Skip to Content
RGPDPartie 15 — RGPD dans l'enseignement & la formation15.2 — Données des élèves & mineurs

Chapitre 15.2 — Données des élèves & mineurs

⏱️ TL;DR — Les données scolaires sont massives et sensibles par nature : identité, notes, absences, orientation, comportement, photos, et parfois des aménagements de handicap qui sont des données de santé (art. 9). S’y ajoutent deux contraintes propres à l’éducation : on traite des mineurs (donc l’autorité parentale entre en jeu, et le seuil des 15 ans en France) et on doit cloisonner finement les accès (un professeur d’EPS n’a pas à voir le suivi psychologique d’un élève). Ce chapitre te donne la carte de ces données et les précautions concrètes.

🎯 Objectifs

  • Cartographier les catégories de données d’un élève et repérer les sensibles.
  • Appliquer les règles propres aux mineurs (15 ans, autorité parentale).
  • Traiter correctement les photos (image + RGPD) et les aménagements (santé).
  • Poser des durées de conservation et un cloisonnement adaptés à l’école.

La cartographie des données d’un élève

Un dossier élève est un condensé de presque toutes les catégories du RGPD :

CatégorieExemplesSensible ?
Identité & contactnom, date de naissance, adresse, responsables légauxNon (mais mineurs)
Scolariténotes, bulletins, absences, retards, orientationNon, mais à fort impact
Vie scolairesanctions, comportement, incidentsNon, mais très délicat
AménagementsPAP, PPS, PAI, tiers-temps, dossier MDPHOui — santé (art. 9)
Restaurationrégime alimentaire, allergiesPotentiellement sensible par déduction (santé, religion)
Imagephotos, vidéos de classe, travaux publiésNon, mais droit à l’image
Connexionidentifiants, journaux d’accès à l’ENTNon (mais données perso)

Deux enseignements : d’abord, tout ça est personnel et mérite finalité + durée + sécurité ; ensuite, certaines lignes basculent en catégories particulières (art. 9) et exigent une protection renforcée (revois la Partie 5).

⚠️ Piège — Le champ « commentaire » ou « notes libres » fourre-tout. C’est là que finissent, en clair et visibles par tous, un « suit un traitement pour TDAH », un « parents en instance de divorce », une « allergie sévère ». Ces mentions sont des données sensibles ou très délicates : elles ne doivent jamais vivre dans un champ texte non cloisonné. Prévois des zones dédiées, à accès restreint, ou ne les collecte pas.

Les mineurs : autorité parentale et seuil des 15 ans

En France, l’âge du consentement numérique est fixé à 15 ans (loi Informatique et Libertés, sur la base de l’art. 8 du RGPD). Concrètement, pour les traitements fondés sur le consentement :

  • moins de 15 ans : le consentement est donné (ou co-signé) par un titulaire de l’autorité parentale, avec un effort raisonnable de vérification ;
  • 15 ans et plus : le mineur peut consentir seul pour les services en ligne courants.

Attention : ce seuil concerne la base consentement. Pour le cœur de la scolarité (fondé sur la mission d’intérêt public), on ne demande pas le consentement — mais l’information doit être adaptée et accessible aux parents comme à l’élève.

🔒 Côté personne concernée — Les deux parents titulaires de l’autorité parentale ont, en principe, les mêmes droits d’accès et d’information sur les données de l’enfant — y compris en cas de séparation, sauf décision de justice contraire. Un produit EdTech doit donc gérer proprement le cas de deux responsables légaux (et ne pas supposer un seul « compte parent »). C’est un détail de modélisation qui a de vraies conséquences humaines.

Les photos : image ET données personnelles

Publier la photo d’un élève cumule deux régimes : le droit à l’image (droit civil) et le RGPD (une photo identifiante est une donnée personnelle). Pour un mineur, il faut le consentement écrit des titulaires de l’autorité parentale, spécifique au support et à la durée (le site de l’école n’est pas le compte Instagram). Ce consentement est révocable, et l’usage doit s’arrêter s’il est retiré.

💡 Réflexe — Sépare toujours trois autorisations distinctes : (1) photo pour un usage interne (trombinoscope de classe), (2) photo pour le site de l’établissement, (3) photo pour les réseaux sociaux. Un parent peut dire oui à l’une et non aux autres. Un formulaire « j’autorise toutes les photos partout, pour toujours » n’est pas un consentement valide.

Aménagements de handicap : des données de santé

Les dispositifs d’accompagnement — PAP (plan d’accompagnement personnalisé), PPS (projet personnalisé de scolarisation), PAI (projet d’accueil individualisé), tiers-temps, dossier MDPH — révèlent l’état de santé de l’élève. Ce sont des données de catégorie particulière (art. 9), donc :

  • accès strictement limité aux personnes qui en ont besoin (pas toute l’équipe pédagogique) ;
  • cloisonnement technique (une table/section dédiée, chiffrée, journalisée) ;
  • base légale spécifique (souvent une mission d’intérêt public dans le domaine de l’éducation, encadrée) ;
  • jamais dans un champ commentaire général.

C’est le point de rencontre avec l’accessibilité : bien gérer un aménagement, c’est à la fois du RGPD (protéger la donnée de santé) et de l’inclusion (permettre à l’élève de suivre). Le cours Accessibilité complète cette partie.

🧭 Sur FormaCampus — FormaCampus stockait au départ les aménagements dans le champ notes du profil élève, visible par tout enseignant rattaché à l’établissement. C’est une double faute : donnée de santé (art. 9) exposée, et absence de cloisonnement (art. 32). Le correctif : une table amenagements séparée, chiffrée, dont l’accès est réservé au référent handicap et à l’enseignant concerné, avec journalisation des consultations. On le code en Partie 14 et on le documente au registre.

Durées de conservation & cloisonnement

Deux réflexes structurent la conformité scolaire :

  • Durées : les données ne se gardent pas indéfiniment. Un dossier de vie scolaire a une durée d’utilité, puis passe en archivage ou est supprimé/anonymisé. Les durées précises dépendent de référentiels (Éducation nationale, obligations d’archives) — vérifie-les à la source, ne les invente pas ; mais le principe de purge doit être codé, pas espéré.
  • Cloisonnement : le principe du moindre privilège (Partie 9) est vital à l’école. Un enseignant voit ses classes, pas tout l’établissement ; le référent handicap voit les aménagements ; l’administration voit l’état civil. Une plateforme qui montre « tout à tout le monde » est non conforme, même bien intentionnée.

📚 Le texte — Données sensibles : art. 9 ; mineurs et âge du consentement : art. 8 du RGPD + loi Informatique et Libertés (15 ans en France). La CNIL fournit des fiches spécifiques « écoles » et « ENT » qui détaillent catégories, durées et destinataires.

✏️ Exercices

Exercice 1 — Range les données. Parmi : (a) la moyenne trimestrielle, (b) un PAI pour allergie sévère, (c) le régime « sans porc » à la cantine, (d) l’adresse des parents — lesquelles sont des données sensibles (art. 9) ou sensibles par déduction ?

✅ Solution

(b) Sensible — un PAI pour allergie révèle l’état de santé (art. 9). (c) Sensible par déduction — un régime alimentaire peut révéler une conviction religieuse ou un état de santé ; à traiter avec prudence et accès restreint. (a) et (d) sont des données personnelles mais non sensibles au sens de l’art. 9 (même si la moyenne reste à fort impact et mérite confidentialité). Le réflexe : se demander ce que la donnée révèle, pas seulement ce qu’elle dit littéralement.

Exercice 2 — Le consentement photo. Une école veut publier une vidéo de la kermesse sur sa page Facebook, avec des élèves de CM2 (10-11 ans) reconnaissables. Que faut-il ?

✅ Solution

Le consentement écrit des titulaires de l’autorité parentale (les élèves ont moins de 15 ans), spécifique au support réseaux sociaux et à la finalité, et révocable. Un accord donné pour le site de l’école ne vaut pas pour Facebook. Il faut aussi informer sur la durée et permettre le retrait (et alors retirer la vidéo). C’est du consentement (art. 6.1.a) cumulé au droit à l’image, distinct du cœur de la scolarité.

🧠 Quiz de révision

1. À partir de quel âge un mineur peut-il consentir seul à un service en ligne en France ?

15 ans (loi Informatique et Libertés, art. 8 du RGPD). En dessous, il faut le consentement d’un titulaire de l’autorité parentale, avec un effort raisonnable de vérification. Ce seuil concerne les traitements fondés sur le consentement, pas le cœur de la scolarité.

2. Un aménagement de type PAP/PPS/PAI est-il une donnée sensible ?

Oui : il révèle l’état de santé de l’élève (art. 9). Il exige un accès strictement limité, un cloisonnement technique, une base légale adaptée, et ne doit jamais figurer dans un champ commentaire général.

3. Pourquoi un champ « notes libres » est-il dangereux dans un logiciel scolaire ?

Parce qu’il finit par contenir des données sensibles ou très délicates (santé, situation familiale, religion) en clair et visibles par trop de monde. Il faut des zones dédiées à accès restreint, ou ne pas collecter ces informations.

4. Le consentement pour publier une photo d’élève doit être… ?

Écrit, spécifique (au support et à la finalité : interne / site / réseaux sociaux), donné par les titulaires de l’autorité parentale pour un mineur de moins de 15 ans, et révocable. Une autorisation globale « partout, pour toujours » n’est pas valide.

5. Qu’impose le principe de cloisonnement dans un établissement ?

Le moindre privilège : chacun n’accède qu’aux données nécessaires à son rôle (un enseignant à ses classes, le référent handicap aux aménagements, l’administration à l’état civil). Une plateforme qui expose tout à tous est non conforme (art. 32), même sans mauvaise intention.


Chapitre suivant : Outils de l’école (Workspace, ENT, Moodle) — pourquoi les suites américaines gratuites posent problème à l’école, et quelles alternatives existent.

Last updated on