Les établissements scolaires qui dispensent un enseignement aux niveaux réglementés par la législation espagnole sur l'éducation doivent désigner un délégué à la protection des données (DPO). Dans les établissements publics, c'est généralement l'administration éducative compétente qui le désigne ; dans les établissements privés ou « concertados » (privés sous contrat), il faut confirmer quelle entité en est responsable. Le DPO externe doit intervenir sur les plateformes, les mineurs, les images, les dossiers scolaires, l'orientation, les appareils, les prestataires et les incidents, en toute indépendance et avec un accès à la direction.
Pourquoi le DPO est obligatoire dans les établissements scolaires
L'article 37 du RGPD régit les cas généraux de désignation d'un délégué à la protection des données. L'article 34.1 de la LOPDGDD (loi organique espagnole sur la protection des données) inclut, dans tous les cas, les établissements scolaires qui dispensent un enseignement à l'un quelconque des niveaux établis par la législation régissant le droit à l'éducation, ainsi que les universités publiques et privées.
L'AEPD (autorité espagnole de protection des données) le confirme dans sa foire aux questions : l'obligation ne dépend ni de la taille de l'établissement ni du fait qu'il ait subi une violation de données.
Avant d'aller plus loin, il convient d'identifier qui procède à la désignation dans chaque cas :
| Type d'établissement | Analyse initiale |
|---|---|
| Établissement public | L'administration éducative désigne généralement un DPO pour les établissements de son ressort. |
| Privé | L'entité titulaire doit le désigner et le notifier. |
| « Concertado » (privé sous contrat) | Le titulaire privé assume généralement ses propres traitements ; une coordination avec l'administration est nécessaire. |
| Groupe scolaire | Un DPO commun est possible s'il est accessible et dispose de ressources suffisantes. |
| Académie non réglementée | Il faut analyser l'article 37 du RGPD et la nature réelle de l'activité ; l'article 34 relatif à l'éducation ne s'applique pas automatiquement. |
La structure concrète et la réglementation régionale applicable doivent être vérifiées dans chaque cas.
Fonctions et position du DPO
Le DPO informe et conseille, contrôle la conformité, participe aux analyses d'impact relatives à la protection des données (AIPD), coopère avec l'autorité de contrôle et fait office de point de contact. Il doit être consulté dès la conception de chaque traitement, et non une fois la plateforme déjà contractée ou l'incident déjà rendu public.
Son indépendance exige :
- Un accès direct à la direction ou à la titularité de l'établissement.
- L'absence d'instructions concernant ses conclusions.
- Des ressources, des informations et un temps suffisants.
- Une protection contre les représailles liées à l'exercice de ses fonctions.
- L'absence de conflit d'intérêts.
- Un contact visible pour les familles, les élèves et le personnel.
Le DPO ne se substitue pas au responsable du traitement. La direction décide des finalités, des moyens et de l'acceptation des risques.
Cartographie des traitements en milieu scolaire
Un établissement scolaire traite généralement des données dans au moins les domaines suivants :
- Admission et inscription.
- Dossier scolaire et évaluation.
- Orientation et besoins éducatifs.
- Santé, allergies et médication.
- Cantine, transport et activités.
- Images, site web, réseaux sociaux et photos de classe.
- Plateformes d'apprentissage et de gestion.
- Appareils, comptes et communications.
- Contrôle d'accès et vidéosurveillance.
- Personnel, recrutement et paie.
- Vie scolaire, discipline et protection de l'enfance.
- Prestataires, assurances et relations avec l'administration.
- Anciens élèves et activités promotionnelles.
Chaque traitement nécessite une finalité, une base juridique, des données, des destinataires, une durée de conservation, des mesures de sécurité et un responsable identifié. La mission éducative peut légitimer les données nécessaires, y compris certaines catégories particulières, mais elle ne permet pas de les réutiliser à des fins de marketing ou de profilage étrangères à cette finalité.
Mineurs : une protection renforcée sans bloquer l'éducation
L'âge ne transforme pas le consentement en base juridique universelle. L'établissement peut traiter les informations nécessaires à sa mission d'enseignement sur le fondement d'une obligation légale, de la sauvegarde des intérêts vitaux ou d'autres bases applicables. La publication promotionnelle d'images, les applications facultatives ou les finalités non nécessaires exigent chacune une analyse distincte.
L'information doit être adaptée à l'âge et à la capacité de compréhension. Les familles et les élèves doivent savoir ce qui est collecté, dans quel but, qui y accède, pendant combien de temps les données sont conservées et comment exercer leurs droits.
Il faut distinguer l'autorité parentale, la représentation légale et la maturité du mineur. L'accès des parents aux informations scolaires peut être affecté par des décisions judiciaires, des situations de violence ou l'intérêt supérieur de l'enfant. Les cas sensibles doivent être remontés au DPO et à l'équipe juridique ou de protection de l'enfance.
Plateformes éducatives : évaluer avant de cliquer sur « accepter »
En mars 2026, les autorités espagnoles de protection des données ont publié des principes de base pour la contractualisation et l'utilisation des plateformes éducatives numériques. L'établissement ou l'administration reste responsable des données qu'il transmet à la plateforme.
Avant de contracter, il convient de vérifier :
- Finalité et nécessité pédagogique.
- Données et autorisations requises.
- Rôles de responsable et de sous-traitant.
- Publicité, profilage et usages propres du prestataire.
- Sous-traitants ultérieurs et transferts de données.
- Sécurité, chiffrement et authentification.
- Conservation, exportation et suppression.
- Accessibilité et alternatives.
- Analytique, intelligence artificielle et décisions automatisées.
- Plan de sortie.
Il ne faut pas imposer une application qui collecte plus de données que nécessaire ou qui oblige les familles à accepter des usages commerciaux.
Contrat et preuves
Le contrat prévu à l'article 28 du RGPD doit couvrir les instructions, la confidentialité, les mesures de sécurité, les sous-traitants ultérieurs, les droits, les incidents, l'audit et la restitution ou la suppression des données. Il convient également de conserver l'évaluation du prestataire, la version des conditions acceptées et la décision d'approbation.
Les comptes gratuits grand public ne conviennent généralement pas au traitement des dossiers scolaires sans évaluation ni contrat préalables.
Images, enregistrements et réseaux sociaux
Photographier une activité à des fins de documentation interne n'est pas la même chose que la publier sur un réseau social ouvert. Les finalités et les canaux doivent être distingués.
Un système bien conçu devrait enregistrer :
- L'élève et ses représentants légaux.
- La finalité autorisée.
- Les canaux de diffusion précis.
- La date et la preuve de l'information fournie.
- Le retrait et ses effets futurs.
- Les restrictions de protection applicables.
Le consentement, lorsqu'il constitue la base juridique, doit être libre, spécifique, éclairé et révocable. La participation aux activités éducatives ne peut pas être conditionnée à l'acceptation de la promotion de l'image. Le retrait n'oblige pas à l'impossible, mais il impose de cesser les usages futurs et de retirer le contenu lorsque cela est possible.
L'établissement doit disposer de règles claires aussi bien pour les photographies prises par les familles lors des événements que pour la publication par le personnel. Tout ce qui est visible lors d'un événement scolaire n'est pas librement réutilisable.
Santé et besoins éducatifs
Les données relatives aux allergies, au handicap, aux rapports psychopédagogiques ou à la médication constituent des catégories particulières. Seules les personnes devant agir doivent y accéder. Le personnel enseignant peut avoir besoin d'instructions pratiques, mais pas toujours du rapport clinique complet.
Quelques contrôles recommandés :
- Séparer le dossier scolaire, l'orientation et la santé lorsque cela est pertinent.
- Limiter les profils ayant accès et les téléchargements.
- Éviter d'envoyer cette information à des groupes de diffusion généraux.
- Conserver les rapports dans des dépôts approuvés.
- Définir un protocole de réponse aux urgences.
- Supprimer les copies locales une fois le besoin terminé.
- Enregistrer les communications à des professionnels ou à des administrations.
Les communications doivent rester discrètes. Une liste d'allergies visible peut répondre à un besoin urgent, mais elle doit être conçue de façon à ne pas exposer d'informations superflues.
Appareils, messagerie et apprentissage numérique
L'établissement doit définir les comptes institutionnels, les mots de passe, l'authentification multifacteur lorsqu'elle est adaptée, l'installation des applications, les mises à jour, les sauvegardes et la désactivation des utilisateurs. Les appareils partagés nécessitent des profils séparés et un effacement entre chaque utilisation.
Il ne faut pas demander aux élèves d'utiliser des comptes personnels pour des outils obligatoires sans analyse préalable. Un inventaire des applications autorisées doit exister. Le personnel enseignant ne devrait pas installer de sa propre initiative des services traitant des données de la classe.
En cas d'introduction d'une intelligence artificielle générative, il convient d'établir les usages autorisés, les données interdites, la révision des résultats produits et la transparence envers les familles et les élèves. Les dossiers scolaires ou les besoins éducatifs ne doivent pas être copiés dans des services publics sans contrat ni autorisation.
Vidéosurveillance et contrôle d'accès
Les caméras exigent une finalité, une nécessité, une proportionnalité, une information, un emplacement adapté et une durée de conservation définie. Les espaces particulièrement sensibles et la captation excessive doivent être évités. L'accès aux images doit être limité et journalisé.
La vidéosurveillance ne doit pas être utilisée comme un substitut général à la supervision, ni pour contrôler en continu la performance des enseignants. Lors de l'investigation d'un incident, seules les images pertinentes doivent être conservées, et les demandes doivent être traitées en protégeant les tiers.
Le contrôle biométrique exige une analyse particulièrement stricte, car il traite des catégories particulières de données lorsqu'il permet une identification univoque. La commodité ne suffit pas : des alternatives moins intrusives doivent être évaluées, et une AIPD réalisée le cas échéant.
Dossier, conservation et sortie de l'établissement
Tout ne se conserve pas pendant la même durée. Un tableau de conservation par catégorie doit exister :
- Dossier scolaire officiel.
- Admission non aboutie.
- Orientation et rapports.
- Santé et autorisations.
- Images et activités.
- Vie scolaire et incidents.
- Facturation et services.
- Accès et sécurité.
- Utilisateurs des plateformes.
En cas de changement d'établissement ou de fin de la relation, les comptes doivent être révoqués, les appareils récupérés, les documents transférés par un canal autorisé, et les copies auxiliaires supprimées. Les données soumises à une obligation légale sont conservées ou bloquées, selon le cas.
Droits et demandes des familles
L'établissement a besoin d'un canal visible et d'un registre des demandes. Il doit vérifier l'identité de manière proportionnée et répondre dans les délais.
Une demande d'accès peut inclure des données concernant d'autres personnes, des annotations protégées ou des informations dont l'accès affecterait le mineur. Un dossier intégral exposant des tiers ne doit pas être remis sans examen préalable.
Le droit à l'effacement ne permet pas de supprimer les notes ou les documents devant être conservés légalement. La réponse doit expliquer la base juridique et les limitations applicables.
Violations de données et protection de l'enfance
Quelques incidents fréquents :
- Envoi groupé avec adresses visibles.
- Dossier envoyé à une famille erronée.
- Lien public vers des documents.
- Appareil perdu.
- Compte d'enseignant compromis.
- Prestataire exposant les données d'une classe.
- Contenu sexuel ou violent diffusé sur internet.
La procédure doit coordonner la protection des données, la sécurité, la direction et la protection de l'enfance. Elle doit permettre de contenir l'incident, de préserver les preuves, d'évaluer le risque, de décider de la notification et de la communication, et d'activer des canaux d'urgence en présence de contenu préjudiciable.
Toute violation doit être documentée. Le prestataire doit en informer l'établissement sans retard injustifié.
Plan annuel du DPO externe
Début d'année scolaire
- Revoir les inscriptions, les informations et les autorisations.
- Valider les plateformes et les nouvelles applications.
- Vérifier les créations, suppressions et profils de comptes.
- Former le personnel selon sa fonction.
- Revoir les protocoles de santé, d'images et d'incidents.
Pendant l'année scolaire
- Échantillonner les contrats et les accès.
- Traiter les nouveaux projets et les demandes de droits.
- Revoir les incidents et les mesures adoptées.
- Informer trimestriellement la direction.
- Superviser les AIPD et les nouvelles technologies.
Fin d'année scolaire
- Révoquer les comptes et accès temporaires.
- Purger les copies et les plateformes abandonnées.
- Revoir la conservation et les transferts.
- Émettre le rapport de conformité et le plan de l'année suivante.
Évaluation des prestataires
| Critère | Question | Preuve |
|---|---|---|
| Nécessité | Est-il indispensable à la fonction ? | Rapport pédagogique/technique |
| Données | Collecte-t-il uniquement le nécessaire ? | Inventaire et configuration |
| Usage propre | Publicité, profilage ou entraînement ? | Contrat et politique |
| Sécurité | Chiffrement, MFA, journaux et incidents ? | Documentation et preuves |
| Sous-traitants | Qui accède et où ? | Liste et modifications |
| Sortie | Exporte-t-il et supprime-t-il ? | Preuve de réversibilité |
| Mineurs | Conception et transparence adaptées ? | Interface et information |
Erreurs fréquentes
- Désigner un DPO sans le consulter.
- Utiliser le consentement pour toute l'activité éducative.
- Accepter des plateformes gratuites sans contrat.
- Installer des applications de sa propre initiative.
- Publier des images avec une autorisation générique.
- Partager des rapports complets avec qui n'a besoin que d'instructions.
- Utiliser des comptes personnels pour traiter des dossiers.
- Maintenir des accès actifs après le départ.
- Remettre des dossiers sans protéger les tiers.
- Conserver indéfiniment des comptes et des copies.
Check-list de l'établissement
- DPO désigné, notifié et accessible.
- Rôles entre titulaire et administration définis.
- Traitements et bases juridiques inventoriés.
- Information adaptée aux familles et aux élèves.
- Plateformes évaluées avant contractualisation.
- Contrats, sous-traitants et transferts maîtrisés.
- Images séparées par finalité et par canal.
- Santé et orientation à accès minimal.
- Applications et appareils inventoriés.
- Conservation et suppression des comptes documentées.
- Violations et droits avec procédures testées.
- Plan annuel et rapports à la direction actifs.
Foire aux questions
Tous les établissements ont-ils besoin d'un DPO ?
Les établissements qui dispensent un enseignement aux niveaux réglementés sont expressément inclus dans la LOPDGDD.
Un groupe d'établissements peut-il partager un DPO ?
Oui, à condition qu'il soit accessible, indépendant et dispose de ressources suffisantes pour tous.
Le consentement des familles légitime-t-il n'importe quelle plateforme ?
Non. L'établissement doit évaluer la nécessité, le contrat, la sécurité et les droits. Le consentement ne corrige pas une plateforme disproportionnée.
Le personnel enseignant peut-il utiliser une application gratuite ?
Il ne devrait pas le faire avec des données d'élèves sans autorisation et évaluation préalables du responsable.
Peut-on publier une image d'une activité ?
Cela dépend de la finalité, de la base juridique, de l'information fournie et du canal. La publication promotionnelle doit être distinguée de la documentation éducative.
Le DPO décide-t-il de la plateforme à acheter ?
Il conseille et supervise ; la direction décide et doit documenter la manière dont elle traite les risques et les recommandations reçues.
Sources officielles consultées
- RGPD, en particulier les articles 5, 6, 8, 9, 12-14, 28 et 32-39.
- LOPDGDD (loi organique espagnole 3/2018 sur la protection des données), article 34.
- AEPD (autorité espagnole de protection des données) : les établissements scolaires sont-ils tenus de désigner un DPD ?
- AEPD : guide pour les établissements scolaires (PDF)
- AEPD : principes pour la contractualisation des plateformes éducatives numériques, mars 2026
Summum Consultoría peut assumer la fonction de DPO externe et élaborer un plan annuel adapté à l'établissement. La direction conserve la responsabilité et doit intégrer la protection des données à la mission éducative et à la protection de l'enfance. Si vous souhaitez évaluer comment cela s'intégrerait dans votre établissement, notre service de DPO externe et notre offre RGPD pour les établissements scolaires sont conçus pour accompagner précisément ce processus.