Un établissement privé sous contrat n'est pas une organisation ordinaire. Il traite quotidiennement des données de santé, des dossiers scolaires, des informations familiales, des images de mineurs et des communications avec les tuteurs légaux. Tout cela constitue des données personnelles de catégorie particulière au sens de l'article 9 du Règlement (UE) 2016/679 (RGPD) et de la Loi organique 3/2018 relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD). Le non-respect a un prix : des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial total, en vertu de l'article 83.5 du RGPD, auxquelles s'ajoute la responsabilité spécifique que l'Agence espagnole de protection des données (AEPD) applique aux établissements d'enseignement.
Cet article explique ce qui oblige un établissement privé sous contrat à désigner un Délégué à la Protection des Données (DPO) externe, quels flux de données génèrent le plus grand risque et comment l'organisation de la conformité doit être structurée pour que l'établissement puisse démontrer, lors de toute inspection de l'AEPD, que sa maison est en ordre.
Un établissement privé sous contrat est-il obligé d'avoir un DPO ?
La réponse directe est oui, et le fondement juridique est double. D'une part, l'article 37.1 b) et c) du RGPD impose la désignation d'un DPO à toute organisation qui traite des données de catégorie particulière à grande échelle ou qui effectue une surveillance systématique des personnes à grande échelle. D'autre part, l'article 34.1 a) de la LOPDGDD étend explicitement cette obligation aux établissements d'enseignement qui utilisent ou conservent des données personnelles de mineurs.
Un établissement privé sous contrat moyen comptant 300 élèves ou plus entre pleinement dans les deux catégories : il gère des dossiers scolaires contenant des données de santé (allergies, rapports psychopédagogiques, besoins éducatifs particuliers), des systèmes de vidéosurveillance dans l'enceinte, des plateformes numériques de communication avec les familles et, dans bien des cas, des systèmes biométriques de contrôle d'accès. L'AEPD a confirmé dans de nombreuses décisions que ce profil de traitement déclenche l'obligation de désigner un DPO.
Quelles données traite un établissement privé sous contrat et pourquoi sont-elles à haut risque ?
L'inventaire des activités de traitement d'un établissement privé sous contrat est plus étendu qu'il n'y paraît à première vue. Il est utile de le regrouper pour comprendre où se concentre le risque :
| Catégorie de données | Exemples concrets | Base juridique principale | Niveau de risque RGPD |
|---|---|---|---|
| Données scolaires | Notes, bulletins d'évaluation, historique d'inscription | Mission d'intérêt public (art. 6.1.e RGPD) | Moyen |
| Données de santé et de besoins particuliers | Allergies, médicaments, rapports psychopédagogiques, BEP | Intérêt vital ou consentement explicite (art. 9.2 RGPD) | Élevé |
| Données d'image | Vidéosurveillance, photos d'activités, publications sur le site ou les réseaux sociaux | Intérêt légitime ou consentement (avec nuances pour les mineurs) | Élevé |
| Données des familles et tuteurs | Coordonnées, adresse, situation de garde, niveau socio-économique | Relation contractuelle (art. 6.1.b RGPD) | Moyen-Élevé |
| Données du personnel enseignant et non enseignant | Fiches de paie, arrêts maladie, données syndicales, sanctions disciplinaires | Contrat de travail et obligation légale | Moyen-Élevé |
| Données biométriques | Empreintes digitales ou reconnaissance faciale pour le contrôle d'accès ou la cantine | Consentement explicite (art. 9.2.a RGPD) | Très élevé |
| Plateformes numériques éducatives | Google Workspace for Education, Microsoft 365, applications tierces | Contrat de sous-traitance (art. 28 RGPD) | Élevé (transferts internationaux) |
Chacune de ces catégories requiert une base juridique différente, une durée de conservation spécifique et, dans les cas à haut risque, une Analyse d'Impact relative à la Protection des Données (AIPD) préalable au traitement, conformément à l'article 35 du RGPD.
Le régime spécial des données de mineurs dans les établissements d'enseignement
La LOPDGDD consacre l'article 7 aux mineurs, fixant à 14 ans l'âge à partir duquel le mineur peut donner son propre consentement. En deçà de cet âge, le consentement doit provenir des parents ou des tuteurs légaux. Cependant, la Loi organique 8/2021 sur la protection globale de l'enfance et de l'adolescence contre la violence (LOPIVI) ajoute une couche supplémentaire : elle impose à l'établissement l'obligation de garantir la vie privée du mineur dans les situations de violence, ce qui inclut des restrictions d'accès aux données relatives aux situations de garde conflictuelles.
L'AEPD a publié en 2023 le « Rapport sur le traitement des données personnelles de mineurs dans le contexte éducatif », indiquant explicitement que la publication de photographies ou de vidéos d'élèves sur les réseaux sociaux de l'établissement sans le consentement exprès des tuteurs constitue une infraction grave. De nombreux établissements privés sous contrat ont continué à le faire par habitude, sans comprendre qu'une seule image publiée sur Instagram sans consentement adéquat peut donner lieu à une plainte auprès de l'AEPD.
Un autre point critique est l'utilisation de plateformes numériques éducatives dont le siège est situé en dehors de l'Espace économique européen. Lorsque l'établissement contracte Google Workspace for Education ou Microsoft 365 Education, ces sociétés deviennent des sous-traitants au sens de l'article 28 du RGPD. Le contrat de sous-traitance doit être signé, et les transferts internationaux doivent être couverts par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne en 2021 — une mise à jour qui oblige à réviser les contrats conclus avant cette date.
Fonctions du DPO externe dans un établissement privé sous contrat
Le DPO externe pour les établissements d'enseignement n'est pas un conseiller qui produit de la documentation puis disparaît. L'article 39 du RGPD lui assigne des fonctions permanentes et non négociables :
- Surveillance continue de la conformité au RGPD et à la LOPDGDD, avec accès direct à la direction de l'établissement et à l'organe de gouvernance de l'entité sous contrat.
- Tenue du Registre des Activités de Traitement (RAT), document obligatoire en vertu de l'article 30 du RGPD qui doit répertorier toutes les activités de traitement de l'établissement, y compris la vidéosurveillance, les plateformes numériques et les données de santé.
- Conseil en matière d'AIPD : lorsqu'un système biométrique doit être mis en place, le circuit de vidéosurveillance étendu ou une nouvelle plateforme numérique éducative intégrée, le DPO doit émettre un avis préalable.
- Point de contact avec l'AEPD : le nom et les coordonnées du DPO doivent être communiqués à l'Agence (art. 37.7 RGPD) et figurer dans la politique de confidentialité de l'établissement.
- Gestion des droits : traiter et répondre dans les délais (un mois, prorogeable de deux mois supplémentaires) aux demandes d'accès, de rectification, d'effacement et de portabilité présentées par les familles, les élèves de plus de 14 ans ou le personnel de l'établissement.
- Notification des violations de données : en cas d'incident (perte d'un appareil contenant des données d'élèves, accès non autorisé au système de gestion scolaire), le DPO coordonne la notification à l'AEPD dans les 72 heures et, le cas échéant, aux personnes concernées.
- Formation du corps enseignant et de l'équipe de direction : le personnel enseignant manipule des données au quotidien ; sans formation régulière, les erreurs sont inévitables.
DPO interne ou DPO externe : ce qui convient à un établissement privé sous contrat
Le RGPD permet que le DPO soit un employé de l'établissement lui-même ou un professionnel externe. Pour la plupart des établissements privés sous contrat, l'option interne soulève des problèmes structurels : le secrétaire ou l'administrateur de l'établissement manque généralement de la formation juridique et technique que le rôle exige ; de plus, l'article 38.3 du RGPD interdit au DPO de recevoir des instructions dans l'exercice de ses fonctions, ce qui crée des conflits d'intérêts lorsque le DPO est également chargé d'exécuter les traitements qu'il est censé superviser.
| Critère | DPO interne | DPO externe |
|---|---|---|
| Indépendance fonctionnelle | Difficile à garantir : dépend hiérarchiquement de l'établissement | Élevée : relation contractuelle externe, sans dépendance organisationnelle |
| Connaissance réglementaire à jour | Nécessite une formation continue à la charge de l'établissement | Le prestataire assure la mise à jour permanente |
| Disponibilité devant l'AEPD | Peut être limitée par d'autres fonctions du poste | Couverture garantie par le contrat de service |
| Coût | Salaire + formation + temps consacré | Frais de service (sans coût de structure) |
| Continuité lors des congés ou absences | Le service reste sans surveillance | Le prestataire garantit un remplacement |
| Adapté pour | Grands groupes éducatifs dotés de leur propre équipe juridique | Établissements privés sous contrat indépendants ou groupements jusqu'à 5-6 établissements |
Cas concrets : incidents fréquents dans les établissements d'enseignement
La jurisprudence de l'AEPD dans le secteur éducatif révèle des schémas répétitifs qu'un DPO actif aurait pu prévenir :
Publication d'images sans consentement
Un établissement publie sur sa page Facebook des photos de la fête de Noël faisant apparaître des élèves identifiables, sans avoir obtenu le consentement exprès de toutes les familles. L'AEPD a sanctionné ce type de comportement, le qualifiant de communication de données à des tiers (les utilisateurs du réseau social) sans base juridique suffisante. La solution n'est pas de supprimer les comptes de réseaux sociaux de l'établissement : c'est de mettre en place un protocole de consentement différencié pour l'utilisation des images dans les supports externes.
Contrôle d'accès biométrique à la cantine
Un établissement introduit un système d'empreintes digitales pour que les élèves accèdent à la cantine sans badge. Les données biométriques constituent une catégorie particulière au sens de l'article 9.1 du RGPD ; elles requièrent le consentement explicite du tuteur légal et une AIPD préalable. Plusieurs établissements espagnols ont reçu des injonctions de l'AEPD pour avoir mis en place ces systèmes sans satisfaire à ces exigences. Le DPO doit émettre un avis avant la passation du marché, et non après.
Violation de données sur la plateforme de gestion scolaire
Une attaque par rançongiciel chiffre le serveur sur lequel l'établissement conserve les dossiers de 400 élèves. Sans protocole de notification actif, l'établissement met 10 jours à informer l'AEPD, alors que le délai est de 72 heures à compter du moment où la violation est découverte (art. 33 RGPD). L'amende pour la violation elle-même peut être inférieure à celle infligée pour la notification tardive.
Communication de données à des tiers sans contrat de sous-traitance formalisé
L'établissement contracte une société d'activités parascolaires qui accède à la liste des élèves et à leurs coordonnées via le système de gestion. Il n'existe pas de contrat de sous-traitance au sens de l'article 28 du RGPD. Si cette société subit une violation ou utilise les données à ses propres fins, la responsabilité incombe également à l'établissement d'enseignement.
Comment mettre en œuvre la conformité au RGPD dans un établissement privé sous contrat étape par étape
Le processus de mise en conformité d'un établissement d'enseignement suit une séquence logique. Chez Summum Consultoría, fort de plus de 15 ans d'expérience d'accompagnement d'organisations en matière de conformité réglementaire et présent dans cinq bureaux (Valladolid, Burgos, Palencia, Aranda de Duero et Las Palmas), nous avons affiné une méthode qui part toujours d'un inventaire réel des activités de traitement :
- Audit initial des traitements : identifier tous les flux de données de l'établissement, y compris les plateformes numériques, les fournisseurs, les systèmes de surveillance et les communications avec les familles.
- Registre des Activités de Traitement (RAT) : documenter chaque activité de traitement avec sa finalité, sa base juridique, ses délais de conservation et ses destinataires.
- Analyse des écarts et plan d'action : comparer la situation actuelle aux exigences du RGPD et de la LOPDGDD, et hiérarchiser les activités de traitement présentant le risque le plus élevé.
- AIPD pour les traitements à haut risque : biométrie, vidéosurveillance étendue, plateformes impliquant des transferts internationaux.
- Conformité documentaire : clauses d'information (art. 13-14 RGPD) dans les formulaires d'inscription, contrats de sous-traitance avec les fournisseurs, politique de confidentialité du site internet, protocoles internes.
- Formation du personnel : session initiale pour le corps enseignant et l'équipe de direction ; mise à jour annuelle.
- Désignation et enregistrement du DPO : communication à l'AEPD du nom et des coordonnées du Délégué.
- Supervision continue : révision périodique du RAT, gestion des droits, notification des violations et adaptation aux évolutions réglementaires.
Si l'établissement appartient à une congrégation religieuse ou à un groupe éducatif comprenant plusieurs établissements, le service de DPO externe partagé permet d'étendre la couverture à tous les établissements du groupe dans le cadre d'un contrat unique, avec une adaptation individualisée à chaque site.
Risques du non-respect : sanctions et conséquences réputationnelles
L'AEPD dispose d'un pouvoir de sanction directe à l'égard des établissements d'enseignement. Les infractions au RGPD sont classées en trois niveaux :
- Infractions de premier niveau (art. 83.4 RGPD) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial total annuel. Elles comprennent le manquement à des obligations telles que la tenue du RAT, la désignation du DPO ou la formalisation des contrats de sous-traitance.
- Infractions graves (art. 83.5 RGPD) : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial total annuel. Elles comprennent le traitement de données sans base juridique, la violation des principes de l'article 5 du RGPD ou le transfert de données vers des pays tiers sans garanties adéquates.
Au-delà de la sanction financière, les conséquences réputationnelles d'une sanction publiée au BOE sont dévastatrices pour un établissement dont le principal actif est la confiance des familles. L'AEPD publie ses décisions en mentionnant le nom du responsable du traitement et une description des faits. Dans le secteur éducatif, cette publicité peut se traduire directement par une perte d'inscriptions.
Questions fréquentes
Un petit établissement privé sous contrat de moins de 100 élèves a-t-il également besoin d'un DPO ?
Oui, s'il traite des données de catégorie particulière (santé, besoins éducatifs particuliers, données biométriques) ou exploite un système de vidéosurveillance dans l'enceinte. L'article 34.1 a) de la LOPDGDD ne fixe pas de seuil minimum d'élèves pour les établissements d'enseignement : l'obligation naît du type de données traitées, et non de la taille de l'établissement. L'AEPD a confirmé cette interprétation dans des décisions récentes. Un DPO externe est particulièrement rentable pour les petits établissements, car le coût est réparti entre les différents clients du prestataire.
Le directeur de l'établissement peut-il exercer les fonctions de DPO ?
En théorie, le RGPD ne l'interdit pas expressément, mais en pratique cela crée un conflit d'intérêts que l'AEPD a observé avec préoccupation. Le DPO doit superviser les activités de traitement du responsable et peut entrer en conflit avec des décisions prises par le directeur lui-même. De plus, le directeur manque généralement de la formation juridique et technique que le rôle de Délégué exige. Le Comité européen de la protection des données (CEPD) recommande dans ses Lignes directrices 07/2020 que le DPO soit externe lorsqu'il existe des risques réels de conflit d'intérêts, comme c'est le cas dans les établissements d'enseignement.
Quel délai l'établissement a-t-il pour répondre à une demande d'accès d'un parent ou d'un élève ?
L'article 12.3 du RGPD fixe un délai d'un mois à compter de la réception de la demande. Ce délai peut être prorogé de deux mois supplémentaires lorsque la demande est complexe ou nombreuse, mais le responsable du traitement doit informer le demandeur de la prorogation dans le premier mois. L'absence de réponse dans les délais constitue en soi une infraction au RGPD dénonçable auprès de l'AEPD, indépendamment du fait que le traitement sous-jacent soit correct ou non.
L'établissement a-t-il besoin d'une AIPD pour installer des caméras de vidéosurveillance dans la cour de récréation ?
Cela dépend de l'étendue du dispositif. L'AEPD a publié en 2018 la liste des activités de traitement requérant une AIPD obligatoire, et elle inclut la vidéosurveillance dans des espaces où sont traitées des données de catégories particulières ou où les personnes concernées sont particulièrement vulnérables, comme les mineurs. Un circuit de vidéosurveillance couvrant les cours de récréation, les cantines et les couloirs d'un établissement scolaire entre dans cette catégorie. L'AIPD doit être réalisée avant l'installation du système, et non après ; et si le résultat fait apparaître un risque résiduel élevé, l'AEPD doit être consultée au préalable (art. 36 RGPD).