Chaque année scolaire, un établissement recueille des centaines de données sur ses élèves : nom, adresse, données de santé pour la cantine ou l'infirmerie, photographies pour l'annuaire, notes, rapports psychopédagogiques et, dans de nombreux cas, des données concernant des familles séparées avec des restrictions de garde. Toutes ces données appartiennent à des mineurs, la catégorie de personnes que le Règlement Général sur la Protection des Données (RGPD) et la loi organique espagnole 3/2018 relative à la protection des données et à la garantie des droits numériques (LOPDGDD) entourent de garanties renforcées. Le problème est que de nombreux établissements — publics et privés sous contrat — agissent encore comme si le régime applicable était l'ancienne loi de protection des données de 1999 : un avis de confidentialité sur papier, un consentement générique lors de l'inscription et guère plus. Ce modèle n'est plus valide et expose l'établissement, sa direction et son équipe de direction à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
Cet article explique, de manière concrète, quelles données peuvent être traitées, sur quelle base juridique, quelles obligations documentaires sont indispensables et quelles erreurs commettent le plus souvent les établissements scolaires. Si vous cherchez à mettre en œuvre la conformité depuis zéro ou à réviser votre dispositif existant, chez Summum Consultoria nous accompagnons les organisations dans la conformité réglementaire depuis 2007 ; notre service d'mise en conformité RGPD pour les établissements scolaires couvre l'analyse initiale, la documentation complète et la maintenance continue.
À quels établissements le RGPD s'applique-t-il ?
Le RGPD s'applique à toute organisation qui traite des données personnelles de personnes physiques dans l'Union européenne, quelle que soit sa taille. Cela inclut :
- Les écoles publiques, dont le responsable du traitement est l'autorité éducative régionale (même si c'est l'établissement qui agit en pratique).
- Les établissements sous contrat et les établissements privés, où le responsable est l'entité gestionnaire (fondation, coopérative, société, congrégation religieuse).
- Les écoles maternelles (0-3 ans) et les centres d'éducation spécialisée, avec des particularités supplémentaires en raison du jeune âge des enfants et de la présence fréquente de données de santé.
- Les universités et les centres de formation professionnelle, bien que cet article se concentre sur l'enseignement non universitaire.
La LOPDGDD ajoute, en son article 7, que les enfants de moins de 14 ans ne peuvent pas donner eux-mêmes leur consentement au traitement de leurs données ; ce sont les titulaires de l'autorité parentale ou de la tutelle qui doivent l'autoriser. Pour les jeunes de 14 à 18 ans, le mineur lui-même peut consentir, sauf dans les cas impliquant des données particulièrement sensibles (santé, origine ethnique, idéologie, etc.), où la plus grande prudence s'impose.
Catégories de données traitées par un établissement scolaire
Avant d'aborder les bases juridiques, il convient de savoir avec quels types de données un établissement scolaire travaille habituellement. Le tableau ci-dessous résume les catégories les plus fréquentes et leur niveau de sensibilité :
| Catégorie de données | Exemples concrets | Sensibilité RGPD | Base juridique habituelle |
|---|---|---|---|
| Identifiants de base | Nom, prénoms, date de naissance, adresse | Ordinaire | Relation contractuelle / mission éducative publique |
| Scolaires | Notes, bulletins d'évaluation, dossier scolaire | Ordinaire (avec restrictions d'accès) | Obligation légale (LOE / législation régionale) |
| Santé | Allergies, médicaments, handicaps, rapports médicaux | Catégorie particulière (art. 9 RGPD) | Intérêts vitaux / obligation légale sanitaire |
| Psychopédagogiques | Rapports d'orientation, TDAH, besoins éducatifs particuliers | Catégorie particulière | Obligation légale éducative + consentement |
| Image et voix | Photos de classe, vidéos d'activités, enregistrements | Ordinaire (mineurs : renforcée) | Consentement explicite des parents |
| Famille et garde | Données des parents, modalités de garde, ordonnances judiciaires | Ordinaire / judiciaire | Intérêt légitime / obligation légale |
| Financières | Compte bancaire pour le prélèvement des frais, bourses | Ordinaire | Relation contractuelle |
| Comportementales et disciplinaires | Rapports d'incident, procédures disciplinaires | Ordinaire (avec restrictions) | Obligation légale (règlement intérieur) |
Bases juridiques du traitement des données des mineurs
L'erreur la plus fréquente consiste à utiliser le consentement comme base juridique fourre-tout pour tous les traitements. Le consentement est révocable à tout moment, ce qui créerait des situations absurdes (un parent retire son consentement et l'établissement ne peut plus conserver les notes de l'élève). Le RGPD prévoit six bases juridiques ; les établissements scolaires s'appuient généralement sur trois d'entre elles :
1. Obligation légale
La loi organique 2/2006 sur l'éducation (LOE) et les réglementations régionales obligent les établissements à tenir le dossier scolaire, à communiquer des données à l'autorité éducative et à conserver les registres pendant des délais déterminés. Pour ces traitements, aucun consentement n'est requis : l'obligation légale justifie à elle seule le traitement. Tenter d'obtenir un consentement pour quelque chose que la loi impose déjà risque de semer la confusion parmi les familles et de créer des problèmes lorsque quelqu'un le retire.
2. Consentement explicite
C'est la base correcte pour les traitements qui ne sont pas légalement obligatoires : publier des photographies sur le site web de l'établissement ou sur les réseaux sociaux, envoyer des images d'élèves aux médias, utiliser des données à des fins marketing de l'entité (p. ex. envoyer la newsletter aux familles) ou communiquer des données à des entreprises de transport scolaire ou d'activités extrascolaires externes. Le consentement doit être libre, spécifique, éclairé et univoque. Pour les enfants de moins de 14 ans, il doit être donné par les parents ou les tuteurs légaux ; entre 14 et 18 ans, le mineur peut le donner lui-même, mais la prudence conseille d'informer également les parents lorsque des données sensibles sont impliquées.
3. Intérêts vitaux
Cette base justifie le traitement de données de santé sans consentement lorsqu'il existe un risque pour la vie de l'élève (p. ex. une urgence médicale dans la cour de récréation). Elle s'applique de manière ponctuelle et exceptionnelle, non comme règle générale.
Obligations documentaires indispensables
Le RGPD repose sur le principe de responsabilité (accountability) : il ne suffit pas de se conformer, il faut pouvoir le démontrer. Voici les éléments documentaires minimaux que tout établissement scolaire doit avoir en place :
Registre des activités de traitement (RAT)
Document interne qui répertorie tous les traitements de données de l'établissement : quelles données sont traitées, dans quel but, quelle base juridique les couvre, combien de temps elles sont conservées et si elles sont communiquées à des tiers. L'Agence Espagnole de Protection des Données (AEPD) a publié des modèles d'orientation pour le secteur éducatif. Le RAT n'est pas communiqué de manière routinière, mais doit être disponible si l'autorité de contrôle le demande lors d'une inspection.
Clauses d'information (arts. 13 et 14 RGPD)
Au moment de la collecte des données (inscription, formulaires, applications scolaires), l'établissement doit informer les parents — et, le cas échéant, l'élève lui-même — de : l'identité et les coordonnées du responsable du traitement, les finalités et bases juridiques du traitement, la durée de conservation, les droits pouvant être exercés et, le cas échéant, les coordonnées du Délégué à la Protection des Données. Les clauses en petits caractères au bas d'un formulaire papier ne sont plus suffisantes si elles ne sont pas lisibles et compréhensibles.
Délégué à la Protection des Données (DPD)
L'article 37 du RGPD exige que certains responsables du traitement désignent un DPD de manière obligatoire. Les établissements scolaires publics sont clairement obligés de le faire, en tant qu'autorités publiques. Pour les établissements sous contrat et privés, l'obligation dépend de l'ampleur du traitement de données de catégories particulières ; en pratique, tout établissement traitant des données de santé ou psychopédagogiques concernant des dizaines ou des centaines d'élèves entre dans l'obligation. Le DPD peut être une personne en interne ayant une formation spécifique ou un service externe spécialisé. Sa fonction n'est pas d'exécuter la conformité mais de la superviser et de la conseiller, en agissant comme point de contact avec l'AEPD.
Contrats avec les sous-traitants
Toute entreprise externe accédant aux données des élèves pour le compte de l'établissement — plateforme numérique éducative, prestataire de restauration, service de transport, fournisseur de logiciel de gestion scolaire — agit en tant que sous-traitant et doit signer un contrat (ou une clause contractuelle) régissant ce qu'il peut faire avec ces données, pendant combien de temps et avec quelles mesures de sécurité. Sans ce contrat, l'établissement est solidairement responsable des infractions commises par le prestataire.
Mesures de sécurité techniques et organisationnelles
Il n'existe pas de liste fermée de mesures obligatoires ; le RGPD exige qu'elles soient appropriées au risque. Dans un établissement scolaire, les mesures minimales raisonnables comprennent : un contrôle d'accès par profil à la plateforme de gestion scolaire, le chiffrement des appareils portables contenant des données d'élèves, un protocole de destruction sécurisée des documents physiques (destructeur certifié), une formation annuelle du personnel à la protection des données, et un protocole de gestion des violations de données (savoir quoi faire et qui notifier dans les 72 premières heures en cas d'incident).
Les dix erreurs les plus fréquentes dans les établissements scolaires
Dans les projets de mise en conformité que nous avons menés, voici les erreurs qui apparaissent le plus fréquemment :
- Utiliser des groupes WhatsApp de classe contenant des données d'élèves et de familles sans base juridique ni avis de confidentialité.
- Publier des photos d'élèves sur les réseaux sociaux sans consentement écrit signé par les deux parents (ou celui qui a la garde exclusive).
- Ne pas avoir de contrat avec la plateforme de gestion scolaire (Alexia, Raíces, Clickedu, etc.) en tant que sous-traitant.
- Conserver les dossiers indéfiniment sans appliquer les délais de suppression prévus par la réglementation éducative.
- Ne pas informer l'élève de ses propres droits lorsqu'il a 14 ans ou plus.
- Envoyer les bulletins de notes par courrier électronique sans chiffrement ni vérification que le destinataire est bien le bon parent.
- Partager des listes d'élèves ayant des allergies à la cantine avec le prestataire externe sans contrat de sous-traitance.
- Ne pas enregistrer ni notifier les violations de données : un ordinateur portable volé contenant les notes d'élèves doit être notifié à l'AEPD dans les 72 heures s'il présente un risque pour les personnes concernées.
- Communiquer des données à l'association de parents d'élèves (AMPA) sans base juridique claire (l'AMPA est une entité indépendante ; la communication requiert un consentement ou une habilitation légale spécifique).
- Ne pas avoir de DPD désigné lorsque c'est obligatoire, ou en avoir un sans qu'il soit enregistré auprès de l'AEPD.
Le cas particulier des plateformes numériques éducatives
La numérisation accélérée du secteur éducatif — impulsée en partie par le Plan de numérisation du système éducatif 2021-2025 du Ministère — a multiplié l'utilisation de plateformes de vidéoconférence, de salles de classe virtuelles, d'applications de gamification et d'outils de suivi de l'apprentissage. Beaucoup de ces outils, notamment ceux d'origine nord-américaine, posent des problèmes dès le départ :
- Des transferts internationaux de données en dehors de l'Espace économique européen qui peuvent ne pas être correctement couverts.
- Des politiques de confidentialité permettant au prestataire d'utiliser les données des élèves pour améliorer ses modèles ou à des fins publicitaires.
- L'absence de contrats de sous-traitance adaptés au RGPD européen.
L'Agence Espagnole de Protection des Données (AEPD) a publié en 2023 un guide spécifique sur la protection des données dans le domaine éducatif qui aborde l'utilisation de ces outils et établit des critères pour évaluer si leur utilisation est compatible avec le RGPD. Avant de déployer toute plateforme numérique traitant des données d'élèves mineurs, l'établissement ou l'autorité éducative doit réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) lorsque le traitement présente un risque élevé.
Sanctions et procédures récentes de l'AEPD
L'AEPD a sanctionné des établissements scolaires et des administrations pour des manquements liés aux données de mineurs. Parmi les cas les plus illustratifs de ces dernières années :
- Des établissements ayant publié des listes d'élèves avec des données de santé (allergies) sur des tableaux d'affichage accessibles à des tiers non autorisés.
- Des écoles ayant installé des systèmes de vidéosurveillance dans les espaces scolaires sans l'information préalable requise à la communauté éducative.
- Des plateformes de gestion contractées sans clauses de sous-traitance conformes à l'article 28 du RGPD.
- La communication d'images de mineurs à des médias sans consentement explicite des parents.
Les sanctions dans le secteur éducatif oscillent généralement entre 3 000 et 300 000 euros selon la gravité, bien que pour les entités publiques, l'AEPD puisse adresser un avertissement plutôt qu'une amende (article 77 LOPDGDD). Dans tous les cas, le préjudice réputationnel pour un établissement scolaire — dont la relation avec les familles est fondée sur la confiance — peut s'avérer plus coûteux que l'amende elle-même.
Si votre établissement a besoin d'une révision de sa situation actuelle ou d'une mise en conformité complète, notre équipe de conformité RGPD pour le secteur éducatif travaille avec des établissements de Castille-et-León et des Canaries depuis 2007, avec plus de 200 projets d'adéquation réglementaire accompagnés. Le processus commence par un diagnostic de la situation, se poursuit par l'élaboration de toute la documentation obligatoire et s'achève par la formation du corps enseignant et de l'équipe de direction.
Questions fréquentes
L'école peut-elle publier des photos d'élèves sur son site web ou Instagram sans demander l'autorisation ?
Non. L'image d'une personne est une donnée personnelle protégée par le RGPD. Dans le cas des enfants de moins de 14 ans, la publication de photographies — que ce soit sur le site web de l'établissement, sur les réseaux sociaux ou dans les médias — requiert le consentement explicite et écrit de ceux qui exercent l'autorité parentale ou la tutelle. Ce consentement doit être spécifique à chaque canal et finalité : un consentement générique lors de l'inscription mentionnant «j'autorise l'utilisation des images» n'est pas valide. L'Instruction 1/2006 de l'AEPD sur la vidéosurveillance et les critères de l'agence sont clairs à ce sujet. En cas de litige de garde, l'école doit faire preuve d'une prudence particulière et demander les documents judiciaires régissant les modalités de garde et de communication.
Quelles informations minimales le formulaire d'inscription doit-il contenir ?
Au moment de la collecte des données, le responsable du traitement doit fournir au minimum : (1) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du DPD ; (2) les finalités du traitement et la base juridique ; (3) les destinataires ou catégories de destinataires auxquels les données seront communiquées ; (4) la durée de conservation prévue ou les critères pour la déterminer ; (5) les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition, ainsi que les modalités pour les exercer ; (6) le droit d'introduire une réclamation auprès de l'AEPD. Ces informations peuvent être fournies dans un format de couche simplifiée (résumé lisible) avec renvoi à une politique de confidentialité complète sur le site web.
L'école peut-elle partager les données d'un élève avec son médecin traitant ou les services sociaux ?
Cela dépend de la situation concrète. La communication aux services sanitaires ou de protection des mineurs peut être couverte par une obligation légale (protocoles de détection de situations de risque ou de maltraitance) ou par les intérêts vitaux du mineur dans des situations d'urgence. Dans ces cas, le consentement des parents n'est pas requis, mais la communication doit être documentée. Ce qui n'est pas couvert, c'est le partage de données scolaires ou comportementales avec des tiers non liés à la protection du mineur (par exemple, avec un autre établissement vers lequel l'élève pourrait être transféré) sans base juridique claire, contrat de sous-traitance ou communication autorisée.
Combien de temps l'école doit-elle conserver le dossier scolaire d'un élève ?
La réglementation éducative établit que le dossier scolaire a une valeur permanente et doit être conservé indéfiniment par l'autorité éducative (ou par l'établissement en son nom). Cependant, d'autres documents — rapports de comportement, autorisations d'activités extrascolaires, rapports ponctuels — ont des délais de conservation bien plus courts. En règle générale, une fois que l'élève quitte l'établissement, les données de pure gestion administrative doivent être supprimées ou anonymisées dans un délai raisonnable (généralement entre 3 et 5 ans, ou le temps nécessaire pour traiter d'éventuelles réclamations). Le RAT doit mentionner expressément ces délais de conservation.
Que se passe-t-il si un parent demande accès aux données de son enfant ?
Le droit d'accès peut être exercé par les parents au nom de leurs enfants de moins de 14 ans ; à partir de cet âge, le mineur peut l'exercer lui-même. En cas de séparation ou de divorce, les deux parents ayant l'autorité parentale conjointe ont le droit d'accès, sauf décision judiciaire contraire. L'établissement doit répondre dans un délai d'un mois à compter de la demande (prorogeable à trois mois dans les cas complexes, moyennant notification de la prorogation). Le refus de fournir l'accès ou le retard injustifié peut donner lieu à une réclamation auprès de l'AEPD.