Guide RGPD : Confiance & responsabilité numérique

CONFIANCE & RESPONSABILITE NUMERIQUES

Boites à outils

le Chef d’établissement

gère et décide de la nature des données qui seront recueillies dans l’établissement.

Information

Etre sensibilisé à la protection des données personnelles dont j’ai la responsabilité

 

Rappel des notions essentielles

 

Télécharger (PDF, 901KB)

Diaporama de sensibilisation pour les équipes.

Consentement des élèves mineurs :

En France, les enfants de 15 ans ou plus peuvent consentir eux-mêmes au traitement de leurs données. Entre 13 et 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale. En-dessous de 13 ans, seuls les titulaires de l’autorité parentale peuvent consentir au traitement de ces données. Ces règles sont également valables pour l’inscription sur les réseaux sociaux.

Le traitement des données dites “sensibles” :

Il est généralement interdit, sauf dérogation, de recueillir les informations suivantes :

• l’origine raciale ou ethnique ;

• les opinions politiques, les convictions religieuses ou philosophiques ;

• l’appartenance syndicale ;

• les données génétiques ;

• les données biométriques aux fins d’identifier une personne physique de manière unique ;

• les données concernant la santé ;

• les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique

Les personnes référentes

  • Responsable des traitements : Le Chef d’Etablissement, en lien avec le Président OGEC
  • Eventuellement : référent à la protection des données désigné par le Chef d’établissement
  • Aide et conseil dans votre DDEC :

Jean-François GATINEAU, jfgatineau@ec44.fr

Christian BORE, cbore@ec44.fr 

Ressources essentielles

Réunion des personnels

Il s’agit de présenter le plan d’action de l’établissement et d’acquérir les « bons réflexes » RGPD

Power point de présentation

Télécharger (PPTX, 4.26MB)

 

Inventaire

Etape 1 : Faire le tri de vos données

chacun repère les données qu’il collecte:

  • « Ai-je créé et conservé des listes contenant des données personnelles ? »

(nom, mail, coordonnées, numéro d’identification, sexe, photo, date de naissance…)

 

  • Est-ce bien nécessaire ?

Etape 2: constituer un registre de vos traitements de données

Chaque traitement fait l’objet d’une description.

  • Nature des renseignements demandés
  • Auprès de qui ? (élèves, familles, personnels…) ?
  • Pour quelle finalité ?
  • Où sont les données ?
  • Qui peut y accéder ?
  • S’agit-il de données sensibles ?
  • Faut-il demander un consentement ?
  • Quelle durée de conservation ?

Une fiche par traitement ( voir fiche outils ci-dessous)

Registre basique

Télécharger (DOCX, 150KB)

Gestion personnels OGEC

Télécharger (DOCX, 36KB)

Gestion scolarité

Télécharger (DOCX, 36KB)

Gestion publications photos vidéos

Télécharger (DOCX, 35KB)

Fiche vierge

Télécharger (DOCX, 36KB)

Autre fiche exemple de traitement de la FNOGEC

Télécharger (PDF, 325KB)

Etape 3: Sécuriser vos données

Stocker ces fiches et vos données sensibles dans un NAS ou sur ISIDOOR.

Sécurité

La sécurité des données à caractère personnel est un des piliers de la Loi Informatique et liberté et du RGPD. Il convient notamment de ne pas laisser un accès à ces données à des personnes non autorisées et à effectuer des sauvegardes pour les pérenniser.

L’ANSSI et la CPME ont rédigé 12 règles à l’intention des « petites structures » qui sont un bon point de repère à suivre : https://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique/

Mot de passe

  • 12 caractères de 4 types différents (minuscules-majuscules-chiffres-caractères spéciaux)
  • Ne dit rien de vous
  • Un compte = un mot de passe
  • Ne pas le noter « en clair »
  • Si possible double authentification
  • Utiliser une phrase-clé
  • Et un gestionnaire de mot de passe (keepass/bitwarden)
  • Ne pas l’enregistrer dans le navigateur
  • Le changer régulièrement

Affiche mot de passe

Télécharger (PDF, 5.18MB)

Documents papier

Si des documents-papier contiennent des données à caractère personnel :

  • Ne pas les laisser traîner sur les bureaux ou dans les copieurs
  • Garder sous clé

EMAIL

L’envoi de mail ne constitue PAS un canal de transmission sécurisé

en conséquence :

  • Ne pas envoyer de données personnelles en PJ de mail
  • Utiliser un zip protégé par mot de passe (le mot de passe étant transmis par un canal séparé)
  • Ou partager sur un drive
  • Liste destinataires des mails en Cci
  • Adresse mail perso distincte d’adresse mail professionnelle, éviter les redirections

Utilisation de Google drive

cliquez: ICI

Pour créer un zip protégé par un mot de passe

cliquez : ICI

Organisation

  • Séparer les usages personnels des usages professionnels sur l’ordinateur : création de sessions distinctes protégées par un mot de passe.
  • Ne pas stocker de données sensibles sur une clé USB.
  • Sauvegarder les données de façon sécurisée (Isidoor, NAS, disques durs externes chiffrés)

Bonnes pratiques RGPD : utiliser un Gsuite ou un Cloud.

(pour éviter que les données circulent sur des clés USB ou des disques durs externes non chiffrés)

Prudence

  • Sécuriser son téléphone mobile
  • Se protéger des « rançongiciels »
  • Etre averti des techniques de phishing/hameçonnage (messages frauduleux, arnaques aux « bonnes affaires », fausses pannes d’ordinateur…)

En savoir plus : Hack-Academy

L’hameçonnage

Télécharger (PDF, 462KB)

Sécurité appareil mobiles

Télécharger (PDF, 552KB)

Sécurité des usages pro-perso

Télécharger (PDF, 497KB)

Transparence

Archivage et temps de conservation

Télécharger (PDF, 708KB)

Vous trouverez sur SITECOLES un récapitulatif des temps de conservation réglementaires de vos principaux documents

Les chartes numériques

Le déploiement du numérique dans les établissements oblige tous les usagers à réfléchir sur leurs pratiques. La charte de l’utilisation des systèmes d’information numérique en milieu scolaire par les élèves est un texte à dimension éducative et ne doit pas se réduire à un mode d’emploi des outils informatiques ou à une liste d’interdictions.

Il appartient donc à chaque établissement de construire sa charte. Intégrée au règlement intérieur, celle-ci doit être signée par les élèves et les parents pour les élèves mineurs. (cf. Eduscol)

Chartes pour les élèves

Cliquez sur l’image pour accéder au kit-charte accessible sur le site de l’URADEL

 
 

En France, les enfants de 15 ans ou plus peuvent consentir eux-mêmes au traitement de leurs données. Entre 13 et 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale. En-dessous de 13 ans, seuls les titulaires de l’autorité parentale peuvent consentir au traitement de ces données. Ces règles sont également valables pour l’inscription sur les réseaux sociaux.

Il appartient donc à chaque établissement de construire sa charte. Intégrée au règlement intérieur, celle-ci doit être signée par les familles.

Exemples de chartes pour les élèves

Charte école élève

Télécharger (DOCX, 26KB)

Charte élève

Télécharger (DOCX, 16KB)

Exemples de chartes pour les familles

Charte numérique école avec codage

Télécharger (DOCX, 30KB)

Charte école famille

Télécharger (DOCX, 29KB)

Exemple de charte pour le personnel (source FNOGEC)

Télécharger (DOCX, 48KB)

Définir la politique de protection des données

Une déclaration de protection de la vie privée vous permet de décrire la façon dont vous prenez soin des données personnelles qui vous sont confiées.

Vous pouvez la construire sur le modèle ci dessous, puis la placer sur votre site internet, afin d’y faire référence sur vos documents papiers (lien)

et éventuellement sur vos formulaires de recueil de données.

Télécharger (DOCX, 27KB)

Maquette de politique de confidentialité

Le cas des outils Google :

Si vous utilisez les formulaires inclus dans la plate-forme “Google Suite pour l’éducation” et que vous vous interrogez sur leur adéquation aux exigences européennes du RGPD, l’éditeur américain fournit tous les justificatifs utiles aux adresses ci-dessous. Attention toutefois, l’utilisation des outils Google de type “grand public” comme gmail n’obéit pas aux mêmes contraintes et n’est pas conseillée dans le cadre éducatif.

• informations générales : https://edu.google.com/intl/fr_be/k-12-solutions/privacy-security/

• pour le référent RGPD : https://cloud.google.com/security/gdpr/resource-center/

IMPORTANT : bien vérifier que les CCT (clauses contractuelles type) et l’avenant relatif au traitement des données ont été signées sur l’espace d’administration de votre Gsuite : https://support.google.com/a/answer/2888485?hl=fr

Dernière remarque : les données personnelles collectées via des formulaires“papier” sont également concernées par le RGPD et respectent les mêmes principes de consentement, sécurité, délai de conservation etc.

Mentions légales sur les formulaires et documents papier

Chaque document (numérique ou papier) et formulaire de demande d’informations à caractère personnel est désormais accompagné de mentions d’information. Elles indiquent ce qui sera fait (traitement) des données recueillies.

Les données indispensables à la scolarisation d’un enfant au moment de son inscription ne nécessitent pas le recueil explicite d’un consentement.

En revanche, pour les traitements ou transferts facultatifs (comme par exemple l’utilisation de photos), le consentement est nécessairement exprimé activement via une case à cocher.

Les mentions d’informations indiquent également comment la personne peut exercer ces droits (accès, rectification, suppression de ses données)

 

Exemples de mentions d’information à adapter qui peuvent être utilisées sur les fiches de renseignements/urgence…

Télécharger (DOCX, 29KB)

Exemple de mentions pour rendre vos formulaires et vos sites conformes au RGPD

 

Les documents papiers, Les sites, et les formulaires en ligne constituent le moyen le plus courant de recueillir des données personnelles.

  • Placer au début du documents papier, du site ou du formulaire une mention de conformité.

Exemple à personnaliser

Les informations recueillies sur ce (document, formulaire ou site) sont enregistrées dans un fichier informatisé par : (nom de l’établissement). dans le but de : (objectif du recueil de données) Elles sont conservées pendant (durée de conservation) et sont destinées à (nom de la personne ou du service utilisateur des données) Conformément à la loi «RGPD », vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant : (nom et adresse mail du référent protection des données)

  • Ajouter à la fin du document papier ou sur le site ou du formulaire un bouton “Envoyer” ou une case à cocher qui permet au destinataire d’exprimer clairement son consentement. Comme par exemple : En soumettant ce formulaire j’accepte que les informations saisies soient exploitées dans le cadre de …
  • Enfin, placer à la fin du documents papier, sous le formulaire ou le site un lien vers la page qui décrit votre politique de confidentialité : Pour connaître et exercer vos droits, notamment de retrait de votre consentement à l’utilisation des données collectées par ce formulaire, veuillez consulter notre politique de confidentialité (lien)

Télécharger (PDF, 1.17MB)

Télécharger (PDF, 564KB)

Fiche de renseignements famille

Fiche de renseignements famille (Google Forms)

Mise à jour du contrat de scolarisation

Nouveau modèle de contrat de scolarisation.

Télécharger (DOCX, 297KB)

Share
Share