Mettre en place le registre des traitements en EPLE

L'élaboration d'un registre des traitements permettra d'avoir une vue d'ensemble de ce que l'établissement fait avec les données à caractère personnel (DCP) qui lui sont confiées.

1. Qu'est-ce que le registre ?

Le registre de traitement des données à caractère personnel (DCP) est un document qui permet le recensement et l'analyse des données personnelles traitées au sein d'un établissement. Ce registre constitue non seulement un outil de pilotage mais également de présentation de la mise en conformité au RGPD.

Il permet d'identifier les risques encourus et de prioriser les mesures à prendre tant organisationnelles que techniques pour garantir la protection des données confiées. La priorité de ces mesures se fera au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées.

Le format du registre est libre ; la seule contrainte est qu'il doit se présenter sous une forme écrite (au format papier ou électronique).

Toute modification des conditions de mise en oeuvre du traitement doit être portée au registre (collecte d'une nouvelle donnée, allongement de la conservation, nouveau destinataire, etc.). 

2. Comment constituer le registre ?

Recenser
  • Rassembler les traitements de DCP dans les cadres de gestion administrative et pédagogique de la classe ou de l'établissement.
  • Analyser les DCP sur le site Web de l'EPLE.
Lister
  • Les personnes concernées
  • Les DCP traitées
  • Les finalités du traitement
  • La durée de conservation des données
  • Les mesures de sécurité
Analyser
  • Identifier et analyser les risques encourus qui peuvent peser sur les traitements de données mis en oeuvre
  • Elaborer un plan d'actions en conformité avec le RGPD

3. Quelles sont les différentes composantes de la fiche de traitement ?

Le registre recense l'ensemble des traitements mis en oeuvre dans l'établissement. Une fiche de registre doit donc être établie pour chacune des activités d'ordre pédagogique ou administratif.

Pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

  • Le nom et les coordonnées du responsable de la mise en oeuvre du traitement
  • Les finalités du traitement, l'objectif en vue duquel les données sont collectées
  • Les catégories de personnes concernées (élèves, enseignants, responsables légaux, associations partenaires, personnels de la collectivité, etc.)
  • Les catégories de DCP (données d'état civil, numéro de téléphone, adresse mail, photographie, date de naissance, voix, etc.)
  • Les catégories de destinataires auxquels les DCP ont été ou seront communiquées (collectivités territoriales, associations de parents d'élèves, responsables légaux, service ou apllication numérique, association partenaire, etc.)
  • Les transferts de DCP vers un pays ou à une organisation internationale
  • La durée de conservation des données
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mis en oeuvre.

4. A qui communiquer le registre ?

Le registre est un document interne et évolutif dont l'objectif est avant tout d'aider le chef d'établissement à piloter la mise en conformité. Le registre est un document administratif communicable à tous, au sens du codes des relations entre le public et l'administration. La CNIL peut demander à consulter le registre dans le cadre de sa mission de contrôle des traitements de données. En tant qu'organisme public, l'établissement scolaire est tenu de communiquer le registre à toute personne qui en fait la demande. Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets par la loi, et notamment à la sécurité des systèmes d'information.

Pour aller plus loin : Communication des documents administratifs

5. Quelles sont les bonnes pratiques ?

Pour que le registre devienne un vrai outil de pilotage, il doit être enrichi d'informations complémentaires. La base légale du traitement, l'origine des données, les droits qui s'appliquent au traitement, etc., vous permettront de rédiger vos mentions d'informations. Vous pouvez également indiquer dans le registre un historique des violations de données et recenser tous les documents liés aux sous-traitants auxquels vous recourez (contrats de sous-traitance)

 

Quelques points de vigilance :

  • Seules les données strictement nécessaires à la poursuite des objectifs sont collectées et traitées,
  • La base juridique sur laquelle se fonde le traitement (par exemple : consentement de la personnes, intérêt légitime, contrat, obligation légale) est définie,
  • Les mentions d'informations sont conformes (articles 12, 13 et 14 du traitement),
  • Les clauses contractuelles rappelant les obligations du sous-traitant sont vérifiées en matières de sécurité, de confidentialité et de protection de données à caractère personnel,
  • Les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...) sont prévues,
  • Les mesures de sécurité mises en place sont recensées.

 

 

Mise à jour : janvier 2022

Recherchez par mot-clés

Les contenus suivants peuvent aussi vous intéresser