DPO externe pour écoles : guide pratique

·

Les établissements scolaires qui dispensent un enseignement aux niveaux réglementés par la législation espagnole sur l'éducation doivent désigner un délégué à la protection des données (DPO). Dans les établissements publics, c'est généralement l'administration éducative compétente qui le désigne ; dans les établissements privés ou « concertados » (privés sous contrat), il faut confirmer quelle entité en est responsable. Le DPO externe doit intervenir sur les plateformes, les mineurs, les images, les dossiers scolaires, l'orientation, les appareils, les prestataires et les incidents, en toute indépendance et avec un accès à la direction.

Pourquoi le DPO est obligatoire dans les établissements scolaires

L'article 37 du RGPD régit les cas généraux de désignation d'un délégué à la protection des données. L'article 34.1 de la LOPDGDD (loi organique espagnole sur la protection des données) inclut, dans tous les cas, les établissements scolaires qui dispensent un enseignement à l'un quelconque des niveaux établis par la législation régissant le droit à l'éducation, ainsi que les universités publiques et privées.

L'AEPD (autorité espagnole de protection des données) le confirme dans sa foire aux questions : l'obligation ne dépend ni de la taille de l'établissement ni du fait qu'il ait subi une violation de données.

Avant d'aller plus loin, il convient d'identifier qui procède à la désignation dans chaque cas :

Type d'établissementAnalyse initiale
Établissement publicL'administration éducative désigne généralement un DPO pour les établissements de son ressort.
PrivéL'entité titulaire doit le désigner et le notifier.
« Concertado » (privé sous contrat)Le titulaire privé assume généralement ses propres traitements ; une coordination avec l'administration est nécessaire.
Groupe scolaireUn DPO commun est possible s'il est accessible et dispose de ressources suffisantes.
Académie non réglementéeIl faut analyser l'article 37 du RGPD et la nature réelle de l'activité ; l'article 34 relatif à l'éducation ne s'applique pas automatiquement.

La structure concrète et la réglementation régionale applicable doivent être vérifiées dans chaque cas.

Fonctions et position du DPO

Le DPO informe et conseille, contrôle la conformité, participe aux analyses d'impact relatives à la protection des données (AIPD), coopère avec l'autorité de contrôle et fait office de point de contact. Il doit être consulté dès la conception de chaque traitement, et non une fois la plateforme déjà contractée ou l'incident déjà rendu public.

Son indépendance exige :

Le DPO ne se substitue pas au responsable du traitement. La direction décide des finalités, des moyens et de l'acceptation des risques.

Cartographie des traitements en milieu scolaire

Un établissement scolaire traite généralement des données dans au moins les domaines suivants :

Chaque traitement nécessite une finalité, une base juridique, des données, des destinataires, une durée de conservation, des mesures de sécurité et un responsable identifié. La mission éducative peut légitimer les données nécessaires, y compris certaines catégories particulières, mais elle ne permet pas de les réutiliser à des fins de marketing ou de profilage étrangères à cette finalité.

Mineurs : une protection renforcée sans bloquer l'éducation

L'âge ne transforme pas le consentement en base juridique universelle. L'établissement peut traiter les informations nécessaires à sa mission d'enseignement sur le fondement d'une obligation légale, de la sauvegarde des intérêts vitaux ou d'autres bases applicables. La publication promotionnelle d'images, les applications facultatives ou les finalités non nécessaires exigent chacune une analyse distincte.

L'information doit être adaptée à l'âge et à la capacité de compréhension. Les familles et les élèves doivent savoir ce qui est collecté, dans quel but, qui y accède, pendant combien de temps les données sont conservées et comment exercer leurs droits.

Il faut distinguer l'autorité parentale, la représentation légale et la maturité du mineur. L'accès des parents aux informations scolaires peut être affecté par des décisions judiciaires, des situations de violence ou l'intérêt supérieur de l'enfant. Les cas sensibles doivent être remontés au DPO et à l'équipe juridique ou de protection de l'enfance.

Plateformes éducatives : évaluer avant de cliquer sur « accepter »

En mars 2026, les autorités espagnoles de protection des données ont publié des principes de base pour la contractualisation et l'utilisation des plateformes éducatives numériques. L'établissement ou l'administration reste responsable des données qu'il transmet à la plateforme.

Avant de contracter, il convient de vérifier :

  1. Finalité et nécessité pédagogique.
  2. Données et autorisations requises.
  3. Rôles de responsable et de sous-traitant.
  4. Publicité, profilage et usages propres du prestataire.
  5. Sous-traitants ultérieurs et transferts de données.
  6. Sécurité, chiffrement et authentification.
  7. Conservation, exportation et suppression.
  8. Accessibilité et alternatives.
  9. Analytique, intelligence artificielle et décisions automatisées.
  10. Plan de sortie.

Il ne faut pas imposer une application qui collecte plus de données que nécessaire ou qui oblige les familles à accepter des usages commerciaux.

Contrat et preuves

Le contrat prévu à l'article 28 du RGPD doit couvrir les instructions, la confidentialité, les mesures de sécurité, les sous-traitants ultérieurs, les droits, les incidents, l'audit et la restitution ou la suppression des données. Il convient également de conserver l'évaluation du prestataire, la version des conditions acceptées et la décision d'approbation.

Les comptes gratuits grand public ne conviennent généralement pas au traitement des dossiers scolaires sans évaluation ni contrat préalables.

Images, enregistrements et réseaux sociaux

Photographier une activité à des fins de documentation interne n'est pas la même chose que la publier sur un réseau social ouvert. Les finalités et les canaux doivent être distingués.

Un système bien conçu devrait enregistrer :

Le consentement, lorsqu'il constitue la base juridique, doit être libre, spécifique, éclairé et révocable. La participation aux activités éducatives ne peut pas être conditionnée à l'acceptation de la promotion de l'image. Le retrait n'oblige pas à l'impossible, mais il impose de cesser les usages futurs et de retirer le contenu lorsque cela est possible.

L'établissement doit disposer de règles claires aussi bien pour les photographies prises par les familles lors des événements que pour la publication par le personnel. Tout ce qui est visible lors d'un événement scolaire n'est pas librement réutilisable.

Santé et besoins éducatifs

Les données relatives aux allergies, au handicap, aux rapports psychopédagogiques ou à la médication constituent des catégories particulières. Seules les personnes devant agir doivent y accéder. Le personnel enseignant peut avoir besoin d'instructions pratiques, mais pas toujours du rapport clinique complet.

Quelques contrôles recommandés :

Les communications doivent rester discrètes. Une liste d'allergies visible peut répondre à un besoin urgent, mais elle doit être conçue de façon à ne pas exposer d'informations superflues.

Appareils, messagerie et apprentissage numérique

L'établissement doit définir les comptes institutionnels, les mots de passe, l'authentification multifacteur lorsqu'elle est adaptée, l'installation des applications, les mises à jour, les sauvegardes et la désactivation des utilisateurs. Les appareils partagés nécessitent des profils séparés et un effacement entre chaque utilisation.

Il ne faut pas demander aux élèves d'utiliser des comptes personnels pour des outils obligatoires sans analyse préalable. Un inventaire des applications autorisées doit exister. Le personnel enseignant ne devrait pas installer de sa propre initiative des services traitant des données de la classe.

En cas d'introduction d'une intelligence artificielle générative, il convient d'établir les usages autorisés, les données interdites, la révision des résultats produits et la transparence envers les familles et les élèves. Les dossiers scolaires ou les besoins éducatifs ne doivent pas être copiés dans des services publics sans contrat ni autorisation.

Vidéosurveillance et contrôle d'accès

Les caméras exigent une finalité, une nécessité, une proportionnalité, une information, un emplacement adapté et une durée de conservation définie. Les espaces particulièrement sensibles et la captation excessive doivent être évités. L'accès aux images doit être limité et journalisé.

La vidéosurveillance ne doit pas être utilisée comme un substitut général à la supervision, ni pour contrôler en continu la performance des enseignants. Lors de l'investigation d'un incident, seules les images pertinentes doivent être conservées, et les demandes doivent être traitées en protégeant les tiers.

Le contrôle biométrique exige une analyse particulièrement stricte, car il traite des catégories particulières de données lorsqu'il permet une identification univoque. La commodité ne suffit pas : des alternatives moins intrusives doivent être évaluées, et une AIPD réalisée le cas échéant.

Dossier, conservation et sortie de l'établissement

Tout ne se conserve pas pendant la même durée. Un tableau de conservation par catégorie doit exister :

En cas de changement d'établissement ou de fin de la relation, les comptes doivent être révoqués, les appareils récupérés, les documents transférés par un canal autorisé, et les copies auxiliaires supprimées. Les données soumises à une obligation légale sont conservées ou bloquées, selon le cas.

Droits et demandes des familles

L'établissement a besoin d'un canal visible et d'un registre des demandes. Il doit vérifier l'identité de manière proportionnée et répondre dans les délais.

Une demande d'accès peut inclure des données concernant d'autres personnes, des annotations protégées ou des informations dont l'accès affecterait le mineur. Un dossier intégral exposant des tiers ne doit pas être remis sans examen préalable.

Le droit à l'effacement ne permet pas de supprimer les notes ou les documents devant être conservés légalement. La réponse doit expliquer la base juridique et les limitations applicables.

Violations de données et protection de l'enfance

Quelques incidents fréquents :

La procédure doit coordonner la protection des données, la sécurité, la direction et la protection de l'enfance. Elle doit permettre de contenir l'incident, de préserver les preuves, d'évaluer le risque, de décider de la notification et de la communication, et d'activer des canaux d'urgence en présence de contenu préjudiciable.

Toute violation doit être documentée. Le prestataire doit en informer l'établissement sans retard injustifié.

Plan annuel du DPO externe

Début d'année scolaire

Pendant l'année scolaire

Fin d'année scolaire

Évaluation des prestataires

CritèreQuestionPreuve
NécessitéEst-il indispensable à la fonction ?Rapport pédagogique/technique
DonnéesCollecte-t-il uniquement le nécessaire ?Inventaire et configuration
Usage proprePublicité, profilage ou entraînement ?Contrat et politique
SécuritéChiffrement, MFA, journaux et incidents ?Documentation et preuves
Sous-traitantsQui accède et où ?Liste et modifications
SortieExporte-t-il et supprime-t-il ?Preuve de réversibilité
MineursConception et transparence adaptées ?Interface et information

Erreurs fréquentes

  1. Désigner un DPO sans le consulter.
  2. Utiliser le consentement pour toute l'activité éducative.
  3. Accepter des plateformes gratuites sans contrat.
  4. Installer des applications de sa propre initiative.
  5. Publier des images avec une autorisation générique.
  6. Partager des rapports complets avec qui n'a besoin que d'instructions.
  7. Utiliser des comptes personnels pour traiter des dossiers.
  8. Maintenir des accès actifs après le départ.
  9. Remettre des dossiers sans protéger les tiers.
  10. Conserver indéfiniment des comptes et des copies.

Check-list de l'établissement

Foire aux questions

Tous les établissements ont-ils besoin d'un DPO ?

Les établissements qui dispensent un enseignement aux niveaux réglementés sont expressément inclus dans la LOPDGDD.

Un groupe d'établissements peut-il partager un DPO ?

Oui, à condition qu'il soit accessible, indépendant et dispose de ressources suffisantes pour tous.

Le consentement des familles légitime-t-il n'importe quelle plateforme ?

Non. L'établissement doit évaluer la nécessité, le contrat, la sécurité et les droits. Le consentement ne corrige pas une plateforme disproportionnée.

Le personnel enseignant peut-il utiliser une application gratuite ?

Il ne devrait pas le faire avec des données d'élèves sans autorisation et évaluation préalables du responsable.

Peut-on publier une image d'une activité ?

Cela dépend de la finalité, de la base juridique, de l'information fournie et du canal. La publication promotionnelle doit être distinguée de la documentation éducative.

Le DPO décide-t-il de la plateforme à acheter ?

Il conseille et supervise ; la direction décide et doit documenter la manière dont elle traite les risques et les recommandations reçues.

Sources officielles consultées

Summum Consultoría peut assumer la fonction de DPO externe et élaborer un plan annuel adapté à l'établissement. La direction conserve la responsabilité et doit intégrer la protection des données à la mission éducative et à la protection de l'enfance. Si vous souhaitez évaluer comment cela s'intégrerait dans votre établissement, notre service de DPO externe et notre offre RGPD pour les établissements scolaires sont conçus pour accompagner précisément ce processus.