Règlement général sur la protection des données
L’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018 a posé un nouveau cadre juridique dans le domaine de la protection des données à caractère personnel. Pour assurer leur fonctionnement, les écoles ont toujours eu besoin de telles données concernant aussi bien les élèves que les parents/tuteurs ou encore les membres des personnels de l’éducation. Dès lors, les établissements scolaires sont soumis au RGPD. Il en est de même pour les membres des personnels de l’éducation qui représentent l’établissement, lorsqu’ils collectent et utilisent des données à caractère personnel dans le cadre de leurs missions.
Extrait de la circulaire 7573, fédération Wallonie-Bruxelles
Les principaux objectifs du RGPD sont d’accroitre :
- la protection des personnes concernées par un traitement de leurs données à caractère personnel
- la responsabilisation des acteurs de ce traitement.
Course contre la montre
La gestion de la politique de confidentialité au sein d’un établissement scolaire fondamental ne va pas de soi. En effet, rares sont les établissements qui disposent d’une personne ressource numérique : les attributions des périodes (quand il y en a) sont un vrai casse-tête et on se dit souvent que les priorités ne sont pas là. Généralement, lorsqu’un référent numérique existe, soit il remplit sa tâche bénévolement en plus de ses temps de travail règlementaire, soit il reçoit quelques heures insuffisantes et réalise quand même un travail bénévole.
Si j’aborde le sujet du temps disponible, c’est parce qu’il ne tombe pas sous le sens de prendre du temps à gérer la confidentialité des données. Le référent numérique court un peu partout pour maintenir le matériel à jour, réparer des machines, répondre aux questions des enseignants, etc.
Pour ma part, j’ai longtemps fait ça, tant que ma fonction au sein de mon école n’était pas officielle. J’avais l’étiquette de celui qui gère “l’informatique” et devais me mettre au service de tous par cet état de fait.
Partenariat
Si le référent numérique a un rôle important, il n’est cependant pas le décisionnaire final. Il faut en tout cas éviter de tomber dans cette dérive. Le référent numérique a plusieurs casquettes : conseiller, metteur en scène, technicien, etc. Cela n’a toutefois de sens que si un lien existe entre sa fonction et celle de direction (et même le PO). L’application des décisions n’est pas dans les attributions du référent numérique : c’est la casquette de la direction. Il faut donc prévoir des temps de concertation, d’évaluation avec la direction lorsque le référent numérique passe certaines étapes.
Vision globale
Pour viser la confidentialité des données, il faut tout d’abord dépasser ce stade de la course contre la montre. Le rôle du référent numérique est, à mon sens, d’abord celui d’organisateur. Plutôt que de laisser la vie scolaire dicte sa loi dans la frénésie du quotidien, le référent numérique a la mission d’appuyer sur le bouton pause et de réfléchir aux directions qu’il est opportun de choisir. Pour cela, il doit avoir la connaissance de toutes les pratiques de classe et de tous les outils utilisés. S’ajoutent à cela les besoins de la direction, du secrétariat et du parascolaire. Il faut être vigilant, car il est difficile de changer de stratégie une fois que la machine est mise en route. Une carte mentale ou un plan est indispensable pour avoir une vue « aérienne » de tout cela. Je ne saurais trop encourager à garder des traces de ce qui est réalisé. La responsabilité du référent numérique dans le domaine de la confidentialité est énorme. Il est utile de pouvoir démontrer le cheminement opéré.
Analyse de l’état des lieux
Une fois l’état des lieux dressé, le travail consiste à catégoriser l’ensemble des pratiques en fonction de trois questions fondamentales :
- Lesquelles sont pérennes et efficaces ?
- Lesquelles sont concernées par le RGPD ?
- Quels outils et pratiques sont envisageables dans la politique de confidentialité visée ?
Pour s’aider dans la tâche, deux outils peuvent être très utiles :
Un outil crée par la CNIL me semble très utile. Il s’agit d’une autoévaluation de maturité en gestion de la protection des données : un modèle pour se positionner et choisir les actions à mener. Voici le lien vers le document entier : lien. Le tableau le plus parlant est celui-ci :
Le deuxième outil est une circulaire éditée par la Fédération Wallonie-Bruxelles : la circulaire 7573, comprendre et appliquer le RGPD en classe.
Quelques points d’attention
Si chaque école a ses spécificités, quelques éléments surgiront tout de même forcément :
- La gestion des données par la direction
- La gestion des données par le secrétariat
- L’utilisation des données par l’équipe pédagogique :
- Dossier des élèves
- Coordonnées
- Utilisation des photos et vidéos
- Utilisation des données par l’équipe parascolaire
Les membres du personnel d’un établissement scolaire représentent leur établissement et ne peuvent utiliser les données collectées que dans le cadre défini de leur fonction et en respectant les consignes et le règlement de l’établissement. Dès lors, ils agissent en respectant les obligations imposées à l’établissement en tant que responsable du traitement.
Un ennemi insidieux
Tout ce que je viens de décrire n’est pas si compliqué : cela demande beaucoup de temps, mais rien n’est insurmontable. L’obstacle le plus difficile pour moi en tant que référent numérique est l’utilisation des messageries instantanées avec les parents et entre enseignants. Principalement l’application Whatsapp. En effet, les enseignants ont une grande facilité à utiliser cette application. Je comprends très bien cette sécurité ressentie : les enseignants ont l’impression de « faire du numérique » et ne comprennent pas pourquoi c’est si gênant. C’est à ce moment-là qu’on se rend compte à quel point nous avons pris l’habitude de jeter nos données personnelles en pâture à des monstres qui se donnent l’air bienveillant. Cette bataille ne peut pas être menée seule. Un référent numérique n’a pas ce rôle : d’où l’importance du lien avec la direction et de passer par tous les outils de régulation disponibles dans l’école.
Dans cette bataille, j’avais dressé une liste des éléments qui mettaient la politique de confidentialité des données à mal dans cette pratique. Cela m’a permis d’ouvrir un dialogue avec la direction et de trouver des solutions. A partir de ce document, j’en ai dressé un autre où je décris les outils mis en place qui permettent de faire les mêmes choses, mais en respectant notre RGPD.
Voici les dangers que j’avais pointés. Je vous demande de l’indulgence. Ce n’est sans doute pas très précis. Je parlais de course contre la montre au début d’article : trouver du temps pour faire ce genre de document est très compliqué et il faut être rapide.
| Situation | Problématique |
| Des échanges se font à propos d’informations personnelles des élèves | Whatsapp appartient à Facebook. Les données échangées sont stockées sur des serveurs internationaux qui n’obéissent pas aux règlementations européennes et belges. Certaines de ces informations peuvent être stockées et même utilisées à des fins commerciales. |
| Des photos d’élèves y sont partagées | Deux aspects : Whatsapp appartient à Facebook. Les données échangées sont stockées sur des serveurs internationaux qui n’obéissent pas aux règlementations européennes et belges. Rien ne protège l’utilisation des photographies : elles peuvent être utilisées par les hébergeurs à toutes fins qui leur sont utiles. Les photographies sont « perdues » une fois partagées : pas de stockage qui pourrait être utilisé par l’enseignant actuel et les suivants pour exploiter pédagogiquement ces photos. |
| Dérive dans les échanges | Whatsapp est une application de communication instantanée. Cela provoque deux situations : Les échanges sont souvent trop immédiats : les parents ou les enseignants attendent des réponses rapides, avec le risque de commettre des erreurs dans les « confidences » qui y sont faites. Le fait que les échanges soient faits dans un système qui n’est pas relié à l’école exacerbe le risque que les conversations soient divulguées à d’autres par captures d’écrans. La relation enseignant-parent dépasse le cadre scolaire avec des rapprochements qui ne sont pas adaptés au cadre professionnel : tutoiement, échanges en-dehors du cadre, etc. |
| Délitement des échanges et archivage biaisé | Les échanges sur Whatsapp ne permettent pas de conserver des traces des discussions. Contrairement aux mails professionnels. |
| Horaire des échanges | Les messages sont envoyés à toute heure, dans l’attente d’une réponse. Des messages peuvent être échangés pendant les heures de cours. Des messages échangés tard dans la soirée. |
| Relations parents-enseignants tout au long du parcours scolaire de l’élève | Les dérives de Whatsapp créent une relation trop personnelle entre certaines parents et enseignants. Les « services » rendus via Whatsapp rendent les missions des enseignants très floues. Cela met en porte-à-faux les autres enseignants qui gardent une limite de relation professionnelle avec les parents. |
| Exclusion de certaines personnes | Plusieurs parents n’ont pas Whatsapp et certains ne souhaitent pas l’installer pour des raisons de respect de la vie privée notamment. Le fait de créer des groupes de parents exclut ces parents en les stigmatisant. |
| Efforts abandonnés au niveau numérique | Utiliser Whatsapp participe ce que les enseignants ne s’impliquent pas dans le processus de mise à niveau numérique de l’école (voir contrat d’objectifs). |
| Mise à mal du travail réalisé par la personne relais-numérique | Whatsapp est contreproductif dans l’usage actuel parce que son utilisation met à mal : L’utilisation des identifiants La collaboration avec la personne relais La continuité des usages numériques au niveau des outils et du parcours scolaire des élèves La continuité des usages numériques pour les parents Mise à mal de la confidentialité des données mise en place graduellement grâce à Instit.info Site internet hébergé en Belgique Contrat pour la plateforme Google Éducation Au niveau très personnel, mon investissement et le temps que j’y ai consacré. |