Publications

meja - La conformité RGPD dans l'enseignement supérieur
Retour

La conformité RGPD dans l’enseignement supérieur

La conformité au RGPD est un enjeu majeur pour les établissements d’enseignement supérieur. Il s’agit de sécuriser les données, et autant dire que c’est un sujet qui a le vent en poupe ces dernières années. En effet, l’actualité nous rappelle souvent l’importance d’une politique commune pour protéger les données des utilisateurs. Au cours de nos missions pour les établissements d’enseignement, les consultants de meja ont eu l’opportunité d’accompagner des écoles dans la mise en place d’une politique de respect du RPGD. C’est à partir de cette expérience que nous vous proposons cet article.

La sécurité des données et le cadre du RGPD

Mais d’abord, un petit point juridique. Nous parlons ici de sécuriser des données personnelles, mais de quoi s’agit-il ? Selon la CNIL (Commission Nationale Informatique et Libertés), la notion de donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ». Ensuite, c’est le RGPD « Règlement Général sur la Protection des Données » qui permet d’encadrer le traitement des données personnelles sur le territoire de l’Union européenne. C’est ce règlement qui s’applique aux établissements scolaires.

Le “Privacy by Design”

Au cours de nos missions, nous avons contribué à cette mise en conformité RGPD dans l’enseignement supérieur. Ainsi, nous avons accompagné une école dans la mise en place d’une politique de « Privacy by Design ». Celle-ci implique la définition d’une méthodologie de respect de la protection de la vie privée dès la conception et l’implémentation de l’ERP au sein de l’école. Cette prise en compte de la vie privée des utilisateurs de l’ERP tout au long du processus d’ingénierie des systèmes permet d’avoir une sécurisation des données personnelles tout au long du développement de l’outil. La mise en œuvre d’une telle approche doit permettre le contrôle du respect de plusieurs principes fondamentaux :

  • Les finalités et fondement du traitement
  • La minimisation de la collecte
  • Les informations des personnes
  • Le recueil du consentement
  • La durée de conservation, purge et archivage
  • Le droit des personnes
  • La sous-traitance
  • La sécurité et confidentialité des données
  • L’hébergement et transfert hors Union Européenne
  • La violation de données personnelles
  • L’analyse d’impact (PIA)
  • La sécurité liée au RGPD

Dès lors, afin de garantir la pleine réussite dès la phase de développement de l’outil, cette démarche doit être réalisée en symbiose entre : l’équipe projet garante de l’exhaustivité des données au sein de l’outil, et le DPO (Délégué à la protection des données) chargé de la protection des données personnelles au sein de l’organisation.

Ci-dessous, une brève synthèse des éléments permettant la mise en place d’une politique RGPD dite « Privacy by Design » dans votre établissement d’enseignement supérieur.