“J'ai demandé à mon inspecteur, il m’a interdit d’utiliser cet outil en classe” ➡ quand autorité hiérarchique et compétence RGPD se croisent, un thread #MythesRGPD dans l'#enseignement. Image
Dans l’éducation nationale, il est généralement admis qu’une consigne émise par un supérieur hiérarchique a valeur d’ordre, surtout lorsqu’il s’agit d’une réponse à une question précise (au hasard, “ai-je le droit d’utiliser cet outil numérique en classe” ?).
Ainsi, un avis négatif d’un IEN ou IPR sur l’opportunité d’utiliser tel ou tel outil peut être pris comme une interdiction formelle autant que hiérarchique. Si cette posture peut être légitime sur certains sujets, il en va tout autrement lorsqu’il est question de DCP et RGPD.
Car (sauf délégation), il n'est pas dans les prérogatives d'un inspecteur d'évaluer la conformité de traitements liés à un outil : sur ce point, le RGPD est clair, seul le responsable de traitements est habilité à prendre une décision de conformité, contraignante pour les agents.
Article 4.7 du RGPD : le RT est celui qui “définit les moyens et les finalités d’un traitement”. Lui seul possède un pouvoir de décision quant aux traitements réalisés par et pour sa structure (ici, l’académie ou l’EPLE), et la représente devant la loi. cnil.fr/fr/definition/…
C’est la raison pour laquelle seuls le recteur (avec délég. au DASEN pour le 1e degré) et le chef d’EPLE (pour le 2nd degré), en tant que représentants de leurs structures, peuvent prononcer des décisions de conformité, valant autorisation pour les agents sous leur autorité.
Ces décisions sont normalement consignées dans le registre des traitements : obligatoire depuis mai 2018 pour toute structure (non-tenue = délit lourdement sanctionné), il est en principe consultable sur simple demande adressée au responsable de traitement (ou au DPD, souvent).
Ainsi, lorsque l’on souhaite savoir si le recours à tel ou tel outil numérique est permis dans le cadre de sa pratique pédagogique, il apparaîtra plus pertinent (et rapide) de privilégier la consultation de ce document à la sollicitation d’un inspecteur ou conseiller local.
Mais si le RGPD prévoit que des décisions de validation puissent être rendues, il n’en va pas de même pour d’éventuelles interdictions. Car en réalité, celles-ci n’ont pas lieu d’être: soit le traitement est inscrit au registre (autorisé), soit il ne l’est pas (de fait interdit).
Concernant les traitements de DCP, seuls ceux explicitement autorisés (et documentés) par le RT sont réputés conformes, et donc permis en établissement. A défaut d’autorisation, l’absence d’interdiction ne vaut pas accord tacite : le registre, rien que le registre... Image
👉 Ainsi, une décision d’interdiction telle qu’exprimée en début de fil est en réalité sans objet. Tout agent peut vérifier par lui-même si le traitement est inscrit au registre, et s’il ne l’est pas, adresser directement une demande d’examen à son RT pour analyse et avis.
#addendum pour être précis : l’inspecteur ne peut pas « interdire »; tout au plus se fait-il le relais d’une absence d’autorisation décidée à un autre niveau hiérarchique (local pour l’EPLE, académique pour une école).

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Monsieur Relou

Monsieur Relou Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @MonsieurRelou

Jun 7
#Privacy et #edtech, autre réflexion parfois entendue : "face aux appétits du secteur privé, il faudrait que les états développent leurs propres outils..." ➡ pourquoi ce n'est pas forcément une bonne idée, fil n°2️⃣. Image
Déjà, parce que de tels outils existent déjà : le rapport d'@hrw nous en donne un aperçu global, avec 42 états proposant leurs propres outils, développés à des fins de #ContinuitéPédagogique pendant les mois de COVID-19 et les confinements successifs. hrw.org/report/2022/05…
Sur ces 42 gvts, 39 ont développé (et prescrit !) des outils intégrant des dispositifs de suivi publicitaire. Pourquoi de telles pratiques ? Le rapport ne donne pas de réponse, mais il est possible (et nécessaire !) de s'interroger... à quelles fins ? Pour quel gain ?
Read 9 tweets
Feb 4, 2021
“Les pseudos permettent de protéger efficacement les données des élèves dans les activités d’#enseignement” ➡ nécessité, obligation ou... pipeau ? Un thread #MythesRGPD. Image
La pseudonymisation : de bon sens, faisant écho à un geste-réflexe préconisé en cours d’EMI, cette pratique trouve souvent un écho dans les publications institutionnelles d’accompagnement à la mise en œuvre du RGPD, et semble faire consensus parmi la communauté éducative.
Car après tout, on en trouve mention dans le RGPD (cons. 28 et 29, art. 32.1.a), au chapitre des mesures de sécurité possibles afin de protéger les DCP qu’un responsable aura la charge de traiter. Qui dit mieux ? privacy-regulation.eu/fr/32.htm
Read 18 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(