Composer le registre des traitement de l'établissement
Dans un établissement scolaire, l'ensemble des activités est fortement lié au traitement de données à caractère personnel :
- L’utilisation d’applications pédagogiques en ligne qui demande la création de comptes individuels pour les élèves ;
- La saisie des évaluations, des notes et des appréciations des élèves par les enseignants ;
- Le relevé des absences des élèves avec signalement automatique aux parents par courriel ou SMS ;
- La facturation des repas du restaurant scolaire aux familles…
Ces traitements doivent figurer dans le registre des activités de traitement de l'établissement.
Seuls les traitements inscrits au registre des activité de traitement peuvent être opérés dans l'établissement.
A compter du 1er septembre 2021, les établissements de l'académie de Reims disposeront de l'application RADIO pour gérer leur registre des traitement.
Que contient le registre des traitements ?
Chaque registre contient une description de toutes les opérations de traitements de données à caractère personnel opérées. Pour chaque activité, les informations suivantes doivent apparaître :
- La finalité visée par le traitement ;
- Les catégories de données traitées par catégories de personnes concernées ;
- Les destinataires des données à caractère personnel ;
- Les durées de conservation des données ;
- Toute autre information utile pour estimer la conformité du traitement.
Le registre des traitement doit contenir toutes les informations nécessaires telles qu'elles sont prévues à l'article 30 du RGPD pour tous les traitements opérés dans la structure.
Qui inscrit les traitements au registre ?
Les déclarants (DEC)
Tous les personnels de l'établissement, enseignants et agents, sont des déclarants. Ils peuvent proposer à l'inscription les traitements de données à caractère personnel qu'ils opèrent en régulièrement : applications du numérique éducatif utilisées en classe, traitement pour suivre les inscription des voyages scolaires...
Les déclarants proposent à l'inscription les traitements qu'ils opèrent régulièrement avec leurs classes.
Les responsable du traitement (RT)
L'inscription des traitements au registre de l'établissement est de la responsabilité du chef d'établissement en tant que responsable du traitement. Il est la seule personne de l'établissement à pouvoir inscrire un traitement au registre.
Le chef d'établissement inscrit les traitements proposés par les déclarants au registre.
Le délégué à la protection des données (DPD)
Le choix, d'inscrire ou non un traitement au registre, doit se faire à partir de l'avis du Délégué à la Protection des Données. Il apporte son avis favorable, réservé ou défavorable à la mise en oeuvre du traitement. Il peut aussi proposer plusieurs actions à mener afin de rendre le traitement plus protecteur des personnes concernées, par exemple, en minimisant les données (ne pas saisir dans une application la date de naissance d'un mineur lorsqu'elle n'est pas nécessaire, ...), en anonymisant le traitement (utilisation de comptes génériques, ...), voir en mettant en oeuvre des mesures de sécurité techniques ou organisationnelles complémentaires.
Le délégué à la protection des données apporte un avis sur les traitements avant leur inscription au registre.
En cas d'avis défavorable ?
Si le responsable du traitement décide d'inscrire au registre un traitement pour lequel le DPD a donné un avis défavorable, il doit justifier cette décision par écrit. Ce justificatif devra être produit à l'autorité de contrôle en cas d'audit ou de plainte.
De la proposition à l'inscription
Extraite du flyer "RGPD", l'infographie suivante vous décrit les étapes à franchir d'une proposition de traitement par un déclarant jusqu'à l'inscription au registre par le responsable du traitement.
Se connecter à l'application RADIO (accès anticipé pour les RIL)
Les personnels de l'établissement ont deux solutions :
- Le traitement est disponible dans le catalogue des modèles de traitements : sélectionnez le traitement, il sera automatiquement ajouté dans le registre. Si un avis est déjà proposé par le DPD, le traitement sera directement proposé à l'inscription au registre.
- Le traitement n'est pas dans le catalogue des modèles de traitements : vous devrez décrire l'intégralité de la fiche de traitement et soumettre celui-ci à l'avis du DPD.
Proposer un traitement au registre
Ce tutoriel vidéo pour RADIO vous présente comment proposer au registre des traitement un traitement existant dans le catalogue des modèles de traitements.
Crédit photo : Affaires photo créé par rawpixel.com - fr.freepik.com
-
Créé lemercredi 9 juin 2021
-
Créé parGartner Laurent
-
Dernière modificationlundi 21 novembre 2022
-
Catégorie (s)