LA LOI
La loi du 14 mai 2018 et la Loi n° 2018-493 du 20 juin 2018 relatives à la protection des données personnelles, modifient la loi Informatique et libertés du 6 janvier 1978, et complètent le RGPD.
Qu’est-ce qu’un traitement de données à caractère personnel ?
Un traitement est une opération ou un ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Qu’est-ce qu’une donnée à caractère personnel ?
Est considérée comme « donnée à caractère personnel » toute information permettant de faire le lien directement ou indirectement avec une personne physique. Le texte ne précise pas le type de support (numérique ou papier) :
"Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de naissance, mais aussi un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse IP, un historique de navigation, une géolocalisation, une photographie, un avatar…"
Comment s’applique le RGPD selon les différents types de données à caractère personnel ?
Tout traitement de données concernant les élèves (résultats scolaires, professions des parents, revenus du foyer, pays de naissance, vaccinations, allergies si elles sont conséquentes en milieu scolaire…), parents ou personnels, doit dorénavant être inscrit sur un registre interne à l’école ou à l’établissement, et maintenu à jour.
La Loi Informatique et libertés du 6 janvier 1978 est ainsi modifiée, dans son article 8, par les lois du 14 mai 2018 et du 20 juin 2018 :
« Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »
Ainsi les démarches déclaratives auprès de la CNIL restent obligatoires pour le traitement de données dites sensibles, comme par exemple les données biométriques (empreintes digitales pour le passage à la cantine) et les vidéos captées par des caméras dans l’enceinte de l’établissement. Sont également sensibles : l’appartenance syndicale d’un enseignant ou d’un parent à une association (quand elle n’est pas publique), le régime alimentaire s’il révèle une religion (halal, casher…), la nature d’un handicap, d’une déficience ou d’une affection, un justificatif d’absence à caractère religieux (ramadan…).