Comment appliquer la protection des données dans le domaine éducatif ? Premières précisions pour les enseignants et les élèves

Olivier Coutor est chargé de mission juridique à la Commission nationale de l’informatique et des libertés (CNIL) – Direction des relations avec les publics.

La présence massive des mineurs sur Internet est un défi pour l’ensemble de la société, d’autant plus que leurs pratiques ne sont, la plupart du temps, pas encadrés et faiblement supervisées. Cette intensification des usages des jeunes se traduit par une précocité croissante, une augmentation de leur temps passé devant des écrans, une place grandissante occupée par les plateformes numériques, de réseaux sociaux et de partage de vidéos dans leur vie sociale et une diversification accrue des contenus auxquels ils accèdent, jusqu’aux plus dangereux.

Bien sûr, le monde numérique participe largement à l’ouverture des jeunes sur le monde. Il peut contribuer à leur éducation, à leur information, à leurs loisirs et au développement de leur personnalité. Il leur permet aussi de créer et de maintenir des relations familiales, amicales ou amoureuses. Ce sont là autant de raisons de leur offrir un environnement numérique répondant à leur désir d’autonomie et à leur besoin de protection.

Ce dont ils ont grand besoin. Car des mineurs sont régulièrement exposés sur Internet à des injures, au cyberharcèlement, à la haine, aux sollicitations provenant d’inconnus mal intentionnés, à des usurpations d’identité, à des actions de discrimination ou d’exclusion, à des contenus extrêmement choquants, notamment du fait de leur caractère violent et/ou sexuel, ou encore à des opérations de manipulation et/ou de désinformation.

Cette présence assidue des jeunes en ligne se traduit par une collecte, une diffusion et une circulation, toujours plus importantes, de données les concernant, notamment d’informations, de commentaires, de photos et de films qui dévoilent leur identité, leur situation personnelle, leur entourage, leurs centres d’intérêt, leurs habitudes de vie, quand ce n’est pas leur intimité.

Or, la réutilisation et le partage de ces données personnelles peuvent avoir de graves répercussions, en particulier sur leur intégrité physique et psychique, leur vie familiale, leur parcours scolaire, leur avenir socio-professionnel, etc. En définitive, ce qui est en jeu, c’est la possibilité pour les jeunes de garder une certaine maîtrise de leur vie privée et de leur image en ligne. C’est pourquoi les mineurs, citoyens de demain, doivent bénéficier d’une protection de leurs données qui soit facile à mettre en œuvre et efficace.

Ceci est d’autant plus nécessaire que, si une proportion non négligeable des mineurs se préoccupe de la protection de leur vie privée et de leur identité en ligne, ceux-ci ne prennent conscience que progressivement des conséquences de la diffusion et de la « marchandisation » de leurs données et des techniques utilisées pour capter leur l’attention ou les inciter à modifier leur comportement. Cette prise de conscience dépend largement, non seulement de leur âge, de leur milieu familial et socio-culturel, de leurs expériences, mais aussi des séances d’éducation aux médias, à l’information et au numérique dont ils ont bénéficié conformément au programme scolaire, mais aussi des messages de sensibilisation et des exemples de pratique numérique qui les ont marqués.

Pour faire face à ces défis, le droit à la protection des données pose quelques grands principes qui résultent du règlement général européen sur la protection des données (RGPD), complété par les règlements sur les marchés numériques (DMA) et sur les services numériques (DSA), et de la loi « Informatique et libertés » du 6 janvier 1978 [1] :

• Les enfants méritent une protection particulière parce qu’ils peuvent être moins conscients des risques et conséquences de leurs actes sur Internet, ainsi que de leurs droits en matière de protection des données. Cette protection doit tout particulièrement s’appliquer en cas de collecte de données associée à l’utilisation de services numériques et en cas d’utilisation de données à des fins de marketing ou pour la création de profils de personnalité ou d’utilisateur ;
• La prise en compte de « l’intérêt supérieur de l’enfant » doit être la considération primordiale, conformément à l’article 3.1 de la Convention des Nations Unies relative aux droits de l’enfant [2], tel qu’interprété par la Cour de justice de l’Union européenne ;
• La protection des données dès la conception des outils numériques et par défaut est particulièrement importante dans le cas des services en ligne proposés à des mineurs ou susceptibles d’être fréquentés par eux. Les mesures de protection doivent être intégrées dans l’architecture de ces services et prévoir par défaut des possibilités de choix pour les enfants ;
• Les mineurs de plus de 15 ans (en France) peuvent consentir seuls à un service fourni en ligne [3]. Avant cet âge, un consentement doit être donné à la fois par le mineur et par un titulaire de l’autorité parentale ;
• Des mentions d’information sur les usages des données et les droits des personnes doivent être spécialement destinées aux mineurs, dans un langage clair et simple, facilement compréhensible et selon des modalités qui leurs soient attractives ;
• Les publicités s’adressant aux mineurs sont interdites lorsqu’elles reposent sur le profilage et que la plateforme a connaissance, avec une certitude raisonnable, que la personne profilée est mineure (art. 28 du règlement sur les services numériques) ;
• Les mineurs disposent de droits essentiels sur leurs données personnelles :
  • le droit de connaître les données conservées à leur sujet par un organisme public ou privé ;
  • le droit d’obtenir la rectification ou la mise à jour de leurs données ;
  • le droit de ne pas consentir ou de s’opposer (pour des raisons tenant à sa situation particulière, sauf en matière de prospection où l’opposition n’a pas à être justifiée) à une bonne partie des traitements et transmissions non obligatoires de leurs données ;
  • le droit à leur effacement et le droit à leur déréférencement [4] (à moins que leur exercice ne porte atteinte au droit à l’information) ;
  • le droit d’obtenir le transfert de leurs données à un organisme tiers (ex. : une entreprise concurrente, un service ayant besoin de certaines données).

La CNIL est l’autorité en France chargée de veiller à l’application de la réglementation sur la protection des données personnelles. Elle s’efforce de remplir cette mission, notamment en faisant connaître ces droits numériques que les mineurs peuvent exercer directement grâce à l’intervention de leurs parents ‑ lorsque ceux-ci agissent pour le compte de leurs enfants -, mais aussi avec l’aide officieuse d’autres personnes de confiance de leur choix [5] (médiateurs, éducateurs, professeurs, travailleurs sociaux, acteurs du monde associatif, jeunes ambassadeurs du numérique mandatés à cet effet, etc.). À cette fin, elle a élaboré plusieurs types de ressources pédagogiques (vidéos, jeux, manga, fiches pratiques, posters), spécialement destinées, à ce jour, à la sensibilisation des écoliers de l’enseignement primaire et des collégiens.

Mais le plus important est que les élèves puissent, eux-mêmes, faire l’expérience d’un Internet sûr, c’est-à-dire de services numériques réellement sécurisés et respectant pleinement les règles du droit de la protection des données. Sinon, le cadre juridique court le risque d’être perçu comme un idéal sympathique mais sans portée réelle.

Les acteurs institutionnels peuvent contribuer à apporter aux jeunes la preuve de la volonté de la société de les aider à s’épanouir en ligne, dans un cadre sécurisé et respectueux de leurs droits et libertés.

La circulaire sur le recours à des suites collaboratives non européennes

Un exemple récent peut en être donné par le ministère de l’Éducation nationale, qui a publié le 28 février 2025 une circulaire sur l’utilisation des suites collaboratives en ligne non européennes dans les établissements scolaires. Le ministère exclut tout déploiement de telles suites collaboratives dans le domaine de l’éducation, qu’elles aient vocation à être utilisées à des fins pédagogiques ou dans le cadre du fonctionnement administratif des écoles et établissements publics.

Le ministère rappelle d’abord que des données d’une sensibilité particulière y sont traitées, dans la mesure où :

• les échanges entre l’équipe pédagogique et les familles peuvent mentionner des données de santé ou liées à un handicap ;
• « le contenu de ces échanges (dates d’absence d’un élève, devoirs écrits, audio ou vidéo, etc.) peuvent également indirectement inférer des situations relevant de données sensibles (…) : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques… » ;
• « les données relatives aux élèves, parce que ces derniers sont pour la plupart mineurs, relèvent de ce fait d’une sensibilité particulière ».

Le ministère explique ensuite que « l’École a vocation à permettre le développement de l’esprit critique et à former à l’utilisation responsable des outils, ressources et services numériques. Aussi, l’École doit nécessairement observer la plus grande neutralité vis-à-vis des suites collaboratives commerciales pour ne pas habituer les élèves et biaiser leurs choix futurs d’outils, à titre personnel comme professionnel.

Elle doit ainsi les former aux méthodes de collaboration numérique de façon indépendante d’une suite collaborative commerciale donnée, et leur faire acquérir une aisance dans l’utilisation de tout type d’outil numérique ».

Ces considérations le conduisent à recommander de « privilégier l’usage des espaces numériques de travail et de leurs services numériques, ainsi que des ressources numériques disponibles par le GAR [Gestionnaire d’accès aux ressources], lequel permet d’assurer un accès sécurisé aux différents logiciels et applications tout en limitant les risques de transferts de données hors de l’Union européenne ».

Quelques bonnes pratiques dans les établissements scolaires

Ce rappel est l’occasion de faire le point sur quelques bonnes pratiques dont la prise en compte dans les établissements permettrait aux élèves - et à leurs familles - de faire l’expérience de solutions numériques et de mesures organisationnelles internes respectueuses du droit en vigueur et de leurs droits et libertés.

1. Les traitements de données personnelles mis en œuvre par les structures de l’Éducation nationale doivent, tous, être répertoriées dans les registres tenus par les « responsables de traitement délégués » [6]. Il s’agit, pour le premier degré, du directeur académique des services de l’éducation nationale (DASEN) et, pour le second degré, du chef d’établissement ou du DASEN.

Un nouveau logiciel ne doit être inscrit dans le registre des traitements de l’établissement ou de l’académie que si sa description - c’est-à-dire les données personnelles qu’il traite, l’utilisation qui en est faite, leurs destinataires, leur durée de conservation, leur transfert vers un pays tiers et, si possible, les règles de sécurité dont elles feront l’objet – n’y figure pas déjà.

2. L’enseignant qui souhaite traiter des données relatives à ses élèves dans le cadre de projets pédagogiques doit au préalable recueillir l’avis du conseil de l’école ou du conseil d’administration. Il serait également très utile qu’il adresse, sous couvert du chef d’établissement, au délégué à la protection des données (DPD) de son académie [7] sa documentation sur chaque traitement de données, en lui laissant le temps de réagir avant de l’utiliser.

3. Chaque fois qu’une école, un établissement ou un enseignant souhaite proposer un accès à une messagerie instantanée ou à des contenus extérieurs de type YouTube, des précautions doivent être prises. En effet, ces accès contredisent parfois les mesures prises par les parents dans le cadre du contrôle parental. Il convient de s’assurer que ce n’est pas le cas.

4. La création pour les élèves de comptes génériques permet de réduire de façon très substantielle le volume en circulation de données personnelles. Il y a donc tout intérêt à privilégier cette solution.

5. Pour garantir l’anonymat des données traitées, toute précaution doit être prise pour qu’il ne soit pas raisonnablement possible d’attribuer telle ou telle information à un mineur particulier. Ceci suppose de faire attention à toute collecte de données précises de localisation des personnes, ou se rapportant au téléphone portable ou à l’ordinateur personnel qui a été utilisé, ou encore de renseignements très spécifiques sur les élèves.

6. Un logiciel documentaire doit être configuré dans le respect des règles du RGPD :

• Le principe de transparence vis-à-vis des personnes dont les données sont utilisées, qui impose qu’une information efficace leur soit diffusée localement sur :
  • les services utilisateurs du logiciel,
  • ses finalités,
  • les catégories de données traitées,
  • leur origine, pour celles qui ne sont pas collectées auprès des personnes concernées,
  • leur durée de conservation,
  • leurs catégories de destinataires habilités, en particulier si certains d’entre eux ne font pas partie du personnel de l’école,
  • les modalités d’exercice des droits individuels (accès, rectification, effacement, opposition pour des raisons tenant à sa situation particulière) et le recours devant la CNIL ;
• Le principe de minimisation des données traitées, qui doivent être réduites à celles qui sont objectivement nécessaires pour les finalités poursuivies et prévoir leur effacement automatique à certains moments (ex. : la fin de l’année scolaire) ;
• Les principes de confidentialité et de sécurité, qui justifient de restreindre l’accès aux données aux seules personnes qui doivent en prendre connaissance au titre des finalités poursuivies, et de permettre la vérification du respect de ces règles, par exemple au moyen d’un dispositif de traces et d’alerte destiné à répondre de l’usage et de la sécurité des données.

7. Lorsqu’un enseignant souhaite utiliser un outil d’intelligence artificielle (IA) qui implique un traitement de données personnelles, il doit tenir compte des éventuels encadrements en vigueur, tels que le projet d’école ou d’établissement, le cadre d’usage de l’IA en éducation du ministère, une charte d’utilisation des outils numériques et, bien sûr, de la législation sur la protection des données.

Comme pour les autres types de traitement, toute mise en œuvre d’un système d’IA s’effectue sous la responsabilité, non pas du professeur, mais du DASEN dans le premier degré, du chef d’établissement dans le second degré. Le professeur doit en informer le directeur d’école ou le chef d’établissement, qui appréciera la compatibilité du projet au regard du projet d’école ou du projet d’établissement et sollicitera, s’il le juge utile, l’avis du conseil d’école ou, dans le second degré, du conseil d’administration, éventuellement du conseil pédagogique pour les établissements publics locaux d’enseignement. Il appartient au responsable de traitement délégué, en lien avec l’enseignant, de s’assurer de la conformité du traitement au RGPD. Aussi, est-il préférable d’associer le DPD à la procédure.

Les élèves concernés et leurs parents doivent être informés. L’usage d’un système d’IA ne requiert pas leur consentement s’il sert un objectif pédagogique. L’exercice par les parents du droit d’opposition doit être motivé par des considérations tenant à leur situation personnelle ou à celle de l’enfant. Les suites à donner à la demande relèvent de la compétence du responsable du traitement, qui tiendra compte de l’utilité de l’outil d’IA à la poursuite des actions pédagogiques engagées.

Lors du choix d’un outil d’IA, il est préférable de retenir, lorsque c’est possible, ceux qui :

• ne génèrent pas de transferts internationaux de données vers un pays sans protection juridique similaire à celle qui existe au sein de l’UE ;
• permettent la création d’un compte de classe plutôt qu’un compte personnel par élève, et ne contraignent pas les élèves à créer des comptes personnels ou à entrer des données personnelles ;
• permettent de s’opposer aux cookies et autres traceurs publicitaires ;
• excluent tout traitement ultérieur par l’éditeur des données collectées sur les élèves, par exemple pour améliorer le service ou mettre en place des traceurs publicitaires ;
• lorsque la création de comptes personnels est nécessaire, prévoient un paramétrage de confidentialité renforcée désactivant le traçage, les fonctionnalités de type addictif (ex. : lecture automatique de vidéos, « likes »), tout service supplémentaire (ex. : la géolocalisation, le micro), l’historique des conversations et la réutilisation des données.

Il est par ailleurs souhaitable de :

• privilégier une utilisation supervisée des outils d’IA, que ce soit en classe ou ailleurs (au domicile de l’élève) ;
• prévoir l’utilisation d’appareils dédiés aux usages pédagogiques et destinés à ne conserver aucune donnée personnelle ;
• mettre en place des garde-fous pour la rédaction des prompts (les entrées d’informations dans le système) par les élèves, par exemple en proposant des modèles ne comportant aucun champ pour le recueil de données personnelles sur eux ou leur entourage ;
• sensibiliser les élèves sur le fait que l’utilisation d’un tel outil n’a rien à voir avec un échange privé avec une personne physique mais risque plutôt de s’apparenter à une porte d’entrée vers un système de collecte de données ;
• rappeler aux élèves qu’ils ne doivent pas enregistrées des données qui, du seul fait de leur regroupement, risquent d’être identifiantes (ex. : donner le nom de son école, sa classe, son genre et un centre d’intérêt) ;
• rappeler aux élèves qu’ils doivent garder un regard critique sur les résultats produits par l’outil d’IA, qui peuvent être entachés d’erreurs, ne serait-ce que parce que les réponses obtenues peuvent être influencées par la rédaction des prompts, le paramétrage du système, les jeux de données utilisés pour l’entraîner, etc.

8. S’agissant de la conservation des données personnelles collectées par les enseignants dans leurs cours, il faut appliquer, d’une part, les durées fixées par le responsable du traitement pour chaque opération et, d’autre part, les règles fixées en matière d’archivage public. Les instructions sur le tri et la conservation « pour les archives reçues et produites par les services et établissements concourant à l’éducation nationale » prévoient une conservation :

• d’un an pour les bulletins d’absence, mots d’excuses, certificats médicaux, signalements au procureur ou à la CAF, cahiers de punition et copies produites aux examens (à compter de la publication des résultats) ;
• de deux ans pour les cahiers d’évaluation du niveau des élèves, travaux d’élèves, dossiers d’activités périscolaires, fiches individuelles d’infirmerie et dossiers individuels d’attribution de fonds sociaux ;
• de dix ans pour les registres d’appel journaliers et le registre des sanctions ;
• de cinquante ans pour les dossiers scolaires permettant de délivrer les attestations de scolarité (mais ce délai peut être réduit à dix ans) ;
• dans le fonds iconographique de l’établissement pour les photos de classes.

Ces règles s’appliquent aux « archives électroniques ». En cas de destruction, un bordereau d’élimination doit être visé par le directeur des archives départementales avant de procéder à la destruction matérielle des pièces.

9. L’information des élèves et des parents doit être organisée au niveau de l’établissement, si elle n’a pas été prévue à un échelon supérieur.

10. En ce qui concerne les autorisations parentales d’enregistrement de la voix ou de l’image de leur enfant dans le cadre scolaire et/ou de publication de son image, le plus important est qu’elles distinguent les différents usages et types de données envisagés, notamment selon les supports de publication (en ligne ou non par exemple) et indiquent la durée de validité de l’autorisation. L’accord d’un seul parent est suffisant quand il s’agit d’un acte usuel de l’autorité parentale, chaque parent étant alors réputé agir avec l’accord de l’autre. Cependant, le raisonnement ne vaut que pour les actes qui ne sont pas susceptible d’avoir des conséquences graves sur la vie de l’enfant. Or, les tribunaux considèrent qu’il n’en va pas ainsi pour la publication de la photographie d’un enfant sur les réseaux sociaux, parce qu’elle peut avoir des conséquences durables. L’accord des deux parents doit, en conséquence, préalable, clair et explicite.

11. Les listes scolaires ne devraient pas être affichées à l’extérieur de l’établissement. Il pourrait être conseillé aux parents de ne pas partager la liste des élèves de la classe de leur enfant avec des personnes extérieures, notamment via les réseaux sociaux. Si l’affichage extérieur ne peut pas être évité, il serait très utile d’informer les parents en amont de l’affichage afin de leur donner la possibilité de s’y opposer. Les informations y figurant doivent être réduites aux seules données strictement nécessaires à l’information des parents sur l’affectation de leur enfant.

12. Il convient de fixer des règles communes pour faciliter l’exercice des droits chaque fois que les données en cause sont accessibles au niveau local. Concrètement, l’enseignant concerné doit pouvoir répondre aux demandes dès que rien ne l’empêche de le faire. Dans le cas contraire, la demande pourra être traitée par le responsable de traitement délégué avec, si besoin, l’aide du DPD local.

13. Si l’on excepte les situations de harcèlements de mineurs, pour lesquelles les écoles, collèges et lycées doivent se conformer au programme PHARE de prévention et d’intervention, il est important que les élèves sachent qu’ils peuvent demander l’effacement de données les concernant (ex. : une photo, une vidéo, un jugement dépréciatif, une information indiscrète), que ces données soient diffusées à un grand public ou seulement réservées à quelques personnes. Il convient alors de suivre la procédure indiquée par le site, l’application ou le réseau social qui les conserve. Il est essentiel de conserver les pièces justificatives liées à la demande d’effacement (captures d’écran, échanges de mail). Le mineur à l’origine de la demande peut, évidemment, se faire aider par l’un de ses parents ou une personne de confiance de son choix. La réponse doit normalement intervenir dans le délai d’un mois.

14. Cette énumération de recommandations variées pourrait utilement avoir une suite, qui partirait cette fois-ci des interrogations et réactions des lecteurs. Ceci est d’autant plus possible que la CNIL peut être contactée, par voie électronique ou par téléphone, pour toute demande (https://www.cnil.fr/fr/saisir-la-cnil/nous-contacter).