Appliquer le RGPD dans son établissement
Le RGPD (Règlement général sur la protection des données) qui modifie la loi Informatique et libertés de 1978, est entré en vigueur le 25 mai dernier. Yann Diraison, adjoint au secrétaire général de l’enseignement catholique, nous en propose une lecture pour mettre en conformité les établissements scolaires avec cette nouvelle réglementation.
Le 20 juin dernier, vous avez adressé aux directeurs diocésains et aux chefs d’établissement une note rassurante sur le RGPD. Comment voyez-vous la suite ?
Yann Diraison : La mise en œuvre du RGPD qui s’applique à toutes les institutions, entreprises ou associations amenées à collecter des données à caractère personnel, me rappelle le passage à l’euro. Il suscite aussi une vague d’affolement. C’est pourquoi j’ai écrit cette première note. Il faut aborder les choses de façon mesurée. On peut être conforme à la réglementation sans grand bouleversement, en ciblant dans la loi ce qui nous concerne précisément. Le texte exige, par exemple, qu’un délégué à la protection des données soit nommé en cas de traitement de données « à grande échelle ». Ni les diocèses, ni les établissements scolaires ne sont donc concernés.
Quelles sont les instances concernées ?
Y. D. : Cinq organismes nationaux gèrent des données « à grande échelle » : le Sgec avec le système d’information Gabriel (cf. encadré), le Cneap, l’Ugsel, la Fnogec et Formiris. Tous vont être amenés à désigner un délégué à la protection des données : il aura pour mission de les accompagner dans leur mise en conformité et permettra de fluidifier les relations avec la Commission nationale de l’informatique et des libertés (Cnil), chargée d’aider les acteurs dans la transition vers le nouveau cadre juridique.
Que doivent faire les chefs d’établissement ?
Y. D. : Ils sont responsables du traitement des données. C’est pourquoi une nouvelle note leur a été adressée en cette rentrée. Il faudra que les établissements aient une vision précise des données dont ils disposent et qu’ils puissent apporter la preuve que ces données sont gérées dans le respect de la nouvelle réglementation.
Quels sont les points de vigilance à avoir ?
Y. D. : Dans notre système informatique Gabriel, les données sont sécurisées et nous avons tenu à ce qu’elles soient hébergées en France.
Via diverses applications, les établissements peuvent réaliser, en fonction de leurs besoins, des exports de fichiers à partir de Gabriel. Le problème, c’est qu’ensuite ces fichiers risquent d’être stockés sur des ordinateurs qui ne sont pas sécurisés. Nous demandons, par conséquent, aux établissements d’identifier les personnes qui ont accès à ces fichiers, de définir un mot de passe et de le changer deux fois par an. Par ailleurs, nous préconisons une destruction systématique des fichiers en fin d’année scolaire. Enfin, les établissements doivent réaliser les exports dont ils ont réellement besoin à l’instant t sans anticiper sur d’éventuels besoins futurs… Cela devrait permettre de rester dans les clous. Il ne s’agit pas de se compliquer la vie mais d’être rigoureux.
Gabriel : 7 millions d’individus référencés
Gabriel, le système d’information de l’enseignement catholique créé en 2012, est un référentiel de données qui concerne aussi bien les élèves, que leurs responsables légaux et les enseignants. Sept millions d’individus y sont référencés. « Nous conservons les données dans Gabriel tant qu’il existe un lien contractuel entre les individus et l’enseignement catholique, pas au-delà. Ce référentiel est alimenté en temps réel et, bien sûr, actualisé à chaque rentrée scolaire », indique Olivier Perrichon, directeur des systèmes d’information du Sgec.
Article de Mireille Broussous,
paru dans le numéro d'août-sept. 2018
d'Enseignement catholique actualités