RGPD Education Supérieure : Episode 01 : Prospection et Recrutement

Partie 1 : Traitements “Classiques”

La prospection et le recrutement de professeurs

Nous commençons ici une série d’articles, par épisodes, sur le RGPD et le Secteur de l’Education Supérieure.

Le secteur de l’éducation supérieure se doit d’être particulièrement attentive à l’application du RGPD.

Outre les traitements « classiques » de données personnelles, ce secteur a ses particularités propres que les responsables de traitements, leurs DPO et les conseils qui les accompagnent doivent prendre en compte.

Nous allons lister ici, quelques-uns de ces traitements, « classiques » (dans nos premiers épisodes) puis ceux spécifiques et pointer certains enjeux particuliers.

Ces articles ne se veulent en aucun cas exhaustifs et chaque chef d’établissement devra prendre le plus grand soin dans son approche initiale de bien s’assurer de répertorier tous les traitements que son ou ses établissements mettent en jeu.

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courants comme :

–         L’établissement d’un fichier de prospection

–         Le recrutement de collaborateurs

–         La paye

–         Le contrôle d’accès à ses locaux

–         Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le fichier de prospection et durée de conservation

La CNIL recommande que la durée de conservation d’informations personnelles concernant les prospects d’une entreprise ne dépasse pas 3 ans après la première acquisition. L’éducation supérieure, privée par exemple, recrute selon deux principales voies. La prospection directe via les salons, les conférences, les présentations dans les écoles et son site internet. Elle recrute aussi via un service d’agents, principalement étrangers (intra ou hors Europe) qui lui fournissent des listes de prospects qualifiés ou encore même organisent eux même la vente des programmes de formation.

Cette prospection est réalisée bien souvent auprès d’enfant mineurs, au sens de la loi, mais majeurs digitaux (> 16 ans). Il est assez fréquent que des mineurs de 16 ans viennent donner leur contact aux écoles qu’ils souhaitent intégrer après le BAC. C’est-à-dire à un horizon 2 ans. L’intégration peut avoir lieu aussi en deuxième ou troisième année de premier cycle, voire en deuxième cycle. Dans ce dernier cas, finalement assez fréquent, entre l’acquisition initiale des données personnelles et la « Vente » ou « contractualisation » il peut y avoir une latence de l’ordre de 3, 4 ou 5 ans.

Ce traitement nécessite alors, au moment de la collecte et de la durée de conservation, une attention particulière du conseil en RGPD, du DPO et du RT.

Le recrutement de collaborateurs : les professeurs et intervenants

Les établissements travaillent bien souvent avec une base de professeurs permanents mais aussi des intervenants (vacataires ou en honoraires). Dans tous les cas, au moment du recrutement et parfois même en amont, est demandé de fournir un CV mais aussi un Extrait de Casier judiciaire. Dans nombre d’établissements, un original de cet extrait de casier, est conservé pour une durée importante (1 an …voire à vie…..et oui). Cette durée est imposée par les rectorats, en contradiction avec les recommandations de la CNIL sur ce sujet particulier. Qui a raison ?

Là aussi le RT et le DPO (avec le support de la CNIL) devront se pencher sur la question. définir la licéité de la durée de conservation parfois contradictoire avec les demandes administratives des rectorats et/ou des préfectures.

Le RGPD dans l’éducation, un cas d’école(s)

Le RGPD fait parler de lui et, alors que certains se demandent par quel bout engager le sujet dans leur organisation, conscients qu’ils devront – et le plus tôt sera le mieux – s’y conformer, d’autres le voient comme un sujet lointain.

Ne vous y fiez pas trop ; toute organisation, quelle qu’elle soit et quelle que soit son activité a, dans une certaine mesure, besoin de questionner son rapport à la protection des données personnelles qu’elle détient, parfois sans en avoir conscience.

Prenons l’exemple du secteur de la formation et allons crescendo…

ENTRÉE EN MATIÈRE, LE CAS DE JEAN

Jean est auto entrepreneur et intervient dans le cadre de soutien scolaire à domicile. Il se fait connaitre par le bouche à oreille. Jean ne se sent pas concerné par le RGPD. Pourtant, Jean enregistre son planning de rendez-vous chez ses clients dans un agenda informatique. Il y inscrit, pour chaque rendez-vous, le prénom et le nom de son élève, son niveau scolaire, ainsi que l’adresse et le numéro de téléphone du domicile de la famille. Certains réguliers, d’autres ponctuels, Jean a déjà fait travailler plus d’une centaine d’élèves en 3 ans. Jean est concerné par le RGPD…

  • Il collecte des données personnelles,
  • Il les stocke dans le temps,
  • Certains de ses élèves sont mineurs, sans être « sensibles » ces données concernent des personnes vulnérables,
  • Connait-il le niveau de sécurité de l’application dans laquelle il répertorie les informations sur ses élèves ? Assure-t-il un niveau de sécurité suffisant au niveau de son serveur informatique ? A-t-il un firewall ?

Jean n’a rien à se reprocher dans la manière dont il pratique son activité, il fait même preuve d’un grand professionnalisme qui se traduit par la réussite de ses élèves.

Mais Jean est déjà bien concerné par le RGPD.

POUR ALLER PLUS LOIN, L’ÉCOLE PRIMAIRE ASSOCIATIVE

L’école Imagine est une petite structure associative en milieu rural. Elle a été créée par un collectif de parents soucieux de proposer un enseignement de proximité à la centaine d’élèves de primaire qui habitent la petite commune et la dizaine de hameaux alentours.

4 enseignants et 2 aides scolaires se répartissent la charge d’enseignement et d’encadrement des 3 classes qui constituent l’école. Ces salariés sont répertoriés dans un registre du personnel et l’établissement des fiches de paie ainsi que toutes les démarches liées à l’administration du personnel sont sous-traités à une petite société unipersonnelle locale. Annie, qui en est l’unique représentante, est une ancienne Directrice Administrative d’une grande société qui propose désormais ses services en temps partagé. L’école transmet chaque mois par email à Annie les informations permettant d’établir les bulletins de paie des 6 salariés : présence, congés, primes, arrêts de travail, justificatifs de frais de transports…

L’école connait par ailleurs très bien ses élèves. Elle a enregistré dans son système informatique, pour chacun d’eux, son prénom et son nom, sa date et son lieu de naissance, les noms et prénoms de ses deux parents et leur situation familiale. Elle connait leur adresse postale (et même les deux si les parents sont séparés), les numéros de téléphone personnels et professionnels, leurs professions, les noms et adresses de leurs employeurs… Il arrive occasionnellement qu’un élève ait des difficultés d’apprentissage et soit suivi par un spécialiste, l’un d’entre eux est même accompagné d’une AVS. Très engagé dans l’accompagnement de ses élèves le directeur conserve ces informations dans le dossier de l’élève, y compris des informations sur la santé de certains d’entre eux requérant une surveillance particulière.

Quand on lui parle de RGPD, le directeur ne se sent pas concerné ; il ne fait rien de ces données. Jamais il ne lui viendrait à l’idée de les divulguer ou d’en faire un mauvais usage. Oui mais …

  • L’école détient une multitude de données personnelles sur de nombreux individus (les salariés, les élèves, les parents d’élèves)
  • Ses élèves sont tous mineurs et donc considérés comme des personnes vulnérables
  • Certaines données, notamment médicales, sont dites « sensibles »
  • Le niveau de sécurité de stockage des informations est-il suffisant ?
  • Elle travaille en sous-traitance pour la partie RH et fournit des informations personnelles à son prestataire
  • Connait-elle les conditions de traitement de ces données par Annie, son prestataire ? Annie stocke-t-elle ces données (par habitude, par nécessité ou juste au cas où…) ?

L’école Imagine est, elle aussi, très fortement concernée par le RGPD, et doit engager une réflexion sur le sujet.

ENTRONS DANS LE VIF DU SUJET, LE LYCÉE PUBLIC

Le Lycée Jenveux est un lycée public. Il accueille 1200 élèves et gère de nombreuses ressources humaines. Mettons de côté le volet RH, qu’il faudra de toute évidence considérer dans le cadre du RGPD. Concentrons-nous, pour l’exemple, sur les données relatives aux élèves.

Comme tout lycée, il détient des très nombreuses données personnelles administratives sur ses élèves : prénom, nom, adresse, date et lieu de naissance, numéro de téléphone, parfois même le numéro de sécurité sociale, situation familiale des parents, coordonnées, situations professionnelles, nombre de frères et sœurs, leur année de naissance et position scolaire (niveau, établissement fréquenté). Il connait également le détail des antécédents scolaires de ses élèves, et dans certains cas des données à caractère médical.

Par ailleurs, il émet et stocke des informations sur le niveau scolaire des élèves ainsi que des appréciations « qualitatives » de leurs professeurs sur leurs résultats et leur orientation professionnelle, et bien entendu les copies d’examen et les résultats.

Il devra passer en revue l’ensemble de ces données afin de s’assurer de leur conformité RGPD, tant sur la nature et leur pertinence, que sur les traitements, les conditions et durées de stockage ou encore l’exercice des droits des individus concernés.

Il devra également passer en revue et questionner la pertinence et la compliance de tous les autres traitements, même mineurs, sur les données personnelles :

  • L’infirmière scolaire garde-t-elle une trace des élèves qui passent dans son service ? Quelles informations ? Pour quoi faire ? Dans quelles conditions ?
  • Certains élèves ont créé une association d’élèves afin d’organiser des rencontres sportives. Qu’en est-il des données personnelles que l’Asso recueille et stocke ? Y a-t-il d’autres associations au sein du lycée ? D’autres initiatives de professeurs à destination des élèves ?
  • Le Centre d’Information et d’Orientation répertorie-t-il les démarches des élèves en quête d’orientation professionnelle ?

Le lycée est d’autant plus concerné par le RGPD qu’il représente un service public. A ce titre, il a même l’obligation de nommer un DPO (délégué à la protection des données) chargé de la conformité continue au RGPD.

POUR IDENTIFIER DES SPÉCIFICITÉS PLUS COMPLEXES, L’ÉCOLE SUPÉRIEURE

L’école Supérieure de Management Monavenir est une école privée qui propose à ses 2000 étudiants différents cursus qui intègrent des possibilités d’alternance et de mobilité internationale dans le cadre d’échanges avec des établissements dans différents pays. Une année de césure est également possible en cours de certains cursus.

Bien évidemment, l’école détient les mêmes données personnelles, sur ses étudiants, que le lycée Jenveux. Elle va même plus loin.

  • Sur son intranet, elle met à disposition un trombinoscope,
  • Une 20taine d’associations d’élèves, gérées par les étudiants eux-mêmes, organisent leurs activités sans contrôle de l’établissement,
  • Dans un souci de sécurité, elle a mis en place un système de vidéosurveillance à différents points stratégiques de l’établissement, et un contrôle d’accès
  • Le contrôle de présence en cours est assuré par un système de badges, qui sert aussi (ou pas) à assurer le règlement des OPCA dans le cadre des alternants
  • Elle gère des listes de prospects afin de recruter de nouveaux étudiants,
  • Elle sous-traite …

Il existe encore bien d’autres traitements et d’autres données, la plupart tombant sous le coup de la conformité RGPD.

Les écoles supérieures et universités sont bien évidemment concernées par le RGPD avec des spécificités qui peuvent apporter de la complexité dans l’appréciation du caractère légitime des traitements, de l’accès au droit et des durées de conservation.

A suivre… Un prochain article traitera de manière plus approfondie de l’application du RGPD dans les écoles supérieures.