Le transfert des DCP hors de l’UE

Par principe le transfert des données personnelles hors de l’UE est interdit mais il existe des exceptions ainsi que des dérogations que nous allons voir.

On peut relever quatre grands ensembles d’exceptions :

  • Pays adéquats
  • Garanties appropriées (art 46) :
    • BCR (art 47) ;
    • Codes de conduite ;
    • Clauses contractuelles types (adoptées par commission européenne ou d’une AC approuvées par la commission).
  • Autres :
    • le consentement explicite de la PC (art 49) ;
    • l’exécution d’un contrat à la demande d’une PC ou dans son intérêt ;
    • l’intérêt public,
    • la sauvegarde des intérêts vitaux,… ;
    • une décision d’adéquation pour les instances internationales ou décision bilatérale entre états
  • Transferts non répétitifs touchant un nombre limité de personnes, nécessaires aux fins d’intérêts légitimes impérieux accompagnés de garanties appropriées (la CNIL doit être informée).

Concernant les pays adéquats autorisés il y a les pays tiers assurant un niveau de protection adéquat et dans ce cas ils n’y a pas besoin d’autorisation spécifique.
Sur quels critères est évaluée l’adéquation d’un pays ?
– l’état général et droit du pays, y compris les droits des personnes concernées à propos de leurs DCP ;
– l’existence et le fonctionnement d’une autorité de contrôle indépendante ;
– les engagements internationaux.
La CNIL met à disposition une carte interactive pour savoir quels pays sont adéquats : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde.

Il y a ensuite les BCR, soit la politique intragroupe en matière de transferts des DCP hors UE. Les BCR (Binding Corporate Rules – Règles d’entreprise contraignantes) concernent les multinationales exportant des données depuis leurs entités dans l’UE vers des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’UE. Elles offrent une protection adéquate aux données transférées depuis l’UE vers des pays tiers, au sein d’une même organisation ou d’un groupe. Et elles doivent être contraignantes et respectées par toutes les entités du groupe, quel que soit leur pays d’implantation.

Il y a également les CCT (Clauses Contractuelles Type dans le transfert de données), qui sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. Les modèles de CCT sont toujours d’actualité et peuvent être utilisées dans l’attente d’une prochaine mise à jour (les CCT téléchargeables sur le site de la CNIL sont la dernière version publiée en 2004). Il existe deux modèles de CCT :

  • Les CCT encadrant les transferts de DCP entre deux Responsables de traitement
  • Les CCT encadrant les transferts de DCP entre un Responsable et un Sous-traitant de données personnelels

La méthodologie pour réaliser un transfert de données sous le régime de CCT est simple : il faut d’abord identifier les parties (deux RT ou RT/ST). Ensuite il faut compléter les CCT (notamment les annexes sur la description des transferts).

Si vous n’avez pas modifier le texte des CCT vous n’avez aucun démrache supplémentaire à faire auprès de la CNIL

Pour terminer il existe des dérogations, elles ne sont pas nombreuses et elles concernent :

  • Les institutions internationales telles que : Onu, Unesco, Sita,…
  • Le transfert vers les USA, à condition que l’entité destinataire des DCP ait adhéré à Privacy-shield.

La conservation des données personnelles

La conservation des données à caractère personnelle est un enjeu majeur pour qu’une entreprise puisse être en conformité avec le RGPD. Mais cette conservation sera différentes selon les données personnelles, selon les finalités d’un traitement, etc…

Le principe de conservation des données

La conservation des données personnelles ne peut pas être définitive, ce qui signifie qu’il faut définir une durée la plus stricte et la plus courte possible pour toute conservation. Il existe des cas particulier lorsqu’un texte législatif impose une durée plus longue, voir indéfinie.

La durée de conservation doit être définie en fonction des objectifs poursuivis et une fois ceux-ci atteints ces données devraient être supprimées, archivées ou anonymisées. Mais avant de définir une durée de conservation, tout responsable de traitement devra vérifier s’il n’existe pas une durée légale définie par la CNIL ou par un texte de loi.

La limitation de la conservation des données

La base active : C’est le premier cycle, il s’agit de la partie où les données sont conservées en fonction des durées définies soit par la législation, soit en fonction des finalités (on parle de durée courante d’utilisation des données).

L’archivage intermédiaire : les données doivent parfois être conservées plus longtemps, on va alors les placer dans un “archivage intermédiaire” avec un accès restreint. Les raisons peuvent être une obligation légale de conservation, un intérêt administratif (notamment en cas de contentieux) ou à des fins archivistes dans l’intérêt public.
Le responsable de ce fichier devra faire attention à ce que les données archivées soient celles strictement nécessaire. Enfin les services opérationnels ne pourront plus utiliser ces données.

L’archivage définitif : Selon le livre 2 du Code du Patrimoine, certaines données peuvent ne faire l’objet d’aucune suppression dans l’intérêt public. Mais cet archivage est géré par les services des archives compétents sur le territoire.
Pour ce type d’archivage il est recommandé de conserver les données sur un support physique indépendant et non accessible par les autres services.

Il est préférable de mettre en place le même process pour la suppression ou l’anonymisation des données que le process utilisé pour répondre au droit d’effacement.

Pour plus d’information concernant l’archivage électronique des données personnelles dans le secteur privé, vous pouvez consulter cette recommandation : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957

Quelques exemples de conservation des données

Type de
données
Durée de conservationTexte législatif
Gestion du
personnel
5 ansArticle R.1221-26 Code du
Travail
Bulletin de paie5 ans après le départ du salariéArticle L.3243-4 Code du
Travail
Vidéosurveillance28 jours (1 mois)Article L.252-3 Code de la
sécurité intérieure
Prospection3 ans à compter de la fin de la relation commercialeDélibération n° 2016-264 du
21 juillet 2016 (CNIL)

L’identification d’une donnée personnelle

Le RGPD a pour objectif de protéger les personnes qui vous ont confié leurs données à caractère personnel, mais il faut comprendre de quoi il s’agit, et qu’est-ce que le règlement entend par donnée personnelle ?

Il s’agit de toute information qui se rapporte à une personne physique et qui permet d’identifier cette personne.

Les données concernant les personnes morales (une entreprise par exemple) ne sont donc pas concernées par le RGPD. On retrouve ces données, autant au format physique (papier), qu’au format numérique.

Une donnée sera considérée comme une donnée personnelle si elle permet :

  • l’identification directe : par exemple le nom et le prénom et l’adresse personnelle,
  • l’identification indirecte : par exemple un numéro de téléphone, une plaque d’immatriculation, soit toute information qui ne désigne pas directement une personne mais qui a elle seule permet son identification.

Il existe aussi certaines données, qui seules ne permettent pas l’identification directe ou indirecte d’une personne physique, mais lorsqu’on les regroupe on finit par identifier clairement une personne.

Par exemple, un prénom seul comme “François” ne permet pas une identification claire. En revanche, François, Scooter et Julie permettent d’identifier notre ancien président de la République, dans ce cas ces 3 données seront considérées comme des données personnelles et permettent une identification indirecte.

Pour que ces données ne soient plus considérées à caractère personnelle, il faut simplement les rendre anonymes pour que l’identification deviennent par la suite impossible. Par exemple la composition (hors toute donnée d’identification) des commandes réalisées sur un site internet

A la notion de donnée à caractère personnelle, il faut ajouter les questions de conservation, dans cet article nous n’allons pas détailler le sujet. Mais il est important de savoir que les traitements de toutes les données, en fonction de leur nature et de certains critères (comme l’objectif qui a conduit à leurs collectes) devront respecter un délai de conservation. Au delà de ce délai, les données devront être supprimées ou anonymisées.

La notion de sécurité des données personnelles est également très importante. Effectivement, la CNIL contrôle régulièrement la sécurité qui est mise en place autour de ces données. Il faut donc mettre en place différents moyens de sécurisation pour les données personnelles que l’on peut retrouver au format physique et/ou numérique. La sécurité à mettre en place est libre à chacun mais attention celle-ci doit être effective et fonctionnelle, et évidement proportionnée au “Danger” que fait courir le traitement aux personnes a qui appartiennent ces données, en cas de violation.

Les données à caractère personnel se retrouvent donc partout, dans chaque entité et tout le monde en manipule tous les jours. Il faut donc faire attention à ces données et être clairement capable de les identifier.

La Formation DPO 5J financée à 100% par le Gouvernement

Depuis quelques semaines la France est en confinement, beaucoup de salariés se retrouvent en chômage partiel. Depuis le 14 avril 2020 le gouvernement prend en charge 100% des coûts d’une Formation.
Alors pourquoi ne pas en profiter de ce contexte pour former l’un de vos collaborateurs, pour qu’il puisse aider votre entreprise à se mettre en conformité avec le RGPD ?

Effectivement notre formation DPO est éligible à cette offre, pour en profiter il faut simplement que l’entreprise ait une convention avec la DIRECCTE de sa région. Attention cette offre de financement ne concerne pas les contrats en apprentissage, ni les contrats professionnalisants.

Il y a également 2 conditions :

  • Votre entreprise doit accepter la formation de son collaborateur/salarié ;
  • Le salarié touchera 84% de sa rémunération brute durant la période de formation

Pour vous aidez, vous pouvez contacter la DIRECCTE de votre région (https://www.economie.gouv.fr/dgccrf/coordonnees-des-DIRECCTE-DIECCTE).

Vous pouvez également nous contacter pour plus d’informations sur la formation ici

Les bases légales d’un traitement de donnée

Une Mythologie Collective nous fait tous croire que pour chaque traitement de données personnelles dans une entreprise, le responsable de traitement doit obtenir le consentement a priori de la personne concernée. Cela signifierait donc que le consentement serait la base légale unique pour réaliser un traitement. Et bien ce n’est pas le cas !

Les 6 bases légales d’un traitement de données à caractère personnel

La base légale d’un traitement est : “ce qui autorise la mise en oeuvre de celui-ci”, autrement dit ce qui donne la possibilité de traiter des données à caractère personnel. Le RGPD à prévu 6 bases légales.

Sauver la vie d’une personne

La première base légale est: la sauvegarde des intérêts vitaux de la personne concernée ou d’un autre personne. Dans ce cas le consentement de la personne ne sera pas nécessaire. Il s’agit là d’un cas spécifique. On a toujours le droit de traiter des données personnelles quand il s’agit de Sauver Quelqu’un

Proposer un contrat….y compris un devis….!

La seconde base légale est le contrat, mais le traitement doit être objectivement nécessaire à l’exécution de celui-ci. Ce sera également le cas lorsqu’il existe une relation pré-contractuelle ou contractuelle entre la personne concernée et l’organisme et ce contrat devra être valide au regard du droit applicable.

L’obligation légale …mais aussi l’intérêt public

La troisième base légale est une obligation légale, c’est-à-dire lorsqu’il existe une législation nationale ou européenne imposant le traitement. Néanmoins l’obligation de nécessité est toujours nécessaire et cette obligation légale doit répondre à 4 critères : être définie par le droit européen ou national ; imposer une obligation impérative de traiter des données ; définir clairement les finalités et s’imposer au responsable de traitement.

La quatrième base légale repose sur l’intérêt public, c’est-à-dire, que le traitement est nécessaire à l’exécution à une de ces missions ou qu’il relève de l’exercice de l’autorité publique dont est investi le responsable de traitement.

L’intérêt Légitime

La cinquième base légale d’un traitement est s’il repose sur l’intérêt légitime du responsable de traitement de l’exécuter sauf dans le cas où les intérêts et libertés fondamentales de la personnes ne prévalent, par exemple pour un enfant. Nous retrouver sous cette base les traitements tels que :
– l’envoi d’information sur des produits connexes à une vente réalisée avec un client (et non pas un prospect)
– les informations de prévention envoyées par les assureurs à leurs clients
– ….

Et finalement ….LE CONSENTEMENT

Et finalement : le recueil du consentement de la personne concernée.

Cette base légale est choisie, évidemment, quand aucun des 5 autres ne s’applique.
Dans ce cas pour pouvoir réaliser un traitement de données, le responsable de traitement devra obtenir en amont l’accord de la ou des personnes concernées. Il existe différent moyen d’obtenir ce consentement :
– Un formulaire sur un site
– L’échange de cartes de visites sur un salon
– L’achat de fichiers de consentement OptIn
– ….

Le consentement n’est donc pas l’unique base légale pour réaliser un traitement de données même si c’est celui auxquels tout le monde pense aujourd’hui.
Il faut donc s’interroger sur son traitement est voir sur quelle base légale il s’appuie avant de le réaliser.

Choisir la bonne base légale est primordial pour la sécurité juridique de la société, mais aussi pour savoir comment gérer les droits ou demandes des personnes. Mais ça…c’est un autre sujet que nous aborderons plus tard.

Le rôle de la CNIL.

La Commission Nationale de l’informatique et des libertés (CNIL) est l’autorité de contrôle en France. Il s’agit d’une autorité administrative indépendante qui n’a pas pour but principal de contrôler constamment les différentes entités en France. Effectivement elle a un rôle d’accompagnement des professionnels dans leur mise en conformité au RGPD. Elle va également aider les individus à maîtriser leurs données personnelles et exercer leurs droits.

Elle a donc différentes missions :

  • Informer et conseiller : sensibilisation, proposition au gouvernement, …
  • Réguler : autorise les traitement les plus sensibles, labellise les audits et formations
  • Sanctionner : inflige des sanctions, dont financières aux responsable de traitement hors respect de la loi
  • Protéger : aide les citoyens dans l’exercice de leurs droits (saisine)
  • Contrôler : programmes annuels de contrôle, instruction de plaintes
  • Anticiper : direction des études, de l’innovation et de la prospective pour décrypter, comprendre, anticiper et évaluer les innovations et usages des TIC.

C’est une autorité administrative indépendante ce qui signifie qu’elle ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, ne peuvent s’opposer à l’action de la CNIL pour quelque motif que ce soit. Ils doivent en outre prendre toutes mesures utiles afin de faciliter ses différentes missions. Le Président de la CNIL est nommé par le président de la République mais celui-ci recrute librement ses collaborateurs.

La CNIL se réunie également en deux formations : en séance plénière ou en formation restreinte.
Les activités de la CNIL en formation restreinte sont nombreuses et elle se réunie une fois par semaine :

  • Examen de projets de loi et décrets soumis à la CNIL pour avis par le Gouvernement
  • Etude en vue d’autorisation de traitements sensibles
  • Etude de rapports sur les évolutions de l’informatique en vue d’éclairer les membres dans leur mission
  • Auditions sur son initiative ou à la demande de personnes concernée.

En formation restreinte, il n’y a que 5 membres et 1 président distinct du président de la CNIL. Cette formation se réunie au moins 1 fois par mois et à pour mission :

  • Mesures à l’encontre de RT qui ne respectent pas le règlement
  • A l’issue de contrôles ou de plaintes, elle peut prononcer diverses sanctions : avertissement, mise en demeure, sanction pécuniaire,…
  • Ces sanctions peuvent être rendues publiques.

Effectivement depuis la mise en application du RGPD le 25 mai 2018, la CNIL a vue le nombre de plainte augmenter tout comme le nombre de ses contrôles. Par exemple en 2018, la CNIL a procédé à 310 contrôles dont la majorité (204) se sont fait sur place.
Attention la CNIL ne donne pas une sanction administrative tout le temps, dans la majorité des cas elle demande à l’entité concernée de se mettre en conformité, elle réalise des mises en demeure, puis sanction par une peine pécuniaire.

Thématiques du programme annuel 2020 de contrôle de la CNIL :

  • La sécurité des données de santé
  • Mobilités et services de proximité, les nouveaux usages des données de géolocalisation : Recommandation de modes de transport, optimisation des parcours de déplacement… Attention à la proportionnalité des données, durées de conservation, infos aux PC et mesures de sécurité
  • Les cookies et traceurs, notamment mode de recueil du consentement.

La CNIL n’est donc pas une autorité administrative ayant pour seul et unique but de sanctionner la non conformité au RGPD, son rôle de conseil et d’accompagnement sont bien plus importants mais font moins parler.

D’autres articles en relation avec la CNIL : la certification de Compétences de DPO

RGPD : Inutile ou vrai enjeu ?

Vous trouvez le RGPD inutile, contraignant, une obligation de plus qui finalement ne s’imposera qu’aux plus faibles et que les gros GAFA et consorts piétineront allègrement tandis que les petits subiront les foudres de la CNIL ? Comme d’habitude, ce sont les petits qui trinquent ?

Je ressens le besoin de considérer que ce ne sera pas le cas… Ou plutôt, j’ai l’urgence de croire absolument que l’enjeu est tellement grand qu’il ne s’agit pas d’une cour de récré inéquitable qui finira en eau de boudin après avoir jeté un peu de poudre aux yeux.

La protection des données personnelles est l’affaire de tous…Aller je me lance dans une formulation qui peut paraitre excessive… Il en va de l’avenir de l’Humanité, de l’intégrité de l’individu, du risque de déshumanisation, de l’Homme moins précieux que ses données, pompé jusqu’à la moelle de son inestimable pédigrée pour le lui resservir éventuellement à ses dépens… Exagéré ? Vous êtes sûrs ?

Petit QUIZZ…

1/ En imaginant que les données personnelles que vous avez publiées sur Facebook à l’intention de vos « amis » (ceux que vous avez sélectionnés comme tels), soient utilisées à des fins non précisées a priori, que pourrait-il arriver de pire ?

  • Parvenir à faire élire, à la présidence de la première puissance mondiale, un type misogyne, raciste, inconstant, narcissique, impulsif et capable de dire « “je pourrais tirer sur des personnes dans la Cinquième Avenue et je ne perdrais pas de votes”.
  • Que la décision de vous accorder le prêt que vous avez demandé à votre banque soit jugée en fonction de l’historique de crédit de vos amis sur Facebook.
  • Que votre assureur décide de votre prime d’assurance auto en fonction d’une catégorisation de bon ou mauvais conducteur établie à partir de l’analyse de votre profil et de vos habitudes sur Facebook.

Les 3, mon capitaine. L’élection de D. Trump a été rendue possible par la « manipulation » notamment de millions d’américains indécis à travers leur compte Facebook dont les informations ont été communiquées à Cambridge Analytica, sans leur consentement. Les algorithmes qui permettraient les deux autres réponses sont actuellement sérieusement à l’étude.

2/ Vous venez d’acheter un ensemble de vidéo cinéma fort coûteux chez un détaillant renommé qui est venu vous l’installer il y a tout juste une semaine. Vous avez laissé vos coordonnées, votre adresse, le code de la porte d’accès à votre immeuble et le nom de la gardienne pour qu’elle puisse leur ouvrir en votre absence …comme d’habitude ! Que pourrait-il arriver ?

  • Que la base d’informations de 50 000 livraisons, dont la vôtre, ait été piratée chez le sous-traitant du détaillant, donnant de précieux renseignements sur vos installations, vos horaires et la manière d’accéder aisément dans votre logement.
  • Que les arnaqueurs rentrent chez vous sans effraction, accompagnés par la gardienne (oui, on a livré la semaine dernière, vous vous rappelez ? Le matériel est défectueux, on doit le récupérer) et repartent avec votre super matériel dernier cri. Bien sûr, pas d’effraction = pas de prise en charge par votre assureur.

Les 2. C’est ce qui est arrivé à une cliente d’une enseigne suite à la fuite des données de son sous-traitant. Avec la nouvelle règlementation RGPD, l’amende aurait pu aller jusqu’à 4% de son CA mondial ou 20 M€ minimums.

3/ Votre enfant est inscrit au collège de votre ville. Dans son dossier d’étudiant on retrouve, outre son emploi du temps, toutes les informations que vous avez dû donner lors de son inscription : vos coordonnées complètes, la composition de votre famille, votre niveau de revenus, les intolérances alimentaires de votre ado, ses problèmes de santé. On vous a même demandé votre numéro de sécurité sociale, en cas d’hospitalisation et une copie de votre carte d’identité, au cas où… Que pourrait-il arriver de pire ?

  • Qu’un réseau de trafic d’identité international pirate les données et puisse, à partir de ces informations, demander en ligne la production d’un certificat de naissance à votre nom et, de là, une vraie fausse carte d’identité…puis aille consentir quelques prêts à la consommation en votre nom, identité formelle à l’appui.
  • Qu’il y ait une fuite de données et que l’ensemble des dossiers scolaires soient cédés à un réseau pédophile.

Aucun de ces deux cas n’a été relaté mais l’exploitation des données personnelles est, outre un marché rentable, un enjeu d’arnaques dont le nombre augmente. Ces deux cas ne sont pas avérés, mais ils sont réalistes.

Alors NON !

Alors non, le RGPD n’est pas une nouvelle réglementation inutile de plus qui ne concerne que les gros mais ne contraint que le petits. L’Europe constitue un marché non négligeable dont même les plus gros ne peuvent se permettre le luxe de se priver.

Et à ceux qui pensent que les jeunes générations n’ont que faire de leurs données personnelles, qu’ils les exposent sans aucune retenue sur les réseaux sociaux, je demanderais : Est-ce une raison pour ne pas les protéger ? Pour que le jour où, devenus adultes et conscients de l’impact potentiellement défavorable que pourraient avoir désormais ces « erreurs de jeunesse », ils aient la liberté de choisir de les supprimer définitivement ?

L’innovation technologique est indispensable, elle façonne l’économie de demain et, de là, le fonctionnement sociétale. Elle fait fantasmer de millions de voies nouvelles qu’elle ouvre ou suggère à peine… Elle est inéluctable.

Ne perdons pas de vue que l’innovation doit rester au service de l’homme, et non l’inverse. 

RGPD Education Episode 04 : la gestion des anciens…les Alumni

RGPD dans l’éducation. Comment gérer les alumni. ?

Le RGPD dans l’éducation supérieure.

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 4 : Transfert de données à l’association des alumni

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Transfert de données personnelles…le cas de l’association des anciens

Toutes les écoles et universités gèrent plus ou moins directement une association des anciens.

Cette activité, considérée parfois à juste titre comme stratégique recouvre des réalités, des finalités, des efficacités diverses que ce soit pour le placement des étudiants en stages, pour la reconnaissance de l’établissement sur le marché du travail, pour le recrutement d’anciens comme intervenants ou comme recruteurs indirects de nouveaux étudiants et même pour le recrutement tout au long de leur carrière professionnelle de diplômés à travers des offres postées spécifiques et des jobs boards automatiques.

La relation que l’école ou l’université entretien avec ses anciens élèves rentre bien évidemment dans le champ de la conformité RGPD.

Structure de la relation

Dans certains cas la gestion des anciens est assurée en direct par l’école, dans d’autres c’est une association dont l’école est partie prenante et parfois c’est une association dédiée dans laquelle l’école n’est pas partie prenante.

Le financement de cette structure et de ses activités n’est pas sans conséquence non plus.

Il existe plusieurs schéma de relation financière entre l’école (université) et le réseau des anciens.

·        Le financement est réalisé par les étudiants en activité avec une partie des « fees » de scolarité allouée aux réseaux d’anciens

·        Le financement est réalisé par les anciens avec un concours de subvention de l’école

·        Le financement est entièrement réalisé par les cotisations des anciens élèves

La structure de cette relation et le mode de financement imposent des contraintes particulières en matière de RGPD.

Dans le cas où la relation est fortement liée entre l’établissement et le réseau des anciens, l’école (université) doit être considérée comme Responsable de Traitement (ou Co-RT) quant au transfert de données réalisé d’une entité juridique vers la seconde.

Transfert des données des diplômés

Le transfert des données des diplômés vers l’association (l’entité) des alumni est un transfert de données à caractère personnel (nom, prénom, diplôme, promotion, majeurs et mineurs, classement, n° de téléphone, email etc….).

Ce transfert requiert (comme tous les transferts de données) le consentement de la personne concernée (le diplômé).

Ce consentement ne peut en aucun cas se faire de façon tacite, il doit être un terme du contrat qui lie l’étudiant (futur diplômé) et l’école ou l’établissement d’un contrat (ou recueil de consentement spécifique) entre le jeune diplômé et l’association (entité) des anciens élèves.

De même l’ensemble (et chacun) des traitements réalisés par l’association des alumni doit faire l’objet comme tout traitement d’une information univoque, et permettre aux « anciens » d’exercer la totalité de leurs droits (Accès, rectification, limitation, portabilité) et OUBLI.

Et oui….un ancien élève a le droit de demander à son ancien établissement et association d’oublier qu’il a été diplômé….aussi bizarre que cela puisse paraitre (dans la limite évidement les obligations légales en matière de diplôme des établissements de formation).

Traitements des données des diplômés…à des fins statistiques

Beaucoup d’associations réalisent des enquêtes de salaires et forment des statistiques sur les anciens diplômés. Faites bien attention à vos processus de collecte, d’anonymisation et de calculs sur ces données.

En cas de violation il est extrêmement important que les données perdues ne puissent pas permettre de créer un « Profil personnel» à partir des données collectées et utilisées à des fins statistiques.

RGPD et Education Episode 3 : Examen, Notes et Transcripts

group of students takes the test in class

Les traitement spécifiques : Examens – Copies – Transcripts

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 3 : Examens, copies / tests, transcripts

Dans les deux premiers épisodes de notre petite série nous avons discuté de quelques spécificités de l’éducation supérieure quant aux traitements que nous retrouverons dans toute entreprise qui s’adresse à des particuliers : prospection, recrutement de collaborateurs, payes, contrôle d’accès et planning….tout cela avec des spécificités liées au monde de l’éducation.

Dans cette nouvelle partie (Partie 2) nous allons adresser les traitements vraiment spécifiques à l’éducation.

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Examens, copies, transcrits

Les examens sous toutes leurs formes, sont des réalisations légitimes du contrat qui lie l’étudiant et son établissement d’enseignement.

Pour autant ces examens doivent suivre un processus en conformité avec le RGPD.

Contrat : un contrat doit lier l’étudiant et l’école et ce contrat doit clairement spécifier le caractère obligatoire du passage de examens ou du processus de contrôle continu. Il doit aussi établir clairement l’accès aux droits de l’étudiant.

Copies d’examens (partiels et contrôle continu) : une jurisprudence européenne (affaire Irlandaise, étudiant expert-comptable vs ordre des experts irlandais) a confirmé que les copies d’examen et les annotations de l’examinateur constituaient des données à caractère personnel, en l’espèce :

o  leur contenu reflétant notamment le niveau de connaissance et de compétence du candidat,

o  leur finalité évaluant notamment les capacités professionnelles du candidat,

o  leur effet sur les droits et intérêts du candidat.

o  Les annotations de l’examinateur constituent également des informations concernant le candidat. Ainsi, ce dernier dispose d’un droit d’accès à ses réponses à l’examen et aux annotations de l’examinateur afin d’effectuer les vérifications nécessaires notamment de leur exactitude. (Editions législatives, Vanessa Younes-Fellous, Avocate en droit de la protection des données personnelles)

Nous rappelons aussi que la durée de conservation de ses copies doit être de 1 an minimum après publication des résultats, à l’exception de celles faisant l’objet d’un contentieux.

Certains organismes d’accréditation vont demander une conservation plus longue pour des raisons de contrôle. Cette durée spécifique doit faire l’objet d’un recueil de consentement.

Transcripts: les transcripts de notes et de description des modules de cursus suivis par l’étudiants sont aussi des données personnelles. Leur durée de conservation est plus problématique.

En effet ces transcripts peuvent être utiles à l’étudiant tout au long de sa vie (reprise d’études en cours de carrière par exemple).

Il n’existe pas aujourd’hui de solution de stockage individuel adéquate des transcripts avec un prestataire de confiance tiers qui pourrait garantir l’origine et la validité des transcripts de manière transnationale pour tous les établissements d’éducation supérieure. En attendant cette solution il est important que l’établissement et l’étudiant établissent un contrat de conservation et d’accès à ces transcripts. Ce contrat doit clairement établir la finalité de cette conservation et l’exercice des droits, indépendamment de la gestion administrative courante de l’étudiant dans son établissement.