Publier une photo de classe sur l’application de l’école. Envoyer une notification aux parents d’un élève absent. Collecter les adresses email des familles. Partager les menus de la cantine.
Chacune de ces actions, aussi banales qu’elles paraissent, implique le traitement de données personnelles. Et dans un établissement scolaire, ces données concernent souvent des mineurs, ce qui impose un niveau de vigilance supplémentaire.
Le Règlement Général sur la Protection des Données (RGPD) n’est pas un frein au numérique dans les écoles. C’est un cadre qui protège vos élèves et vos familles. Comprendre ce cadre vous permet d’utiliser sereinement les outils numériques sans risque juridique.
Voici ce que votre établissement doit savoir. Ce guide complète notre article dédié à la protection des données scolaires des mineurs.
Le RGPD dans les établissements scolaires : les bases
Qu’est-ce que le RGPD ?
Le RGPD (Règlement Général sur la Protection des Données), en vigueur depuis mai 2018, encadre la collecte et le traitement des données personnelles dans l’Union européenne. Il s’applique à toute organisation qui traite des données personnelles, y compris les établissements scolaires.
Qu’est-ce qu’une donnée personnelle dans le contexte scolaire ?
Toute information permettant d’identifier directement ou indirectement un élève ou un parent :
- Nom, prénom, date de naissance
- Adresse, email, numéro de téléphone
- Classe, niveau scolaire
- Photos et vidéos
- Données de santé (allergies, PAI)
- Résultats scolaires
Les principes fondamentaux
Le RGPD repose sur 6 principes que votre établissement doit respecter :
- Licéité : avoir une base légale pour traiter les données
- Finalité : collecter les données pour un objectif précis
- Minimisation : ne collecter que les données strictement nécessaires
- Exactitude : maintenir les données à jour
- Limitation de conservation : ne pas garder les données indéfiniment
- Sécurité : protéger les données contre les accès non autorisés
Le droit a l’image des mineurs : un sujet sensible
Le cadre légal
Le droit à l’image est protégé par l’article 9 du Code civil. Pour les mineurs, ce droit est exercé par les deux parents (ou les titulaires de l’autorité parentale).
Concrètement, cela signifie que toute photo ou vidéo montrant un élève identifiable nécessite l’autorisation préalable des parents. Notre guide sur le droit à l’image des enfants à l’école détaille les bonnes pratiques, et notre article sur les autorisations parentales numériques explique comment dématérialiser ce processus.
En pratique dans votre établissement
Ce qui nécessite une autorisation :
- Photos de classe publiées dans l’application
- Photos d’événements montrant des élèves identifiables
- Vidéos de spectacles, sorties ou activités
- Portraits individuels d’élèves
Ce qui ne nécessite pas d’autorisation :
- Photos de groupe où les visages ne sont pas identifiables (de loin, de dos)
- Photos de lieux, de bâtiments, de matériel
- Textes et informations ne mentionnant pas d’élèves nominativement
Comment gérer les autorisations
En début d’année scolaire :
Distribuez une autorisation de droit à l’image claire et précise. Ce document doit mentionner :
- Les supports concernés (application mobile, site web, affichage interne)
- La durée de l’autorisation (année scolaire en cours)
- Le périmètre (activités scolaires, événements, vie quotidienne)
- Le droit de retrait à tout moment
Au quotidien :
- Tenez une liste des élèves autorisés et non autorisés, accessible aux enseignants
- Vérifiez avant chaque publication qu’aucun élève non autorisé n’apparaît sur les photos
- En cas de doute, floutez le visage ou utilisez une photo alternative
- Supprimez immédiatement une photo si un parent le demande
Le droit à l’image n’est pas un obstacle à la communication. C’est un cadre qui protège vos élèves. Avec une bonne organisation, publier des photos devient une routine simple et sécurisée.
Application mobile et RGPD : les bonnes questions a se poser
Avant de choisir une application
Quand vous évaluez une application pour votre établissement, posez ces questions essentielles :
Hébergement des données :
- Où sont stockées les données ? (En France ou en Europe est préférable)
- L’hébergeur est-il certifié (ISO 27001, HDS pour les données de santé) ?
Nature des données collectées :
- Quelles données l’application collecte-t-elle sur les parents ?
- Collecte-t-elle des données sur les élèves ?
- Le principe de minimisation est-il respecté ?
Sécurité :
- Les données sont-elles chiffrées ?
- Comment sont gérés les accès ?
- Que se passe-t-il en cas de faille de sécurité ?
Sous-traitants :
- L’éditeur fait-il appel à des sous-traitants (hébergement, analytics) ?
- Ces sous-traitants sont-ils conformes au RGPD ?
Le choix École en Direct
École en Direct a été conçu avec la conformité RGPD comme priorité :
- Aucune donnée élève dans l’application : pas de notes, pas de dossier scolaire, pas de données de santé
- Données minimales : seules les informations nécessaires à la communication sont collectées
- Hébergement sécurisé conforme aux normes européennes
- Pas de revente de données : vos données restent les vôtres
Les données que vous pouvez collecter (et celles que vous ne devez pas)
Données autorisées pour une application de communication
| Donnée | Nécessaire ? | Justification |
|---|---|---|
| Email du parent | Oui | Création de compte, réception des informations |
| Nom du parent | Oui | Identification |
| Classe de l’élève | Oui | Communication ciblée |
| Prénom de l’élève | Optionnel | Personnalisation des messages |
Données a ne PAS collecter dans une application de communication
| Donnée | Pourquoi l’exclure |
|---|---|
| Notes et résultats scolaires | Relève du logiciel de vie scolaire (Pronote, etc.) |
| Données de santé (allergies, PAI) | Données sensibles nécessitant des protections renforcées |
| Situation familiale détaillée | Non nécessaire à la communication |
| Données financières des familles | Non pertinent pour une application de communication |
| Géolocalisation des parents | Non nécessaire et intrusif |
Le principe est simple : ne collectez que ce qui est strictement nécessaire pour la communication école-familles. Rien de plus.
Informer les familles : une obligation légale
Le droit a l’information
Le RGPD impose d’informer les personnes dont vous traitez les données. Concrètement, vous devez communiquer :
- Qui est responsable du traitement (l’établissement)
- Quelles données sont collectées
- Pourquoi elles sont collectées (finalité)
- Combien de temps elles sont conservées
- Quels sont les droits des parents (accès, rectification, suppression)
- Comment exercer ces droits
Comment faire concrètement
- Rédigez une politique de confidentialité claire et accessible
- Rendez-la disponible dans l’application (section “Mentions légales” ou “Confidentialité”)
- Mentionnez-la lors de la première utilisation de l’application
- Rappelez les droits des parents au moins une fois par an
Le consentement : quand et comment le recueillir
Quand le consentement est-il nécessaire ?
Dans le cadre scolaire, toutes les collectes de données ne nécessitent pas un consentement explicite. La base légale peut être :
- La mission de service public (pour les établissements publics) : la communication avec les familles fait partie de la mission de l’école
- L’intérêt légitime (pour les établissements privés) : informer les parents est un intérêt légitime de l’établissement
- Le consentement : nécessaire pour le droit à l’image et les communications non essentielles (newsletter, sondages)
Bonnes pratiques pour le consentement
- Le consentement doit être libre : pas de case pré-cochée, pas de pression
- Il doit être éclairé : les parents doivent comprendre à quoi ils consentent
- Il doit être spécifique : un consentement par finalité (photos, notifications, etc.)
- Il doit être révocable : les parents peuvent retirer leur consentement à tout moment
En cas de problème : que faire ?
Violation de données
Si des données personnelles sont accidentellement divulguées ou compromises :
- Identifiez l’étendue de la violation
- Notifiez la CNIL dans les 72 heures si le risque est élevé
- Informez les personnes concernées si le risque est important pour elles
- Documentez l’incident et les mesures prises
- Corrigez la faille pour éviter que cela se reproduise
Demande de suppression
Un parent demande la suppression de ses données ou des photos de son enfant :
- Traitez la demande dans un délai d’un mois maximum
- Supprimez les données concernées
- Confirmez la suppression au parent
- Documentez la demande et son traitement
Checklist RGPD pour votre établissement
Avant de déployer une application mobile, vérifiez ces points :
- Autorisation de droit à l’image distribuée et collectée en début d’année
- Liste des élèves autorisés/non autorisés accessible aux enseignants
- Politique de confidentialité rédigée et accessible dans l’application
- Données collectées limitées au strict nécessaire
- Registre des traitements à jour (obligatoire pour tout responsable de traitement)
- Procédure en cas de violation de données définie
- Point de contact pour les demandes d’exercice de droits identifié
- Hébergement des données conforme aux exigences européennes
Ce qu’il faut retenir
Le RGPD et le droit à l’image ne sont pas des obstacles au numérique dans les écoles. Ce sont des garde-fous qui protègent vos élèves et vos familles.
En respectant quelques principes simples — minimisation des données, transparence, consentement éclairé et sécurité — vous pouvez utiliser sereinement une application mobile pour communiquer avec les parents. Découvrez aussi les risques liés au sharenting et à la surexposition des enfants en ligne.
École en Direct a été conçu dans le respect de ces principes, avec aucune donnée élève sensible dans l’application et un hébergement conforme aux normes européennes.
Vous souhaitez en savoir plus sur notre approche de la protection des données ?
Notre équipe est à votre disposition pour répondre à toutes vos questions sur la conformité RGPD de notre solution.
Cet article fait partie de notre Guide pour établissements scolaires.
