Professional Documents
Culture Documents
I-1 La notion de donne caractre personnel I-2 La notion de traitements de donnes caractre personnel I-3 Le responsable du traitement de donnes caractre personnel I-4 Les destinataires des donnes caractre personnel I-5 Le correspondant la protection des donnes
II - FORMALITES PREALABLES A LA MISE EN UVRE DES TRAITEMENTS
II-1 La dclaration II-2 La dclaration simplifie de conformit II-3 Les traitements soumis autorisation de la CNIL II-4 Les traitements soumis avis de la CNIL II-5 Les cas o aucune formalit pralable nest obligatoire II-6 Les dispositions matrielles
III - CONTENU ET GESTION DES TRAITEMENTS
III-1 Les finalits III-2 Les catgories de donnes collectes III-3 La dure de conservation des donnes
IV - LES OBLIGATIONS DU CHEF DETABLISSEMENT V - LES DROITS DES ADMINISTRES
V-1 Le droit dinformation des personnes V-2 Le droit dopposition des personnes V-3 Le droit daccs et de rectification des personnes
page 1
fiche 21
La loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts a t modifie par la loi n 2004801 du 6 aot 2004 relative la protection des personnes physiques lgard des traitements de donnes caractre personnel. La loi du 6 aot 2004 incorpore au droit franais les objectifs et les principes de la directive 95/46/CE du Parlement europen et du Conseil de lUnion europenne, en date du 24 octobre 1995, relative la protection des personnes physiques lgard des donnes caractre personnel et la libre circulation de ces donnes. Elle est complte par son dcret dapplication n 2005-1309 du 20 octobre 2005 modifi par le dcret n 2007451 du 25 mars 2007. En application des dispositions introduites par la loi du 6 aot 2004 prcite, les missions de la Commission nationale de linformatique et des liberts (CNIL) sont dsormais largies par rapport celles qui lui avaient t fixes lorigine par la loi du 6 janvier 1978. Outre la confirmation de son rle de veiller au respect des dispositions lgislatives et, notamment, au respect des dispositions relatives aux obligations des responsables de traitements de donnes caractre personnel et aux droits des personnes concernes par le recueil de telles donnes, la loi du 6 aot 2004 affirme nettement lindpendance de la CNIL vis- vis de toute autorit, publique ou prive, et amplifie son rle de conseil. La CNIL : instruit les rclamations et plaintes relatives la mise en uvre de traitements ; informe le procureur de la Rpublique des infractions dont elle a connaissance ; a la capacit de prononcer des sanctions : avertissement, sanctions pcuniaires - lexception des traitements mis en uvre par ltat -, dcision dinterruption dun traitement (article 45 nouveau) ; a la capacit de dlivrer un label des produits ou procdures reconnus conformes la loi (article 11 nouveau).
Les dispositions de la loi du 6 janvier 1978 modifie sappliquent dans les tablissements publics locaux denseignement (E.P.L.E.) : ds lors que leurs responsables, principaux ou proviseurs, dcident la cration de fichiers de donnes caractre personnel, quils soient automatiss, ou mme manuels, ils sont tenus de se conformer aux dispositions de la lgislation en vigueur. Retour au sommaire
I - DEFINITIONS
page 2
fiche 21
ou toute autre forme de mise disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction . La notion de traitements de donnes caractre personnel doit tre comprise trs largement puisquelle vise tout ensemble structur et stable de donnes caractre personnel accessibles selon des critres dtermins , ce qui englobe : les fichiers grs sur un poste informatique autant que les applications informatiques ; les procds automatiss (autocommutateur tlphonique, gestion de badges lectroniques, usage de cartes mmoire) ; les sites web portail donnant accs des services numriques (tels les espaces numriques de travail) ; les dispositifs permettant la conservation dimages numrises (tel un dispositif de vidosurveillance dans lenceinte dun tablissement scolaire cf. annexe 1).
En revanche, les fiches de signalement, qui ont t labores dans le cadre de partenariats locaux entre les services de police et de justice et qui sont renseignes au niveau de ltablissement, en vue dun recensement des incidents qui sy sont produits, le plus souvent suivant la nomenclature utilise par le systme dinformation et de vigilance sur la scurit scolaire (SIVIS), et donc titre anonyme, ne peuvent pas donner lieu un traitement de donnes caractre personnel, quil soit manuel ou automatis, quelque niveau hirarchique que ce soit. En effet, un traitement automatis ou non de fiches de signalement susceptibles de comporter des donnes caractre personnel relatives aux auteurs ou victimes des incidents, vises larticle 26 de la loi du 6 janvier 1978 modifie, ne saurait incomber des services relevant du ministre de lducation nationale. Il est possible, pour le chef dtablissement, dutiliser les fiches de signalement pour informer des actes de violence les plus graves commis lintrieur ou aux abords immdiats des tablissements les services comptents de la police ou de la justice ; toutefois, cest ces seuls services quil appartient de dcider des conditions de leur utilisation, de leur conservation et de leur ventuel traitement.
page 3
fiche 21
Les destinataires des donnes traites sont les personnes auxquelles les donnes caractre personnel sont communiques. Elles doivent tre mentionnes dans la dclaration du traitement auprs de la Commission nationale de linformatique et des liberts (CNIL). Dans le cas des dclarations faites dans le cadre de la norme n 29 mentionne ci-aprs (paragraphe II-2), les destinataires des informations sont exclusivement ceux mentionns par cette norme. Toute donne caractre personnel ne peut tre communique des tiers, sauf disposition lgislative contraire, quavec laccord crit de llve lui-mme, lorsque celui-ci en a la capacit, ou de son responsable lgal.
A cette notification est annex laccord crit de la personne dsigne en qualit de correspondant. Conformment larticle 46 du dcret du 20 octobre 2005, le correspondant la protection des donnes, qui exerce sa mission directement auprs du responsable du traitement, ne reoit aucune instruction pour lexercice de sa mission. Par ailleurs, conformment aux articles 47 et 48 de ce dcret, le correspondant la protection des donnes caractre personnel dresse la liste des traitements quil doit adresser la CNIL dans les trois mois suivant sa dsignation et assure lactualisation de cette liste, quil tient disposition de toute personne qui en ferait la demande. Dans les conditions fixes aux articles 51 55 du mme texte, la CNIL est, suivant le cas en cause, saisie par le correspondant la protection des donnes caractre personnel ou le responsable du traitement de toute difficult ou de tout manquement du correspondant dans lexercice de ses missions. Dans les acadmies qui ont procd la dsignation dun correspondant la protection des donnes caractre personnel, notamment dans le cadre de projets lis aux espaces numriques de travail, les chefs dtablissement peuvent sadresser ce responsable dsign par le recteur dacadmie qui est habilit assurer une coordination entre les diffrents acteurs concerns. Retour au sommaire
www.education.gouv.fr
novembre 2009
page 4
fiche 21
II-1 La dclaration
En application de larticle 23 de la loi du 6 janvier 1978 modifie, les traitements qui ne sont soumis aucun autre rgime de formalit pralable et nen sont pas dispenss font lobjet dune dclaration comportant notamment les lments numrs au I de larticle 30 de la mme loi : identit et adresse du responsable du traitement ; finalit(s) du traitement ; interconnexion ou mise en relation avec dautres traitements (le cas chant) ; donnes caractre personnel traites ; catgories de personnes concernes par le traitement ; dure de conservation des informations traites ; service(s) charg(s) de la mise en uvre du traitement ; destinataires des donnes ; personne ou service auprs duquel sexerce le droit daccs ; mesures prises pour lexercice de ce droit ; dispositions prises pour assurer la scurit des traitements et des donnes.
Dans ce cas, les dclarations sont adresses la CNIL, ventuellement par voie lectronique (cf. paragraphe II-6 ciaprs). La dlivrance du rcpiss par la CNIL permet au responsable de mettre en uvre le traitement, ce qui ne lexonre daucune de ses responsabilits.
Cette norme prcise les catgories dinformations traites, leur dure de conservation et les destinataires des informations.
www.education.gouv.fr
novembre 2009
page 5
fiche 21
De faon gnrale, dans le cadre des dclarations simplifies, le chef dtablissement, responsable du traitement, peut en assurer sa mise en uvre ds rception du rcpiss de dclaration que lui aura dlivr la CNIL.
Cest galement le cas des traitements prvus larticle 27 de la loi du 6 janvier 1978 modifie : traitements mis en uvre par lEtat portant sur des donnes parmi lesquelles figure le numro dinscription des personnes au rpertoire national didentification des personnes physiques ou tout autre identifiant des personnes physiques, autoriss par dcret en Conseil dEtat pris aprs avis de la CNIL ; traitements crs aux fins de mettre la disposition des usagers de ladministration des tlservices de ladministration lectronique, mentionns au II-4 de cet article, autoriss par arrt du ministre comptent aprs avis de la CNIL, ce qui peut tre le cas pour la mise en uvre dun espace numrique de travail (E.N.T.) (cf. annexe 3).
www.education.gouv.fr
novembre 2009
page 6
fiche 21
En cas de modification substantielle dune ou de plusieurs des informations contenues dans un traitement ou dans lhypothse dune suppression du traitement, son responsable doit obligatoirement, en application de larticle 30 de la loi du 6 janvier 1978 modifie, en informer sans dlai la CNIL en utilisant la mme procdure que celle prvue pour la mise en uvre du traitement. Retour au sommaire
page 7
fiche 21
frquente et les options suivies au cours de lanne scolaire prcdente qui peuvent tre conserves pendant deux annes scolaires, les donnes relatives la scolarit des lves ainsi qu leur situation financire ne doivent pas tre conserves au-del de lanne scolaire pour laquelle elles ont t enregistres, sauf dispositions lgislatives contraires ; les donnes relatives lidentit de llve ainsi que de son responsable lgal ne doivent pas tre conserves au-del du dpart de llve de ltablissement. Retour au sommaire
prise au niveau ministriel (ce qui est le cas par exemple du traitement relatif au pilotage et la gestion des lves du second degr cr par larrt du 22 septembre 1995 modifi). Retour au sommaire
www.education.gouv.fr
novembre 2009
page 8
fiche 21
Les chefs dtablissement sont ds lors tenus, dans les conditions fixes larticle 90 du dcret du 20 octobre 2005 modifi, de prendre les mesures appropries pour informer les personnes concernes par le recueil de donnes, lintrieur comme lextrieur de ltablissement (sagissant notamment des parents ou des responsables lgaux des lves), au moyen dune mention sur le questionnaire de collecte, par la remise pralable dun document, par lenvoi dun courrier, par affichage. Dans ce dernier cas, les personnes intresses peuvent, sur demande crite ou orale, recevoir sur un support crit les informations affrentes aux donnes collectes, aux coordonnes du responsable auprs duquel elles peuvent faire valoir leurs droits.
www.education.gouv.fr
novembre 2009
page 9
fiche 21
ANNEXE 1
La mise en uvre de dispositifs de vidosurveillance dans les tablissements scolaires La qualit de reprsentant de ltat au sein de ltablissement, dont il est lorgane excutif, confre au chef dtablissement lobligation de prendre toutes dispositions, en liaison avec les autorits administratives comptentes, pour assurer la scurit des personnes et des biens , conformment aux dispositions de larticle R. 421-10 (3) du code de lducation. Dans lhypothse o serait dcide la mise en place dun dispositif de vidosurveillance lintrieur dun tablissement scolaire, il rsulte des dispositions du I de larticle 10 de la loi n 95-73 du 21 janvier 1995 modifie dorientation et de programmation relative la scurit que les enregistrements visuels de vidosurveillance utiliss dans des traitements automatiss ou contenus dans des fichiers structurs selon des critres permettant didentifier, directement ou indirectement, des personnes physiques, sont soumis la loi n 78-17 du 6 janvier 1978 modifie. La mise en uvre dun tel dispositif, qui doit respecter le principe de proportionnalit du systme afin de ne pas porter atteinte la vie prive des personnes, relve dune dcision de la part du chef dtablissement, laquelle sera conscutive une dlibration du conseil dadministration comptent sur les questions relatives la scurit , en application de larticle R. 421-20 (7,c) du code de lducation. Une telle dcision relevant du pouvoir rglementaire dont dispose dans ce cas le chef dtablissement, elle implique que les personnes concernes par la mise en place dun dispositif de vidosurveillance (lves majeurs, responsables lgaux des lves mineurs, personnels enseignants ou non enseignants) ne peuvent dans ce cas exercer un droit dopposition. Toutefois, le fait que cette mise en place dans lenceinte de ltablissement scolaire soit soumise aux dispositions de la loi du 6 janvier 1978 modifie implique que le chef dtablissement doit respecter le droit linformation dont disposent lesdites personnes. Ce nest que dans le cas o le systme de vidosurveillance est install aux abords de ltablissement scolaire, sur la voie publique, quil relve de la procdure prvue par le III de larticle 10 de la loi n 95-73 du 21 janvier 1995 dorientation et de programmation relative la scurit qui prvoit linstallation dun tel dispositif aprs autorisation du prfet du dpartement, et Paris, du prfet de police, donne, sauf en matire de dfense nationale, aprs avis dune commission dpartementale prside par un magistrat de lordre judiciaire. Retour au sommaire
www.education.gouv.fr
novembre 2009
page 10
fiche 21
ANNEXE 2 Donnes biomtriques Utilisation du contour de la main pour laccs au restaurant scolaire En application du I 8 de larticle 25 de la loi n 78-17 du 6 janvier 1978 modifie, tout traitement automatis comportant des donnes biomtriques ncessaires au contrle de lidentit des personnes ne peut tre mis en uvre quaprs autorisation de la Commission nationale de linformatique et des liberts (CNIL). Sagissant plus particulirement des traitements relatifs laccs aux restaurants scolaires, la CNIL a adopt le 27 avril 2006 la dlibration n 2006-103 portant autorisation unique de mise en uvre de traitements automatiss de donnes caractre personnel reposant sur lutilisation dun dispositif de reconnaissance du contour de la main et ayant pour finalit laccs des lves et des personnels au restaurant scolaire. Cette autorisation unique, qui vise les seuls services de restauration scolaire des E.P.L.E. et des tablissements denseignement privs du second degr qui utilisent un dispositif de reconnaissance du contour de la main, permet la mise en uvre des traitements aprs lenvoi la CNIL dun engagement de conformit de ces traitements aux caractristiques dfinies par la dlibration du 27 avril 2006, ce qui impose le respect intgral de ses dispositions. La mise en uvre dun traitement automatis de donnes caractre personnel reposant sur lutilisation dun dispositif de reconnaissance du contour de la main et ayant pour finalit laccs des lves et des personnels au restaurant scolaire peut faire lobjet dune discussion lors dune runion du conseil dadministration de ltablissement puisque, conformment larticle R. 421-23 du code de lducation, celui-ci peut, son initiative, adopter tous vux sur les questions intressant la vie de ltablissement . Toutefois, lacquisition dun systme de reconnaissance du contour de la main permettant laccs au service de restauration scolaire relve de la collectivit territoriale de rattachement. Il rsulte en effet des dispositions de larticle L. 421-23 du code de lducation que le chef dtablissement assure le service de demi-pension conformment aux modalits dexploitation dfinies par la collectivit comptente , conseil gnral pour les collges ou conseil rgional pour les lyces. La mise en place dun dispositif de contrle daccs la cantine scolaire constitue lune de ces modalits ayant pour objet de faciliter la gestion de cet accs. Ainsi, il incombe la collectivit de rattachement de dterminer, par convention signe avec le chef dtablissement, lorganisation gnrale des services de restauration et le mode de gestion auxquels ils sont soumis ; il lui revient galement, en sa qualit de responsable du traitement, deffectuer les formalits pralables imposes par la loi du 6 janvier 1978 prcite et, en particulier, dadresser la CNIL lengagement de conformit mentionn ci-dessus. Cependant, dans la mesure o le chef dtablissement se voit confier le suivi du traitement, il est tenu dinformer les lves majeurs, les reprsentants lgaux des lves mineurs et les personnels de la mise en place dun dispositif de reconnaissance du contour de la main et de leur prciser le droit dont ils disposent de sopposer linformatisation des donnes biomtriques les concernant ou concernant leurs enfants. Dans cette hypothse, les lves ont la possibilit de se voir dlivrer un badge ou tout autre moyen daccs la cantine. Retour au sommaire
www.education.gouv.fr
novembre 2009
page 11
fiche 21
ANNEXE 3
La mise en uvre dun espace numrique de travail dans les tablissements scolaires En application du II 4 de larticle 27 de la loi n 78-17 du 6 janvier 1978 modifie, tout traitement de donnes caractre personnel mis en uvre par lEtat portant sur des donnes parmi lesquelles figure le numro dinscription des personnes au rpertoire national didentification des personnes physiques ou tout autre identifiant des personnes physiques, notamment dans le cas des traitements crs aux fins de mettre la disposition des usagers de ladministration des tlservices de ladministration lectronique doit tre soumis lavis de la Commission nationale de linformatique et des liberts (CNIL), qui met un avis motiv sur larrt portant cration du traitement. Un espace numrique de travail (E.N.T.) rpond cette dfinition de tlservice de ladministration lectronique : il constitue un site web portail permettant daccder, via un point dentre unique et scuris, un bouquet de services numriques destins lensemble des membres de la communaut ducative de ltablissement (les lves, leurs parents ou responsables lgaux, les enseignants, les personnels administratifs). La CNIL a adopt le 27 avril 2006 la dlibration n 2006-104 portant avis sur le projet darrt ministriel crant un traitement de donnes caractre personnel relatif aux espaces numriques de travail (E.N.T.) : cette dlibration et larrt du 30 novembre 2006 ont t publis au Journal officiel du 13 dcembre 2006. En application de larticle 7 de larrt du 30 novembre 2006, la mise en uvre, au sein de ltablissement, dun E.N.T. est subordonn lenvoi pralable la CNIL dun engagement de conformit cet arrt. Cette dclaration engage le chef dtablissement, responsable du traitement, respecter les dispositions prvues dans larrt et notamment le schma directeur des espaces numriques de travail et ses annexes (S.D.E.T.) tabli par le ministre, les droits des personnes et les mesures ncessaires la protection des donnes caractre personnel. Par ailleurs, la mise en uvre dun E.N.T. mettant en relation les comptences ducatives de plusieurs institutions publiques (lE.P.L.E., les services acadmiques, une collectivit locale dpartement ou rgion -), il est souhaitable, comme le prconise la CNIL, quune convention soit labore entre le chef dtablissement, responsable du traitement, et les diffrents partenaires du projet E.N.T. afin que leurs rles respectifs au sein de ce projet et leurs droits daccs soient prcisment dfinis. Retour au sommaire
www.education.gouv.fr
novembre 2009
page 12
fiche 21
Textes de rfrence Code de lducation, partie rglementaire : art. R. 421-8, R. 421-10 (3), R. 421-20, R. 421-20 (7c), R. 421-23. Loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts, modifie par la loi n 2004- 801 du 6 aot 2004. Loi n 78-753 du 17 juillet 1978 modifie portant diverses mesures damliorations des relations entre ladministration et le public et diverses dispositions dordre administratif, social et fiscal Dcret n 2005-1309 du 25 octobre 2005 modifi par le dcret n 2007-451du 25 mars 2007 pris pour lapplication de la loi n 78-17 du 6 janvier 1978 modifie.
Commission nationale de linformatique et des liberts (CNIL) 8, rue Vivienne CS 30223 75083 Paris cedex 02 Tlphone : 01 53 73 22 22 Tlcopie : 01 53 73 22 00 http://www.cnil.fr/ Retour au sommaire
www.education.gouv.fr
novembre 2009
page 13