En décembre 2025, le Ministère de l’Éducation nationale et la CNIL ont renouvelé leur partenariat pour renforcer la protection des données des élèves et l’éducation au numérique. Le signal est clair : la conformité RGPD dans les établissements scolaires n’est plus un sujet technique réservé aux informaticiens. C’est une responsabilité quotidienne de chaque directeur, chaque enseignant, chaque membre de l’équipe éducative.
Pourtant, entre les fiches d’inscription, les photos de classe, les résultats scolaires et les outils numériques utilisés en classe, la quantité de données personnelles traitées par un établissement est considérable. Savez-vous exactement lesquelles vous collectez, comment vous les stockez, et qui y a accès ? Notre guide sur le RGPD et le droit à l’image dans les établissements couvre le cadre général ; cet article se concentre sur la protection spécifique des données de mineurs.
Quelles données personnelles traite un établissement scolaire ?
Un volume plus important qu’on ne le croit
La CNIL recense les principales catégories de données traitées par les établissements :
- Identité de l’élève : nom, prénom, date de naissance, photo, numéro INE
- Scolarité : résultats scolaires, bulletins, appréciations, retards, absences
- Santé : allergies, PAI (protocole d’accueil individualisé), vaccinations, certificats médicaux
- Situation familiale : noms et coordonnées des parents, profession, situation matrimoniale
- Données financières : quotient familial (pour la cantine), revenus (pour les bourses)
- Données sensibles : pays de naissance, langue parlée à la maison
Chaque fiche d’inscription d’élève contient entre 30 et 50 champs de données personnelles. Multipliez par le nombre d’élèves : un établissement de 400 élèves gère plus de 15 000 données personnelles identifiables.
Les données numériques s’ajoutent aux données papier
Avec la multiplication des outils numériques en classe (ENT, applications pédagogiques, visioconférence, applications de communication), de nouvelles données s’accumulent : adresses email des parents, historique de connexion, contenu des messages échangés, photos publiées dans l’application de l’école.
Les règles fondamentales du RGPD appliquées à l’école
1. Le consentement parental est obligatoire pour les mineurs de moins de 15 ans
Le RGPD fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données. La France a abaissé ce seuil à 15 ans (article 7-1 de la loi Informatique et Libertés). En dessous, le consentement d’au moins un des parents est requis.
Cela concerne notamment (voir notre guide sur les autorisations parentales numériques) :
- L’inscription à une application mobile scolaire
- La publication de photos de l’enfant
- L’utilisation d’un outil pédagogique en ligne qui collecte des données
- La participation à un projet impliquant un prestataire externe
2. Chaque traitement doit avoir une base légale
Le RGPD exige que chaque traitement de données repose sur l’une des six bases légales prévues par le règlement. Pour un établissement scolaire, les plus fréquentes sont :
| Base légale | Exemple |
|---|---|
| Mission d’intérêt public | Inscription scolaire, gestion des absences, bulletins |
| Obligation légale | Transmission de données au rectorat, statistiques académiques |
| Consentement | Publication de photos, inscription à une application optionnelle |
| Intérêt légitime | Communication avec les familles sur la vie de l’école |
3. Le registre des traitements est obligatoire
Chaque établissement doit tenir un registre interne listant l’ensemble des traitements de données qu’il effectue. Ce registre, prévu par l’article 30 du RGPD, doit préciser pour chaque traitement :
- La finalité (pourquoi vous collectez ces données)
- Les catégories de données concernées
- Les destinataires (qui y a accès)
- La durée de conservation
- Les mesures de sécurité mises en place
L’Académie de Dijon propose des modèles de registre adaptés aux établissements scolaires.
Le rôle du DPD (Délégué à la Protection des Données)
Qui est le DPD de votre établissement ?
Dans l’Éducation nationale, chaque académie dispose d’un DPD académique. C’est votre interlocuteur de référence pour toute question relative au RGPD. Le directeur d’école ou le chef d’établissement n’est pas DPD, mais il est responsable de traitement : c’est lui qui doit s’assurer que les traitements effectués dans son établissement sont conformes.
Quand le contacter ?
- Avant de déployer un nouvel outil numérique qui collecte des données d’élèves
- En cas de violation de données (perte d’un classeur de fiches, piratage d’un compte, fuite de données)
- Pour vérifier la conformité d’un prestataire (application, plateforme en ligne)
Les outils numériques à l’école : comment vérifier leur conformité
Les questions à poser à un prestataire
Avant d’adopter une application mobile, un ENT, ou tout outil numérique dans votre établissement, posez ces questions au fournisseur :
- Où sont hébergées les données ? (France, Europe, États-Unis ?)
- Quelles données collectez-vous exactement ? (demandez la liste complète)
- Combien de temps conservez-vous les données ?
- Qui a accès aux données ? (sous-traitants, partenaires, pays tiers)
- Quelles mesures de sécurité sont en place ? (chiffrement, mots de passe, sauvegardes)
- Comment supprimer les données d’un élève qui quitte l’établissement ?
Le principe de minimisation
Le RGPD exige de ne collecter que les données strictement nécessaires à la finalité du traitement. Une application de communication scolaire n’a pas besoin de connaître la profession des parents ni le quotient familial. Si un prestataire vous demande plus de données que nécessaire, c’est un signal d’alerte.
École en Direct applique ce principe : les familles accèdent à l’application sans créer de compte nominatif, et seules les données indispensables au fonctionnement du service sont collectées.
En cas de violation de données : que faire ?
La notification est obligatoire
Depuis 2025, la CNIL a publié deux guides pratiques sur les violations de données dans l’Éducation nationale. Une violation de données est tout incident de sécurité qui entraîne la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles.
Exemples concrets en milieu scolaire :
- Un enseignant oublie une clé USB contenant les bulletins dans un café
- Un email avec les fiches de renseignement est envoyé au mauvais destinataire
- Le compte d’un enseignant sur l’ENT est piraté
- Un classeur de fiches médicales disparaît
La procédure en 3 étapes
1. Contenir — Limiter l’impact (changer le mot de passe, récupérer le document, informer le destinataire erroné)
2. Notifier — Prévenir le DPD académique dans les 72 heures. Si la violation présente un risque élevé pour les droits des personnes, la CNIL doit être notifiée.
3. Informer — Si le risque est élevé, informer les personnes concernées (parents, élèves majeurs) de la nature de la violation et des mesures prises.
Bonnes pratiques quotidiennes pour les enseignants
La conformité RGPD ne repose pas uniquement sur des procédures administratives. Elle se joue dans les gestes quotidiens :
- Ne pas envoyer de données d’élèves par email personnel (utilisez les outils professionnels)
- Verrouiller son ordinateur quand on quitte la salle des maîtres
- Ne pas stocker de données sur une clé USB non chiffrée
- Supprimer les données en fin d’année : les résultats scolaires de l’année n-1 n’ont pas à rester sur le disque dur
- Vérifier les autorisations avant de publier une photo d’élève dans l’application de l’école
Notre guide sur le droit à l’image des enfants complète ces bonnes pratiques sur le volet photographie.
Pour accompagner vos enseignants dans l’adoption sécurisée de ces outils, consultez notre article sur la formation aux outils numériques.
2026 : ce qui va changer
La CNIL a annoncé un renforcement des exigences de sécurité pour 2026 :
- Mots de passe robustes obligatoires (12 caractères minimum, politique de renouvellement)
- Authentification multi-facteurs (MFA) encouragée pour les accès aux données sensibles
- Sauvegardes régulières vérifiées et testées
- Gestion des sous-traitants renforcée : chaque prestataire doit démontrer sa conformité
- Notifications de violation : les notifications mal gérées seront moins tolérées
Ces évolutions concernent directement les établissements scolaires, qui gèrent des données de mineurs — une catégorie que la CNIL considère comme prioritaire.
Protégez les données de vos élèves
Le RGPD n’est pas un frein au numérique à l’école. C’est un cadre qui protège les élèves et leurs familles. Le respecter, c’est aussi renforcer la confiance des parents dans votre établissement et dans les outils numériques que vous déployez. Pour sensibiliser les familles aux dangers de la surexposition en ligne, consultez notre article sur le sharenting et la protection des enfants.
Vous souhaitez adopter une application scolaire conforme au RGPD ?
Réservez votre démo et découvrez comment École en Direct place la protection des données au coeur de son fonctionnement.
Cet article fait partie de notre Guide pour établissements scolaires.
