Mise en conformité au RGPD

Mise en conformité au RGPD

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données, ou RGPD, est un Règlement européen qui étend et renforce les droits des citoyens de l’Union Européenne sur leurs données personnelles.

Depuis le 25 mai, il s’applique à toutes les organisations, privées comme publiques, qui collectent ou traitent des données personnelles de résidents européens.

Quels sont les nouveaux principes posés par le RGPD ?

Le RGPD réaffirme le principe de l’obligation de transparence pour toute collecte, traitement et utilisation de données à caractère personnel.

Il pose également un nouveau principe fondamental : celui de la responsabilisation des acteurs. Chaque entité (établissements publics, associations, entreprises…) est responsable non seulement des données qu’elle collecte mais aussi de celles qu’elle transmet à des sous-traitants.

Afin d’assurer une protection optimale des données personnelles traitées, les établissements et leurs sous-traitants doivent mettre en œuvre des mesures de sécurité appropriées dont la preuve de l’existence doit pouvoir être apportée à tout moment. Ainsi, les acteurs ont l’obligation de documenter exhaustivement la conformité de leurs procédures au RGPD.

Tout comme les établissements scolaires abonnés à ses solutions documentaires, Réseau Canopé est soumis au RGPD en sa qualité de sous-traitant de ces établissements.

Les établissements scolaires doivent-ils toujours faire une déclaration à la CNIL ?

Non, depuis le 25 mai dernier et l’entrée en vigueur du RGPD, les traitements de données à caractère personnel ne doivent plus être déclarés à la CNIL. De fait, les établissements n’ont donc plus à effectuer de demande d’avis pour leur portail e-sidoc.

Quelles sont les nouvelles obligations pour les établissements scolaires ?

Le RGPD  indique que « tout traitement de données à caractère personnel doit être licite et loyal ». En d’autres termes, ce traitement doit être :

  • justifié, au regard de l’activité courante et normale de l’établissement ;
  • proportionné, au sens où ne sont utilisées que les données strictement nécessaires à la finalité du traitement ;
  • transparent pour les personnes concernées, ce qui nécessite de recueillir leur consentement préalable.
Le chef d’établissement, responsable du traitement des données de son établissement, doit par conséquent être en mesure de prouver que les personnes concernées ont explicitement donné leur consentement. Il doit également informer ces personnes « des risques, règles, garanties et droits liés au traitement » et « garantir une sécurité et une confidentialité appropriées ».

Par ailleurs, au sein de chaque établissement, tout traitement de données personnelles doit désormais être recensé, documenté et inscrit sur un registre maintenu à jour par le Délégué à la Protection des Données (DPD – ou DPO en anglais : “Data Protection Officer”) de l’établissement.  Ce délégué est une personne chargée d’assurer la conformité et la sécurité des traitements au sein de l’entité pour laquelle il a délégation de responsabilité.

Réseau Canopé met ses équipes au service des chefs d’établissement pour les aider à comprendre, respecter et faire respecter leurs obligations en matière de protection des données personnelles qu’ils traitent au moyen des logiciels BCDI et portails e-sidoc.

Comment Réseau Canopé s’est-il préparé au RGPD ?

La sécurité et la protection des données utilisées dans BCDI et hébergées sur chaque portail e-sidoc ont toujours été une priorité pour Réseau Canopé. Le centre de données (data center) des portails e-sidoc est hébergé en France par la société SynAApS qui réunit les conditions de disponibilité de la norme SO 27001:2013 et a reçu à l’agrément HADS (Hébergeur Agrée de Données de Santé).

Réseau Canopé est en voie de finaliser le recensement de tous les traitements qu’il effectue pour le compte des établissements scolaires afin de pouvoir rapidement fournir aux chefs d’établissements une documentation complète sur les procédures de protection mises en œuvre dans le cadre de l’édition de ses solutions documentaires. Il proposera à la rentrée 2018 une actualisation de sa politique de confidentialité et de ses conditions générales de vente et d’utilisation.

Par ailleurs, Réseau Canopé a procédé à la nomination de son Délégué à la Protection des Données (DPD).