RGPD Education Episode 04 : la gestion des anciens…les Alumni

RGPD dans l’éducation. Comment gérer les alumni. ?

Le RGPD dans l’éducation supérieure.

Partie 2 : Les traitements spécifiques à l’éducation supérieure

Episode 4 : Transfert de données à l’association des alumni

Préambule :

Les traitements « Spécifiques»

Sans être exhaustif voici quelques-uns des traitements qui sont vraiment spécifiques à l’éducation supérieure :

·        Gestion des transcripts, jurys, conseils de discipline

·        Séjours à l’étranger, échanges universitaires, doubles diplômes

·        Gestion des travaux en ligne et concours

·        Gestion des examens, copies et notations, thèses et mémoires

·        Transfert de données alumni et statistiques diverses

·        Gestion des contrats d’alternance et apprentissage

·        Assistance à la vie étudiante : visa, logements, cartes de séjour

·        Associations étudiantes

·        Association d’anciens : alumni

Tous ces traitements ont des particularités sur lesquelles le chef d’établissement (responsable de traitement) devra porter une attention particulière. Ce d’autant que les établissement sont souvent liés à un processus de reconnaissance avec un ou plusieurs organismes de certification (accréditation) pour augmenter leur visibilité internationale ou nationale (IACBE, EQUIS, AMBA, AACSB, CGE, CGEI, RNCP….etc)

Transfert de données personnelles…le cas de l’association des anciens

Toutes les écoles et universités gèrent plus ou moins directement une association des anciens.

Cette activité, considérée parfois à juste titre comme stratégique recouvre des réalités, des finalités, des efficacités diverses que ce soit pour le placement des étudiants en stages, pour la reconnaissance de l’établissement sur le marché du travail, pour le recrutement d’anciens comme intervenants ou comme recruteurs indirects de nouveaux étudiants et même pour le recrutement tout au long de leur carrière professionnelle de diplômés à travers des offres postées spécifiques et des jobs boards automatiques.

La relation que l’école ou l’université entretien avec ses anciens élèves rentre bien évidemment dans le champ de la conformité RGPD.

Structure de la relation

Dans certains cas la gestion des anciens est assurée en direct par l’école, dans d’autres c’est une association dont l’école est partie prenante et parfois c’est une association dédiée dans laquelle l’école n’est pas partie prenante.

Le financement de cette structure et de ses activités n’est pas sans conséquence non plus.

Il existe plusieurs schéma de relation financière entre l’école (université) et le réseau des anciens.

·        Le financement est réalisé par les étudiants en activité avec une partie des « fees » de scolarité allouée aux réseaux d’anciens

·        Le financement est réalisé par les anciens avec un concours de subvention de l’école

·        Le financement est entièrement réalisé par les cotisations des anciens élèves

La structure de cette relation et le mode de financement imposent des contraintes particulières en matière de RGPD.

Dans le cas où la relation est fortement liée entre l’établissement et le réseau des anciens, l’école (université) doit être considérée comme Responsable de Traitement (ou Co-RT) quant au transfert de données réalisé d’une entité juridique vers la seconde.

Transfert des données des diplômés

Le transfert des données des diplômés vers l’association (l’entité) des alumni est un transfert de données à caractère personnel (nom, prénom, diplôme, promotion, majeurs et mineurs, classement, n° de téléphone, email etc….).

Ce transfert requiert (comme tous les transferts de données) le consentement de la personne concernée (le diplômé).

Ce consentement ne peut en aucun cas se faire de façon tacite, il doit être un terme du contrat qui lie l’étudiant (futur diplômé) et l’école ou l’établissement d’un contrat (ou recueil de consentement spécifique) entre le jeune diplômé et l’association (entité) des anciens élèves.

De même l’ensemble (et chacun) des traitements réalisés par l’association des alumni doit faire l’objet comme tout traitement d’une information univoque, et permettre aux « anciens » d’exercer la totalité de leurs droits (Accès, rectification, limitation, portabilité) et OUBLI.

Et oui….un ancien élève a le droit de demander à son ancien établissement et association d’oublier qu’il a été diplômé….aussi bizarre que cela puisse paraitre (dans la limite évidement les obligations légales en matière de diplôme des établissements de formation).

Traitements des données des diplômés…à des fins statistiques

Beaucoup d’associations réalisent des enquêtes de salaires et forment des statistiques sur les anciens diplômés. Faites bien attention à vos processus de collecte, d’anonymisation et de calculs sur ces données.

En cas de violation il est extrêmement important que les données perdues ne puissent pas permettre de créer un « Profil personnel» à partir des données collectées et utilisées à des fins statistiques.

RGPD et Education Supérieure : Episode 02 : Paye – Contrôle d’accès – Planning

Le RGPD dans l’éducation supérieure.

Partie 1 : Les traitements classiques

Episode 2 : Paye, Contrôle d’accès et Planning

Dans le premier épisode nous avons discuté de quelques spécificités de l’éducation supérieure quant à l’établissement d’un fichier de prospection et du recrutement de collaborateurs (spécifiquement les professeurs et intervenants).

Dans cette partie nous traitons le triple cas la paye, le contrôle d’accès aux locaux et le planning et la relation entre ces trois activités en matière de RGPD.

Préambule :

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courant comme :

  • L’établissement d’un fichier de prospection
  • Le recrutement de collaborateurs
  • La paye
  • Le contrôle d’accès à ses locaux
  • Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le triplet :  Paye-Contrôle d’accès – Planning

Une école ou université doit gérer ces trois axes avec des contraintes spécifiques.

Pour la paye, contrairement à une entreprise classique qui est composée d’une majorité de personnels permanents, l’éducation supérieure fait appel en permanence à des professeurs et intervenants dont le volume horaire est faible ou réduit et dont le travail s’effectue sur une grande période de temps (exemple 30 heures de cours sur 3 mois).

Le suivi des activités de ces personnes est totalement lié au planning qui rapproche 4 pivots : un horaire – une classe d’étudiants (nommément identifiés) – une salle de cours (géolocalisée) et un intervenant (lui ou elle aussi identifié). Le rapprochement de ces 4 pivots est nécessaire à la réalisation d’une paye ou d’un rapprochement de facture (si intervenant en honoraires).

D’autre part, les écoles (universités) réalisent de plus en plus un contrôle d’accès par badge tant pour l’accès physique aux bâtiments que pour suivre la présence des étudiants en cours, ou des professeurs (en cours eux aussi).

On peut avoir ici une double finalité à l’utilisation d’un badge nominatif : ouvrir et contrôler la présence.

  • Le contrôle d’accès suit une finalité de sécurité physique.
  • Le contrôle de présence suit une double finalité de jugement académique (points en moins si trop d’absence ou non validation d’un cours pour les étudiants) mais aussi parfois une finalité liée au règlement des salaires des étudiants en alternance par exemple.

Cette double finalité d’un dispositif unique demande un traitement particulier et une approche spécifique des durées de conservation, particulièrement si le stockage des données d’accès / présence est utilisé (comme c’est le cas…mais rarement) dans le cadre de la formation en Alternance ou Apprentissage (contrats de professionnalisation par exemple) comme moyen de « signature » de la présence des étudiants et professeurs pour la prise en charge des frais de scolarité ou de règlement des salaires par les OPCA concernées.

Dans une université ou école comprenant au même endroit…des étudiants en formation initiale et des étudiants alternants, la durée de conservation des historiques de présence doit donc être clairement séparée et gérée de façon univoque.

De même, les données de planning (des intervenants et des étudiants) sont des données de pseudo géolocalisation quand elles sont rapprochables du contrôle d’accès et doivent aussi retenir l’attention du responsable de traitement, de son conseil et de son DPO.