RGPD Education Supérieure : Episode 01 : Prospection et Recrutement

 

Partie 1 : Traitements « Classiques »

La prospection et le recrutement de professeurs

Nous commençons ici une série d’articles, par épisodes, sur le RGPD et le Secteur de l’Education Supérieure.

Le secteur de l’éducation supérieure se doit d’être particulièrement attentive à l’application du RGPD.

Outre les traitements « classiques » de données personnelles, ce secteur a ses particularités propres que les responsables de traitements, leurs DPO et les conseils qui les accompagnent doivent prendre en compte.

Nous allons lister ici, quelques-uns de ces traitements, « classiques » (dans nos premiers épisodes) puis ceux spécifiques et pointer certains enjeux particuliers.

Ces articles ne se veulent en aucun cas exhaustifs et chaque chef d’établissement devra prendre le plus grand soin dans son approche initiale de bien s’assurer de répertorier tous les traitements que son ou ses établissements mettent en jeu.

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courants comme :

–         L’établissement d’un fichier de prospection

–         Le recrutement de collaborateurs

–         La paye

–         Le contrôle d’accès à ses locaux

–         Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le fichier de prospection et durée de conservation

La CNIL recommande que la durée de conservation d’informations personnelles concernant les prospects d’une entreprise ne dépasse pas 3 ans après la première acquisition. L’éducation supérieure, privée par exemple, recrute selon deux principales voies. La prospection directe via les salons, les conférences, les présentations dans les écoles et son site internet. Elle recrute aussi via un service d’agents, principalement étrangers (intra ou hors Europe) qui lui fournissent des listes de prospects qualifiés ou encore même organisent eux même la vente des programmes de formation.

Cette prospection est réalisée bien souvent auprès d’enfant mineurs, au sens de la loi, mais majeurs digitaux (> 16 ans). Il est assez fréquent que des mineurs de 16 ans viennent donner leur contact aux écoles qu’ils souhaitent intégrer après le BAC. C’est-à-dire à un horizon 2 ans. L’intégration peut avoir lieu aussi en deuxième ou troisième année de premier cycle, voire en deuxième cycle. Dans ce dernier cas, finalement assez fréquent, entre l’acquisition initiale des données personnelles et la « Vente » ou « contractualisation » il peut y avoir une latence de l’ordre de 3, 4 ou 5 ans.

Ce traitement nécessite alors, au moment de la collecte et de la durée de conservation, une attention particulière du conseil en RGPD, du DPO et du RT.

Le recrutement de collaborateurs : les professeurs et intervenants

Les établissements travaillent bien souvent avec une base de professeurs permanents mais aussi des intervenants (vacataires ou en honoraires). Dans tous les cas, au moment du recrutement et parfois même en amont, est demandé de fournir un CV mais aussi un Extrait de Casier judiciaire. Dans nombre d’établissements, un original de cet extrait de casier, est conservé pour une durée importante (1 an …voire à vie…..et oui). Cette durée est imposée par les rectorats, en contradiction avec les recommandations de la CNIL sur ce sujet particulier. Qui a raison ?

Là aussi le RT et le DPO (avec le support de la CNIL) devront se pencher sur la question. définir la licéité de la durée de conservation parfois contradictoire avec les demandes administratives des rectorats et/ou des préfectures.