De nombreux usages pédagogiques s’appuient aujourd’hui sur l’utilisation de données personnelles des élèves, c’est-à-dire sur des informations qui permettent de les identifier (nom, prénom, coordonnées, données biométriques, etc.). Le Règlement général sur la protection des données (RGPD) renforce les droits des personnes dans ce domaine.
Voici les réflexes à adopter pour enseigner avec le numérique tout en respectant le RGPD.

À QUELLES CONDITIONS ET AVEC QUELLE AUTORISATION PEUT-ON UTILISER L’IMAGE D’UN MINEUR ?

« Pour les mineurs, le principe du droit à l’image est celui d’une autorisation écrite préalable, à la fois pour la captation de son image (la prise de vue) et son utilisation. Cela signifie qu’on est obligé de préciser ce que l’on autorise. En principe, on autorise donc à la fois la prise de vue et l’exploitation/l’utilisation de cette image. Plus le document est précis, à la fois sur la captation et sur les utilisations, mieux c’est. Par exemple, quand c’est pour un shooting particulier ou un événement, la prudence veut qu’on le décrive très précisément (nombre d’élèves, nature et nom du support, modes de diffusion, nombre d’exemplaires, temps de publication déterminé…). Plus il y a d’éléments, de précision, plus la personne aura été mise dans la situation de donner un consentement éclairé. C’est pourquoi une autorisation demandée aux parents à la rentrée, qui serait extrêmement sommaire et valable pour toute l’année, est très risquée et pourrait être incriminée devant un tribunal. Il faut avoir un maximum d’informations à toutes les étapes de la bonne gestion du droit à l’image. Pour l’utilisation numérique, on peut mettre toutes les adresses web, des liens, inviter les parents d’élèves à aller voir d’abord et signer ensuite. Si l’image est destinée aux réseaux sociaux, il faut être particulièrement attentif et prudent. Il faut bien préciser les utilisations et leurs limites, ainsi que les noms des comptes sur lesquels l’image sera diffusée. Il est important d’archiver ces autorisations et que l’identification de l’enfant et des parents y soit clairement établie, avec des coordonnées à jour, si l’autorisation devait être renouvelée ou modifiée. Le droit, ce sont des règles qu’on a convenu de respecter et qui demandent ensuite à être gérées. D’où l’importance de s’informer des projets et des détails d’utilisation, prendre son temps dans la construction de l’autorisation avant de communiquer avec les parents et élèves avec pédagogie. »
Source : https://www.clemi.fr/fr/ressources/nos-ressources-pedagogiques/ressources-pedagogiques/medias-scolaires-comment-bien-gerer-le-droit-a-limage-des-eleves.html

Enseignants : conseils pour les publications sur Internet concernant les élèves mineurs de moins de 15 ans

  • lorsque le mineur est âgé de moins de 15 ans, le consentement au traitement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale, pour les traitements réalisés sur un(des) service(s) de la société de l’information (réseaux sociaux, drives, blog, site web…). Ce double consentement est exigé par la loi « Informatique et libertés » du 14 mai 2018.
  • Éviter de publier images, voix de l’élèves avec son identité (nom, prénom) car il sera automatiquement identifier sur Internet en dehors du lieu de diffusion originel et même après suppression de votre publication.

Les risques en cas de manquement éventuel au RGPD

Le responsable du traitement peut encourir un risque de sanction (CNIL, administrative ou pénale) en cas de non-respect du RGPD (formalités préalables…).
Les amendes ne sont pas applicables aux traitements mis en œuvre par l’État et ses services déconcentrés, ou par les chefs d’établissement et DASEN lorsqu’ils mettent en œuvre un traitement au nom de l’État ou en qualité de représentant de l’État. La CNIL n’a pas tranché, en cas de traitement au nom de l’EPLE ou de l’école, mais les chefs d’établissements et DASEN seront protégés.
Le chef d’établissement ne peut être tenu pour responsable d’un défaut de protection des données dans un traitement personnel effectué par un enseignant, s’il n’en avait pas connaissance.

Que faire en cas de violation de données à caractère personnel ?

La violation de données à caractère personnel doit être communiquée par le responsable de traitement :
– à l’autorité de contrôle, la CNIL, dans un délai de 72 heures (week-end compris) après en avoir pris connaissance. Si ce délai est dépassé avec un risque pour les droits et libertés des personnes, la notification doit être accompagnée des motifs du retard.
– à chaque personne concernée dans les meilleurs délais.
Le responsable de traitement coopère alors avec les représentants de la CNIL, à la demande de celle-ci.