RGPD

Le RGPD facile

Mettre en place le RGPD dans votre établissement

Pourquoi le RGPD ?

Obligatoire depuis le 25 mai 2018, le Règlement général de protection des données (RGPD) s'applique à tous les établissements scolaires et engage la responsabilité du chef d'établissement.

Les postes de travail

Sécuriser les postes de travail et les différents accès

Les actions à mener

Prioriser les actions et cibler les données à traiter

Sources

Les processus internes

Définir les procédures et documenter la conformité.

Snceel166 boulevard du Montparnasse75014 Paris01.44.32.09.70contact@scnceel.org

Les risques

Identifier les risques encourus

Les données personnelles

Identifier et cartographier les données personnelles

Boîte à outils

Retrouver ici des compléments d'information.

https://youtu.be/EFINhCeFOW4

Pour protéger les données et le parc informatique : 1/ Sécuriser les postes de travail (verrouillage de session, pare-feu, mise à jour anti-virus, limiter la connexion de supports mobiles…). 2/ Sécuriser l’informatique mobile (mettre en œuvre des mécanismes maîtrisés de sauvegardes ou de synchronisation des postes nomades, verrouillage automatique des tablettes & autres supports, pas de données ‘sensibles’ sur des clouds…). 3/ Protéger le réseau informatique interne (limiter le WiFi et vérifier les paramétrages d’accès et de flux). 4/ Sécuriser les serveurs (accès limité aux seules personnes habilitées, suivi des mots de passe lors des départs de salariés, mises à jours régulières,…). .

https://youtu.be/gb0a4v2a9bk

Trier et sécuriser les données qui doivent faire l'objet d'un traitement :

• ne conserver que les données strictement nécessaires à la poursuite des objectifs de l’établissement (inscriptions, scolarité)
• réviser les mentions d’information de vos documents internes afin qu’elles soient conformes aux exigences RGPD (dossiers d’inscription, contrat de scolarisation, droit à l’image, site internet, conventions de stage, etc.) Pour cela, voir le modèle de mention dans l'onglet "boîte à outils".
• vérifier que les sous-traitants connaissent et appliquent le RGPD (Ecole directe, Pronote, etc.)
• prévoir des modalités d’exercice des droits des personnes (droit d’accès, rectification, retrait du consentement).

Attention notamment aux fichiers des élèves mineurs et aux données sensibles (religion, santé, données biométriques, etc.)

https://youtu.be/oNJPkYvTPc0

En premier lieu, il convient d'identifier et de recenser tous les fichiers de traitement des données personnelles (gestion des élèves, des familles, des enseignants, des salariés, cantine, infirmerie, bourses, voyages, pastorale, APEL, etc.) Pour cela, vous pouvez vous aider de la fiche de traitement dans l'onglet "boîte à outils". Le RGPD impose uniquement que le registre se présente sous une forme écrite. Le format du registre est libre et peut être constitué au format papier ou électronique. Il devra être actualisé régulièrement.

https://www.youtube.com/watch?v=Eua4Q_Oqc84

Il est conseillé de nommer un délégué à la protection des données (DPO), sachant qu'en principe il s'agit du chef d'établissement. Celui-ci sera l'interlocuteur de la CNIL et de toute personne qui réaliserait une réclamation. Bonnes pratiques :

• protéger les données : chiffrer, anonymiser, permettre l’exercice des droits, etc.
• prévenir les sources de risques : contrôler les accès, gérer les tiers, lutter contre les codes malveillants,
• agir sur les supports : réduire la vulnérabilité des matériels, logiciels, réseaux, documents papier, etc.
• limiter l'archivage : voir les durées d'archivage pour chaque document (onglet à droite de l'icône).

Il est important de prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles :

• organiser les délais de réponse, les procédures, la durée de conservation des données,
• vérifier l’efficience des procédures,
• notifier dans les 72h à la CNIL toutes les failles en cas de perte ou de fuite des données (voir l'icône contact à droite)

« L’établissement … est le responsable du traitement des données collectées au moyen du présent formulaire (+ coordonnées du DPO s’il existe/ chef d'établissement). Les informations recueillies sont obligatoires et strictement nécessaires pour …. (finalité : suivi de scolarité dans le cadre du contrat de scolarisation/traitement des ressources humaines liées à votre contrat de travail/suivi des candidatures dans le cadre d’une procédure de recrutement…). Elles font l'objet d'un traitement informatique et sont destinées aux interlocuteurs en charge de la gestion de … (suivi scolaire : personnels administratifs/enseignants - interlocuteurs en charge du suivi des ressources humaines – interlocuteurs en charge du suivi des candidatures). En application des articles 39 et suivants de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004 relative à l'informatique, aux fichiers et aux libertés, et au règlement européen relatif aux données personnelles, vous bénéficiez d'un droit : d'accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité des données (si nécessaire : sous réserve des données légalement nécessaires à la poursuite de la scolarité/à la poursuite du contrat de travail. Si vous souhaitez exercer ce droit, veuillez-vous adresser à : poste en charge dans l’établissement. Ces données sont conservées pour la durée de votre contrat en cours, et dans une limite de … ans après la rupture de ce contrat, sous réserve des durées légales de conservation des fichiers scolaires/RH. Vous êtes informés que nous procédons au partage de certaines données collectées avec des organismes publics et privé tiers dans le cadre strictement nécessaire lié au contrat de scolarisation/ contrat de travail, détaillez … Vous disposez de la possibilité d’introduire une réclamation auprès de la CNIL (https://www.cnil.fr/fr/plaintes). »

LIENS UTILES : Guide sécurité CNIL Guide juridique RGPD Snceel Conseils pratiques pour limiter les risques Modèle courrier de réponse aux parents