Données scolaires : Délibération CNIL n° 2015-433 du 10 décembre 2015 portant adoption d’une norme simplifiée

Commenter / Rentrée scolaire / Auteur :
Notez ce point juridique

Délibération n° 2015-433 du 10 décembre 2015 portant adoption d’une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé gérant un service public aux fins de gérer les services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (NS-058)

La Commission nationale de l’informatique et des libertés,
Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l’action sociale et de familles, notamment ses articles L. 214-1, L. 227-4 et R. 227-1 ;
Vu le code de l’éducation, notamment ses articles L. 131-6, L. 212-1 à L. 212-9, L. 212-15, L. 213-2, L. 213-11, L. 213-12, L. 216-11, R. 131-3, R. 213-3 à R. 213-16 et D. 351-5 ;
Vu le code de la santé publique, notamment ses articles L. 2112-2, L. 2324-1, L. 3111-2 et R. 2324-17 ;
Vu le code des transports, notamment son article L. 3111-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée, notamment son article 24-I ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu l’arrêté du 20 février 2003 relatif au suivi sanitaire des mineurs mentionnés à l’article L. 227-4 du code de l’action sociale et des familles ;
Vu la circulaire n° 99-136 du 21 septembre 1999 modifiée relative à l’organisation des sorties scolaires dans les écoles maternelles et élémentaires ;
Vu la circulaire n° 2003-135 du 8 septembre 2003 relative à l’accueil en collectivité des enfants et adolescents atteints de troubles de la santé évoluant sur une longue période ;
Vu la circulaire n° 2005-001 du 5 janvier 2005 relative aux séjours scolaires courts et classes de découverte dans le premier degré ;

Après avoir entendu M. Nicolas COLIN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les collectivités territoriales mettent en œuvre de nombreux traitements automatisés de données à caractère personnel dans le cadre de la gestion des affaires scolaires, périscolaires, extrascolaires et de la petite enfance. La Commission nationale de l’informatique et des libertés a ainsi encadré, par délibérations n° 85-02 du 15 janvier 1985 modifiée et n° 91-038 du 28 mai 1991, les traitements que ces collectivités mettent en œuvre.
L’évolution des cadres législatifs et réglementaires applicables à ces secteurs ainsi que les nouveaux besoins des responsables des traitements mis en œuvre dans ce cadre ont rendu obsolètes cet encadrement. La commission a dès lors considéré qu’une fusion et une mise à jour était nécessaire, afin d’offrir une mesure de simplification des formalités préalables plus adaptée à la pratique.
En application de l’article 24-I de la loi du 6 janvier 1978 modifiée, la commission est habilitée à établir des normes destinées à simplifier l’obligation de déclaration des traitements les plus courants dont la mise en œuvre, dans des conditions régulières, n’est pas susceptible de porter atteinte à la vie privée ou aux libertés.
La commission estime que les traitements mis en œuvre par les collectivités territoriales et les personnes morales gérant un service public en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance, sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Décide :

Article 1

Finalités des traitements :
Seuls peuvent bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme les traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé gérant un service public pour tout ou partie des finalités suivantes : la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance.
Les services concernés sont les suivants :

  • la scolarisation en école maternelle et élémentaire ;
  • le recensement des enfants soumis à l’obligation scolaire, conformément à l’article R. 131-3 du code de l’éducation ;
  • la restauration scolaire et extrascolaire ;
  • les transports scolaires, au sens de l’article L. 3111-7 du code des transports, et les transports de substitution pour les élèves présentant un handicap, au sens de l’article R. 213-13 du code de l’éducation ;
  • les accueils et activités périscolaires et extrascolaires ;
  • les accueils collectifs de mineurs, au sens des articles L. 227-4 et R. 227-1 du code de l’action sociale et des familles ;
  • la participation à l’organisation matérielle et financière des sorties scolaires, séjours scolaires courts et classes de découvertes dans le premier degré, au sens des circulaires n° 99-136 du 21 septembre 1999 modifiée et n° 2005-001 du 5 janvier 2005 susvisées ;
  • l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans, au sens des articles L. 2324-1 et R. 2324-17 du code de la santé publique.

Les traitements peuvent également poursuivre une finalité statistique, dans les conditions prévues par l’article 6-2° de la loi du 6 janvier 1978 modifiée.

Article 2

Données traitées :
Conformément à l’article 6-3° de la loi du 6 janvier 1978 modifiée, des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité précisément poursuivie par le responsable de traitement. Ce dernier doit ainsi être en mesure de justifier du caractère nécessaire des données à caractère personnel effectivement collectées.
Lors de la collecte, le responsable de traitement doit clairement distinguer les données obligatoirement renseignées des données facultatives.
Pour atteindre les finalités mentionnées à l’article 2 de la présente norme, un responsable de traitement peut collecter et traiter, les données suivantes, y compris sous la forme de pièces justificatives :

  1. Des données relatives aux représentants légaux de l’enfant portant sur :
    a) Leur identité et leurs coordonnées :
  • nom ;
  • nom d’usage ;
  • prénom(s) ;
  • date et lieu de naissance ;
  • profession ou catégorie socioprofessionnelle ;
  • adresse, numéros de téléphone, adresse électronique ;
  • photographie ;
  • identifiant au sein du système informatique, à l’exclusion du numéro d’inscription au répertoire national d’identification des personnes physiques (RNIPP), également dit NIR ou numéro de sécurité sociale ;

b) Leurs droits sur le mineur :

  • titre justifiant de l’autorité parentale ;
  • mention de la perte de l’autorité parentale, à l’exclusion de toute donnée relative à une infraction, une condamnation ou une mesure de sûreté ;

c) Les informations nécessaires à l’administration des services visés par la présente norme simplifiée :

  • afin de faciliter le regroupement des enfants d’une famille dans un même établissement scolaire ou au sein d’un même service mis en œuvre par le responsable de traitement, le nombre d’enfants de la fratrie, leurs nom et prénom ;
  • une attestation d’assurance, dans le respect de la réglementation en vigueur ;
  • les données permettant d’effectuer le paiement (identification postale ou bancaire),
  • afin de justifier de l’application d’une tarification particulière ou lorsque les prestations sont soumises à condition de ressources :
  • le revenu imposable ;
  • le numéro d’allocataire à la Caisse des allocations familiales ;
  • le quotient familial déterminé par la Caisse nationale des allocations familiales (CNAF) ;
  • la composition de la famille et la situation des personnes à charge ;
  • la nature des prestations ou aides sociales dont les représentants légaux bénéficient ;
  • les données relatives aux procédures de recouvrement amiable ou judiciaire des créances relatives aux services en cause ;

d) Leurs autorisations relatives :

  • aux interventions chirurgicales d’urgence ;
  • à la prise et/ou la diffusion de photographies ;
  • à des sorties ou activités spécifiques, accompagnées des données relatives aux équipements qu’elles rendent nécessaires ;
  1. Des données relatives aux enfants portant sur :
    a) Leur identité et leurs coordonnées :
  • nom ;
  • prénoms ;
  • sexe ;
  • date et lieu de naissance ;
  • photographie ;
  • adresse ;

b) Le ou les services fréquentés :

  • pour l’établissement des listes scolaires, l’école fréquentée, les dates d’entrée et de sortie de cette école, la classe ;
  • pour le contrôle de l’obligation scolaire, la date de la déclaration annuelle d’instruction dans la famille ;
  • pour les préinscriptions et inscriptions dans un établissement ou service d’accueil des enfants de moins de six ans, la date d’entrée souhaitée, la nature et le noms des structures souhaitées et, le cas échéant, la structure d’accueil fréquentée, les dates d’entrée et de sortie de la structure ;
  • activités périscolaires et extrascolaires auxquelles il est inscrit, les dates d’inscription et de cessation de la participation à celles-ci ;
  • dates de présence ou d’absence aux services donnant lieu à une facturation dépendant de celles-ci ;

c) Leur état et leurs besoins spécifiques :

  • renseignements relatifs à l’état vaccinal obligatoire à jour de l’enfant (date et nature des vaccins) ;
  • de manière facultative, les renseignements relatifs à l’état vaccinal conseillé mais non obligatoire à jour de l’enfant (date et nature des vaccins) ;
  • régime alimentaire, à l’exclusion de toute information faisant apparaître directement ou indirectement des données visées à l’article 8-I de la loi du 6 janvier 1978 modifiée ;
  • à l’exclusion de toute information relative à la nature du handicap ou des pathologies :
  • la présence d’un handicap nécessitant une prise en charge particulière ou une adaptation des conditions d’accueil et les mesures de prise en charge ou d’adaptation retenues ;
  • la mise en place d’un plan d’accueil individualisé (PAI), au sens de la circulaire n° 2003-135 du 8 septembre 2003 susvisée ;
  • la mise en place d’un projet personnalisé de scolarisation (PPS), au sens de l’article D. 351-5 du code de l’éducation ;
  • sous réserve de recueillir le consentement exprès des représentants légaux au traitement de données relatives à la santé du mineur, conformément à l’article 8-II-1° de la loi du 6 janvier 1978 susvisée :
  • de manière facultative, les allergies ou pathologies nécessitant une prise en charge particulière ou une adaptation des conditions d’accueil que les représentants légaux de l’enfant souhaiteraient porter à la connaissance du personnel encadrant et qui ne sont pas de nature à justifier la mise en place d’un PAI ;
  • pour l’admission d’un mineur en centre de vacances, en centre de loisirs sans hébergement et en placement de vacances, une fiche de suivi sanitaire, recueillie et conservée selon les modalités prévues par les dispositions législatives et réglementaires en vigueur ;

d) Une éventuelle demande de dérogation scolaire :

  • école de scolarisation souhaitée et commune de celle-ci si elle diffère de celle auprès de laquelle la demande de dérogation est formulée ;
  • motif de la demande ;
  • documents justifiant et motivant la demande de dérogation ;
  • décision de l’administration ;
  1. Des données relatives aux personnes autorisées à venir chercher le mineur ou à prévenir en cas d’urgence :
  • nom ;
  • prénoms ;
  • photographie ;
  • lien avec le mineur ;
  • numéros de téléphone.

Afin d’alimenter d’autres traitements ou d’enrichir leurs propres données, les traitements faisant l’objet de la présente norme simplifiée peuvent être mis en relation avec des traitements utiles au regard des finalités prévues à l’article 1er, et pour les seules données strictement pertinentes.

Article 3

Durées de conservation :
Conformément à l’article 6-5° de la loi du 6 janvier 1978 modifiée, des données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l’accomplissement de la finalité pour laquelle elles ont été collectées.
Les données à caractère personnel collectées pour les finalités visées à l’article 1er de la présente norme simplifiée et les pièces justificatives y afférentes ne doivent ainsi pas être conservées, en base active, au-delà de la durée de :

  • la scolarisation de l’élève dans une école de la commune ;
  • l’année scolaire pour le contrôle de l’obligation légale de scolarisation ;
  • l’inscription de l’enfant à une activité périscolaire, extrascolaire, à la restauration scolaire ou extrascolaire, à un transport scolaire ;
  • l’inscription de l’enfant dans un établissement ou service d’accueil des enfants de moins de six ans ;
  • l’instruction du dossier pour les préinscriptions à une structure ou une activité à laquelle il n’a pas été donné suite ;
  • ou, pour les services payants, de celle nécessaire au recouvrement des sommes dues.

A l’issue de cette durée, peuvent seules être conservées au sein d’une base d’archives intermédiaires, dans le respect de la réglementation applicable notamment en matière de sécurité des données à caractère personnel et de gestion des archives, les données strictement pertinentes au regard d’une ou plusieurs des finalités suivantes :

  • probatoire, en cas de contentieux, les données pouvant être conservées tant que les délais d’exercice des voies de recours ordinaires et extraordinaires ne sont pas épuisés ;
  • probatoire, en cas de contrôle par des organismes habilités du respect, par le responsable de traitement, de ses obligations,
  • réouverture et remise à jour du dossier d’un usager, sans qu’une telle conservation ne puisse excéder une durée de douze mois.

Les données ainsi archivées ne peuvent être consultées que de manière ponctuelle et motivée, par les personnels individuellement et dûment habilités.
A l’expiration de ces périodes, les données sont supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d’archivage des informations du secteur public.

Article 4

Destinataires des informations :
Les données collectées ne peuvent être traitées ultérieurement de manière incompatible avec les finalités du traitement, en application de l’article 6-2° de la loi du 6 janvier 1978 modifiée.
Le responsable de traitement doit donc veiller à ce que les destinataires habilités accèdent aux seules données adéquates, pertinentes et non excessives au regard des finalités nécessitant la communication de ces données.
Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données traitées :

  1. En ce qui concerne l’inscription et la gestion de la scolarisation des enfants :
  • le maire, les élus ayant reçu une délégation en ce sens et les agents municipaux en charge des affaires scolaires ou de services disposant de compétences déléguées en la matière de la commune de résidence de l’enfant et de la commune où est scolarisé l’enfant, si celle-ci diffère de la première ;
  • les directeurs d’établissement scolaire pour ce qui concerne les élèves affectés dans leur établissement ;
  • l’inspecteur de l’éducation nationale (IEN) 1er degré chargé de circonscription, pour ce qui concerne les seuls élèves scolarisés dans la circonscription dont il a la charge ;
  • le recteur d’académie ou le directeur académique des services de l’éducation nationale (DASEN) agissant sur délégation du recteur ;
  • le président du conseil départemental ou les agents disposant de compétences déléguées en la matière, dans le seul cadre de sa mission d’organisation des consultations et des actions de prévention médico-sociale en faveur des enfants de moins de six ans ainsi que l’établissement d’un bilan de santé pour les enfants âgés de trois à quatre ans, notamment en école maternelle, au sens de l’article L. 2112-2 du code de la santé publique ;
  1. En ce qui concerne le contrôle de l’obligation scolaire :
  • les conseillers municipaux ;
  • les délégués départementaux de l’éducation nationale ;
  • les assistants de service social ;
  • les membres de l’enseignement ;
  • les agents de l’autorité compétente de l’Etat en matière d’éducation au sens des articles L. 131-5 à L. 131-10 du code de l’éducation ;
  • l’inspecteur d’académie, directeur des services départementaux de l’éducation nationale ou son délégué ;
  1. En ce qui concerne l’inscription et la gestion des services autres que la scolarisation :
  • les personnels du responsable de traitement, dans la limite de leurs attributions respectives ;
  • les personnels des prestataires de services ou associations auxquels le responsable de traitement peut faire appel pour organiser et gérer ces services ;
  • spécifiquement pour les services d’accueil de la petite enfance, les personnels de direction de ces structures et les professionnels de santé attachés à l’établissement, pour ce qui concerne l’état vaccinal et les données de santé relatifs à l’enfant ;
  1. En ce qui concerne la facturation des différents services payants :
  • les personnels des organismes concernés chargés des opérations administratives et comptables ;
  • les services du comptable public ou des établissements bancaires financiers ou postaux concernés par les opérations de mise en recouvrement ;
  • les services de l’Etat habilités à exercer un contrôle en la matière ;
  • les officiers publics ou ministériels ;
  1. En ce qui concerne l’ensemble des finalités prévues par la présente norme simplifiée, les caisses d’allocations familiales (CAF) et la CNAF, à des seules fins statistiques ou de recherche scientifique.

Article 5

Droits des personnes :
Conformément à l’article 32 de la loi du 6 janvier 1978 modifiée, les représentants légaux des enfants concernés par les services visés à l’article 2 doivent être informés, préalablement à la mise en œuvre du traitement, de l’identité du responsable de traitement ou de son représentant, de la finalité poursuivie par le traitement, du caractère obligatoire ou facultatif de chaque donnée, des destinataires ou catégories de destinataires des données, de l’existence et des modalités d’exercice des droits d’opposition pour motif légitime, d’accès aux données les concernant et de rectification.
Cette information peut être délivrée par des mentions figurant sur les formulaires de recueil des données ou par tout autre moyen que le responsable de traitement jugerait plus adapté.
Les droits d’opposition pour motif légitime, d’accès et de rectification définis au chapitre V de la loi du 6 janvier 1978 modifiée s’exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.

Article 6

Politique de confidentialité, de sécurité et de traçabilité :
Le responsable du traitement doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel visées à l’article 3 et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Pour atteindre cet objectif, le responsable de traitement peut en particulier réaliser une étude d’impact sur la vie privée permettant de définir les mesures les plus adaptées au contexte en présence.
Les accès individuels aux données doivent s’effectuer par un identifiant et un mot de passe spécifiques à chaque personne, respectant les recommandations de la commission et régulièrement renouvelé, ou par tout autre moyen d’accès garantissant au moins le même niveau de sécurité.
Une politique de gestion des habilitations, régulièrement mise à jour, doit être mise en œuvre pour garantir que les personnes habilitées n’ont accès qu’aux seules données effectivement nécessaires à la réalisation de leurs missions. En ce sens, le responsable de traitement doit définir, formaliser et gérer une procédure permettant de garantir la bonne mise à jour des habilitations.
Toute transmission de données à caractère personnel via un canal de communication non sécurisé, par exemple internet, doit s’accompagner de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu’un chiffrement des données. Les moyens utilisés doivent être conformes à l’état de l’art et, le cas échéant, respecter les recommandations de la commission.
Les accès à l’application doivent faire l’objet d’une traçabilité, dont l’intégrité est assurée, afin de permettre la détection d’éventuelles tentatives d’accès frauduleux ou illégitimes, en incluant un horodatage, l’identifiant de l’utilisateur ainsi que l’identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois et faire l’objet d’une revue régulière visant à identifier tout incident de sécurité.
L’usage d’outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d’un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
En cas de recours aux services d’un sous-traitant, que ce dernier ne peut agir que sur instruction du responsable de traitement, lequel n’est pas dispensé de son obligation de veiller au respect des mesures de sécurité qui lui sont imposées par l’article 34 de la loi du 6 janvier 1978 modifiée. Le sous-traitant doit par ailleurs présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et le contrat établi entre les parties doit comporter l’indication des obligations incombant au sous-traitant en matière de sécurité des données à caractère personnel.
La commission rappelle enfin que l’obligation de garantir la sécurité des données à caractère personnel nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Article 7

Formalités préalables :
La mise en œuvre des traitements mentionnés aux articles 1er et 2 est subordonnée à l’envoi préalable à la Commission nationale de l’informatique et des libertés, en application du dernier alinéa de l’article 24-I de la loi du 6 janvier 1978 susvisée, d’une déclaration faisant référence à la présente norme simplifiée. Cette déclaration dite de « conformité à une norme simplifiée » peut s’effectuer par téléprocédure sur le site internet de la CNIL.
Toutefois, cette déclaration ne couvre pas la mise en œuvre de téléservices de l’administration électronique liés aux traitements mentionnés à l’article 1er, qui restent soumis à l’accomplissement des formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 susvisée.
Les traitements dont les finalités sont celles définies à l’article 1er mais qui ne sont pas conformes aux dispositions de la présente délibération doivent faire l’objet d’une déclaration normale, d’une inscription à la liste des traitements établie par le correspondant à la protection des données à caractère personnel (CIL), si l’organisme en dispose d’un, ou, le cas échéant, d’une demande d’autorisation.

Article 8

Abrogation :
La délibération n° 85-02 du 15 janvier 1985 modifiée relative aux traitements automatisés d’information nominative mis en œuvre par les communes, concernant la gestion des élèves inscrits dans les écoles maternelles et élémentaires et la délibération n° 91-038 du 28 mai 1991 concernant les traitements automatisés d’informations nominatives relatifs aux différents services offerts par les collectivités territoriales sont abrogées.

Article 9

Publication :
La présente délibération sera publiée au Journal officiel de la République française.

La présidente,
I. Falque-Pierrotin
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x
Scroll to Top