Le RGPD dans l’éducation supérieure.
Partie 1 : Les traitements classiques
Episode 2 : Paye, Contrôle d’accès et Planning
Dans le premier épisode nous avons discuté de quelques spécificités de l’éducation supérieure quant à l’établissement d’un fichier de prospection et du recrutement de collaborateurs (spécifiquement les professeurs et intervenants).
Dans cette partie nous traitons le triple cas la paye, le contrôle d’accès aux locaux et le planning et la relation entre ces trois activités en matière de RGPD.
Préambule :
Les traitements « Classiques »
Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courant comme :
- L’établissement d’un fichier de prospection
- Le recrutement de collaborateurs
- La paye
- Le contrôle d’accès à ses locaux
- Le planning de ses activités et de ses ressources
Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.
Le triplet : Paye-Contrôle d’accès – Planning
Une école ou université doit gérer ces trois axes avec des contraintes spécifiques.
Pour la paye, contrairement à une entreprise classique qui est composée d’une majorité de personnels permanents, l’éducation supérieure fait appel en permanence à des professeurs et intervenants dont le volume horaire est faible ou réduit et dont le travail s’effectue sur une grande période de temps (exemple 30 heures de cours sur 3 mois).
Le suivi des activités de ces personnes est totalement lié au planning qui rapproche 4 pivots : un horaire – une classe d’étudiants (nommément identifiés) – une salle de cours (géolocalisée) et un intervenant (lui ou elle aussi identifié). Le rapprochement de ces 4 pivots est nécessaire à la réalisation d’une paye ou d’un rapprochement de facture (si intervenant en honoraires).
D’autre part, les écoles (universités) réalisent de plus en plus un contrôle d’accès par badge tant pour l’accès physique aux bâtiments que pour suivre la présence des étudiants en cours, ou des professeurs (en cours eux aussi).
On peut avoir ici une double finalité à l’utilisation d’un badge nominatif : ouvrir et contrôler la présence.
- Le contrôle d’accès suit une finalité de sécurité physique.
- Le contrôle de présence suit une double finalité de jugement académique (points en moins si trop d’absence ou non validation d’un cours pour les étudiants) mais aussi parfois une finalité liée au règlement des salaires des étudiants en alternance par exemple.
Cette double finalité d’un dispositif unique demande un traitement particulier et une approche spécifique des durées de conservation, particulièrement si le stockage des données d’accès / présence est utilisé (comme c’est le cas…mais rarement) dans le cadre de la formation en Alternance ou Apprentissage (contrats de professionnalisation par exemple) comme moyen de « signature » de la présence des étudiants et professeurs pour la prise en charge des frais de scolarité ou de règlement des salaires par les OPCA concernées.
Dans une université ou école comprenant au même endroit…des étudiants en formation initiale et des étudiants alternants, la durée de conservation des historiques de présence doit donc être clairement séparée et gérée de façon univoque.
De même, les données de planning (des intervenants et des étudiants) sont des données de pseudo géolocalisation quand elles sont rapprochables du contrôle d’accès et doivent aussi retenir l’attention du responsable de traitement, de son conseil et de son DPO.