Skip to Content
RGPDPartie 15 — RGPD dans l'enseignement & la formation15.1 — Paysage EdTech & responsabilités

Chapitre 15.1 — Paysage EdTech & responsabilités

⏱️ TL;DR — Dans l’éducation, la règle d’or est simple : l’établissement (école, collège, lycée, université, organisme de formation) est le responsable de traitement des données de ses apprenants ; l’éditeur de l’outil numérique (toi, FormaCampus) est sous-traitant. Autre surprise pour beaucoup : dans l’enseignement public, la base légale du cœur de la scolarité n’est pas le consentement mais la mission d’intérêt public (art. 6.1.e) ou l’obligation légale (art. 6.1.c). Comprendre cette double structure — qui est responsable, sur quelle base — évite 90 % des erreurs quand on construit ou qu’on vend un produit EdTech.

🎯 Objectifs

  • Placer chaque acteur (établissement, académie, ministère, éditeur, hébergeur) dans la chaîne RT / ST.
  • Comprendre pourquoi l’éditeur EdTech est presque toujours sous-traitant.
  • Choisir la base légale adaptée au public (mission d’intérêt public, obligation légale) et au privé.
  • Savoir où le consentement intervient vraiment (l’optionnel, pas le cœur de la scolarité).

Qui est responsable de quoi

Reprenons la grille de la Partie 3 et appliquons-la à l’éducation. Le responsable de traitement est celui qui décide pourquoi et comment on traite les données. Dans l’enseignement, c’est l’établissement — représenté par son chef d’établissement (directeur d’école, principal, proviseur) ou, pour un organisme de formation, son dirigeant. C’est lui qui inscrit les élèves, gère la scolarité, décide des outils.

L’éditeur du logiciel (une plateforme LMS, un outil de vie scolaire, une app de quiz) traite ces données pour le compte de l’établissement, sur la base de ses instructions et d’un contrat : il est sous-traitant (art. 28). Il ne décide pas des finalités — il fournit l’outil.

Quelques cas particuliers utiles :

  • Traitements nationaux (ex. les grands systèmes de gestion de l’Éducation nationale, les annuaires fédérateurs) : c’est le ministère ou l’académie qui est responsable, pas l’école isolée.
  • Responsabilité conjointe (art. 26) : possible quand une collectivité et un établissement décident ensemble d’un dispositif — mais c’est l’exception, à documenter.
  • L’éditeur devient responsable s’il réutilise les données pour son propre compte (améliorer son produit avec les données des élèves sans cadre, faire de la pub) : là, il sort de la sous-traitance et engage sa pleine responsabilité. À éviter absolument.

⚠️ Piège — Croire que « puisque c’est mon logiciel et mon serveur, je suis responsable des données ». Non : dans une relation EdTech, les données appartiennent au traitement de l’établissement, tu n’es que le sous-traitant qui les héberge et les traite sur instruction. Inverser les rôles mène à signer les mauvais contrats et à répondre aux demandes de droits que tu devrais rediriger vers l’établissement.

La base légale : oublie le consentement (dans le public)

C’est le contresens le plus fréquent en EdTech. On croit qu’il faut le consentement des parents pour tout. En réalité, pour le cœur de la scolarité dans l’enseignement public, la base légale est :

  • la mission d’intérêt public (art. 6.1.e) — l’établissement exerce une mission de service public de l’éducation ;
  • ou l’obligation légale (art. 6.1.c) — tenir un livret scolaire, transmettre des données à l’administration.

Pourquoi pas le consentement ? Parce qu’un consentement doit être libre et révocable : un parent ne peut pas « refuser » que l’école note son enfant ou tienne un registre d’absences — la scolarité n’est pas optionnelle. Demander un consentement qu’on ne pourra pas respecter serait trompeur (revois le Mythe 3 et la Partie 4).

Le consentement reste nécessaire, mais seulement pour l’optionnel :

TraitementBase légale typique
Notes, absences, livret scolaireMission d’intérêt public / obligation légale
Inscription, gestion du compteMission d’intérêt public (public) ou contrat (privé)
Publication d’une photo de l’élève sur le site/réseauxConsentement (des parents si mineur de moins de 15 ans)
Activité extra-scolaire facultative, newsletterConsentement
Formation privée (organisme de formation)Contrat (+ obligation légale pour l’émargement)

💡 Réflexe — En EdTech, pose-toi d’abord : « Ce traitement fait-il partie du cœur de la mission éducative, ou est-il optionnel ? » Cœur → mission d’intérêt public / obligation légale / contrat. Optionnel → consentement. Tu éviteras la « case à cocher » là où elle n’a pas lieu d’être, et tu la mettras là où elle compte vraiment (photos, options).

🔒 Côté personne concernée — Pour un parent, ce distinguo est protecteur : il ne peut pas s’opposer à ce que l’école scolarise et évalue son enfant (c’est la mission publique), mais il garde un vrai pouvoir de dire non là où ça compte pour la vie privée — la diffusion d’une photo, l’inscription à un service tiers, l’usage d’un outil non essentiel. Bien poser les bases légales, c’est lui rendre un consentement qui a du sens au lieu d’un clic de façade.

📚 Le texte — Bases légales : art. 6.1 du RGPD (c : obligation légale, e : mission d’intérêt public, a : consentement, b : contrat). La CNIL publie un dossier « RGPD et écoles » et des fiches pour les établissements, qui confirment ce raisonnement.

L’éditeur, entre sous-traitance et exemplarité

Être sous-traitant ne veut pas dire « sans obligations ». En EdTech, l’éditeur porte des responsabilités propres (art. 28) et un devoir d’exemplarité, parce que ses clients (les établissements) sont eux-mêmes tenus de ne choisir que des prestataires offrant des garanties suffisantes. Concrètement, un bon éditeur EdTech :

  • fournit un contrat de sous-traitance (DPA) clair et signable ;
  • héberge dans l’UE (ou encadre rigoureusement les transferts — Partie 13) ;
  • minimise les données et cloisonne les accès (un enseignant ne voit que ses classes) ;
  • aide l’établissement à répondre aux demandes de droits et à notifier les violations ;
  • ne réutilise jamais les données des élèves pour son propre compte.

C’est ce qui fait gagner (ou perdre) un appel d’offres public. La conformité n’est pas ici un centre de coût : c’est l’argument commercial numéro un.

✏️ Exercices

Exercice 1 — Qui est responsable ? Un collège utilise « FormaCampus » pour héberger ses cours et suivre les résultats. Un parent écrit à FormaCampus pour demander l’effacement des données de son enfant. Qui est responsable, et que doit faire FormaCampus ?

✅ Solution

Le collège est le responsable de traitement ; FormaCampus est sous-traitant. FormaCampus ne doit pas traiter la demande lui-même : il la transmet (ou la redirige) au collège, qui décide, et assiste techniquement le collège pour exécuter l’effacement (art. 28). Répondre directement à la place du responsable serait une faute — le sous-traitant agit sur instruction, il n’est pas l’interlocuteur des droits.

Exercice 2 — Quelle base légale ? Pour chacun, donne la base : (a) enregistrer les notes des élèves ; (b) publier la photo de la chorale sur le site de l’école ; (c) une entreprise privée inscrit ses salariés à une formation payante.

✅ Solution

(a) Mission d’intérêt public (art. 6.1.e) — voire obligation légale pour le livret scolaire ; surtout pas le consentement. (b) Consentement (art. 6.1.a) des parents pour les mineurs de moins de 15 ans — c’est optionnel et touche l’image. (c) Contrat (art. 6.1.b) entre l’organisme et l’entreprise/le stagiaire, complété par l’obligation légale pour les feuilles d’émargement. Le fil conducteur : cœur de mission → pas de consentement ; optionnel/image → consentement.

🧠 Quiz de révision

1. Dans une relation EdTech, qui est responsable de traitement et qui est sous-traitant ?

L’établissement (école, université, organisme de formation) est responsable ; l’éditeur du logiciel est sous-traitant (art. 28), car il traite les données pour le compte et sur instruction de l’établissement, sans décider des finalités.

2. Pourquoi le consentement n’est-il pas la base du cœur de la scolarité publique ?

Parce qu’un consentement doit être libre et révocable, or la scolarité (notes, absences, livret) n’est pas optionnelle : un parent ne peut pas la refuser. La base est la mission d’intérêt public (art. 6.1.e) ou l’obligation légale (art. 6.1.c). Le consentement est réservé à l’optionnel (photos, services facultatifs).

3. Quand un éditeur EdTech devient-il responsable de traitement ?

Quand il réutilise les données des élèves pour son propre compte (améliorer son produit hors cadre, publicité, entraînement d’un modèle sans base). Il sort alors de la sous-traitance et engage sa pleine responsabilité — ce qu’il faut éviter.

4. À qui un sous-traitant doit-il transmettre une demande de droit reçue d’un parent ?

Au responsable de traitement (l’établissement), qu’il assiste ensuite techniquement. Le sous-traitant ne répond pas à la place du responsable ; il agit sur instruction (art. 28).

5. Cite deux garanties qu’un bon éditeur EdTech apporte à ses établissements clients.

Par exemple : un DPA clair, un hébergement UE (ou des transferts encadrés), la minimisation et le cloisonnement des accès, l’aide aux demandes de droits et aux notifications de violation, et l’engagement de ne jamais réutiliser les données pour son compte. Ces garanties sont exigées par l’art. 28.1 et décident souvent des appels d’offres.


Chapitre suivant : Données des élèves & mineurs — scolarité, photos, aménagements de handicap et autorité parentale : ce qu’on peut traiter, et avec quelles précautions.

Last updated on