Applicable depuis quelques mois, le texte européen est devenu incontournable notamment pour les entreprises mais aussi pour les universités et écoles, grandes productrices et consommatrices de données que ce soit au titre des enseignements, des activités pédagogiques mais aussi en termes de recherche.
Tous ces établissements ont ainsi nommé un Délégué à la protection des données à caractère personnel qui a pour mission d’identifier tous les traitements de données à caractère personnel et de les documenter à travers la tenue d’un registre. Comment l’école doit-elle traiter les connexions de son personnel hors ses murs ? Quelles sont les conséquences du texte pour les enseignants et les chercheurs ?
Quelle responsabilité en cas de connexion aux ressources de l’entreprise via une interface de navigation personnelle ?
Les obligations imposées par le RGPD déferlent comme un tsunami dans cet environnement qui doit désormais s’accommoder de nouvelles responsabilités tout au long du cycle de vie des données : collecte, stockage, traitement et suppression. En effet, c’est bien l’école (responsable de traitement au sens du RGPD) c’est-à-dire l’employeur des enseignants et des chercheurs qui se trouve en première ligne et qui doit garantir le respect de ces obligations.
L’utilisation de leurs interfaces de navigation personnelles par les salariés – smartphone, tablette, ordinateur personnel, pratique du BYOD (bring your own device) – engagera aussi la responsabilité de l’employeur s’il l’a autorisée pour accéder aux ressources informatiques de l’entreprise (CNIL, BYOD : quelles sont les bonnes pratiques ?). Quoi de plus naturel : les données ne sont-elles pas un actif de l’entreprise ?
Or, le salarié travaillant de son domicile ou en mobilité lors d’un déplacement avec son matériel personnel ouvre potentiellement des brèches de sécurité liées aux plates-formes de partage des fichiers qu’il utilise ou tout simplement à cause de l’absence de mise à jour de ses antivirus. L’établissement d’enseignement a donc tout intérêt à clarifier dans sa politique de protection des données les modalités d’utilisation de ces interfaces personnelles afin de déterminer le partage des responsabilités en cas d’atteinte aux données à caractère personnel telles que : destruction, perte, altération ou divulgation non autorisée des données de manière accidentelle ou illicite.
Les notes d’examen et les annotations sont des données à caractère personnel.
Les notes d’examen, y compris des annotations portées sur les travaux des élèves (examen final), entrent dans le champ du RGPD. En effet, la Cour de Justice de l’Union européenne a jugé que les copies d’examens et les annotations des correcteurs constituaient des données à caractère personnel (Affaire Novak, C‑434/16, arrêt du 20 décembre 2017).
La vigilance doit rester de mise y compris lors du recrutement d’un enseignant à titre non permanent : l’établissement imposera que la transmission de ces éléments se fasse via l’adresse e-mail professionnelle, et non personnelle, de l’enseignant, ce qui devrait être le cas aussi pour les supports de cours, la communication avec les services de l’école et les étudiants.
Quid des activités de recherche ?
Les projets de recherche s’appuient sur une quantité importante de données à caractère personnel notamment vouées à alimenter des études quantitatives et qualitatives. Le scandale Cambridge Analytica, initialement basé sur un projet de recherche, fournit l’exemple parfait des risques encourus en cas de non-respect du cadre légal. Si un doctorant cherche à vérifier l’existence d’un lien entre le niveau de testostérone d’un individu et sa propension au risque, devra-t-il se plier aux exigences du RGPD ? Faudra-t-il recueillir le consentement explicite de toutes les personnes dont il saisit les données ? Ces données peuvent-elles ensuite être partagées au sein d’une équipe de recherche de l’université, voire dans un projet interinstitutionnel ou stockées en dehors de l’Union européenne ? Que fera ce chercheur si des participants à son étude lui réclament l’effacement de leurs données ?
Le RGPD prévoit que le traitement des données à caractère personnel dans ce contexte doit s’accompagner de garanties appropriées pour les droits et libertés de personnes, en particulier : la minimisation de la collecte et la pseudonymisation des données (art.89). Les Etats membres peuvent ensuite prévoir des dérogations à certaines dispositions du RGPD pour introduire la souplesse nécessaire à la réalisation des actions de recherche : il s’agit justement des articles relatifs au droit d’accès, de rectification, de limitation du traitement et au droit d’opposition reconnus au sujet des données (art. 15, 16, 18 et 21 du RGPD).
La Loi informatique et libertés n° 2018-493 du 20 juin 2018 dispose par exemple que les données à caractère personnel peuvent être conservées au-delà de la durée prévue en vue d’être traitées à des fins de recherche scientifique ou à des fins statistiques (art.36). Pour les droits des sujets susvisés, c’est le décret en Conseil d’État (n° 2018-687 du 1er août 2018), pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés (Délibération n° 2018-284 du 21 juin 2018), qui est applicable.
Le texte réaffirme que les dérogations ne produisent d’effet que dans les cas où les droits des sujets des données risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques de l’activité de recherche et où de telles dérogations seraient nécessaires pour atteindre ces finalités (art.100-1). La seule restriction issue de la délibération de la CNIL est l’obligation d’anonymiser les données issues de ces traitements au stade de leur éventuelle diffusion.