux fins de mettre la disposition des usagers de ladministration des tlservices de ladministration lectronique, mentionns au II-4 de cet article, autoriss par arrt du ministre comptent aprs avis de la CNIL, ce qui peut tre le cas pour la mise en uvre dun espace numrique de travail (E.N.T.) (cf. annexe 3).

II-5 Les cas o aucune formalit pralable nest obligatoire

La mise en uvre dun traitement nest pas obligatoirement subordonne lexcution de formalits pralables, notamment lorsquil a pour seul objet la tenue dun registre destin linformation du public relevant de catgories dfinies par la CNIL. Cest le cas des traitements dont la finalit est lexploitation de fichiers dadresses constitus des fins dinformation ou de communication externe se rapportant au but ou lactivit poursuivie par la personne physique ou morale qui met en uvre le traitement, lexclusion de toute sollicitation commerciale : cette dispense de dclaration a fait lobjet de la dlibration de la CNIL n 2006-138 du 9 mai 2006. titre dexemple, cela peut concerner lexploitation dun fichier dadresses permettant au chef dtablissement dadresser un courrier aux personnels affects ltablissement pour les informer dun point particulier, les convier une runion

II-6 Les dispositions matrielles

La CNIL a dfini des modles et les procdures utiliser pour les dclarations de traitement, les demandes davis ou les demandes dautorisation ; celles-ci sont adresses la Commission selon la procdure dfinie larticle 8 du dcret du 20 octobre 2005 modifi (lettre recommande avec demande davis de rception, remise au secrtariat de la Commission contre reu, par voie lectronique avec accus de rception). Ces modles et procdures sont accessibles partir du site internet de la CNIL : http://www.cnil.fr/

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 6

fiche 21

Cration et gestion des traitements de donnes caractre personnel

En cas de modification substantielle dune ou de plusieurs des informations contenues dans un traitement ou dans lhypothse dune suppression du traitement, son responsable doit obligatoirement, en application de larticle 30 de la loi du 6 janvier 1978 modifie, en informer sans dlai la CNIL en utilisant la mme procdure que celle prvue pour la mise en uvre du traitement. Retour au sommaire

III - CONTENU ET GESTION DES TRAITEMENTS

III-1 Les finalits

Les donnes sont, conformment larticle 6 de la loi, collectes pour des finalits dtermines, explicites et lgitimes et doivent tre adquates, pertinentes et non excessives au regard des finalits pour lesquelles elles sont collectes et de leurs traitements ultrieurs. Ds lors quelles permettent lidentification de personnes, leur conservation ne doit pas excder la dure ncessaire aux finalits prvues pour leur traitement. Ce principe vaut pour tout traitement de donnes caractre personnel, quel que soit le mode de collecte de ces donnes.

III-2 Les catgories de donnes collectes

Les donnes traites doivent tre les mmes que celles qui ont fait lobjet de la dclaration, de la demande dautorisation ou davis auprs de la CNIL. Lautorit responsable du traitement de donnes est tenue de complter ou de corriger, mme doffice, les informations caractre personnel quil contient lorsquelle a connaissance de leur inexactitude ou de leur caractre incomplet. Dans le cas dun traitement ayant fait lobjet dune dclaration comportant un engagement de conformit lune des normes simplifies tablies par la CNIL, les informations qui peuvent tre traites sont limites aux lments figurant dans cette norme. Cest le cas notamment des dclarations faites dans le cadre de la norme n 29 susmentionne. Des dispositions spcifiques, figurant larticle 8 de la loi du 6 janvier 1978 modifie, excluent la possibilit de collecter des donnes qui, notamment, feraient apparatre les origines raciales, les opinions politiques, religieuses ou lappartenance syndicale des personnes, ou relatives la sant ou la vie sexuelle de ces dernires. Cette interdiction comporte un certain nombre dexceptions, dont le recueil du consentement exprs des personnes concernes. Dans sa dlibration n 85-050 portant recommandation relative aux modalits de collecte dinformations nominatives en milieu scolaire et dans lensemble du systme de formation, adopte le 22 octobre 1985, la CNIL avait dj considr que le recueil ou la mention dinformations susceptibles de porter atteinte la vie prive des lves ou de leurs familles, en particulier celles relatives la sant ou la vie sexuelle, dune part, de la mention de lappartenance une association de parents dlves, dautre part, tait subordonn laccord crit des personnes concernes. Conformment cette mme dlibration, un traitement automatis, ou non, de rsultats de tests ou dpreuves caractre psychotechnique ou psychologique, doit tre assimil une collecte de donnes caractre personnel et reste subordonn laccord crit de llve, lorsque celui-ci en a la capacit, ou du responsable lgal de llve mineur. Toutefois, si les donnes prcites sont appeles faire lobjet dun procd danonymisation pralablement reconnu conforme aux dispositions de la loi par la CNIL, celle-ci peut autoriser leur traitement.

III-3 La dure de conservation des donnes

De faon gnrale, les donnes ne doivent pas tre conserves sous une forme nominative au-del de la dure prvue dans la dclaration ou lautorisation du traitement. En tout tat de cause, cette dure nest pas uniforme pour tous les traitements ; elle doit tre justifie en fonction des finalits de chaque traitement. Ainsi, sagissant des fichiers dont la dclaration est faite en conformit avec la norme n 29 susmentionne, les dispositions de ladite norme prvoient qu lexception de celles concernant la classe, le groupe, la division
guide juridique du chef dtablissement www.education.gouv.fr novembre 2009

page 7

fiche 21

Cration et gestion des traitements de donnes caractre personnel

frquente et les options suivies au cours de lanne scolaire prcdente qui peuvent tre conserves pendant deux annes scolaires, les donnes relatives la scolarit des lves ainsi qu leur situation financire ne doivent pas tre conserves au-del de lanne scolaire pour laquelle elles ont t enregistres, sauf dispositions lgislatives contraires ; les donnes relatives lidentit de llve ainsi que de son responsable lgal ne doivent pas tre conserves au-del du dpart de llve de ltablissement. Retour au sommaire

IV - LES OBLIGATIONS DU CHEF DTABLISSEMENT

Le chef dtablissement est responsable des traitements mis en uvre au sein de lE.P.L.E. (cf. paragraphe I-3 cidessus). Par ailleurs, sa qualit de reprsentant de lEtat au sein de ltablissement lui confre notamment lobligation de prendre toutes dispositions, en liaison avec les autorits administratives comptentes, pour assurer la scurit des personnes et des biens , en application de larticle R. 421-10 (3) du code de lducation. Le code de lducation ne comporte aucune disposition imposant au chef dtablissement de consulter le conseil dadministration de lE.P.L.E. pralablement la cration dun traitement de donnes caractre personnel. Toutefois, rien ne soppose ce quil linforme de sa dcision avant de procder aux formalits pralables auprs de la CNIL. Par ailleurs, ds lors que la cration et la mise en uvre dun traitement est arrte, le chef dtablissement est tenu de se conformer aux obligations incombant aux responsables des traitements des donnes personnelles et de respecter les droits des personnes lgard de ces traitements, conformment aux articles 32 42 de la loi du 6 janvier 1978 modifie. Il convient de prciser que le chef dtablissement nest cependant tenu laccomplissement daucune formalit pralable lorsquil met en uvre, pour le niveau qui le concerne, un traitement qui a t cr partir dune dcision

prise au niveau ministriel (ce qui est le cas par exemple du traitement relatif au pilotage et la gestion des lves du second degr cr par larrt du 22 septembre 1995 modifi). Retour au sommaire

V - LES DROITS DES ADMINISTRS

Toute personne dont des donnes caractre personnel la concernant sont susceptibles de faire lobjet dun traitement (lves majeurs, responsables lgaux des lves mineurs, personnels enseignant et non enseignant) dispose de droits mentionns ci-aprs.

V-1 Le droit dinformation et le droit dopposition des personnes

La loi du 6 janvier 1978 modifie consacre le droit de toute personne physique de sopposer, pour des motifs lgitimes, ce que des donnes personnelles la concernant fassent lobjet dun traitement. Cest pourquoi les personnes auprs desquelles sont recueillies les donnes caractre personnel conformment larticle 32 de cette loi, tre informes par le responsable du traitement : de la finalit du traitement envisag ; du caractre obligatoire ou facultatif des rponses ; des consquences leur gard dun dfaut de rponse ; des destinataires de ces donnes ; de lexistence des droits daccs, de rectification et dopposition dont elles disposent. doivent,

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 8

fiche 21

Cration et gestion des traitements de donnes caractre personnel

Les chefs dtablissement sont ds lors tenus, dans les conditions fixes larticle 90 du dcret du 20 octobre 2005 modifi, de prendre les mesures appropries pour informer les personnes concernes par le recueil de donnes, lintrieur comme lextrieur de ltablissement (sagissant notamment des parents ou des responsables lgaux des lves), au moyen dune mention sur le questionnaire de collecte, par la remise pralable dun document, par lenvoi dun courrier, par affichage. Dans ce dernier cas, les personnes intresses peuvent, sur demande crite ou orale, recevoir sur un support crit les informations affrentes aux donnes collectes, aux coordonnes du responsable auprs duquel elles peuvent faire valoir leurs droits.

V-2 Le droit dopposition des personnes

Le respect de la mise en uvre de ce droit dinformation pour les personnes concernes permet celles-ci dexercer leur droit dopposition prvu larticle 38 de la loi du 6 janvier 1978 modifie, pour des motifs lgitimes, ce que des donnes les concernant fassent lobjet dun traitement. Ce droit dopposition ne peut cependant sexercer lorsque le traitement rpond une obligation lgale ou lorsque lapplication de ce droit a t carte par une disposition expresse de lacte rglementaire par lequel le traitement a t autoris, ce qui est le cas par exemple du traitement automatis dinformations nominatives relatif au pilotage et la gestion des lves du second degr portant sur trois niveaux : tablissement, acadmique, administration centrale, cr par larrt du 22 septembre 1995 modifi.

V-3 Le droit daccs et de rectification des personnes

Les articles 39 et 40 de la loi du 6 janvier 1978 modifie prvoient pour les personnes physiques un droit daccs et un droit de rectification, de mise jour, de verrouillage ou deffacement des donnes caractre personnel les concernant ds lors quelles estiment ces donnes inexactes, incompltes, quivoques ou primes. La mise en uvre de ce droit auprs du chef dtablissement se fait sous la forme de moyens diffrents : sur place, par voie postale, par courrier lectronique, par un accs en ligne au dossier concern ou par la remise dune copie du document souhait. Le chef dtablissement, aprs avoir vrifi lidentit du demandeur, procde directement la communication des informations sollicites, lexception des informations caractre mdical dont la communication peut seffectuer par lintermdiaire dun mdecin dsign par le demandeur, dans le respect des dispositions de larticle L. 1111-7 du code de la sant publique, conformment aux dispositions de larticle 6-II de la loi n 78-753 du 17 juillet 1978 modifie portant diverses mesures damlioration des relations entre ladministration et le public et diverses dispositions dordre administratif, social et fiscal. Conformment larticle 94 du dcret du 20 octobre 2005 modifi, la communication des informations doit tre ralise dans le dlai de deux mois suivant la rception de la demande prsente, le silence gard pendant plus de deux mois par le responsable du traitement valant dcision de refus. Retour au sommaire

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 9

fiche 21

Cration et gestion des traitements de donnes caractre personnel

ANNEXE 1

La mise en uvre de dispositifs de vidosurveillance dans les tablissements scolaires La qualit de reprsentant de ltat au sein de ltablissement, dont il est lorgane excutif, confre au chef dtablissement lobligation de prendre toutes dispositions, en liaison avec les autorits administratives comptentes, pour assurer la scurit des personnes et des biens , conformment aux dispositions de larticle R. 421-10 (3) du code de lducation. Dans lhypothse o serait dcide la mise en place dun dispositif de vidosurveillance lintrieur dun tablissement scolaire, il rsulte des dispositions du I de larticle 10 de la loi n 95-73 du 21 janvier 1995 modifie dorientation et de programmation relative la scurit que les enregistrements visuels de vidosurveillance utiliss dans des traitements automatiss ou contenus dans des fichiers structurs selon des critres permettant didentifier, directement ou indirectement, des personnes physiques, sont soumis la loi n 78-17 du 6 janvier 1978 modifie. La mise en uvre dun tel dispositif, qui doit respecter le principe de proportionnalit du systme afin de ne pas porter atteinte la vie prive des personnes, relve dune dcision de la part du chef dtablissement, laquelle sera conscutive une dlibration du conseil dadministration comptent sur les questions relatives la scurit , en application de larticle R. 421-20 (7,c) du code de lducation. Une telle dcision relevant du pouvoir rglementaire dont dispose dans ce cas le chef dtablissement, elle implique que les personnes concernes par la mise en place dun dispositif de vidosurveillance (lves majeurs, responsables lgaux des lves mineurs, personnels enseignants ou non enseignants) ne peuvent dans ce cas exercer un droit dopposition. Toutefois, le fait que cette mise en place dans lenceinte de ltablissement scolaire soit soumise aux dispositions de la loi du 6 janvier 1978 modifie implique que le chef dtablissement doit respecter le droit linformation dont disposent lesdites personnes. Ce nest que dans le cas o le systme de vidosurveillance est install aux abords de ltablissement scolaire, sur la voie publique, quil relve de la procdure prvue par le III de larticle 10 de la loi n 95-73 du 21 janvier 1995 dorientation et de programmation relative la scurit qui prvoit linstallation dun tel dispositif aprs autorisation du prfet du dpartement, et Paris, du prfet de police, donne, sauf en matire de dfense nationale, aprs avis dune commission dpartementale prside par un magistrat de lordre judiciaire. Retour au sommaire

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 10

fiche 21

Cration et gestion des traitements de donnes caractre personnel

ANNEXE 2 Donnes biomtriques Utilisation du contour de la main pour laccs au restaurant scolaire En application du I 8 de larticle 25 de la loi n 78-17 du 6 janvier 1978 modifie, tout traitement automatis comportant des donnes biomtriques ncessaires au contrle de lidentit des personnes ne peut tre mis en uvre quaprs autorisation de la Commission nationale de linformatique et des liberts (CNIL). Sagissant plus particulirement des traitements relatifs laccs aux restaurants scolaires, la CNIL a adopt le 27 avril 2006 la dlibration n 2006-103 portant autorisation unique de mise en uvre de traitements automatiss de donnes caractre personnel reposant sur lutilisation dun dispositif de reconnaissance du contour de la main et ayant pour finalit laccs des lves et des personnels au restaurant scolaire. Cette autorisation unique, qui vise les seuls services de restauration scolaire des E.P.L.E. et des tablissements denseignement privs du second degr qui utilisent un dispositif de reconnaissance du contour de la main, permet la mise en uvre des traitements aprs lenvoi la CNIL dun engagement de conformit de ces traitements aux caractristiques dfinies par la dlibration du 27 avril 2006, ce qui impose le respect intgral de ses dispositions. La mise en uvre dun traitement automatis de donnes caractre personnel reposant sur lutilisation dun dispositif de reconnaissance du contour de la main et ayant pour finalit laccs des lves et des personnels au restaurant scolaire peut faire lobjet dune discussion lors dune runion du conseil dadministration de ltablissement puisque, conformment larticle R. 421-23 du code de lducation, celui-ci peut, son initiative, adopter tous vux sur les questions intressant la vie de ltablissement . Toutefois, lacquisition dun systme de reconnaissance du contour de la main permettant laccs au service de restauration scolaire relve de la collectivit territoriale de rattachement. Il rsulte en effet des dispositions de larticle L. 421-23 du code de lducation que le chef dtablissement assure le service de demi-pension conformment aux modalits dexploitation dfinies par la collectivit comptente , conseil gnral pour les collges ou conseil rgional pour les lyces. La mise en place dun dispositif de contrle daccs la cantine scolaire constitue lune de ces modalits ayant pour objet de faciliter la gestion de cet accs. Ainsi, il incombe la collectivit de rattachement de dterminer, par convention signe avec le chef dtablissement, lorganisation gnrale des services de restauration et le mode de gestion auxquels ils sont soumis ; il lui revient galement, en sa qualit de responsable du traitement, deffectuer les formalits pralables imposes par la loi du 6 janvier 1978 prcite et, en particulier, dadresser la CNIL lengagement de conformit mentionn ci-dessus. Cependant, dans la mesure o le chef dtablissement se voit confier le suivi du traitement, il est tenu dinformer les lves majeurs, les reprsentants lgaux des lves mineurs et les personnels de la mise en place dun dispositif de reconnaissance du contour de la main et de leur prciser le droit dont ils disposent de sopposer linformatisation des donnes biomtriques les concernant ou concernant leurs enfants. Dans cette hypothse, les lves ont la possibilit de se voir dlivrer un badge ou tout autre moyen daccs la cantine. Retour au sommaire

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 11

fiche 21

Cration et gestion des traitements de donnes caractre personnel

ANNEXE 3

La mise en uvre dun espace numrique de travail dans les tablissements scolaires En application du II 4 de larticle 27 de la loi n 78-17 du 6 janvier 1978 modifie, tout traitement de donnes caractre personnel mis en uvre par lEtat portant sur des donnes parmi lesquelles figure le numro dinscription des personnes au rpertoire national didentification des personnes physiques ou tout autre identifiant des personnes physiques, notamment dans le cas des traitements crs aux fins de mettre la disposition des usagers de ladministration des tlservices de ladministration lectronique doit tre soumis lavis de la Commission nationale de linformatique et des liberts (CNIL), qui met un avis motiv sur larrt portant cration du traitement. Un espace numrique de travail (E.N.T.) rpond cette dfinition de tlservice de ladministration lectronique : il constitue un site web portail permettant daccder, via un point dentre unique et scuris, un bouquet de services numriques destins lensemble des membres de la communaut ducative de ltablissement (les lves, leurs parents ou responsables lgaux, les enseignants, les personnels administratifs). La CNIL a adopt le 27 avril 2006 la dlibration n 2006-104 portant avis sur le projet darrt ministriel crant un traitement de donnes caractre personnel relatif aux espaces numriques de travail (E.N.T.) : cette dlibration et larrt du 30 novembre 2006 ont t publis au Journal officiel du 13 dcembre 2006. En application de larticle 7 de larrt du 30 novembre 2006, la mise en uvre, au sein de ltablissement, dun E.N.T. est subordonn lenvoi pralable la CNIL dun engagement de conformit cet arrt. Cette dclaration engage le chef dtablissement, responsable du traitement, respecter les dispositions prvues dans larrt et notamment le schma directeur des espaces numriques de travail et ses annexes (S.D.E.T.) tabli par le ministre, les droits des personnes et les mesures ncessaires la protection des donnes caractre personnel. Par ailleurs, la mise en uvre dun E.N.T. mettant en relation les comptences ducatives de plusieurs institutions publiques (lE.P.L.E., les services acadmiques, une collectivit locale dpartement ou rgion -), il est souhaitable, comme le prconise la CNIL, quune convention soit labore entre le chef dtablissement, responsable du traitement, et les diffrents partenaires du projet E.N.T. afin que leurs rles respectifs au sein de ce projet et leurs droits daccs soient prcisment dfinis. Retour au sommaire

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 12

fiche 21

Cration et gestion des traitements de donnes caractre personnel

Textes de rfrence Code de lducation, partie rglementaire : art. R. 421-8, R. 421-10 (3), R. 421-20, R. 421-20 (7c), R. 421-23. Loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts, modifie par la loi n 2004- 801 du 6 aot 2004. Loi n 78-753 du 17 juillet 1978 modifie portant diverses mesures damliorations des relations entre ladministration et le public et diverses dispositions dordre administratif, social et fiscal Dcret n 2005-1309 du 25 octobre 2005 modifi par le dcret n 2007-451du 25 mars 2007 pris pour lapplication de la loi n 78-17 du 6 janvier 1978 modifie.

Commission nationale de linformatique et des liberts (CNIL) 8, rue Vivienne CS 30223 75083 Paris cedex 02 Tlphone : 01 53 73 22 22 Tlcopie : 01 53 73 22 00 http://www.cnil.fr/ Retour au sommaire

guide juridique du chef dtablissement

www.education.gouv.fr

novembre 2009

page 13