Dans une école, l'ensemble des activités est fortement lié au traitement de données à caractère personnel :

• L’utilisation d’applications pédagogiques en ligne qui demande la création de comptes individuels pour les élèves ;
• La saisie des évaluations, des notes et des appréciations des élèves par les enseignants ;
• Le relevé des absences des élèves avec signalement automatique aux parents par courriel ou SMS ;

Ces traitements doivent figurer dans le registre des activités de traitement du département, commun à toutes les écoles.

Seuls les traitements inscrits au registre des activités de traitement peuvent être opérés légalement dans l'école.

A compter du 1er septembre 2022, les écoles de l'académie de Reims disposeront de l'application RADIO pour gérer leur registre des traitements.

 Que contient le registre des traitements ?

Chaque registre contient une description de toutes les opérations de traitements de données à caractère personnel opérées. Pour chaque activité, les informations suivantes doivent apparaître :

• La finalité visée par le traitement ;
• Les catégories de données traitées par catégories de personnes concernées ;
• Les destinataires des données à caractère personnel ;
• Les durées de conservation des données ;
• Toute autre information utile pour estimer la conformité du traitement.

Le registre des traitements doit contenir toutes les informations nécessaires telles qu'elles sont prévues à l'article 30 du RGPD pour tous les traitements opérés dans la structure.

Qui inscrit les traitements au registre ?

En cas d'avis défavorable ?

Si le responsable du traitement décide d'inscrire au registre un traitement pour lequel le DPD a donné un avis défavorable, il doit justifier cette décision par écrit. Ce justificatif devra être produit à l'autorité de contrôle en cas d'audit ou de plainte.

De la proposition à l'inscription

Extraite du flyer "RGPD", l'infographie suivante vous décrit les étapes à franchir d'une proposition de traitement par un déclarant jusqu'à l'inscription au registre par le responsable du traitement.

Un catalogue de traitements modèles  est mis à disposition dans l'application RADIO (disponible sur le portail ARENA) contenant la plupart des applications pédagogiques qui peuvent être mises en oeuvre dans une école. Ce catalogue est alimenté par les ERUN des départements et par le DPD. Si vous ne trouvez par l'application que vous souhaitez déclarer, n'hésitez pas à prendre contact avec votre ERUN de circonscription.

Attention ! Certains traitements sont plus impactant que d'autres !

Si vous pouvez choisir librement une application pédagogique en classe, la situation se complique lorsqu'il s'agit d'un outil de vie scolaire ou d'un espace numérique de travail qui sont le fruit de concertations avec la collectivité de rattachement de l'école, notamment pour leur financement.

Ces traitements donnent lieu à une convention d'échange de données telle que l'article 28 du RGPD l'exige, signée entre le sous-traitant qui apporte la solution, le responsable du traitement, l'IA-DASEN du département et, selon le projet, la commune de rattachement en tant que co-responsable du traitement (article 26 du RGPD).

Ces conventions légitimisent et garantissent les échanges de données entre les différents acteurs pour permettre la mise à disposition de la solution, par exemple, elle officialise la fourniture d'un accès à l'Annuaire Académique Fédérateur au fournisseur de l'ENT de l'école.

Proposer un traitement au registre

Ce tutoriel vidéo pour RADIO vous présente comment proposer au registre des traitements un traitement existant dans le catalogue des modèles de traitements.