“J'ai demandé à mon inspecteur, il m’a interdit d’utiliser cet outil en classe” ➡ quand autorité hiérarchique et compétence RGPD se croisent, un thread #MythesRGPD dans l'#enseignement.
Dans l’éducation nationale, il est généralement admis qu’une consigne émise par un supérieur hiérarchique a valeur d’ordre, surtout lorsqu’il s’agit d’une réponse à une question précise (au hasard, “ai-je le droit d’utiliser cet outil numérique en classe” ?).
Ainsi, un avis négatif d’un IEN ou IPR sur l’opportunité d’utiliser tel ou tel outil peut être pris comme une interdiction formelle autant que hiérarchique. Si cette posture peut être légitime sur certains sujets, il en va tout autrement lorsqu’il est question de DCP et RGPD.
Car (sauf délégation), il n'est pas dans les prérogatives d'un inspecteur d'évaluer la conformité de traitements liés à un outil : sur ce point, le RGPD est clair, seul le responsable de traitements est habilité à prendre une décision de conformité, contraignante pour les agents.
Article 4.7 du RGPD : le RT est celui qui “définit les moyens et les finalités d’un traitement”. Lui seul possède un pouvoir de décision quant aux traitements réalisés par et pour sa structure (ici, l’académie ou l’EPLE), et la représente devant la loi. cnil.fr/fr/definition/…
C’est la raison pour laquelle seuls le recteur (avec délég. au DASEN pour le 1e degré) et le chef d’EPLE (pour le 2nd degré), en tant que représentants de leurs structures, peuvent prononcer des décisions de conformité, valant autorisation pour les agents sous leur autorité.
Ces décisions sont normalement consignées dans le registre des traitements : obligatoire depuis mai 2018 pour toute structure (non-tenue = délit lourdement sanctionné), il est en principe consultable sur simple demande adressée au responsable de traitement (ou au DPD, souvent).
Ainsi, lorsque l’on souhaite savoir si le recours à tel ou tel outil numérique est permis dans le cadre de sa pratique pédagogique, il apparaîtra plus pertinent (et rapide) de privilégier la consultation de ce document à la sollicitation d’un inspecteur ou conseiller local.
Mais si le RGPD prévoit que des décisions de validation puissent être rendues, il n’en va pas de même pour d’éventuelles interdictions. Car en réalité, celles-ci n’ont pas lieu d’être: soit le traitement est inscrit au registre (autorisé), soit il ne l’est pas (de fait interdit).
Concernant les traitements de DCP, seuls ceux explicitement autorisés (et documentés) par le RT sont réputés conformes, et donc permis en établissement. A défaut d’autorisation, l’absence d’interdiction ne vaut pas accord tacite : le registre, rien que le registre...
👉 Ainsi, une décision d’interdiction telle qu’exprimée en début de fil est en réalité sans objet. Tout agent peut vérifier par lui-même si le traitement est inscrit au registre, et s’il ne l’est pas, adresser directement une demande d’examen à son RT pour analyse et avis.
#addendum pour être précis : l’inspecteur ne peut pas « interdire »; tout au plus se fait-il le relais d’une absence d’autorisation décidée à un autre niveau hiérarchique (local pour l’EPLE, académique pour une école).
• • •
Missing some Tweet in this thread? You can try to
force a refresh
#Privacy et #edtech, autre réflexion parfois entendue : "face aux appétits du secteur privé, il faudrait que les états développent leurs propres outils..." ➡ pourquoi ce n'est pas forcément une bonne idée, fil n°2️⃣.
Déjà, parce que de tels outils existent déjà : le rapport d'@hrw nous en donne un aperçu global, avec 42 états proposant leurs propres outils, développés à des fins de #ContinuitéPédagogique pendant les mois de COVID-19 et les confinements successifs. hrw.org/report/2022/05…
Sur ces 42 gvts, 39 ont développé (et prescrit !) des outils intégrant des dispositifs de suivi publicitaire. Pourquoi de telles pratiques ? Le rapport ne donne pas de réponse, mais il est possible (et nécessaire !) de s'interroger... à quelles fins ? Pour quel gain ?
“Les pseudos permettent de protéger efficacement les données des élèves dans les activités d’#enseignement” ➡ nécessité, obligation ou... pipeau ? Un thread #MythesRGPD.
La pseudonymisation : de bon sens, faisant écho à un geste-réflexe préconisé en cours d’EMI, cette pratique trouve souvent un écho dans les publications institutionnelles d’accompagnement à la mise en œuvre du RGPD, et semble faire consensus parmi la communauté éducative.
Car après tout, on en trouve mention dans le RGPD (cons. 28 et 29, art. 32.1.a), au chapitre des mesures de sécurité possibles afin de protéger les DCP qu’un responsable aura la charge de traiter. Qui dit mieux ? privacy-regulation.eu/fr/32.htm