DPO externe pour écoles privées sous contrat : RGPD et mineurs

·

Un établissement privé sous contrat n'est pas une organisation ordinaire. Il traite quotidiennement des données de santé, des dossiers scolaires, des informations familiales, des images de mineurs et des communications avec les tuteurs légaux. Tout cela constitue des données personnelles de catégorie particulière au sens de l'article 9 du Règlement (UE) 2016/679 (RGPD) et de la Loi organique 3/2018 relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD). Le non-respect a un prix : des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial total, en vertu de l'article 83.5 du RGPD, auxquelles s'ajoute la responsabilité spécifique que l'Agence espagnole de protection des données (AEPD) applique aux établissements d'enseignement.

Cet article explique ce qui oblige un établissement privé sous contrat à désigner un Délégué à la Protection des Données (DPO) externe, quels flux de données génèrent le plus grand risque et comment l'organisation de la conformité doit être structurée pour que l'établissement puisse démontrer, lors de toute inspection de l'AEPD, que sa maison est en ordre.

Un établissement privé sous contrat est-il obligé d'avoir un DPO ?

La réponse directe est oui, et le fondement juridique est double. D'une part, l'article 37.1 b) et c) du RGPD impose la désignation d'un DPO à toute organisation qui traite des données de catégorie particulière à grande échelle ou qui effectue une surveillance systématique des personnes à grande échelle. D'autre part, l'article 34.1 a) de la LOPDGDD étend explicitement cette obligation aux établissements d'enseignement qui utilisent ou conservent des données personnelles de mineurs.

Un établissement privé sous contrat moyen comptant 300 élèves ou plus entre pleinement dans les deux catégories : il gère des dossiers scolaires contenant des données de santé (allergies, rapports psychopédagogiques, besoins éducatifs particuliers), des systèmes de vidéosurveillance dans l'enceinte, des plateformes numériques de communication avec les familles et, dans bien des cas, des systèmes biométriques de contrôle d'accès. L'AEPD a confirmé dans de nombreuses décisions que ce profil de traitement déclenche l'obligation de désigner un DPO.

Quelles données traite un établissement privé sous contrat et pourquoi sont-elles à haut risque ?

L'inventaire des activités de traitement d'un établissement privé sous contrat est plus étendu qu'il n'y paraît à première vue. Il est utile de le regrouper pour comprendre où se concentre le risque :

Catégorie de données Exemples concrets Base juridique principale Niveau de risque RGPD
Données scolaires Notes, bulletins d'évaluation, historique d'inscription Mission d'intérêt public (art. 6.1.e RGPD) Moyen
Données de santé et de besoins particuliers Allergies, médicaments, rapports psychopédagogiques, BEP Intérêt vital ou consentement explicite (art. 9.2 RGPD) Élevé
Données d'image Vidéosurveillance, photos d'activités, publications sur le site ou les réseaux sociaux Intérêt légitime ou consentement (avec nuances pour les mineurs) Élevé
Données des familles et tuteurs Coordonnées, adresse, situation de garde, niveau socio-économique Relation contractuelle (art. 6.1.b RGPD) Moyen-Élevé
Données du personnel enseignant et non enseignant Fiches de paie, arrêts maladie, données syndicales, sanctions disciplinaires Contrat de travail et obligation légale Moyen-Élevé
Données biométriques Empreintes digitales ou reconnaissance faciale pour le contrôle d'accès ou la cantine Consentement explicite (art. 9.2.a RGPD) Très élevé
Plateformes numériques éducatives Google Workspace for Education, Microsoft 365, applications tierces Contrat de sous-traitance (art. 28 RGPD) Élevé (transferts internationaux)

Chacune de ces catégories requiert une base juridique différente, une durée de conservation spécifique et, dans les cas à haut risque, une Analyse d'Impact relative à la Protection des Données (AIPD) préalable au traitement, conformément à l'article 35 du RGPD.

Le régime spécial des données de mineurs dans les établissements d'enseignement

La LOPDGDD consacre l'article 7 aux mineurs, fixant à 14 ans l'âge à partir duquel le mineur peut donner son propre consentement. En deçà de cet âge, le consentement doit provenir des parents ou des tuteurs légaux. Cependant, la Loi organique 8/2021 sur la protection globale de l'enfance et de l'adolescence contre la violence (LOPIVI) ajoute une couche supplémentaire : elle impose à l'établissement l'obligation de garantir la vie privée du mineur dans les situations de violence, ce qui inclut des restrictions d'accès aux données relatives aux situations de garde conflictuelles.

L'AEPD a publié en 2023 le « Rapport sur le traitement des données personnelles de mineurs dans le contexte éducatif », indiquant explicitement que la publication de photographies ou de vidéos d'élèves sur les réseaux sociaux de l'établissement sans le consentement exprès des tuteurs constitue une infraction grave. De nombreux établissements privés sous contrat ont continué à le faire par habitude, sans comprendre qu'une seule image publiée sur Instagram sans consentement adéquat peut donner lieu à une plainte auprès de l'AEPD.

Un autre point critique est l'utilisation de plateformes numériques éducatives dont le siège est situé en dehors de l'Espace économique européen. Lorsque l'établissement contracte Google Workspace for Education ou Microsoft 365 Education, ces sociétés deviennent des sous-traitants au sens de l'article 28 du RGPD. Le contrat de sous-traitance doit être signé, et les transferts internationaux doivent être couverts par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne en 2021 — une mise à jour qui oblige à réviser les contrats conclus avant cette date.

Fonctions du DPO externe dans un établissement privé sous contrat

Le DPO externe pour les établissements d'enseignement n'est pas un conseiller qui produit de la documentation puis disparaît. L'article 39 du RGPD lui assigne des fonctions permanentes et non négociables :

DPO interne ou DPO externe : ce qui convient à un établissement privé sous contrat

Le RGPD permet que le DPO soit un employé de l'établissement lui-même ou un professionnel externe. Pour la plupart des établissements privés sous contrat, l'option interne soulève des problèmes structurels : le secrétaire ou l'administrateur de l'établissement manque généralement de la formation juridique et technique que le rôle exige ; de plus, l'article 38.3 du RGPD interdit au DPO de recevoir des instructions dans l'exercice de ses fonctions, ce qui crée des conflits d'intérêts lorsque le DPO est également chargé d'exécuter les traitements qu'il est censé superviser.

Critère DPO interne DPO externe
Indépendance fonctionnelle Difficile à garantir : dépend hiérarchiquement de l'établissement Élevée : relation contractuelle externe, sans dépendance organisationnelle
Connaissance réglementaire à jour Nécessite une formation continue à la charge de l'établissement Le prestataire assure la mise à jour permanente
Disponibilité devant l'AEPD Peut être limitée par d'autres fonctions du poste Couverture garantie par le contrat de service
Coût Salaire + formation + temps consacré Frais de service (sans coût de structure)
Continuité lors des congés ou absences Le service reste sans surveillance Le prestataire garantit un remplacement
Adapté pour Grands groupes éducatifs dotés de leur propre équipe juridique Établissements privés sous contrat indépendants ou groupements jusqu'à 5-6 établissements

Cas concrets : incidents fréquents dans les établissements d'enseignement

La jurisprudence de l'AEPD dans le secteur éducatif révèle des schémas répétitifs qu'un DPO actif aurait pu prévenir :

Publication d'images sans consentement

Un établissement publie sur sa page Facebook des photos de la fête de Noël faisant apparaître des élèves identifiables, sans avoir obtenu le consentement exprès de toutes les familles. L'AEPD a sanctionné ce type de comportement, le qualifiant de communication de données à des tiers (les utilisateurs du réseau social) sans base juridique suffisante. La solution n'est pas de supprimer les comptes de réseaux sociaux de l'établissement : c'est de mettre en place un protocole de consentement différencié pour l'utilisation des images dans les supports externes.

Contrôle d'accès biométrique à la cantine

Un établissement introduit un système d'empreintes digitales pour que les élèves accèdent à la cantine sans badge. Les données biométriques constituent une catégorie particulière au sens de l'article 9.1 du RGPD ; elles requièrent le consentement explicite du tuteur légal et une AIPD préalable. Plusieurs établissements espagnols ont reçu des injonctions de l'AEPD pour avoir mis en place ces systèmes sans satisfaire à ces exigences. Le DPO doit émettre un avis avant la passation du marché, et non après.

Violation de données sur la plateforme de gestion scolaire

Une attaque par rançongiciel chiffre le serveur sur lequel l'établissement conserve les dossiers de 400 élèves. Sans protocole de notification actif, l'établissement met 10 jours à informer l'AEPD, alors que le délai est de 72 heures à compter du moment où la violation est découverte (art. 33 RGPD). L'amende pour la violation elle-même peut être inférieure à celle infligée pour la notification tardive.

Communication de données à des tiers sans contrat de sous-traitance formalisé

L'établissement contracte une société d'activités parascolaires qui accède à la liste des élèves et à leurs coordonnées via le système de gestion. Il n'existe pas de contrat de sous-traitance au sens de l'article 28 du RGPD. Si cette société subit une violation ou utilise les données à ses propres fins, la responsabilité incombe également à l'établissement d'enseignement.

Comment mettre en œuvre la conformité au RGPD dans un établissement privé sous contrat étape par étape

Le processus de mise en conformité d'un établissement d'enseignement suit une séquence logique. Chez Summum Consultoría, fort de plus de 15 ans d'expérience d'accompagnement d'organisations en matière de conformité réglementaire et présent dans cinq bureaux (Valladolid, Burgos, Palencia, Aranda de Duero et Las Palmas), nous avons affiné une méthode qui part toujours d'un inventaire réel des activités de traitement :

  1. Audit initial des traitements : identifier tous les flux de données de l'établissement, y compris les plateformes numériques, les fournisseurs, les systèmes de surveillance et les communications avec les familles.
  2. Registre des Activités de Traitement (RAT) : documenter chaque activité de traitement avec sa finalité, sa base juridique, ses délais de conservation et ses destinataires.
  3. Analyse des écarts et plan d'action : comparer la situation actuelle aux exigences du RGPD et de la LOPDGDD, et hiérarchiser les activités de traitement présentant le risque le plus élevé.
  4. AIPD pour les traitements à haut risque : biométrie, vidéosurveillance étendue, plateformes impliquant des transferts internationaux.
  5. Conformité documentaire : clauses d'information (art. 13-14 RGPD) dans les formulaires d'inscription, contrats de sous-traitance avec les fournisseurs, politique de confidentialité du site internet, protocoles internes.
  6. Formation du personnel : session initiale pour le corps enseignant et l'équipe de direction ; mise à jour annuelle.
  7. Désignation et enregistrement du DPO : communication à l'AEPD du nom et des coordonnées du Délégué.
  8. Supervision continue : révision périodique du RAT, gestion des droits, notification des violations et adaptation aux évolutions réglementaires.

Si l'établissement appartient à une congrégation religieuse ou à un groupe éducatif comprenant plusieurs établissements, le service de DPO externe partagé permet d'étendre la couverture à tous les établissements du groupe dans le cadre d'un contrat unique, avec une adaptation individualisée à chaque site.

Risques du non-respect : sanctions et conséquences réputationnelles

L'AEPD dispose d'un pouvoir de sanction directe à l'égard des établissements d'enseignement. Les infractions au RGPD sont classées en trois niveaux :

Au-delà de la sanction financière, les conséquences réputationnelles d'une sanction publiée au BOE sont dévastatrices pour un établissement dont le principal actif est la confiance des familles. L'AEPD publie ses décisions en mentionnant le nom du responsable du traitement et une description des faits. Dans le secteur éducatif, cette publicité peut se traduire directement par une perte d'inscriptions.

Questions fréquentes

Un petit établissement privé sous contrat de moins de 100 élèves a-t-il également besoin d'un DPO ?

Oui, s'il traite des données de catégorie particulière (santé, besoins éducatifs particuliers, données biométriques) ou exploite un système de vidéosurveillance dans l'enceinte. L'article 34.1 a) de la LOPDGDD ne fixe pas de seuil minimum d'élèves pour les établissements d'enseignement : l'obligation naît du type de données traitées, et non de la taille de l'établissement. L'AEPD a confirmé cette interprétation dans des décisions récentes. Un DPO externe est particulièrement rentable pour les petits établissements, car le coût est réparti entre les différents clients du prestataire.

Le directeur de l'établissement peut-il exercer les fonctions de DPO ?

En théorie, le RGPD ne l'interdit pas expressément, mais en pratique cela crée un conflit d'intérêts que l'AEPD a observé avec préoccupation. Le DPO doit superviser les activités de traitement du responsable et peut entrer en conflit avec des décisions prises par le directeur lui-même. De plus, le directeur manque généralement de la formation juridique et technique que le rôle de Délégué exige. Le Comité européen de la protection des données (CEPD) recommande dans ses Lignes directrices 07/2020 que le DPO soit externe lorsqu'il existe des risques réels de conflit d'intérêts, comme c'est le cas dans les établissements d'enseignement.

Quel délai l'établissement a-t-il pour répondre à une demande d'accès d'un parent ou d'un élève ?

L'article 12.3 du RGPD fixe un délai d'un mois à compter de la réception de la demande. Ce délai peut être prorogé de deux mois supplémentaires lorsque la demande est complexe ou nombreuse, mais le responsable du traitement doit informer le demandeur de la prorogation dans le premier mois. L'absence de réponse dans les délais constitue en soi une infraction au RGPD dénonçable auprès de l'AEPD, indépendamment du fait que le traitement sous-jacent soit correct ou non.

L'établissement a-t-il besoin d'une AIPD pour installer des caméras de vidéosurveillance dans la cour de récréation ?

Cela dépend de l'étendue du dispositif. L'AEPD a publié en 2018 la liste des activités de traitement requérant une AIPD obligatoire, et elle inclut la vidéosurveillance dans des espaces où sont traitées des données de catégories particulières ou où les personnes concernées sont particulièrement vulnérables, comme les mineurs. Un circuit de vidéosurveillance couvrant les cours de récréation, les cantines et les couloirs d'un établissement scolaire entre dans cette catégorie. L'AIPD doit être réalisée avant l'installation du système, et non après ; et si le résultat fait apparaître un risque résiduel élevé, l'AEPD doit être consultée au préalable (art. 36 RGPD).