RGPD Education Episode 04 : la gestion des anciens…les Alumni

RGPD dans l’éducation. Comment gérer les alumni. ?

Le RGPD dans l’éducation supérieure.

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 4 : Transfert de données à l’association des alumni

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Transfert de données personnelles…le cas de l’association des anciens

Toutes les écoles et universités gèrent plus ou moins directement une association des anciens.

Cette activité, considérée parfois à juste titre comme stratégique recouvre des réalités, des finalités, des efficacités diverses que ce soit pour le placement des étudiants en stages, pour la reconnaissance de l’établissement sur le marché du travail, pour le recrutement d’anciens comme intervenants ou comme recruteurs indirects de nouveaux étudiants et même pour le recrutement tout au long de leur carrière professionnelle de diplômés à travers des offres postées spécifiques et des jobs boards automatiques.

La relation que l’école ou l’université entretien avec ses anciens élèves rentre bien évidemment dans le champ de la conformité RGPD.

Structure de la relation

Dans certains cas la gestion des anciens est assurée en direct par l’école, dans d’autres c’est une association dont l’école est partie prenante et parfois c’est une association dédiée dans laquelle l’école n’est pas partie prenante.

Le financement de cette structure et de ses activités n’est pas sans conséquence non plus.

Il existe plusieurs schéma de relation financière entre l’école (université) et le réseau des anciens.

·        Le financement est réalisé par les étudiants en activité avec une partie des « fees » de scolarité allouée aux réseaux d’anciens

·        Le financement est réalisé par les anciens avec un concours de subvention de l’école

·        Le financement est entièrement réalisé par les cotisations des anciens élèves

La structure de cette relation et le mode de financement imposent des contraintes particulières en matière de RGPD.

Dans le cas où la relation est fortement liée entre l’établissement et le réseau des anciens, l’école (université) doit être considérée comme Responsable de Traitement (ou Co-RT) quant au transfert de données réalisé d’une entité juridique vers la seconde.

Transfert des données des diplômés

Le transfert des données des diplômés vers l’association (l’entité) des alumni est un transfert de données à caractère personnel (nom, prénom, diplôme, promotion, majeurs et mineurs, classement, n° de téléphone, email etc….).

Ce transfert requiert (comme tous les transferts de données) le consentement de la personne concernée (le diplômé).

Ce consentement ne peut en aucun cas se faire de façon tacite, il doit être un terme du contrat qui lie l’étudiant (futur diplômé) et l’école ou l’établissement d’un contrat (ou recueil de consentement spécifique) entre le jeune diplômé et l’association (entité) des anciens élèves.

De même l’ensemble (et chacun) des traitements réalisés par l’association des alumni doit faire l’objet comme tout traitement d’une information univoque, et permettre aux « anciens » d’exercer la totalité de leurs droits (Accès, rectification, limitation, portabilité) et OUBLI.

Et oui….un ancien élève a le droit de demander à son ancien établissement et association d’oublier qu’il a été diplômé….aussi bizarre que cela puisse paraitre (dans la limite évidement les obligations légales en matière de diplôme des établissements de formation).

Traitements des données des diplômés…à des fins statistiques

Beaucoup d’associations réalisent des enquêtes de salaires et forment des statistiques sur les anciens diplômés. Faites bien attention à vos processus de collecte, d’anonymisation et de calculs sur ces données.

En cas de violation il est extrêmement important que les données perdues ne puissent pas permettre de créer un « Profil personnel» à partir des données collectées et utilisées à des fins statistiques.

RGPD et Education Episode 3 : Examen, Notes et Transcripts

group of students takes the test in class

Les traitement spécifiques : Examens – Copies – Transcripts

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 3 : Examens, copies / tests, transcripts

Dans les deux premiers épisodes de notre petite série nous avons discuté de quelques spécificités de l’éducation supérieure quant aux traitements que nous retrouverons dans toute entreprise qui s’adresse à des particuliers : prospection, recrutement de collaborateurs, payes, contrôle d’accès et planning….tout cela avec des spécificités liées au monde de l’éducation.

Dans cette nouvelle partie (Partie 2) nous allons adresser les traitements vraiment spécifiques à l’éducation.

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Examens, copies, transcrits

Les examens sous toutes leurs formes, sont des réalisations légitimes du contrat qui lie l’étudiant et son établissement d’enseignement.

Pour autant ces examens doivent suivre un processus en conformité avec le RGPD.

Contrat : un contrat doit lier l’étudiant et l’école et ce contrat doit clairement spécifier le caractère obligatoire du passage de examens ou du processus de contrôle continu. Il doit aussi établir clairement l’accès aux droits de l’étudiant.

Copies d’examens (partiels et contrôle continu) : une jurisprudence européenne (affaire Irlandaise, étudiant expert-comptable vs ordre des experts irlandais) a confirmé que les copies d’examen et les annotations de l’examinateur constituaient des données à caractère personnel, en l’espèce :

o  leur contenu reflétant notamment le niveau de connaissance et de compétence du candidat,

o  leur finalité évaluant notamment les capacités professionnelles du candidat,

o  leur effet sur les droits et intérêts du candidat.

o  Les annotations de l’examinateur constituent également des informations concernant le candidat. Ainsi, ce dernier dispose d’un droit d’accès à ses réponses à l’examen et aux annotations de l’examinateur afin d’effectuer les vérifications nécessaires notamment de leur exactitude. (Editions législatives, Vanessa Younes-Fellous, Avocate en droit de la protection des données personnelles)

Nous rappelons aussi que la durée de conservation de ses copies doit être de 1 an minimum après publication des résultats, à l’exception de celles faisant l’objet d’un contentieux.

Certains organismes d’accréditation vont demander une conservation plus longue pour des raisons de contrôle. Cette durée spécifique doit faire l’objet d’un recueil de consentement.

Transcripts: les transcripts de notes et de description des modules de cursus suivis par l’étudiants sont aussi des données personnelles. Leur durée de conservation est plus problématique.

En effet ces transcripts peuvent être utiles à l’étudiant tout au long de sa vie (reprise d’études en cours de carrière par exemple).

Il n’existe pas aujourd’hui de solution de stockage individuel adéquate des transcripts avec un prestataire de confiance tiers qui pourrait garantir l’origine et la validité des transcripts de manière transnationale pour tous les établissements d’éducation supérieure. En attendant cette solution il est important que l’établissement et l’étudiant établissent un contrat de conservation et d’accès à ces transcripts. Ce contrat doit clairement établir la finalité de cette conservation et l’exercice des droits, indépendamment de la gestion administrative courante de l’étudiant dans son établissement.

RGPD et Education Supérieure : Episode 02 : Paye – Contrôle d’accès – Planning

Le RGPD dans l’éducation supérieure.

Partie 1 : Les traitements classiques

Episode 2 : Paye, Contrôle d’accès et Planning

Dans le premier épisode nous avons discuté de quelques spécificités de l’éducation supérieure quant à l’établissement d’un fichier de prospection et du recrutement de collaborateurs (spécifiquement les professeurs et intervenants).

Dans cette partie nous traitons le triple cas la paye, le contrôle d’accès aux locaux et le planning et la relation entre ces trois activités en matière de RGPD.

Préambule :

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courant comme :

  • L’établissement d’un fichier de prospection
  • Le recrutement de collaborateurs
  • La paye
  • Le contrôle d’accès à ses locaux
  • Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le triplet :  Paye-Contrôle d’accès – Planning

Une école ou université doit gérer ces trois axes avec des contraintes spécifiques.

Pour la paye, contrairement à une entreprise classique qui est composée d’une majorité de personnels permanents, l’éducation supérieure fait appel en permanence à des professeurs et intervenants dont le volume horaire est faible ou réduit et dont le travail s’effectue sur une grande période de temps (exemple 30 heures de cours sur 3 mois).

Le suivi des activités de ces personnes est totalement lié au planning qui rapproche 4 pivots : un horaire – une classe d’étudiants (nommément identifiés) – une salle de cours (géolocalisée) et un intervenant (lui ou elle aussi identifié). Le rapprochement de ces 4 pivots est nécessaire à la réalisation d’une paye ou d’un rapprochement de facture (si intervenant en honoraires).

D’autre part, les écoles (universités) réalisent de plus en plus un contrôle d’accès par badge tant pour l’accès physique aux bâtiments que pour suivre la présence des étudiants en cours, ou des professeurs (en cours eux aussi).

On peut avoir ici une double finalité à l’utilisation d’un badge nominatif : ouvrir et contrôler la présence.

  • Le contrôle d’accès suit une finalité de sécurité physique.
  • Le contrôle de présence suit une double finalité de jugement académique (points en moins si trop d’absence ou non validation d’un cours pour les étudiants) mais aussi parfois une finalité liée au règlement des salaires des étudiants en alternance par exemple.

Cette double finalité d’un dispositif unique demande un traitement particulier et une approche spécifique des durées de conservation, particulièrement si le stockage des données d’accès / présence est utilisé (comme c’est le cas…mais rarement) dans le cadre de la formation en Alternance ou Apprentissage (contrats de professionnalisation par exemple) comme moyen de « signature » de la présence des étudiants et professeurs pour la prise en charge des frais de scolarité ou de règlement des salaires par les OPCA concernées.

Dans une université ou école comprenant au même endroit…des étudiants en formation initiale et des étudiants alternants, la durée de conservation des historiques de présence doit donc être clairement séparée et gérée de façon univoque.

De même, les données de planning (des intervenants et des étudiants) sont des données de pseudo géolocalisation quand elles sont rapprochables du contrôle d’accès et doivent aussi retenir l’attention du responsable de traitement, de son conseil et de son DPO.

 

 

RGPD Education Supérieure : Episode 01 : Prospection et Recrutement

Partie 1 : Traitements “Classiques”

La prospection et le recrutement de professeurs

Nous commençons ici une série d’articles, par épisodes, sur le RGPD et le Secteur de l’Education Supérieure.

Le secteur de l’éducation supérieure se doit d’être particulièrement attentive à l’application du RGPD.

Outre les traitements « classiques » de données personnelles, ce secteur a ses particularités propres que les responsables de traitements, leurs DPO et les conseils qui les accompagnent doivent prendre en compte.

Nous allons lister ici, quelques-uns de ces traitements, « classiques » (dans nos premiers épisodes) puis ceux spécifiques et pointer certains enjeux particuliers.

Ces articles ne se veulent en aucun cas exhaustifs et chaque chef d’établissement devra prendre le plus grand soin dans son approche initiale de bien s’assurer de répertorier tous les traitements que son ou ses établissements mettent en jeu.

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courants comme :

–         L’établissement d’un fichier de prospection

–         Le recrutement de collaborateurs

–         La paye

–         Le contrôle d’accès à ses locaux

–         Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le fichier de prospection et durée de conservation

La CNIL recommande que la durée de conservation d’informations personnelles concernant les prospects d’une entreprise ne dépasse pas 3 ans après la première acquisition. L’éducation supérieure, privée par exemple, recrute selon deux principales voies. La prospection directe via les salons, les conférences, les présentations dans les écoles et son site internet. Elle recrute aussi via un service d’agents, principalement étrangers (intra ou hors Europe) qui lui fournissent des listes de prospects qualifiés ou encore même organisent eux même la vente des programmes de formation.

Cette prospection est réalisée bien souvent auprès d’enfant mineurs, au sens de la loi, mais majeurs digitaux (> 16 ans). Il est assez fréquent que des mineurs de 16 ans viennent donner leur contact aux écoles qu’ils souhaitent intégrer après le BAC. C’est-à-dire à un horizon 2 ans. L’intégration peut avoir lieu aussi en deuxième ou troisième année de premier cycle, voire en deuxième cycle. Dans ce dernier cas, finalement assez fréquent, entre l’acquisition initiale des données personnelles et la « Vente » ou « contractualisation » il peut y avoir une latence de l’ordre de 3, 4 ou 5 ans.

Ce traitement nécessite alors, au moment de la collecte et de la durée de conservation, une attention particulière du conseil en RGPD, du DPO et du RT.

Le recrutement de collaborateurs : les professeurs et intervenants

Les établissements travaillent bien souvent avec une base de professeurs permanents mais aussi des intervenants (vacataires ou en honoraires). Dans tous les cas, au moment du recrutement et parfois même en amont, est demandé de fournir un CV mais aussi un Extrait de Casier judiciaire. Dans nombre d’établissements, un original de cet extrait de casier, est conservé pour une durée importante (1 an …voire à vie…..et oui). Cette durée est imposée par les rectorats, en contradiction avec les recommandations de la CNIL sur ce sujet particulier. Qui a raison ?

Là aussi le RT et le DPO (avec le support de la CNIL) devront se pencher sur la question. définir la licéité de la durée de conservation parfois contradictoire avec les demandes administratives des rectorats et/ou des préfectures.

Le RGPD dans l’éducation, un cas d’école(s)

Le RGPD fait parler de lui et, alors que certains se demandent par quel bout engager le sujet dans leur organisation, conscients qu’ils devront – et le plus tôt sera le mieux – s’y conformer, d’autres le voient comme un sujet lointain.

Ne vous y fiez pas trop ; toute organisation, quelle qu’elle soit et quelle que soit son activité a, dans une certaine mesure, besoin de questionner son rapport à la protection des données personnelles qu’elle détient, parfois sans en avoir conscience.

Prenons l’exemple du secteur de la formation et allons crescendo…

ENTRÉE EN MATIÈRE, LE CAS DE JEAN

Jean est auto entrepreneur et intervient dans le cadre de soutien scolaire à domicile. Il se fait connaitre par le bouche à oreille. Jean ne se sent pas concerné par le RGPD. Pourtant, Jean enregistre son planning de rendez-vous chez ses clients dans un agenda informatique. Il y inscrit, pour chaque rendez-vous, le prénom et le nom de son élève, son niveau scolaire, ainsi que l’adresse et le numéro de téléphone du domicile de la famille. Certains réguliers, d’autres ponctuels, Jean a déjà fait travailler plus d’une centaine d’élèves en 3 ans. Jean est concerné par le RGPD…

  • Il collecte des données personnelles,
  • Il les stocke dans le temps,
  • Certains de ses élèves sont mineurs, sans être « sensibles » ces données concernent des personnes vulnérables,
  • Connait-il le niveau de sécurité de l’application dans laquelle il répertorie les informations sur ses élèves ? Assure-t-il un niveau de sécurité suffisant au niveau de son serveur informatique ? A-t-il un firewall ?

Jean n’a rien à se reprocher dans la manière dont il pratique son activité, il fait même preuve d’un grand professionnalisme qui se traduit par la réussite de ses élèves.

Mais Jean est déjà bien concerné par le RGPD.

POUR ALLER PLUS LOIN, L’ÉCOLE PRIMAIRE ASSOCIATIVE

L’école Imagine est une petite structure associative en milieu rural. Elle a été créée par un collectif de parents soucieux de proposer un enseignement de proximité à la centaine d’élèves de primaire qui habitent la petite commune et la dizaine de hameaux alentours.

4 enseignants et 2 aides scolaires se répartissent la charge d’enseignement et d’encadrement des 3 classes qui constituent l’école. Ces salariés sont répertoriés dans un registre du personnel et l’établissement des fiches de paie ainsi que toutes les démarches liées à l’administration du personnel sont sous-traités à une petite société unipersonnelle locale. Annie, qui en est l’unique représentante, est une ancienne Directrice Administrative d’une grande société qui propose désormais ses services en temps partagé. L’école transmet chaque mois par email à Annie les informations permettant d’établir les bulletins de paie des 6 salariés : présence, congés, primes, arrêts de travail, justificatifs de frais de transports…

L’école connait par ailleurs très bien ses élèves. Elle a enregistré dans son système informatique, pour chacun d’eux, son prénom et son nom, sa date et son lieu de naissance, les noms et prénoms de ses deux parents et leur situation familiale. Elle connait leur adresse postale (et même les deux si les parents sont séparés), les numéros de téléphone personnels et professionnels, leurs professions, les noms et adresses de leurs employeurs… Il arrive occasionnellement qu’un élève ait des difficultés d’apprentissage et soit suivi par un spécialiste, l’un d’entre eux est même accompagné d’une AVS. Très engagé dans l’accompagnement de ses élèves le directeur conserve ces informations dans le dossier de l’élève, y compris des informations sur la santé de certains d’entre eux requérant une surveillance particulière.

Quand on lui parle de RGPD, le directeur ne se sent pas concerné ; il ne fait rien de ces données. Jamais il ne lui viendrait à l’idée de les divulguer ou d’en faire un mauvais usage. Oui mais …

  • L’école détient une multitude de données personnelles sur de nombreux individus (les salariés, les élèves, les parents d’élèves)
  • Ses élèves sont tous mineurs et donc considérés comme des personnes vulnérables
  • Certaines données, notamment médicales, sont dites « sensibles »
  • Le niveau de sécurité de stockage des informations est-il suffisant ?
  • Elle travaille en sous-traitance pour la partie RH et fournit des informations personnelles à son prestataire
  • Connait-elle les conditions de traitement de ces données par Annie, son prestataire ? Annie stocke-t-elle ces données (par habitude, par nécessité ou juste au cas où…) ?

L’école Imagine est, elle aussi, très fortement concernée par le RGPD, et doit engager une réflexion sur le sujet.

ENTRONS DANS LE VIF DU SUJET, LE LYCÉE PUBLIC

Le Lycée Jenveux est un lycée public. Il accueille 1200 élèves et gère de nombreuses ressources humaines. Mettons de côté le volet RH, qu’il faudra de toute évidence considérer dans le cadre du RGPD. Concentrons-nous, pour l’exemple, sur les données relatives aux élèves.

Comme tout lycée, il détient des très nombreuses données personnelles administratives sur ses élèves : prénom, nom, adresse, date et lieu de naissance, numéro de téléphone, parfois même le numéro de sécurité sociale, situation familiale des parents, coordonnées, situations professionnelles, nombre de frères et sœurs, leur année de naissance et position scolaire (niveau, établissement fréquenté). Il connait également le détail des antécédents scolaires de ses élèves, et dans certains cas des données à caractère médical.

Par ailleurs, il émet et stocke des informations sur le niveau scolaire des élèves ainsi que des appréciations « qualitatives » de leurs professeurs sur leurs résultats et leur orientation professionnelle, et bien entendu les copies d’examen et les résultats.

Il devra passer en revue l’ensemble de ces données afin de s’assurer de leur conformité RGPD, tant sur la nature et leur pertinence, que sur les traitements, les conditions et durées de stockage ou encore l’exercice des droits des individus concernés.

Il devra également passer en revue et questionner la pertinence et la compliance de tous les autres traitements, même mineurs, sur les données personnelles :

  • L’infirmière scolaire garde-t-elle une trace des élèves qui passent dans son service ? Quelles informations ? Pour quoi faire ? Dans quelles conditions ?
  • Certains élèves ont créé une association d’élèves afin d’organiser des rencontres sportives. Qu’en est-il des données personnelles que l’Asso recueille et stocke ? Y a-t-il d’autres associations au sein du lycée ? D’autres initiatives de professeurs à destination des élèves ?
  • Le Centre d’Information et d’Orientation répertorie-t-il les démarches des élèves en quête d’orientation professionnelle ?

Le lycée est d’autant plus concerné par le RGPD qu’il représente un service public. A ce titre, il a même l’obligation de nommer un DPO (délégué à la protection des données) chargé de la conformité continue au RGPD.

POUR IDENTIFIER DES SPÉCIFICITÉS PLUS COMPLEXES, L’ÉCOLE SUPÉRIEURE

L’école Supérieure de Management Monavenir est une école privée qui propose à ses 2000 étudiants différents cursus qui intègrent des possibilités d’alternance et de mobilité internationale dans le cadre d’échanges avec des établissements dans différents pays. Une année de césure est également possible en cours de certains cursus.

Bien évidemment, l’école détient les mêmes données personnelles, sur ses étudiants, que le lycée Jenveux. Elle va même plus loin.

  • Sur son intranet, elle met à disposition un trombinoscope,
  • Une 20taine d’associations d’élèves, gérées par les étudiants eux-mêmes, organisent leurs activités sans contrôle de l’établissement,
  • Dans un souci de sécurité, elle a mis en place un système de vidéosurveillance à différents points stratégiques de l’établissement, et un contrôle d’accès
  • Le contrôle de présence en cours est assuré par un système de badges, qui sert aussi (ou pas) à assurer le règlement des OPCA dans le cadre des alternants
  • Elle gère des listes de prospects afin de recruter de nouveaux étudiants,
  • Elle sous-traite …

Il existe encore bien d’autres traitements et d’autres données, la plupart tombant sous le coup de la conformité RGPD.

Les écoles supérieures et universités sont bien évidemment concernées par le RGPD avec des spécificités qui peuvent apporter de la complexité dans l’appréciation du caractère légitime des traitements, de l’accès au droit et des durées de conservation.

A suivre… Un prochain article traitera de manière plus approfondie de l’application du RGPD dans les écoles supérieures.